hi.pe.kr 날으는물고기·´″°³о♡

- 4일 오후 6시 30분 공격 예상..2009년보다 17개 많은 주요 기관 공격 대상

- ASEC, CERT 비롯 전사 비상 대응 체제 가동

- 긴급 전용백신 개발 무료 배포..기존 V3 사용자는 최신 버전으로 치료

- 기업/기관은 DDoS 방어 통합보안 시스템, 보안관제 서비스 등 필요

글로벌 통합보안 기업인 안철수연구소(대표 김홍선 www.ahnlab.com)는 디도스(DDoS; Distributed Denial of Service, 분산 서비스 거부) 공격이 국내 40개 웹사이트를 대상으로 3월 4일 오늘 10시부터 발생하고 있으며, 같은 날 오후 6시 30분부터 재차 발생할 것이라고 예측했다.

이에 따라 안철수연구소는 ASEC(시큐리티대응센터)과 CERT(컴퓨터침해사고대응센터)를 비롯해 전사 비상 대응 체제를 가동하는 한편 DDoS공격을 유발하는 악성코드의 전용백신을 개발해 무료 제공한다.

이번 공격은 지난 2009년 7월 7일부터 9일까지 국내 17개 웹사이트를 겨냥한 7.7 디도스 대란 때와 유사하다. 공격 대상은 40개로 네이버, 다음, 옥션, 한게임, 디씨인사이드, 지마켓, 청와대, 외교통상부, 국가정보원, 통일부, 국회, 국가대표포털, 방위산업청, 경찰청, 국세청, 관세청, 국방부, 합동참모본부, 육군본부, 공군본부, 해군본부, 주한미군, 국방홍보원, 제8전투비행단, 방송통신위원회, 행정안전부, 한국인터넷진흥원, 안철수연구소, 금융위원회, 국민은행, 우리은행, 하나은행, 외환은행, 신한은행, 제일은행, 농협, 키움증권, 대신증권, 한국철도공사, 한국수력원자력㈜이다.

디도스 공격을 유발하는 악성코드는 ntcm63.dll, SBUpdate.exe, ntds50.dll, watcsvc.dll, soetsvc.dll, mopxsvc.dll, SBUpdate.exe 등이다. 이들 악성코드가 설치된 PC는 이른바 ‘좀비 PC’가 되어 일제히 특정 웹사이트를 공격한다. 안철수연구소 보안전문가들은 3월 3일 첫 신고를 받아 분석한 결과 공격 대상과 공격 시각을 파악했다. 동시에 좀비 PC를 최소화하기 위해 전용백신을 신속히 개발했다.

안철수연구소는 이들 악성코드를 진단/치료할 수 있는 긴급 전용백신(http://www.ahnlab.com/kr/site/download/vacc/downFile.do?file_name=v3removaltool.exe)을 개발해 개인은 물론 기업/기관에도 무료 제공 중이다. 개인용 무료백신 ‘V3 LIte’(http://www.V3Lite.com)를 비롯해 ‘V3 365 클리닉’(http://v3clinic.ahnlab.com/v365/nbMain.ahn), V3 Internet Security 8.0 등 모든 제품군 사용자는 사용 중인 제품의 최신 버전으로 진단/치료할 수 있다.

한편, 이들 악성코드는 디도스 공격 외에 V3 엔진 업데이트를 제공하는 인터넷 주소의 호스트 파일을 변조해 업데이트를 방해한다. 또한 PC내 문서 및 소스 파일을 임의로 압축하는 증상도 있다.

악성코드가 유포된 경로는 국내 P2P사이트인 셰어박스와 슈퍼다운인 것으로 밝혀졌다. 공격자는 이들 사이트를 해킹해 셰어박스 업데이트 파일과 슈퍼다운 사이트에 올려진 일부 파일에 악성코드를 삽입해 유포했다. 유포 시각은 3월 3일 07시~09시로 추정된다.

