어나니머스의 공개된 공격 전술 역이용해 국내 주요기관 사이트 마비

[보안뉴스 김태형] 보수성향의 대표 커뮤니티 사이트인 일간베스트 저장소(이하 일베. http://www.ilbe.com/)를 통해서 청와대, 국정원, 새누리당 등을 공격하는 코드가 삽입되었던 것으로 확인됐고 현재는 해당 사이트 접속이 차단된 상태인 것으로 전해졌다.

잉카인터넷 대응팀은 25일 공식 블로그를 통해서 청와대 홈페이지를 비롯한 정부기관, 정당, 언론사 등에 대한 공격용으로 사용된 악성파일(Trojan/W32.KRDDoS)이 국내 특정 파일공유(웹하드) 사이트 2곳의 설치프로그램 변조를 통해서 유포된 것을 확인했다고 밝혔다.

아울러 공격수법도 지난 2009년 7.7 DDoS, 2011년 3.3 DDoS 공격 때와 마찬가지로 웹하드 설치프로그램을 변조해 이용자들이 악성파일에 동시 노출되도록 유도한 부분이 일치하는 것으로 분석했다.

이러한 가운데 어나니머스에서는 웹기반의 DDoS 공격 방식을 공개했다. 이는 이용자들이 단순히 웹사이트 접속만으로 북한의 특정사이트를 자동으로 공격하는 방식이다.

잉카인터넷 측은 “이 공격명령 스크립트에서 타깃 사이트만 변경되면 특정 사이트에 대한 지속적인 공격이 가능하기 때문에 악용될 우려가 있다. 실제 일간베스트라는 국내 사이트를 통해서 청와대, 국정원, 새누리당 등을 공격하는 코드가 삽입되었던 것으로 확인됐고, 현재는 해당 사이트 접속이 차단된 상태이다”라고 밝혔다.

즉 이번 공격은 다수의 일반 PC를 미리 좀비PC로 만들어 디도스 공격을 하는 기존 방식과 더불어 악성스크립트를 이용한 방식으로, 해당 악성 스크립트를 설치해 놓은 웹 사이트를 사용자들이 방문하기만 하면 미리 설정해 둔 웹 사이트로 공격 트래픽을 발생시켜 사이트를 다운시키는 방식으로 북한은 일베를 이용해 국내 주요 기관의 웹 사이트를 디도스 공격하도록 했다는 것.

일간 베스트는 지난 6월 25일 오후 6시 30분경부터 모든 게시물이 ‘Hacked by anonymous_kor,anonsj, anonymous’라는 내용으로 도배되었고, 어나니머스 코리아는 트위터를 통해서 “일베가 해킹 당했다. 그러나 어나니머스는 하지 않았다”라는 글을 올린 바 있다.

잉카인터넷 측은 “이는 마치 어나니머스 소속의 트위터처럼 보여지는 ‘hacktivist_kor’이라는 사람이 일베를 탱고다운 시키겠다는 글을 올렸는데, 그 트위터 계정은 기존 Hacktivist(@anonymous_kor)와는 다른 계정이므로 오해해서는 안된다”고 설명했다.

또한 “어나니머스가 공개한 북한의 웹 사이트를 공격하는 방식으로 국내 주요 정부기관 사이트가 동시에 공격을 받았다. 이는 겉으로 보기에는 어나니머스가 국내 웹 사이트를 공격하고 있는 것처럼 보여질 수 있다. 그러나 이것은 공개된 공격전술을 상대방이 역이용해 국내의 정치적 우호세력과 웹 사이트에 심리전술을 교묘하게 가미한 지능적인 사이버전이라 할 수 있다”고 덧붙였다.

[김태형 기자(boan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>