d0z.me(‘Evil URL Shortener’)라 불리는 이 툴에 대해 슈미트는 “최근 단축 URL 사용률이 늘고 위키리크스를 둘러싼 공방에 계속되는 DDos 공격의 위험성을 알리기 위해 제작했다”고 밝혔다.

슈미트에 따르면, 공격자는 d0z.me로 가서 공유하고 싶은 링크를 입력할 뿐 아니라 공격하고 싶은 서버 주소도 입력한다. 그리고 나서 이 텍스트를 가능하면 많은 이들과 공유한다. 최상의 결과를 낳으려면 소셜 미디어 사이트를 이용하는 것이 필수다.

사용자가 제공된 링크를 클릭, 연결된 페이지에 요청한 내용을 숙독하길 기다린다. 그동안 백그라운드에서는 목표 서버에 계속해 요청을 보내는 악성 자바스크립트 DoS가 실행된다.

사용자가 해당 페이지 안에서 계속 브라우징을 하는 한 이 공격은 계속 된다. 이를 위해 슈미트는 사용자가 사전 지정된 시간 동안 해당 페이지에 머무르는 경우 재미있는 온라인 게임을 제공하거나 무료로 iPad를 준다는 가짜 제안서를 띄워 놓는다. 이렇게 해서 사용자를 계속 그 페이지에 머무르게 할 수 있는 것이다.

슈미트가 기술 검증(proof-of-concept)으로 연구한 이 툴과 함께 인터넷에 올린 사용자 고지(disclaimer) 내용은 다음과 같다.

“나는 여러분이 이 툴을 악의적인 용도로 써 그로 인해 발생하는 피해에 대해 책임을 지지 않는다. PC를 실제로 해킹하지 않고서 자신도 모르는 사이에 DDoS 봇넷을 만들어내는 일이 얼마나 쉬운지 보여줄 뿐 아니라 인터넷이 단축 URL에 의존하는 비중이 높아지면 심각한 결과를 발생할 수 있다는 점을 보여주는 실례로 이 툴을 만들었다. 여러분이 소유하지 않은 사이트를 대상으로 이 툴을 쓸 경우 발생하는 결과에 대한 책임은 여러분에게 있다.”

[호애진 기자(is@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>