• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

[7.7DDoS 1년]7.7 DDoS 공격, “어떤 사건이었나?” 2010.07.07

11만대 좀비PC이용...36개 웹사이트 피해

2009년 7월 4일 미국 주요사이트들을 대상으로 공격이 시작되어 지난 2009년 7월 7일부터 7월 10일까지 국내·외 주요 웹사이트를 대상으로 동시다발적으로 DDoS 공격이 발생했다.


당시 DDoS 공격을 유발했던 좀비PC 악성코드 특징은 기존과 다른 양상을 보였다. 우선 다른 DDoS 공격에서는 실시간으로 이용됐던 C&C서버(명령제어 서버)가 실시간이 아니라 정해진 스케줄대로 진행됐다는 점이 돋보였다.


당시 악성코드는 실시간 명령을 받는 것이 아니라, 악성코드의 기능 및 공격대상을 업데이트 할 수 있는 숙주서버에 특정시간에 일정 주기로 접속해 공격대상 및 공격 시간 스케쥴링 명령을 받게 돼 있었다. 공격대상과 공격시간을 명령받은 십만 대 이상의 좀비PC는 이미 정해진 명령에 따라 공격대상 웹사이트를 동시에 공격했다. 기존 DDoS 공격의 경우 공격자가 C&C 서버에서 실시간으로 명령을 받았을 때 공격을 진행했다.

 

▲7.7 DDoS 침해사고 개요도 ⓒ방통위

 

아울러 감염경로 불특정했다는 것도 차이점으로 분석됐다. 공격에 사용된 좀비PC 악성코드는 감염 경로를 추적할 만한 정보를 모두 제거했다. 정부기관의 분석에 따르면, MS 윈도우즈 취약점 및 스팸, 파일공유 등 감염경로가 다양했을 것으로 추정하고 있다.


금품을 목적으로 하지 않고 사회혼란 유발을 목적으로 한 공격이었다는 특징도 보였다. 분석에 따르면, 최근 DDoS 공격이 금전적 갈취를 목적으로 하는데 반해, 7.7 DDoS는 정부·금융·포털·백신사 홈페이지를 대상으로 특정 이익보다는 사회적 혼란을 주목적이었던 것으로 추정하고 있다.


그리고 최종적으로 좀비PC를 파괴하는 특징도 엿보였다. 일반적으로 좀비PC는 또 다른 추후 공격에 사용할 목적으로 유지하는데 반해, 7.7 DDoS의 경우 목적달성 후 좀비PC 자신의 하드디스크를 손상시키는 행위를 수행했다.

구 분

기존 DDoS

7.7 DDoS

명령·제어 서버 존재여부

해커로부터 명령을 받는

명령·제어 서버 존재

악성코드를 업데이트하는

서버 존재

공격 방법

명령·제어 서버의 네트워크를 통한

실시간 공격 제어

일정 주기로 악성코드를 업데이트 받아 스케줄링을 통한 공격

감염경로

윈도우즈 또는 브라우저 취약점을 악용한 홈페이지 악성코드로 인한 감염

공격자가 정상적인 프로그램에  숨겨둔 악성코드가 동작

방어 방법

명령·제어 서버 차단

공격PC의 악성코드 제거

공격 대상

홈페이지 1~2개

다수 홈페이지에 동시 다발 공격

악성코드 갯수

DDoS 공격을 수행하는 악성코드 1개 다운로드

압축파일 형태의 악성코드를 다운로드, DDoS 공격 외에도 다양한 악성행위 수행

네트워크 연결정보

평문 채널을 통한 통신으로  공격명령내용 모니터링 가능

암호화된 채널을 사용하여 통신하므로 통신내용 확인 불가

악성 행위

해커의 명령을 지속적 수행

단기공격 수행후, 하드디스크 삭제

공격 목적

금전적 이득

사회혼란 유발(추정)

공격 주체

주로 중국 등에 위치한 해커 조직

미확인

▲기존 DDoS와 7.7 DDoS 비교 표


7.7 DDoS 공격으로 인한 피해

1년이 지난 현재 당시의 공격에 대한 피해의 규모는 우려했던 것보다는 크지 않았던 것으로 파악되고 있다. 그러나 공격의 규모와 대상이 광범위했고 공격에 대한 대응체계가 확립되지 않아 당시 분위기는 위협적이었다.  


