본문 바로가기
AhnLab 보안in

안철수연구소에서 전하는 디도스 총정리편

by 보안세상 2020. 4. 10.

2011.03.05

 

안철수연구소에서 전하는 디도스 총정리편,
디도스, 이게 최선입니까, 확실해요?’

 

안녕하세요, 디도스 공격으로부터 국민들의 PC를 안전하게 보호하기 위하여 24시간 365일 사이버 세상을 지키고 있는 안철수연구소에서 알려드립니다.

 

이번 디도스 사태에 대해 궁금해 하시는 분들 많으시죠? 지난번에도 온 언론매체가 디도스, 디도스로 도배가 되어서 모 기업 냉장고만 봐도 헉! 이게 디도슨가 하시는 분이 계셨다고 할 정도니까요.

 

디도스가 뭐길래 온 나라가 이렇게 떠들석한건지, 나의 PC에는 어떤 영향을 끼치는 것인지, 이런 피해를 막기 위해서는 어떻게 해야 할지, 현재 디도스는 어떻게 진행이 되고 있으며, 피해에 어떻게 대처해야 할지를 옆에서 친구와 대화하듯이 안랩인이 하나하나 친절하게 알려드리겠습니다.

 

1. 디도스, 너의 정체를 밝혀라!

여러분이 흔히 듣는 DDoS, , 디도스는 분산서비스거부(Distribute Denial of Service)의 약자입니다. 보기만 해도 머리가 어지러운 용어죠. 자세히 풀어드리자면 분산서비스공격이란 해킹 방식의 하나로 여러 대의 공격자를 말그대로 분산 배치하여 동시에 '서비스 거부하게 만드는 공격을 함으로써 서버가 정상적인 서비스를 제공하지 못하게 만드는 것을 말합니다.

 2. 폭탄테러만 테러냐, 디도스도 테러다!

영화에 나오는 테러리스트들이 권총, 폭탄 등을 가지고 있다면 해커들의 무기는 바로 컴퓨터입니다. 해커들은 여러 대의 장비를 이용해서 엄청난 분량의 데이터를 자신이 원하는 특정 서버에만 집중적으로 전송함으로써 특정 홈페이지를 무력화시킵니다. 이런 집중 공격을 당한 홈페이지가 자신의 처리 용량을 넘어서게 되면 접속이 느려지고 결국 사이트 접속이 아예 안되기도 합니다.

그래서 어제 40개 공격대상에 포함되었던 네이버, 다음 같은 포털사이트를 이용하시는 분들은 갑자기 화면이 정지하거나 안뜨는 경험들을 하셨던 거구요. 해커는 악성코드에 감염된 PC 수백, 수천대를 원격 조종하여 대량의 접속신호를 보내는 사이버 테러를 하고 있던 거죠.

 3. 대체 디도스 공격, 왜! 하는 걸까요?

디도스 공격은 몰래 싸이트에 침입하여 비밀 자료를 유출하거나 삭제하는 등의 목적이 아닌, ‘단순히 서버를 마비시키는 것입니다. 그럼 대체 이런걸 왜 하는 걸까요? . 여러분이 대형 포털사이트나 유명한 쇼핑몰의 주인이라고 생각해보세요. 일분 일초에 몇 백, 몇 천 만원이 왔다갔다하는 상황에서 지속적인 서비스 운영이 필수인 포털, 쇼핑몰, 관공서 웹사이트 등은 치명적인 피해를 입을 수 있겠죠. 그리고 한 나라의 주요 사이트를 대거 마비시키면 그 나라의 국민들은 얼마나 많은 피해를 입겠어요. 악의적인 해커들은 그걸 노린거죠.

* 이제부터 글에 나오는 해커는 모두 악의를 가지고 해킹을 하는 악의적인 해커, , 블랙해커(Black Hacker)’임을 말씀드립니다. 해커 중에는 순수하게 공부와 학업을 목적으로 해킹을 하는, 정보보안 전문가, ‘화이트 해커(White Hacker)’도 있거든요. 개인적인 목적을 노려 악의적으로 해킹하는 블랙해커와 다르게 서버의 취약점을 연구해 해킹방어전략을 구상하는 착한 해커라고나 할까요.

 4. 좀비 PC? 제 컴퓨터는 멀쩡한데요?

아니 좀비PC가 대체 뭐야..영화에서 나오는 침흘리고 피흘리는 좀비? 내 컴퓨터는 멀쩡한데.. 이런 생각하시는 분들, 계시죠?

보통 디도스 공격을 할 때는 서버가 마비될 정도로 수많은 PC가 필요합니다. 그럼 아까 원격조종을 한다고 했는데 그 수만큼 해커들이 많아야 될까요? 정답은 아닙니다’. 많은 PC를 공격자가 일일이 조종하는 게 아니라 자동화 프로그램을 통해 한 번에 여러 PC에 명령을 내려야 합니다. 이를 위해 해커들은 사전에 몰래 다른 사람들의 PC에 악성코드를 설치해 원격에서 제어가 가능하게 만들어 놓습니다.

