게임아이템거래사이트 DDoS 공격 툴 발견돼

KISA, DDoS 공격 명령서버 차단 등 공격 진화

한국정보보호진흥원(원장 황중연, 이하 KISA)은 최근 발생되고 있는 게임아이템 거래 사이트 DDoS 공격에 악용된 PC를 분석하여 공격 툴을 발견하고 공격 명령을 전달하는 10여 개의 해외 및 국내 서버들을 찾아 차단하는 등 공격 진화에 나섰다고 15일 밝혔다. 현재 아이템거래사이트들이 정상 서비스되기 시작했다.

DDoS 공격에 악용된 국내 PC에서 2개의 DDoS 공격툴이 발견되었으며 아이템거래사이트를 공격한 툴은 국내에 위치한 중계사이트와 해외에 위치한 명령제어 서버를 통해 원격통제 받아 DDoS 공격을 수행한 것으로 확인되었다. 나머지 DDoS 공격툴도 또 다른 국내 웹사이트를 통해 전달받은 공격대상 사이트에 대해 DDoS 공격을 수행한 것으로 확인되었다.

KISA는 분석과정에서 발견한 10여 개의 해외 명령제어 서버와 국내 중계사이트 및 공격툴 다운로드 서버 등 공격에 사용되고 있는 사이트들에 대해 접속 차단조치를 하였다고 밝혔다.

크래커가 국내 웹사이트에 대해 금품 요구 불응시, 무작위적인 DDoS 공격을 하여 서비스를 마비시키는 형태의 공격은 지난 2006년 하반기부터 시작되었으며 갈수록 공격의 빈도 및 대담성이 증가하고 있다.

DDoS 공격은 피해업체의 대응만으로는 한계가 있으므로 ISP/IDC 등 유관 업체와 KISA 등 전문기관의 신속한 정보공유와 공동대응이 필수적이다. 이번 사건의 경우도 KISA가 피해업체로부터 공격 IP 정보를 받아 해당 PC를 분석함으로써 해결의 실마리를 찾을 수 있었다. KISA 관계자는 “DDoS 공격이나 협박메일을 받을 경우 인터넷침해사고대응지원센터(www.krcert.or.kr, 전화 : 118)로 즉시 신고해 줄 것”을 당부했다.

또한 KISA 관계자는 “공격 명령제어 서버 등을 차단함으로써 아이템 거래사이트들이 정상화되어 가고 있지만 공격자는 명령제어 서버를 바꾸어 가며 재공격을 할 가능성도 있다”고 말하며, “ISP/IDC 보안담당자, 서버 관리자, PC 이용자들에게 보안을 강화해 줄 것”을 당부했다.

ISP/IDC 사업자들은 고객 PC에서 대규모로 유입되는 악성 트래픽 및 존재하지 않는 IP 주소로부터의 트래픽을 가입자단 네트워크 장비에서 차단하는 등 보안체계를 강화할 필요가 있다.

서버 관리자들은 SQL 인젝션 취약점과 같은 웹 취약점을 제거하고 공개 웹방화벽을 적용하는 등 웹보안을 강화함으로써 공격명령제어 서버 및 중계사이트로 악용되지 않도록 해야 한다.

그리고 DDoS 공격에 악용되고 있는 것은 보안에 취약한 좀비 PC들이므로 PC 보안에 각별히 신경을 쓸 필요가 있다. 일반 PC 이용자들은 PC 보안패치를 철저히 하고 최신 바이러스 백신을 이용하여 주기적으로 점검해야 한다.

KISA는 PC 보안 포털사이트인 보호나라(www.boho.or.kr)를 통해 PC 자동보안업데이트 프로그램 및 무료 바이러스 백신 보급, PC 원격점검 서비스 등을 제공하고 있다.

[길민권 기자(reporter21@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>