KISA 측은 당시 공격이 115,000여개 IP주소에서 공격 트래픽이 발생하였고, 대부분 국내 PC라는 지리적 특성을 보였다고 설명했다. 피해 사이트는 국내 사이트 22개, 국외(미국) 사이트 14개 등 총 36개의 웹사이트가 공격을 받았으며, 국내외적으로 DDoS 공격으로 인한 사회적 파장이 큰 사이트를 공격 목표지로 설정됐다.

 

구분

국가/공공기관

(7)

금융기관

(7)

민간기관(7)

언론사

포탈?경매 업체

보안업체

사이트

청와대

국회

국방부

외교통상부

한나라당

국가사이버안전센터

전자민원G4C

농협

신한은행

외환은행

기업은행

하나은행

우리은행

국민은행

조선일보

옥션

네이버(메일)

네이버(블로그)

다음(메일)

파란(메일)

알툴즈

안철수연구소

▲7.7 DDoS 공격 피해사이트


국내 분포 피해 사이트의 분포를 살펴보면 공공 및 정부사이트가 7개 사이트, 금융관련 7개 사이트, 민간 관련 7개 사이트로 파악되고 있으며, 미국의 피해 사이트는 ‘.gov’도메인이 7개 사이트, ‘.com’도메인이 7개 사이트로 파악되고 있다.


사용자들의 인터넷 접속 피해는 사이트별로 최소 24시간, 최대 72시간 동안 접속장애를 겪었으며,  일부 PC의 하드디스크는 손상 등의 피해가 발생했다.


7.7DDoS 공격에 대한 당시 대응은 어땠나?

사실 그동안 DDoS 공격으로 인한 국가적인 대응체계가 확립되기 전이었기 때문에 우왕좌왕하는 모습을 보이기도 했다. 따라서 7.7 DDoS 공격은 향후 DDoS 대응체계 확립의 필요성이 드러난 사례로 평가되고 있다.


정부는 DDoS 공격에 대한 피해가 나타나자 7월 7일 DDoS 공격에 대해 공식적으로 국가 위험 공격으로 인지하고 악성코드 샘플 분석 후 인터넷침해사고 ‘주의’ 경보를 발령했다.(7월8일 02시40분)


그리고 1차 ~ 3차에 걸친 DDoS 공격 중 민간 협력체계를 활용하여 숙주 사이트 및 악성코드 유포사이트에 대한 긴급 차단조치 수행했다고 전했다.


아울러 7월 10일 하드디스크 손상 악성코드로 인한 피해발생 가능성을 파악한 후 사태확산을 방지하기 위한 보안공지 실시했다. 그리고 국내 ISP 업체와 협력해 하드디스크 손상으로 인한 이용자 피해에 대한 복구를 지원했다.


각 분야별 대응 상황을 살펴보면, 유관기관와 포털업체, ISP업체, 백신업체 등과의 공조를 진행했으나 당시 협력체계가 확립되지 않아 미흡했던 것으로 파악되고 있다. 우선 유관기관과의 협력은 민간 ISP, 포털 및 백신업체와 협력하여 사태완화를 위한 대응을 실시하고 피해 사이트와 인터넷 이용자에 대한 지원했다.

 

그리고 포털업체는 각 사업자 홈페이지에 현 DDoS 침해사고의 위험성 및 심각성을 설명하고 방문 이용자에게 주의를 요청하는 피해주의 공지문 게재하도록 했다. ISP 업체에 대해서는 비상대응체계로 전환한 후, 악성코드에 감염된 좀비 PC 확인, 이용자 섭외 지원 및 숙주·유포 사이트에 대한 차단 조치 수행했다.

 

백신업체는 DDoS 악성코드 치료를 위한 전용백신 개발 후 이용자 대상 무료 보급 지원 및 비상대응체계 전환하도록 했다. 이런 공조 체계는 향후 대규모 DDoS 공격 대응 체계 확립에 대한 주요한 사례로 반영됐다.


시간이 지나고 공격이 소강상태에 이르자 정부는 7월 15일 15시(24시 기준)에 경보발령단계를 주의단계에서 관심단계로 하향 조정했다. 그리고 관심단계에서 정상단계로 내린 것은 2달이 지난 9월 17일 12시(24시 기준)였다.

[오병민 기자(boan4@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>