빛스캔 “대선 앞두고 감행된 디도스 공격 공동대응으로 성과 거둬”

[보안뉴스 권 준] 2009년 7.7 디도스, 2011년 3.4 디도스 공격 등 과거 국내에서는 포털 및 공공기관을 대상으로 하는 대규모 디도스 공격이 발생한 바 있다. 또한, 그 이후에도 언론 등에 크게 알려지지는 않았지만 꾸준히 디도스 공격이 발생하고 있다.

빛스캔에 따르면 이러한 디도스 공격은 초기, 네트워크 대역폭이나 관련 장비의 자원을 낭비하는 형태의 공격이었지만, 최근에는 정상적인 웹사이트에 디도스 관련 악성코드를 다운로드해 감염시키는 형태로 진화하고 있다. 참고로 해외에는 웹사이트보다는 이메일의 첨부파일을 통한 PC의 악성코드 감염이 아직까지 대세라는 것.

또한, 디도스 공격이 개인이나 정치적 목적을 가진 단체의 소행보다는 최근에는 디도스 자체를 대상으로 하는 상업적 용도의 범죄까지 확대됐다. 이를 위해 디도스 공격을 위한 악성코드 파일 제작, 유포 및 감염, 모니터링 등에 대한 기술적인 부분이 해결되어 실제로 돈만 있으면 컴맹조차도 공격이 가능할 정도로 기술적 요구수준이 낮아진 것도 주목할 만한 특징이다.

특히, 웹사이트를 통해서 감염되는 드라이브 바이 다운로드(Drive-by-Download) 공격에는 어도비 플래시, 자바, IE 취약점 등 이용자가 간과하기 쉬운 보안취약점을 노리고 있고, 특히 자바의 경우에는 브라우저에 상관없이 동작하기 때문에 현재뿐만 아니라 향후에도 이를 이용한 악성코드 유포가 증가할 것으로 예상된다는 게 빛스캔 측의 설명이다.

또한, 유포되는 악성코드의 경우 보통 24시간 이내에 사라지거나, 새로운 변종으로 대체되기 때문에 시그니처 기반의 안티바이러스의 특성상 신속한 대처가 어렵고, 오히려 공격자가 이를 이용하는 상황도 발생하고 있다.

이와 관련 빛스캔 측은 지난 제18대 대통령 선거를 앞둔 시점인 12월 3일부터 9일 사이에 국내 웹사이트를 통해 유포되는 악성코드를 분석한 결과 디도스 공격 기능을 가진 악성코드들이 대량으로 유포된 정황을 파악했다고 밝혔다.

더욱이 최종 악성파일을 국내외 유명 백신에서 진단한 결과 대부분 진단하지 못한 상황이어서 디도스 공격에 공동 대응하고자 안티바이러스 기업 및 보안업체, 보안 유관기관에 해당 샘플의 제공을 제안해 다음과 같이 소기의 성과를 얻었다고 빛스캔 측은 밝혔다.

아래 화면과 같이 악성코드 및 관련 URL 정보를 제공한 이후 국내에서 유포되는 현황이 급격하게 줄어들었다는 것.

이와 관련 빛스캔 관계자는 “디도스 공격이 효과적이기 위해서는 많은 수의 좀비 PC가 필요하다. 다수의 PC를 좀비화해서 금융 관련된 개인정보를 탈취하거나 디도스와 같은 공격에 직접 이용하려는 것이 공격자들의 주된 목적”이라며, “현재 좀비 PC를 만드는 가장 쉬운 방법은 보안이 취약하고 방문자가 많은 웹서비스를 공격하여 모든 웹사이트 접속자를 감염시키는 것”이라고 설명했다. 

덧붙여 그는 “대규모 유포를 방지하기 위해서는 근본적인 웹 서비스의 문제점을 보완하고, 대량 유포에 이용되는 악성링크들을 조기에 발견하여 대응할 수 있는 체제가 강력하게 요구된다”며, “그런 차원에서 이번에 20여개의 보안업체 및 유관기관, ISP에서 디도스 공격 방어를 위해 공동 대응했던 예가 좋은 모범사례가 될 것”이라고 설명했다. 

한편, 이번 대선관련 공동대응에 사용됐던 정보들은 빛스캔의 PCDS에서 탐지 및 분석된 정보들로, 현재 최초의 악성링크, 악성링크의 구조정보, 최종 악성파일 보관, 악성파일 변화 관찰, 봇넷 구축을 위해 감염 이후 연결 시도하는 C&C 서버의 정보들이 수집 및 축적되고 있는 것으로 알려졌다. 이와 관련해 각 부분별로 발전적인 협력을 원하는 기업이나 기관은 빛스캔의 대표 메일(info@bitscan.co.kr)로 문의하면 된다.

[권 준 기자(editor@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>