사이버 “주의” 경보, P2P사이트 통해 유포된 악성코드가 공격 유발
3일 국내 40개 웹사이트가 DDoS 공격을 받은데 이어 4일 오전 10시경 29개 사이트가 다시 공격을 받았다. 또, 4일 오후 6시 30분경 40개 사이트 공격과, 5일 오전 10시 45분경 29개 사이트에 대한 공격이 예상된다. 정부에서 사이버위기 경보단계를 지난 2009년 7.7 DDoS 대란 때와 같은 "주의"경보를 발령한 것만 보더라도 그 심각성을 알 수 있다.
KISA(한국인터넷진흥원, 원장 서종렬)는 이번 공격의 특징에 대해 트래픽은 많지 않지만, 서버에 부하를 주는 공격이라고 밝혔다. 아울러 DDoS 공격에 이용된 좀비PC가 1만1천여 개로 분석했다.
이번에 DDoS 공격을 받은 국내 주요 웹사이트 40 곳은 네이버, 다음, 옥션, 한게임, 디씨인사이드, 지마켓, 청와대, 외교통상부, 국가정보원, 통일부, 국회, 국가대표포털, 방위사업청, 경찰청, 국세청, 관세청, 국방부, 합동참모본부, 육군본부, 공군본부, 해군본부, 주한미군, 국방홍보원, 미8군전투비행단, 방송통신위원회, 행정안전부, 한국인터넷진흥원, 안철수연구소, 금융위원회, 국민은행, 우리은행, 하나은행, 외환은행, 신한은행, 제일저축은행, 농협, 키움증권, 대신증권, 한국철도공사, 한국수력원자력이다.
'P2P사이트 통해 유포된 악성코드'가 공격 유발
보안 업체인 안철수연구소는 공격을 유발하는 악성코드를 ntcm63.dll, SBUpdate.exe, ntds50.dll, watcsvc.dll, soetsvc.dll, mopxsvc.dll, SBUpdate.exe 등으로 확인했다. 이 악성코드가 설치된 PC는 이른바 '좀비 PC'가 되어 일제히 특정 웹사이트를 공격하는 것이다.
안철수연구소는 "이들 악성코드는 DDoS 공격 외에도 V3 엔진 업데이트를 제공하는 인터넷 주소의 호스트 파일을 변조해 백신 업데이트를 방해한다. 또한 PC내 문서 및 소스 파일을 임의로 압축하는 증상도 있다"고 전했다.
악성코드가 유포된 경로는 국내 P2P사이트인 셰어박스와 슈퍼다운인 것으로 밝혀졌다. 공격자는 이들 사이트를 해킹해 셰어박스 업데이트 파일과 슈퍼다운 사이트에 올려진 일부 파일에 악성코드를 삽입해 유포했다. 유포 시각은 3월 3일 07시~09시로 추정된다.
안철수연구소 보안전문가들은 3월 3일 첫 신고를 받아 분석한 결과 공격 대상과 공격 시각을 파악했다. 동시에 좀비 PC를 최소화하기 위해 전용백신을 신속히 개발해 대응하고 있다. 한편, KISA는 이용자들이 p2p사용을 자제하고, 인터넷을 사용중 모르는 프로그램이나 확실하지 않은 프로그램은 다운받지 말아야 하며, 보안패치와 최신 백신을 설치해서 검사할 것을 당부했다.
정부에서도 DDoS 공격용 악성코드 출현, 웹 변조 이상 트랙픽 증가 등에 대한 집중적인 모니터링을 실시하고 있으며 유관기관, ISP, 백신업체 등과 긴밀한 공동대응체제를 구축하여 유사시의 상황에 대비하고 있다.
향후 기술적인 지원 또는 도움이 필요한 인터넷 이용자들은 한국인터넷진흥원(KISA)에서 운용하는 보호나라 홈페이지(http://www.boho.or.kr)를 방문하거나, KISA e콜센터(국번없이 118)에 전화하여 전문 상담직원의 도움을 받을 수 있다.
관련기사
김정은 기자
jekim92@itdaily.kr