이 악성코드에 감염된 PC는 소유자의 의사와 상관 없이 공격자들의 명령에 따라 좀비처럼 움직인다고 해서 좀비 PC’라고 불려지는 것입니다. 좀비 PC가 되면 CPU 사용율이 일정 부분 높아지기는 하지만 직접 사용자가 느끼기는 힘듭니다. 공격자들이 좀비 PC가 크게 느려지지 않는 한도 내에서 공격 범위를 설정하기 때문입니다.

눈치가 빠른 사용자들이 어라, 이상한데..’라는 낌새를 채고 PC를 포맷해버리거나 안철수연구소의 백신 같은 초강력 백신(^^) 등으로 치료를 해버린다면 다시 정상 PC로 돌아오기 때문에 사용자가 눈치를 못채는 범위내에서 강도를 조절하지요.

5. 내 PC를 좀비로 만든 악성코드, 어떻게 우리집에 무단침투 한거지?

악성코드는 다양한 경로를 통해 유입될 수 있습니다. 이메일의 하이퍼링크나 첨부파일을 통해서도 들어올 수도 있고, 액티브X를 설치할 때 들어오기도 합니다. 이번 디도스 같이 특정 프로그램을 다운받거나 설치할 때 자신도 모르게 함께 설치되는 경우도 있습니다.

내가 부를때까지 조용히 있어!’
주인 몰래 유입된 악성코드는 PC에 잠복해 있다가 해커가 활동 명령을 내리거나 특정 날짜가 되면 좀비 PC로 변신을 하여 공격을 하는 것이지요.

 6. 뭐 웹사이트가 마비되도 내 PC엔 피해가 없는데, 백신 왜 설치해요? 귀찮게시리..

노노노. 안될 말씀이죠. 좀비 PC가 된다고 해도 개인 사용자의 입장에서는 큰 피해가 없어 보이지만, 이번에 밝혀졌듯이 하드디스크를 손상시키거나(그 동안 저장되었던 모든 정보가 한 순간에 바이바이..), PC 안의 정보를 빼낼 수도 있고(남이 보면 안되는 중요자료; 중고등학교 증명사진 등..), 희박한 확률이지만 도청이나 도촬까지 가능하다고 합니다. 가수 채연씨 PC의 내용이 그대로 다른 PC에서 재현되는 걸 ‘KBS 2TV 스펀지 제로, 얼굴없는 공격자편에서 방영한 적도 있엇죠.

방송이 끝난 후, 네티즌 사이에서는 컴퓨터 화면 왼쪽하단에 시작버튼을 클릭한 후, 실행을 선택, 'cmd'를 적은 뒤 'NETSTAT'를 입력하고 엔터를 치면 생성되는 IP주소 중 숫자 '8080'이 등장하면 좀비PC라는 간단한 확인법이 화재가 되기도 했었죠.

그러므로 다시 한번 강조드리지만, 백신 프로그램 등으로 검색하여 즉시 악성코드를 내 소중한 PC에서 쫓아내야 합니다!!

 7. 이번 디도스 사태에 대해 좀 알려주세요.

3 4(어제죠) 오전 10, 29개 웹사이트를 대상으로 디도스 공격이 이뤄졌습니다. 이미 오후 6 30분에 40개 웹사이트를 대상으로 한 2차 공격이 예약되어 있었구요.

1.     10시 공격대상 29개 웹사이트
네이버, 다음, 한게임, 디씨인사이드, 지마켓, 청와대, 외교통상부, 통일부, 국회, 국가대표포털, 방위사업청, 경찰청, 국세청, 국방부, 합동참모본부, 육군본부, 공군본부, 해군본부, 주한미군, 행정안전부, 한국인터넷진흥원, 안철수연구소, 금융위원회, 국민은행, 외환은행, 신한은행, 농협, 키움증권, 대신증권

2.     18 30분 공격대상 40개 웹사이트
네이버, 다음, 옥션, 한게임, 디씨인사이드, 지마켓, 청와대, 외교통상부, 국가정보원, 통일부, 국회, 국가대표포털, 방위사업청, 경찰청, 국세청, 관세청, 국방부, 합동참모본부, 육군본부, 공군본부, 해군본부, 주한미군, 국방홍보원, 8군전투비행단, 방송통신위원회, 행정안전부, 한국인터넷진흥원, 안철수연구소, 금융위원회, 국민은행, 우리은행, 하나은행, 외환은행, 신한은행, 제일저축은행, 농협, 키움증권, 대신증권, 한국철도공사, 한국수력원자력㈜

하지만 몇 개 일부 사이트에서 잠깐 동안의 화면 멈춤과 사이트다운 등의 피해가 있었을 뿐 모두 큰 피해가 없는 것으로 마무리가 되었습니다.

하지만, 개인사용자의 경우, 안철수연구소와 국정원, 방통위, KISA 공동으로 분석한 결과 디도스 공격을 유발하는 악성코드는 특정 조건 하에서 하드 디스크와 파일을 손상시킨다고 밝혔습니다. 

