모든 것이 자동화되어 사용하기 간편한 디도스 해킹 툴

그런데도 당해주는 건 당하는 사람의 잘못일까?

[보안뉴스 문가용] 일레스틱서치(ElasticSearch)에서 최근 공격자들의 익스플로잇 능력을 분석했고, 그 결과 오늘날 대규모 디도스 공격을 감행하는 데에 있어 그다지 높은 기술이 필요하지는 않다는 결론에 다다랐다. “취약점을 노리는 공격자들 대부분 기술력이 뛰어나지는 않다”는 게 멀웨어 연구책임자인 그레그 싱클레어(Greg Sinclair)의 설명이다. “그러나 취약점을 악용해 효과적인 디도스 인프라를 구축할 수 있는 방법을 다 같이 모색하고 다듬어내는 데에는 분명한 성공이 있었습니다.”

일레스틱서치가 만든 그루비(Groovy)라는 스크립팅 엔진에 보안 취약점이 발견된 것은 올해 초의 일이었다. 어떤 취약점이었냐면, 공격자들이 원격에서 악성 코드를 실행할 수 있게 해주는 것이었다. 이 취약점이 대중에게 공개되면서 대규모로 익스플로잇이 발생했고, 이는 곧 일레스틱서치의 서버마비로 이어졌다. 그런데 조사가 이어지면서 반전의 사실이 드러났다. 취약점 발견인 2015년 2월 이전에도 해당 취약점을 악용한 사례가 있었던 것이 밝혀졌기 때문이다.

해당 취약점은 패치가 되었으나 아직 일레스틱서치의 서버들 모두가 패치된 건 아니다. 같은 공격에 아직도 노출이 되어 있다는 뜻이다. 현재 노베타(Novetta)의 수사팀이 조사한 바에 의하면 일레스틱서치를 공격한 멀웨어는 엘크낫(Elknot)과 빌게이츠(BillGates)라는 이름의 멀웨어 패밀리 일종이라고 보인다. 둘 다 디도스 봇이며, 서로의 유사성이 각자에게 존재하지만 차이점이 훨씬 많다고 한다.

그중 엘크낫은 굉장히 기초적인 디도스 봇으로 기본적인 명령어만 갖추고 있다. 타깃형 공격에 사용된다고 한다. 빌게이츠는 그보다는 보다 방대한 코드 베이스를 갖추고 있으며 여러 멀웨어 프로그램을 실행시킬 수 있긴 하지만 그렇다고 대단히 최신식의 뛰어난 기술의 수준에 이른 것은 아니다. “일레스틱서치 서버를 사용하는 단체나 기업을 노린 백도어라고 정리할 수 있습니다. 엘크낫보다 더 끈질기고 더 오랫동안 시스템 안에 머무릅니다.”

그러나 여러 가지 정황을 살폈을 때 일레스틱서치의 오류를 익스플로잇한 공격의 주 목적은 데이터 탈취에 있는 것 같지 않았다는 것이 중론이다. “C&C 서버에는 엘크낫 또는 빌게이츠와 원활히 데이터 송수신이 가능한 여러 다른 멀웨어와의 호환성도 발견되었는데, 공격자들이 그런 기능을 활용한 적이 없었습니다. 즉 데이터를 잘 주고받을 수 있는 환경에서 전혀 그런 행동을 하지 않았다는 것이죠. 데이터를 빼돌릴 마음이 애초에 없었다는 겁니다.”

“또 특이한 건 툴을 분석하면 분석할수록 해커들의 기술적인 수준이 극히 낮을 것 같다는 결론을 내릴 수밖에 없었다는 겁니다. 기초적이어도 너무 기초적이었어요. 사용자 입장에서는 그냥 ‘실행’버튼 하나만 누르면 끝나는 정도였으니까요. 아무 것도 할 필요가 없었습니다. 원시인이 와도 디도스 공격을 할 수 있을 정도로 쉬운 툴이었습니다.” 이렇게 뚜렷한 목적도 없고 기술도 없는 해커들에게 디도스 공격을 계속해서 당한다는 건 결국 일레스틱서치 서버가 얼마나 취약한지를 드러내는 뜻밖에 되지 않는다.

또한 C&C 서버 대부분은 중국발 IP로 파악되었다. 또한 디도스의 타깃이 된 것 역시 대부분 중국의 기업 및 조직이었다. 물론 여기에 휘말린 미국 기업들도 적지 않긴 하다. 이번에 밝혀진 바에 따르면 총 공격은 384회에 있었고, 95개의 고유한 IP가 여기에 연루되었으며 133개의 디도스 공격의 133개의 미국발 IP 주소를 향해 감행되었다. 가장 흔히 사용된 공격 명령은 SYN Flood와 UDP Flood, Ping Flood였다.

아무나 디도스 공격을 할 수 있는 시대가 된 것 아니냐는 전문가들의 우려가 깊어지고 있다.

Copyrighted 2015. UBM-Tech. 117153:0515BC

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>