치료 안 된 악성코드 재활동, 웹사이트 운영 및 PC 점검 필요

2010년 7월 7일 오후 6시경부터 청와대, 외교통상부 등 일부 국가기관과 네이버, 농협, 외환은행 등의 민간 웹 사이트를 대상으로 한 소규모 DDoS 공격이 감지됐다. 지난해 7.7 DDoS 대란 당시에 공격용으로 사용되었던 일부 악성코드가 완벽하게 치료되지 않고 1년간 잠복기를 거친 후 재활동 중인 것으로 파악된다.

보안 업계에 따르면, 대부분의 좀비PC는 2009년 7.7 DDoS 대란 이후로 치료가 되었으나 아직 치료가 되지 않은 좀비PC들을 통해 올해도 작년과 동일한 형태로 동일한 시간에 공격이 이뤄지고 있다. 이번 공격의 경우 공격트래픽이 약 1Mbps정도로 지난해 10G를 상회했던 공격 트래픽과 비교하여 그 규모가 매우 적지만 2009년 7.7 DDoS 공격대상 사이트에 대한 재공격이 거의 확실시 되고 있으므로 해당 사이트의 관리자들은 서비스 운영에 만전을 기울일 필요가 있다고 당부했다.

또한 PC사용자들도 무료백신 혹은 전용백신 등을 통해 내 PC뿐만 아니라 주변 PC들의 악성코드 감염여부를 점검하는 적극적인 노력이 필요하다. 안철수연구소, 이스트소프트, 잉카인터넷 등 국내 보안업체들은 V3 제품군(무료 백신 'V3 LIte' http://www.V3Lite.com, 유료 백신 'V3 365 클리닉', V3 Internet Security 2007/7.0/8.0 등), 알약, nProtect Anti-Virus의 최신 버전을 통해 악성코드 감염여부를 점검할 수 있도록 하고 있다.

보안업체 이스트소프트(대표: 김장중)에서 분석한 2010년 7.7 DDoS 공격의 원인을 살펴보면 크게 2가지를 들 수 있다.

1) 2009년 7.7 DDoS에 사용된 좀비PC들이 재활용되었다.
이스트소프트가 KT망 관제센터와의 공조를 통해 2010년 7.7 DDoS 공격에 사용된 좀비PC를 확보하여 분석한 결과, 2009년 7.7 DDoS 공격 당시에 사용된 좀비PC가 치료되지 않은 채로 올해 7.7 DDoS 공격에 다시 활용된 것을 확인했다. 2009년 7.7 DDoS 공격당시에 보안업체와 정부기관에서 적극적으로 배포한 전용백신/무료백신등을 통해 국내에 존재하던 대다수의 좀비PC들이 치료가 되었지만, 일부 좀비PC들이 치료되지 않은 채로 살아남아 2010년 7.7 DDoS 공격을 발생시킨 것이다. 따라서 주변에 방치된 공용PC의 감염여부를 DDoS 전용백신 등을 통해 점검할 필요가 있다.

2) 7.7 DDoS 악성코드에서 시스템날짜를 무조건 2009년으로 인식하도록 만들어져 있었다.
올해 발생한 7.7 DDoS공격은 악성코드상에서 시스템의 날짜를 1분 단위로 체크하여 시스템 날짜가 2010년이든, 아니면 2011년이든 관계없이 2009년으로 인식하여 공격을 진행시킨다. 2009년 7.7 DDoS 공격을 발생시킨 악성코드상에는 정확한 연도와 날짜, 그리고 시간이 표기되어 있었기 때문에 모든 보안업체가 올해에도 동일한 공격이 이뤄질 것을 미리 예상하지 못했다. 악성코드가 교묘하게 구성되어 있어 미리 발견하지 못한 부분이지만 보안업체들로서는 반성이 필요한 부분이라고 보여진다.




저작권자 © 아이티데일리 무단전재 및 재배포 금지