이번 7.7 DDoS 공격은 정말 테스트성 공격이라는 징후가 여러모로 나타나고 있다. 일단 가장 주목해야할 부분은 호들갑떨었던 만큼 큰 피해는 아니었다는 점이다.

그리고 이번에 발견된 DDoS 공격 악성코드 샘플을 보면 정보수집 기능을 가진 악성코드가 DDoS 공격 이전에 미리 활동하고 있었다는 걸 발견할 수 있다.

이때 수집되는 정보는 즐겨찾기, Desktop Folder 목록, 바탕화면 목록, 내 문서 목록, 최근 오피스 문서 목록, 최근 문서 목록, Program Files 목록, Documents and Settings 목록 등이다.

한 보안전문가는 Documents and Settings 목록을 수집한다는데 관심을 가질 필요가 있다고 이야기한다. 이 전문가는 “많은 언론이 ┖Documents and Settings┖이 아니라 ┖내 문서┖에 집중을 하고 있지만, 그보다 ┖임시파일(\temp)┖, ┖인터넷 임시 파일(\Temporary Internet Files)┖ 등 인터넷 사용과 프로그램 사용에서 중요한 정보가 담겨있다는데 주목해야한다”고 경고한다.

즉, 공격자가 원하는 정보는 사용자가 자주 이용하는 인터넷사이트, 인터넷사용 기록, 자주 이용하는 프로그램, 최근 다운받은 프로그램, 사용자가 원하는 문서, 이미지, 동영상 등의 정보라고 볼 수 있다. 이 말인즉 수집된 감염PC사용자들의 패턴을 분석해 더 많은 사용자의 패턴을 찾아내는 것으로 볼 수 있다.

초기 악성코드가 웹사이트 취약점을 이용해 직접 악성코드를 배포했다면, 수집된 정보를 이용해 P2P 채널이나 UCC 채널을 이용해 악성코드를 배포하려는 사전작업이라는 추측이다. 만약 공격자가 이런 정보를 분석해 프락시로 P2P 사이트나 문서 배포 사이트(리포트나 서식), UCC 사이트를 이용해 악성코드를 배포 했다면 더욱 많은 악성코드를 수집할 수 있다는 것. 게다가 이렇게 배포할 때는 정보수집 악성코드가 발견돼 분석될 수 있다는 가정아래 다른 종류를 배포했을 가능성이 높다.

아울러 DDoS 공격 기간 동안 시작됐던 스팸릴레이도 악성코드 유포에 이용될 수 있다. 공격 기간동안 전달됐던 스팸메일의 첨부파일은 이용할 수 없는 파일이었지만 향후 수집된 정보를 통해 그럴듯한 파일이나 문서를 첨부했을 경우 악성코드에 감염될 확률이 높기 때문. 특히 보낸 메일 정보를 통해 같은 메일에 악성코드를 첨부해 또다시 보낼 수도 있다.

또 하나 우려가 되는 건. 정보수집에서 얻은 정보로 최적의 공격 대상과 공격 시기 등을 찾을 수 있다는 점이다. 수집된 정보를 토대로 주로 이용하는 사이트나 주로 이용하는 시기를 이용한다면 공격이 더욱 효율적일 수 있다.

추측이지만 종합해보면 이런 정보를 수집해 공격을 시작한다면 이전과 비교할 수 없는 공격이 시작될 수 있다는 의견이다. 따라서 KISA와 수사기관은 P2P 사이트나 문서배포 사이트, UCC사이트와 협조를 얻어 배포가능성에 대한 분석을 해볼 필요가 있다. 만약 7.7 DDoS 대란이 테스트성 그리고 정보수집성 공격이었다면 앞으로 시작될 공격은 그 몇배는 강한 공격이 시도될 수 있다.

[오병민 기자(boan4@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>