악성공격자, 백신업체들이 DDoS 분석에 분주한 상황 악용

[보안뉴스 오병민] 3.4 DDoS 공격으로 인해 보안업계가 분주했던 상황을 악용해 게임계정 탈취 악성코드의 전파가 크게 증가한 것으로 파악됐다. 특히 당시 유포됐던 악성코드는 안티바이러스 백신에서도 검출 및 치료가 불가능한 것으로 분석됐다.

최근 한 보안회사는 3.4 DDoS 공격 기간 동안 P2P파일공유사이트를 포함한 국내 사이트 150개를 분류해 악성코드 1시간 30분 간격으로 유포 경유지가 삽입된 사이트를 파악했다. 그 결과, 3.4 DDoS 공격이 시작된 이후, 일부 사이트에서 안티바이러스백신에서도 검출되지 않는 악성코드를 유포하기 시작한 정황을 포착했다.

최초 진단 결과가 산출된 시각은 3월 5일 오전 1시 경이었다. 이 시간은 3차 DDoS 공격(3월 4일 6시 30분)을 마치고 백신업체들이 DDoS 악성코드 분석에 모든 신경이 쏠리고 있었던 시점이다. 즉, 악성 공격자는 악성코드에 대응하는 백신업체들이 DDoS 악성코드 분석으로 다른 악성코드에 대한 대응이 허술한 틈을 이용해 악성코드를 유포한 것. 최초 악성코드가 유포된 사이트는 z???ile.co.kr, fi???us.co.kr, f???k.co.kr, fi???ity.co.kr, j???ile.co.kr, k???k.co.kr, tu???isk.com, p???news.co.kr 등 8개 사이트였다.

 

그리고 3월 5일 이후, 악성코드를 유포했던 유포경로도 갑작스럽게 크게 증가했다. 이렇게 증가한 유포경로는 P2P파일공유사이트를 포함한 많은 사이트에서 배포됐다.

 

▲3.4DDoS 공격 이후 추가된 악성코드 유포지 ⓒ보안뉴스

공격자들이 유포했던 악성코드는 온라인게임계정을 탈취하거나 개인정보를 탈취하는 악성코드로 파악되고 있다. 그리고 백신업체들이 정신없는 상황을 틈타 유포됐기 때문에 외국업체 한 곳과 국내 업체 한 곳의 백신을 제외한 모든 안티바이러스백신에서도 검출이 되지 않았다. 따라서 당시 실시간 검사를 활성화 했더라도 악성코드에 유출됐을 가능성이 높다는 이야기다.

보안업계의 한 전문가는 “대형 보안사고가 발생하면 공격자들은 그 혼란함과 분주함을 틈타 집중적으로 공격을 시도하는 경향이 있으며 3.4 DDoS 공격에서도 이런 정황은 포착됐다”면서 “이에 따라 앞으로 대규모 사이버 공격에 대한 대응 프로세스에 혼란함을 틈타 발생하는 공격에 대한 대응도 포함시켜야 할 것”이라고 조언했다.

[오병민 기자(boan4@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>