[보안뉴스=BLACKGUEST] 2013년 9월 22일 구이양시 Yunyan 네트워크 모니터링 팀은 경찰서로부터 통보를 받았다. 해당 보고는 누군가가 자신들의 PC방 IP를 차단해서 정상적으로 PC방을 운영할 수 없을 때, PC방에 해당 IP를 풀어주는 조건으로 가입비를 요구했다는 내용이었다.

PC방 IP가 디도스 공격을 받다

구이양시는 2개의 네트워크 보안부서를 통해 이번 사건이 중요하며, 세부적이고 포괄적인 기술 분석을 통해 그들이 새로운 유형의 사이버범죄를 저지른 것으로 판단했다. 조사결과 최근 ‘선공격 후갈취’의 동일한 수법 피해사례가 10여 개의 PC방에서 확인된 것.

경찰의 도움을 받아 PC방 현장조사를 실시한 결과, 정상영업이 불가능하다는 것과 누군가가 디도스(DDoS) 공격을 진행한 것으로 확인됐다. 공격자는 업로드와 다운로드 패킷을 수없이 보내 PC방의 인터넷 속도를 하락시켰고, 네트워크로 연결되어 있는 여러 대의 컴퓨터를 동시에 제어하기도 했다.

2명의 ‘90년대 이후 출생’ 해커 체포

신속한 체포를 위해 경찰(공안)은 즉시 공격전에 촬영된 영상 전부를 조사하고 동시에 PC방  주인의 휴대전화로 걸려온 번호와 은행카드 등을 종합적으로 분석해 최종적으로 왕모 씨와 덩모 씨를 체포했다.

그리고 경찰은 두 사람 모두 1995년 8월생과 1994년 9월생으로 90년 이후 출생자인 것을 확인했으며 모두 롱강 카이양 사람들로 밝혀졌다. 지난 9월 24일 오후, 두 사람이 돈을 요구한 은행카드를 추적해 새로운 범행 때 둘을 체포했고 심문 후 용의자는 범행을 자백했다.

공격원인 조사와 함께 라우터 상의 ICMP 필터링 필요

이번 공격의 원리는 ‘갱 싸움’ 형태라고 할 수 있다, 수많은 PC를 이용해 목표 PC나 네트워크에 동시에 DoS 공격을 진행하며, 해커는 네트워크를 통해서 대량 보유한 ‘봇’들을 통제한 뒤, ‘봇’들로 하여금 DDoS 공격을 하도록 한 것이다.

이에 사용자가 DDoS 공격을 당한 후에는 두 가지 조치를 취할 것을 보안전문가들은 당부했다. 

1. 공격 원인 조사 : 사용자는 어떤 것이 진짜 IP이고 어떤 것이 가짜 IP인지 판별할 수 있고 이 IP가 어디에 연결되어 있는지 알 수 있다. 다시 네트워크 관리자가 PC나 서버를 종료하면 공격이 사라진다. 만약 이 IP 주소가 회사내부 IP가 아니라는 사실을 발견하면, 즉시 수집하고 이 IP의 주소를 서버나 라우터에서 필터링 시켜야 한다.

2. 라우터 상의 ICMP 필터링 : 이 방법은 비록 공격할 때는 들어오는 것을 완벽히 막을 순 없지만, ICMP(인터넷 제어 메시지 프로토콜)를 필터링 하면 더 큰 규모의 공격을 방지할 수 있고 일정 수준 이상의 공격도 막을 수 있다.

[출처: 화쌰연맹(http://www.hx95.com/)]