• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

3.4 DDoS 사건의 풀리지 않는 의문 2011.03.09

 시선 돌려 동시다발적인 공격이 목적일 수 있어


[보안뉴스 오병민] 3월 4일부터 본격적으로 시작된 DDoS에 대한 대응이 거의 마무리 되고 있다. 이번 3.4 DDoS 공격은 예전 7.7 DDoS 공격 때보다 치밀한 준비가 선행됐던 것으로 파악되고 있다. 그러나 실제 공격은 철저한 준비와는 달리 허술했던 부분도 눈에 띄고 있다.


이번 공격의 특징은 조직적이고 체계적으로 악성코드를 배포하고 공격을 시행했다는 점이다. 이는 마치 군대나 범죄조직과 같은 특정 집단에 의한 조직적인 움직임과 유사하다.

 

이런 점은 이번 공격의 배후에 북한이 연관돼 있다는 주장을 설득력 있게 한다. 그러나 명확한 증거가 발견되거나 범인이 검거되지 않는 한, 북한 배후설에 대한 공식적인 확인은 불가능한 상황이다. 


보안업계에서는 이번 3.4 DDoS 공격에 대해 명령체계가 제대로 갖춰지지 않은 상태에서 갑작스럽게 공격이 지시된 것으로 보고 있다. 이런 정황은 DDoS 공격에 이용된 봇넷 형성에서 찾아볼 수 있다. 업계의 분석에 따르면 이번 DDoS 공격에 이용된 악성코드는 2월 28일쯤부터 초 속성으로 유포돼 2~3일 만에 봇넷을 구축하고 DDoS 공격에 이용된 것으로 전해지고 있다.


3.3 DDoS 공격인가 3.4 DDoS 공격인가?

언론보도를 보면 공격 시점에 따라 3.3 DDoS 공격과 3.4 DDoS 공격으로 명명 되는 혼란함이 나타나고 있다. 왜 이런 혼란이 발생할까? 이번 DDoS 공격은 사실 3월 3일에 먼저 나타났다. 그러나 당시 공격은 대외적으로 알려지지 않고도 충분히 대응할 수 있는 공격이었다.

 

보안업계에서는 3월 3일 공격은 ‘헛방’이라고 이야기하곤 한다. 그 이유는 DDoS 공격에 이용되는 좀비PC들은 3월 4일부터 공격을 시도하도록 명령을 받았지만 일부 명령이 전달되지 않은 소수의 좀비PC들이 명령과 상관없이 공격을 시도한 것이기 때문이다. 이에 따라 이번 대규모 DDoS 공격의 공식적인 명칭은 3.4 DDoS가 된 것으로 풀이할 수 있다.


하드디스크 파괴, 윈도우7에서 적용 안돼

MBR 영역을 파괴해 하드디스크 데이터를 못 쓰게 만드는 기능, 이른바 ‘하드디스크 파괴’ 기능에서도 허술한 부분이 있었다. 윈도우 비스타 이후에는 물리적인 영역에 접근하지 못하도록 접근권한을 제한해놨기 때문에 윈도우비스타와 윈도우7에서 논리적으로 MBR을 파괴하는 것은 힘들 것으로 분석됐다.

 

즉 윈도우 비스타와 윈도우7의 사용자들은 피해를 입지 않았을 확률이 높다는 것. 이에 대해 전문가들은 “비스타의 경우 사용자가 적기 때문에 테스트를 안했을 수 있지만 윈도우7에 대해 테스트를 안했다는 것은 이해하기 힘든 부분”이라며 “공격자체가 완벽하게 준비 돼 있었더라면 이런 부분(윈도우7에 대한 테스트 등)의 누락은 없었을 것”이라고 언급했다.


3.4 DDoS 공격, 원래 목적은 스턱스넷 같은 주요 시설?

전문가들은 이번 공격이 의외로 허점이 많다는 점을 통해 어떤 방식이라도 추가 공격이 있을 것이라고 점치고 있다. 우선 두 가지 가능성을 가지고 공격을 예상하고 있다. 첫 번째는 3.4 DDoS 공격으로 시선을 돌리고 본격적인 공격을 진행하고 있거나 진행할 것이며, 두 번째는 3.4 DDoS 공격의 실패로 파악하고 다른 공격방식을 이용한 추가공격의 가능성이다.

 

전자의 경우에는 DDoS 공격으로 피해를 입히는 것이 주목적이 아닐 수 있다는 데 초점을 맞추고 있다. 예를 들어 스턱스넷과 같은 주요시설을 노리는 악성코드의 유포를 위해 시선을 돌렸다거나 국가기관 및 주요 시설 정보를 얻기 위한 악성코드 배포가 주목적일 수 있다는 것. 즉 DDoS로 시선을 돌리고 동시다발적으로 주요시설이나 주요기관에 대한 공격을 하는 것이다. 그러나 아직까지 이를 뒷받침할 만한 정황은 없는 상황.

 

후자의 경우에는 정치적인 의견 표출을 위한 시위에 가깝다. 그러나 아직까지 악성코드나 공격을 통해 표출하는 메시지가 없기 때문에 이 또한 정황적 증거가 없다.


보안업계의 한 전문가는 “3.4 DDoS 공격은 준비가 덜된 상태에서 갑작스러운 공격을 했다는 점에서 무언가 목적이 있으리라 생각되지만 아직까지 명확한 목적은 파악되지 않고 있다”면서 “혹시라도 주요시설이나 주요기관을 노리는 공격이 있을 수 있기 때문에 만반에 준비를 해야 할 것”이라고 조언했다. 

[오병민 기자(boan4@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>