7.7대란, 그 시작과 끝

2009.07.17

 

이번 DDoS 공격으로 본 우리의 보안 실태

 

본 문서는 안철수연구소 시큐리티대응센터(이하 ASEC )에서 이번 DDoS 공격에 대해 분석 및 대응 결과를 토대로 작성한 내용으로, 이번 DDoS 공격에 제한된 내용임을 미리 밝혀둔다.

 

7월 7일 하루가 저물어 갈 즈음, 안철수연구소 ASEC으로 국내 특정 정부기관을 대상으로 한 분산서비스거부(이하 DDoS, Distributed Denial of Service) 정황이 포착되기 시작하였다.

현재까지 (7/7 18:00 ~ 7/10 18:00) 총 3차에 걸친 DDoS 공격이 감행되었고, 공격에 활용되었던 DDoS 좀비 PC(감염 PC)들은 “소프트웨어적 하드디스크 손상”이라는 자기파괴증상을 끝으로 생을 마감하도록 설계되었다.

 

 

[그림1] 시간대별 DDoS 공격대상 변경 흐름

이번 DDoS공격의 특징을 꼽는다면…

 

이번 공격에 이용된 악성코드는 마이둠 변종(Mydoom.88064, Mydoom.33764, Mydoom.45056.D)과, 또 다른 악성코드를 내려 받는 다운로더(Downloader.374651), 공격 대상 웹사이트 목록을 담은 파일(BinImage/Host), 네트워크 트래픽을 유발하는 다수의 에이전트(Agent.67072.DL, Agent.65536.VE) 등이 있다.

이들 악성코드가 설치된 PC는 이른바 ‘좀비 PC’가 되어 일제히 특정 웹사이트를 공격한 것이다.

[그림2] 안철수연구소 V3 제품군에서 진단하고 있는 DDoS

악성코드들의 연관성 분석도

지금까지 분석된 악성코드의 특징은 다음과 같다.

1) 악성코드 간 협업 모델화: 최근 보안 위협은 하나의 악성코드에 모든 공격코드를 탑재하지 않는 것이 특징이다. 이번 DDoS 공격의 어미와도 같은 역할을 하고 있는 msiexec1.exe (Win-Trojan/Downloader.374651), 그로부터 파생되는 많은 악성코드들의 유기적인 연결고리를 이해하지 않고서는 악성코드에 대한 효과적인 분석 및 대응이 점차 어려워지고 있다.

2) 스케줄링 기능 탑재: 악성코드 wmiconf.dll (Win-Trojan/Agent.67072.DL)이 공격대상, 공격시간대 등의 정보를 담고 있는 uregvs.nls(BinImage/Host)를 참조하여 DDoS 공격을 수행하도록 설계되어 있다. (자세한 내용은 ‘[그림] 시간대별 DDoS 공격대상 변경 흐름’을 참고)

3) 멀티 도메인에 대한 공격 방식: 과거 다수 좀비PC들이 하나의 특정 웹사이트를 공격하는 방식이 일반적이었으나, 이번 DDoS 공격은 하나의 PC에서도 수십 개의 웹 사이트를 공격하는 공격 방식이 이용되었다.

4) 소프트웨어적 하드디스크 손상 기능: 악성코드 wversion.exe(2nd)(Win-Trojan/Destroyer.37264)는 하드디스크의 물리적인 첫 시작 위치에 ‘Memory of the Independence Day’라는 문구를 이용해 치명적인 피해를 입힌다. 시스템의 MBR(Master Boot Recorder) 및 파티션 정보가 손상되어 정상적인 부팅이 되지 않는 증상을 유발한다. 추후 포렌식관점에서 좀비PC를 분석할 수 없도록 만들기 위한 조치라고도 볼 수 있다.

5) 중요 문서 및 파일들에 대한 손상 기능: 악성코드 wversion.exe(2nd) (Win-Trojan/Destroyer.37264)는 고정 드라이브에서 .doc, .docx, .wpd, .wpx, .wri, .xls, .xlsx, .mdb, .ppt, .pptx, .pdf, .accdb, .db 등의 확장자 파일을 찾아 손상시킨다.

내 PC가 감염여부 확인하는 방법은...

 

현재까지 나온 보안솔루션 중에, 가장 신속한 대응 수준을 유지하고 있는 것이 안철수연구소의 백신 제품이므로, 가장 최신의 V3로 점검하여 좀비PC로 활동여부를 점검하는 방안을 제안할 수 있다.

좀비PC로 활동하고 있다면, 일반적으로 상당량의 네트워크 트래픽을 발생하게 되어, PC가 느려지거나 인터넷 연결이 원활하게 이루어지지 않는 증상을 보이게 되므로, 예전과 달리 PC 사용에 어려움이 많다면 즉시 감염 여부를 의심하고 치료조치를 수행할 필요가 있다. 개인적인 조치가 어려울 경우, 우선 네트워크 선 분리 후 주변의 도움을 요청하는 방법도 있다.

또한, 좀비PC인 경우에도, 공격 비활성화 상태에서는 증상이 나타나지 않아 확인이 어렵게 때문에, 이 글을 보는 즉시, 좀비PC를 치료할 수 있는 백신을 최신으로 업데이트하여 치료해보는 것이 좋다.

