디도스 공격 툴 판매하는 중국 웹사이트 수, 지난 수개 월 간 급증
초보자도 디도스 공격 쉽게 할 수 있고 자신만의 공격 맞춤 제작까지

[보안뉴스 오다인 기자] 중국 사이버 공격자들이 디도스(DDoS)를 서비스하는 온라인 플랫폼에 모여드는 중이다. 이런 서비스를 제공하는 중국 웹사이트는 최근 급격히 증가하고 있다.


시스코(Cisco)의 위협 첩보 주력 부서인 탈로스(Talos)는 지난 3개월에서 6개월 사이 디도스 공격 툴을 판매하는 중국 웹사이트 수가 급등했다는 사실을 발견했다. 이런 움직임은 시스코 탈로스가 중국 해커들의 그룹 채팅을 모니터하면서 처음 탐지하게 됐다.

“저희는 중국 해커가 모이는 포럼이나 그룹 채팅을 모니터합니다. 그런데 수많은 그룹들이 온라인 디도스 플랫폼으로 기능하는 웹사이트들을 광고하고 있다는 사실을 발견했습니다.” 탈로스의 위협 선임 연구원 데이비드 리벤베르그(David Liebenberg)의 설명이다.

위챗(WeChat)과 큐큐(QQ) 같은 소셜 미디어 애플리케이션에서는 해커, 고객, 대리인, 광고주가 디도스 그룹, 툴, 멀웨어, 공격 대상에 대해 논의하는 수백 건의 채팅이 열리고 있다. 디도스 툴과 서비스는 중국 지하 시장에서 가장 수요가 많은 상품들이다. 리벤베르그는 초보 공격자들도 이런 플랫폼을 활용하면 쉽게 공격을 펼칠 수 있다고 지적했다.

“온라인 디도스 서비스는 잠재적으로 고객층을 넓히는 효과가 있습니다. 서드파티 사이트를 통해 상대적으로 더 안전한 결제 수단과 더 편리한 사용자 경험을 제공하기 때문이죠.” 리벤베르그는 이런 웹사이트가 왜 증가하는지 설명하며 말을 이었다. “중국 공격자들은 온라인 디도스 서비스가 다른 나라에서도 인기가 있으며 얼마나 수익을 내는지도 알고 있는 것으로 보입니다.” 온라인 디도스 서비스는 ‘부터 서비스(Booter Service)’ 또는 ‘부터스(Booters)’라고도 부른다.

최근에 발견된 웹사이트 다수는 “거의 동일한” 기능과 설계를 공유하는 것으로 나타났다고 연구자들은 설명했다. 활성화된 서버 수와 활동하는 사용자 수, 그리고 성공한 공격의 총 건수 등을 봤을 때 사실상 거의 다 똑같다는 것이다. 이런 웹사이트들은 툴 업데이트, 능력, 제한 등에 대해 공지사항을 발표하기도 했다. 사용자는 계정을 등록한 뒤 공격을 펼치는 데 필요한 개통 코드를 구입할 수 있으며 마침내 목표 대상을 공격할 수 있다.

탈로스 연구자들은 많은 웹사이트가 도메인명에 ‘ddos’라는 글자를 포함하고 있다는 사실을 언급하면서, 사실상 거의 동일한 32개의 중국 온라인 디도스 웹사이트를 찾아내는 데 도움이 됐다고 말했다. 온라인 디도스 웹사이트를 판매하는 자들이 증가했다는 사실도 이를 통해 알 수 있었다고 덧붙였다. 또한, 온라인 디도스 웹사이트가 전부 ‘ddos’를 도메인명에 갖고 있는 건 아니기 때문에 더 많은 수의 온라인 디도스 서비스가 존재할 것으로 추측된다.