안철수연구소 김홍선 대표는 “PC가 디도스 공격에 악용되지 않게 하려면 평소 보안 수칙을 실천하는 것이 중요하다. 운영체계의 보안 패치를 최신으로 유지하고, 백신 프로그램을 설치해 항상 최신 버전으로 유지하고 실시간 검사 기능을 켜두어야 한다. 또한 이메일, 메신저의 첨부 파일이나 링크 URL을 함부로 열지 말고, P2P 사이트에서 파일을 내려받을 때 백신으로 검사하는 습관이 필요하다. 또한 웹사이트를 운영하는 기업/기관에서는 디도스 차단 기능이 있는 네트워크 보안 솔루션이나 보안관제 서비스를 이용해 피해를 최소화하는 것이 중요하다.”라고 강조했다.

-------<보충 자료>------

<좀비 PC 예방 대책 10계명>

1. 윈도우 운영체제, 인터넷 익스플로러, 오피스 제품의 최신 보안 패치를 모두 적용한다. 

2. 통합보안 소프트웨어를 하나 정도는 설치해둔다. 설치 후 항상 최신 버전의 엔진으로 유지되도록 부팅 후 자동 업데이트되게 하고, 시스템 감시 기능이 항상 작동하도록 설정한다. 대표적인 보안 소프트웨어로는 무료백신 V3 Lite(www.V3Lite.com), 방화벽과 백신이 통합된 유료 보안 서비스 ‘V3 365 클리닉’(http://V3Clinic.ahnlab.com) 등이 있다.

3. 보안에 취약한 웹사이트 접속 시 악성코드에 감염되지 않도록 예방해주는 ‘사이트가드’(www.SiteGuard.co.kr)를 설치해 사용한다.

4. 이메일 확인 시 발신인이 모르는 사람이거나 불분명한 경우 유의한다. 특히 제목이나 첨부 파일명이 선정적이거나 관심을 유발한 만한 내용인 경우 함부로 첨부 파일을 실행하거나 링크 주소를 클릭하지 않는다. 최근 페이스북, 트위터 등 SNS(소셜 네트워크 서비스)를 사칭한 이메일이 많으니 특히 유의한다.

5. 페이스북, 트위터 등 SNS(소셜 네트워크 서비스)를 이용할 때 잘 모르는 사람의 SNS 페이지에서 함부로 단축 URL을 클릭하지 않는다.

6. SNS나 온라인 게임, 이메일의 비밀번호를 영문/숫자/특수문자 조합으로 8자리 이상으로 설정하고 최소 3개월 주기로 변경한다. 또한 로그인 ID와 비밀번호를 동일하게 설정하지 않는다.

7. 웹 서핑 시 특정 프로그램을 설치하라는 창이 뜰 때는 신뢰할 수 있는 기관의 서명이 있는 경우에만 '예'를 클릭한다. 잘 모르는 프로그램을 설치하겠다는 경고가 나오면 ‘예’ ‘아니오’ 중 어느 것도 선택하지 말고 창을 닫는다.

8. 메신저로 URL이나 파일이 첨부되어 올 경우 함부로 클릭하거나 실행하지 않는다. 메시지를 보낸 이가 직접 보낸 것이 맞는지를 먼저 확인해본다.

9. P2P 프로그램 사용 시 파일을 다운로드할 때는 반드시 보안 제품으로 검사한 후 사용한다.

10. 정품 소프트웨어를 사용한다. 인터넷에서 불법 소프트웨어를 다운로드하는 경우 악성코드가 함께 설치될 가능성이 높다.

<디도스 공격 유발 악성코드 파일명과 V3제품군의 진단명>

ntcm63.dll : Win-Trojan/Agent.131072.WL

SBUpdate.exe : Win-Trojan/Agent.11776.VJ

ntds50.dll : Win-Trojan/Agent.118784.AAU

watcsvc.dll : Win-Trojan/Agent.40960.BOH

soetsvc.dll : Win-Trojan/Agent.46432.D

mopxsvc.dll : Win-Trojan/Agent.71008

SBUpdate.exe : Win-Trojan/Npkon.10240

출처 : 안철수연구소

지난 7월에 발생한 DDoS 77대란 이후 Cisco 에서 진행한 웹세미나에서 제공된 자료입니다.