[표1] 안철수연구소 V3 제품군에서 진단하고 있는 DDoS 악성코드들

 

이번 DDoS 공격의 끝은 어디인가

 

DDoS 공격에 참여한 모든 악성코드가 사라지는 그 날이 될 것이다. 따라서, 이번 DDoS 공격을 마무리 지을 수 있는 유일한 주체는 인터넷 상의 모든 PC 사용자임을 우리 스스로가 인식하고 행동해야 할 것이다.

1) 사용자 PC에 백신이 깔려있다면 최소한 좀비PC가 되는 것을 막을 수 있다.

2) 그리고 개인들이 지켜야 하는 보안 수칙을 실천하는 것이 중요하다.

- 백신을 설치했다면 실시간 감시와 엔진 자동 업데이트를 실행해야 한다.

- 또한 대부분의 악성코드는 윈도우 취약점을 악용하기 때문에 MS에서 정기적으로 발표하는 윈도우 패치를 반드시 업데이트해야 한다.

- 이밖에 신뢰할 수 없는 인터넷 사이트에서 액티브X를 설치하거나 파일을 다운로드 하는 것을 주의해야 하도록 한다.

우리나라 보안 수준은?

 

2008년 3월 코리안클릭이 조사한 결과에 따르면 국내 인터넷 사용자 중 백신을 설치하지 않은 사용자는 조사 대상자의 44.2%로 집계됐다. 또한 무료 백신 사용자는 36,6%, 불법 백신을 사용하는 사용자는 13.4%인 것으로 조사됐다.

정식 유료 백신을 사용하는 경우는 5.7%에 불과한 것으로 나타났다. 실제로 미국은 물론 일본만 해도 연간 백신시장 규모가 우리나라의 20배가 넘는 1조원에 이른다.

하지만 우리나라의 경우에는 1년에 3만~4만원의 개인용 백신프로그램 설치조차 비싸다고 외면하는 것이 현실이다. 더욱이 V3Lite와 같은 무료 백신이 있는데도 불구하고 설치하지 않고 있는 것이 더욱 안타깝다.


안철수연구소와 함께 안전한 세상 만들기

 

이번 일로 보안 경각심이 높아지는 것은 바람직한 일이다. 개인 PC에 보안시스템을 설치하지 않는 것이 이제 개인의 피해로 그치지 않는다는 것을 인식해야 한다.

자신의 부주의로 인해 PC 악성코드에 감염돼 자국의 주요 기관이나 또는 다른 국가의 주요 기관을 공격하는 사이버전쟁에 무기로 사용될 수 있다는 것을 알아야 한다. 막연한 공포나 의심은 경계하되, 정부나 믿을 수 있는 기관에서 발표하는 행동 수칙을 잘 지키는 데에서부터 모든 보안은 시작된다.

안철수연구소에서는 무료백신인 V3Lite와 유료백신 V3 365 클리닉 그리고 전용백신을 통해 사전 예방 및 치료 활동에 적극적으로 동참하길 권고한다.

백신만으로는 모든 악성코드에 대해 효과적으로 대응하기에는 어느 정도 한계가 있는 것도 사실이다. 따라서, 개인 사용자에게 기본적인 보안을 제공하기 위해 클라우드 보안서비스 개념으로 개발한 위험 사이트 사전 차단 서비스인 ‘사이트가드(AhnLab SiteGuard)’를 지난해 개발해 무료 제공하고 있다.

개인들은 악성코드로부터 PC는 V3 365 클리닉과 V3 Lite로, 인터넷 웹사이트 위험으로부터는 ‘사이트가드’가 안전을 지켜주어 2중 차단 시스템을 완비하게 된다.

또한,  클라우드 컴퓨팅 개념을 도입한 AhnLab Smart Defense 기술을 적용해 DDoS 공격에 이용되는 악성코드는 물론 알려지지 않은 악성코드에도 대처할 수 있도록 대응하고 있다.
--------------------------------------------------------
용어설명: 안철수연구소 ASEC(시큐리티대응센터, AhnLab Security Emergency response Center)은 최고의 악성코드 분석가 및 보안 전문가로 구성된 글로벌 대응조직으로 빠르고 정확한 정보와 엔진을 제공하고 있다. ASEC에서 제공하는 빠른 보안위협 정보를 ASEC 블로그(http://blog.ahnlab.com/asec)를 통해 확인할 수 있다.

 

칼럼니스트                김지훈 | 안철수연구소 시큐리티 분석가

 

안철수연구소의 시큐리티대응센터에서 취약점, 악성코드 및 네트워크 위협 분석을 담당하고 있다. 안철수연구소의 “안랩 칼럼니스트”뿐만 아니라, 다수의 보안 강연 및 컬럼니스트로 활동하고 있다. 일반인들이 쉽게 이해할 수 있도록 보안지식을 전파하는 "전문 보안교육전문가"가 되는 것이 그의 소박한 꿈이라고 한다.

 

위 글은 안랩닷컴  

  페이지에서도 제공되고 있습니다.

보안에 대한 더 많은 정보 안랩닷컴에서 찾으세요 :D