이런 유사성 때문에 연구자들은 최초의 한 공격자가 여러 개의 에일리어스(alias: 컴퓨터 프로그램에서 동일한 데이터 요소를 가리키는 수단으로 사용되는 대체 레이블)를 갖고 움직였다고 추정했다. 이 웹사이트들 대다수가 중국의 레지스트라(registrar: 도메인 관리 대행업체)를 사용해 지난 3개월 동안 등록됐으며 거의 모든 웹사이트가 작년에 등록됐다. 게다가 웹사이트 절반 이상이 클라우드플레어(Cloudflare) IP로 호스트됐다.

그러나 배후에 오직 한 사람의 공격자가 있다는 이론은 중국의 다른 서드파티 결제 플랫폼을 사용하는 데다 다른 툴과 능력, 연락처 정보, 활동하는 사용자 수와 활성화된 공격 건수 등을 보여주는 사이트들이 발견됨에 따라 폐기됐다. 대다수 웹사이트는 다른 등록자명과 이메일을 갖고 있었고 다른 레지스트라를 사용했다. 이런 이유로 연구자들은 여러 명의 공격자가 개입돼있다고 생각하게 됐다.

이 사이트들의 유사성은 소스코드가 공유됐기 때문으로 보인다. 공격자들은 이런 소스코드를 중국 포럼과 시장에서 구입할 수 있다. 이는 결과적으로 자신만의 디도스 서비스를 만들고 싶은 사람들에게 “문턱을 낮추는” 효과가 있었다고 리벤베르그는 말한다. 중국 해커 포럼은 2016년 말 디도스 플랫폼을 위한 소스코드를 배포하기 시작했다. 올해 들어 이런 플랫폼이 많아지기 시작한 배경이다.

“점점 더 많은 사이트가 효력을 발휘하고 돈을 번다는 사실을 목격하면서 다른 공격자들도 자신만의 디도스 서비스 웹사이트를 만들기 시작한 것으로 보입니다.” 리벤베르그는 설명했다.

이 소스코드가 최초에 어디서 만들어졌는지는 알 수 없으나 최초 버전이 영어로 쓰였다는 것은 분명하다. 리벤베르그는 부트스트랩 디자인(Bootstrap design), 클라우드플레어 호스팅, 관련 그래픽과 툴바 등에서 유사성이 나타난 온라인 디도스 서비스들이 상당수 영어로 쓰였다고 말했다.

“중국 공격자 한 명이 이런 툴 중 하나의 소스코드를 얻은 뒤 수정했다는 게 가장 합리적인 추측 같습니다.” 리벤베르그는 “중국 고객을 위해 맞춤형으로 제작한 수준을 보면 놀랍다”고도 덧붙였다. “예컨대 페이팔 로고를 알리페이 로고로 바꿨다든지, 중국어로 쓰인 서비스 조건(Terms of Service)을 자동적으로 포함시켰다든지 하는 부분들은 정말 놀랍습니다.”

연구자들은 다른 디도스 플랫폼에 공격을 가하라고 요구하는 디도스 플랫폼들도 목격했다. 여러 그룹 채팅방에서 공격자들은 경쟁 그룹을 어떻게 공격할 것인지 논의했으며 몇 군데 나타난 트래픽을 보면 실제 공격이 이뤄지기도 했던 것으로 밝혀졌다.

리벤베르그는 “온라인 디도스 플랫폼들은 고객을 두고 경쟁 관계에 있기 때문에 서로 공격하는 중인 것 같다”고 말했다. “불법 복제한 온라인 게임 서버 등 중국 암시장에서 라이벌을 제거하기 위해 디도스 공격 같은 수단을 사용하는 건 흔히 일어나는 일입니다.”

중국 내 이런 공격들이 중국 밖에서도 피해자를 발생시킬 수 있을까? 리벤베르그는 가능하다고 말한다. 다른 해커 포럼과 그룹 채팅에서 나타난 중국의 디도스 공격 흔적들을 고려했을 때도 더 일관된 흐름이기도 하다. 어느 것도 고객이 다른 나라 호스트를 공격하는 것을 막을 수는 없다.
[국제부 오다인 기자(boan2@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>