7.7 DDoS Summary
- 시간대별 요약
- 1차 미국 사이트 공격 분석 요약
- 2차 한국/미국 사이트 공격 분석 요약
- 7월 7일 국내/외 2차 공격지 요약
- 3차 한국/미국 사이트 공격 분석 요약
- 4차 한국사이트 공격 분석 요약
- Zombie IP 분석
- Zombie Traffic 분석
- Zombie 분석
  HTTP GET
    일반적인 HTTP GET Flooding.
    HTTP CC 공격 - 일반적인 CC Attack 유형이 포함되어 있음.
  HTTP - TCP 80 으로 Connection Flooding.
  UDP 80 Flooding
  ICMP Flooding
- Zombie 분석에 따른 공격 트래픽 추정

7.7 DDoS 공격 특징
- 대규모 Zombie와 소규모 공격
- C&C Server가 없는 최초의 DDoS
- 정교한 TCP 공격 방식1 - HTTP
- 정교한 TCP 공격 방식2 - HTTP CC Attack

7.7 DDoS 공격 방어 솔루션
- Overview
- Router/Switch
- Cisco Guard/Detector
  UDP/ICMP/Fragment Drop 설정
  TCP Connection 정책 설정
  HTTP Syn 정책 설정
  HTTP Request 정책 설정
  HTTP Zombie 정책 설정
  Flex Filter 설정
  7.7 DDoS 공격방어 실제사례

왜 Cisco Guard & Detector 입니까?
1. HTTP에 가장 정교하게 방어할 수 있는 솔루션
2. 가장 많은 경험과 노하우... 그리고 지원체계
3. Out Of Path 기반의 탁월한 DDoS 방어 디자인
4. 대용량 설계기반을 통한 높은 성능
5. 검증된 솔루션 - 국내 70여개의 대형 레퍼런스

July_DDoS_Webseminar.pdf

이번 DDos 공격 특징은 ?

7일 저녁 청와대와 국회 등 주요 정부기관사이트와 일부 포털 등 국내 11개 사이트를 공격해 접속장애를 일으킨 분산서비스거부(DDoS) 공격에 관심이 모아지고 있다.

DDoS는 엄청난 양의 데이터를 특정 서버에 한꺼번에 보내 부하가 걸리도록 해 서비스를 못하게 하는 일종의 해킹 방식이다.

정보시스템의 데이터나 자원을 정당한 사용자가 적절한 대기 시간 내에 사용하는 것을 방해하는 행위로 주로 시스템에 과도한 부하를 일으켜 정보 시스템의 사용을 방해한다.

DDoS는 표적이 된 사이트에 계속 접속할 수 있는 바이러스성 프로그램을 유포시켜 이 프로그램에 감염된 PC, 이른바 좀비PC는 표적 사이트에 반복적으로 접속하게 된다.이번 DDoS 공격은 25개 사이트를 공격하도록 설계된 악성코드가 각 개인의 PC에심어진 뒤 공격이 시작된 것으로 파악됐다. 공격 리스트가 처음부터 설정됐던 것이다.

25개 사이트중 국내 것은 청와대, 국회, 국방부, 한나라당, 조선일보, 외교통상부, 옥션, 농협, 신한은행, 외환은행, 네이버 등 11개이고 그외 나머지는 백악관 등해외 사이트이다.

중간 명령제어 서버가 좀비PC에 특정 사이트에 대한 공격 명령을 내린 뒤 이뤄지는 일반적인 DDoS 공격 방식과는 다르다.