1.     악성코드에서 생성되는 noise03.dat 파일의 시각과 PC 시스템의 시각을 비교해 noise03.dat 파일의 시각보다 PC 시스템의 시각이 과거인 경우
2.     noise03.dat 파일이 생성됐다 삭제된 경우와, noise03.dat 파일에 설정된 감염 날짜+특정일(4일 혹은 7)이 지났을 경우
3.     noise03.dat 파일의 날짜가 3 4일이고 PC 날짜가 3 8, 3 11일 이후일 경우
(특정일은 공격자에 의해 0에서 10까지 변경 가능하므로, noise03.dat 파일의 날짜가 3 4일이고 PC 날짜가 3 14일 이후인 경우도 해당됩니다.)

 <3 4일 오전 10시 디도스 공격 유발 악성코드 파일명과 V3제품군의 진단명>

 

setup_filecity.exe : Win-Trojan/Ddosagent.20480

mdomsvc.dll : Win-Trojan/Ddosagent.71008

ntgg55.dll : Win-Trojan/Ddosagent.126976

rtdrvupr.exe : Win-Trojan/Ddosagent.16384

ssaxsvc.dll : Win-Trojan/Ddosagent.46416

wricsvc.dll : Win-Trojan/Ddosagent.42320

mdomsvc.dll : Win-Trojan/Ddosagent.71008

ntgg55.dll : Win-Trojan/Ddosagent.126976

rtdrvupr.exe : Win-Trojan/Ddosagent.16384

ssaxsvc.dll : Win-Trojan/Ddosagent.46416

wricsvc.dll : Win-Trojan/Ddosagent.42320

 

<3 4일 오전 6 30분 디도스 공격 유발 악성코드 파일명과 V3제품군의 진단명>

 

ntcm63.dll : Win-Trojan/Agent.131072.WL

SBUpdate.exe : Win-Trojan/Agent.11776.VJ

ntds50.dll : Win-Trojan/Agent.118784.AAU

watcsvc.dll : Win-Trojan/Agent.40960.BOH

soetsvc.dll : Win-Trojan/Agent.46432.D

mopxsvc.dll : Win-Trojan/Agent.71008

SBUpdate.exe : Win-Trojan/Npkon.10240

 

이번 디도스의 경우 정확히 누구의 소행인지는 경찰의 수사결과가 나와봐야 알 수 있습니다. 경찰은 악성 코드가 유포된 것으로 추정되는 인터넷 업체 두 곳을 시작으로 악성코드 샘플을 확보하여 디도스 공격의 출발점을 역추적하고 있습니다.

2009년보다 7.7디도스보다 많은 수가 공격대상이었음에도 불구하고 빠르게 상황 진압이 되었던 이유는 안철수연구소와 국정원, 방통위, KISA 등이 사전에 긴밀하게 협조하며 정보를 공유하여 피해를 최소화 시킬 수 있었기 때문입니다.

현재 안철수연구소에서는 ASEC(시큐리티대응센터) CERT(컴퓨터침해사고대응센터)를 비롯해 전사 비상 대응 체제를 지속 가동하고 국가기관과 합동으로 적극적인 대응을 수행하고 있답니다. ^^

8. 안랩인이 드리는 당부말씀

 PC는 아니겠지’, ‘난 저번에 백신설치 했으니까 하며 절대 방심하시면 안됩니다. 백신을 한번 설치했다고 그게 영원하면 좋겠지만 사실 그렇지 않거든요. 이 악성바이러스는 끊임없이 다른 모습으로 변종되어 우리를 괴롭힙니다. 거머리처럼 달라붙어 한번 물면 절대 놓지 않지요. 그러니 바이러스가 소탕될때까지 (= PC가 없어지는 날까지,  PC를 사용하는 한은 내내) 수시로 백신 업데이트와 바이러스 검사를 해주셔야 합니다.
<안철수연구소에서 제공하고 있는 다운가능 백신입니다.

*디도스용 긴급 전용백신 다운 주소
 (3월 5일 토요일, 10시 현재까지 70만번 다운로드)

http://www.ahnlab.com/kr/site/download/vacc/downFile.do?file_name=v3removaltool.exe

*개인용 백신

- 무료백신 ‘V3 LIte  http://www.V3Lite.com
- V3 365 클리닉  http://v3clinic.ahnlab.com/v365/nbMain.ahn
- V3 Internet Security 8.0

*서버용 백신:
- 네트워크 보안 장비 트러스가드 DPX, 트러스가드 제품군
 KISA에서 제공하고 있는 감염 여부 확인 및 치료가 가능한 웹사이트입니다.

*보호나라 www.boho.or.kr 를 방문하여 악성봇 감염 확인 클릭

대한민국의 악성 바이러스, 안철수연구소가 소탕하겠습니다.

우리 모두 틈날때마다 백신 클릭 클릭! 아셨죠? <Ahn>