[보안뉴스 오병민] 경찰의 비밀수사 속에 정체를 파악할 수 없었던 선관위 DDoS 악성코드가 지난 5일 KISA를 통해 백신업체에 공유된 것으로 확인됐다. 현재 국내 백신업체들은 넘겨받은 악성코드를 바탕으로 악성기능을 분석하고 있는 것으로 전해졌다.

해당 악성코드는 이미 몇 년전 중국에서 제작, 개발된 툴을 이용해 생성된 파일로사용자 PC에 설치되면 좀비PC가 되어 공격자가 C&C(명령제어)서버에서 내리는 명령에 따라 다양한 기능을 수행한다.

이 악성코드는 감염자 PC의 정보(CPU, OS버전, 메모리 용량 등 하드웨어 정보)를 C&C서버에 전송할 수 있고 공격자의 명령에 따라 원격 서버에서 실행 파일을 다운받아 실행할 수 있으며, DDoS 공격 및 감염자 PC종료, 자가 삭제 등을 할 수 있다.

특이사항은 이 악성코드에게 공격 명령하는 C&C서버가 국내 IP를 기반으로 하고 있다는 점이다. C&C서버가 국내에 있을 경우, 악성코드 만으로도 공격자를 추적할 수 있다. 따라서 전문가들은 공격자가 매우 보안에 능통한 전문가는 아닐 가능성이 높다고 이야기한다.

더불어 경찰이 발견하기 전부터 이 악성코드는 기존 백신에서 진단하고 있었던 것으로 파악됐다. 따라서 전문가들은 선관위 DDoS 공격 당시 이용됐던 좀비PC들은 백신을 이용하지 않은 보안 취약계층의 PC일 가능성이 높다고 추측했다.

현재 이 악성코드와 연결된 C&C서버는 KISA에 의해 차단돼 더 이상 공격자의 명령을 수행할 수 없는 것으로 확인됐다.

이 악성코드와 대응하는 공격툴은 이미 많은 변형 DDoS 공격 프로그램으로 파생시킨 ‘DarkShell’을 기반으로 하고 있다. 카스툴을 비롯해 설화툴, 스톰툴, 울프툴, 퍼펙트툴 등이 이 툴을 기반으로 하고 있다.

[오병민 기자(boan4@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>