한국정보보호진흥원(KISA) 관계자는 "애초 특정 사이트에 대한 공격 명령이 악성코드에 심어진 경우는 이번이 처음"이라고 말했다.

정부 주요 기관의 경우 DDoS 공격에 대한 방어 장비를 갖추고 있지만, 이번 공격에서는 효율적으로 대처하지 못한 것으로 보인다.

한 보안 전문가는 "방어장비가 있더라도 공격을 쉽사리 막기는 어렵다"면서 "장비도 중요하지만 운영자가 효율적으로 공격을 분산시켜 방어하는 것도 필요하다"고 말했다.

DDoS 공격으로 인터넷 서비스에 장애가 발생하면 이를 복구하는 것도 쉽지 않다. 각 PC에 심어진 악성코드가 치료되기 전까지는 공격이 계속될 수 있기 때문이다.

특히 이번 공격의 경우 좀비PC가 1만대 정도로 추정되는데, 각 개인이 PC를 치료하기 전까지는 통신사업자가 IP가 파악된 좀비PC의 인터넷접속을 차단하는 방법밖에는 공격을 원천적으로 제거할 수 없다.

한편 DDoS는 2000년 2월 아마존, 이베이, 야후 등 전자상거래 관련 사이트들이 DDoS(Distributed Denial of Service)의 공격을 받아 운영할 수 없는 사건이 발생하면서 일반인들에게 알려지기 시작했다.

2001년 7월에는 윈도2000과 윈도NT 서버를 경유해 미국 백악관의 사이트를 분산서비스거부(DDoS) 공격 방법으로 마비시키는 웜바이러스 `코드레드'의 변종인 `코드레드Ⅱ가 등장해 전 세계를 긴장시키기도 했다.

코드레드 바이러스는 발견된 지 보름 만에 전 세계적으로 30만대의 시스템을 감염시켰으며 원형과 변종 코드레드의 피해를 본 국내 시스템도 최소 3만여대에 이르렀다.

2003년 1월에는 DDoS가 KT 전화국 DNS 서버를 공격해 공격 2시간 만에 일부 전화국 서버 접속 성공률을 10%로 하락시킨 뒤 하나로통신, 두루넷 등 다른 인터넷 서비스 공급자(ISP)들과 SK텔레콤, KTF, LG텔레콤 등 무선인터넷 사업자들의 망에도 트래픽 증가를 유발시켜 사실상 인터넷 대란이 발생했었다.

2007년 2월에는 전 세계 13개 루트 DNS서버가 해커들의 DDoS 공격을 받았는데 국내 PC가 주요 공격 경유지로 파악돼 눈길을 끌기도 했다.

불붙는 글로벌 사이버 전쟁

한국과 미국의 주요 기관 홈페이지가 7일 저녁 해커들로부터 동시에 공격을 받아 한동안 다운되거나 접속장애 사태가 벌어짐에 따라 글로벌 사이버 전쟁에 대한 관심이 높아지고 있다.

8일 방송통신위와 인터넷업계 등에 따르면 제2차 세계대전 이후 현실세계에서 대규모 물리적 충돌이 발생하지 않은 지 60년이 넘었지만, 눈에 보이지 않는 사이버세계에서는 `사이버 세작(細作.스파이)'들과 이를 막으려는 주요국 정부가 발달된 정보기술(IT)을 무기로 치열한 전쟁을 벌이고 있다.

이때문에 전 세계 어디에서든 해킹이란 사이버 공격에 안전지대는 더 이상 없다는 것이 중론이다. 최첨단 보안시스템의 대명사인 미 펜타곤은 이미 '해커들의 놀이터'가 됐다는 평이 나올 정도다. 워싱턴포스트(WP)에 따르면 2008년 미 정부 컴퓨터망에 대한 해킹 등 사이버 공격은 5천488건으로 2007년에 비해 40%나 증가했다.

요즘은 개별 해커가 아니라 세계 패권을 놓고 미국과 경쟁 중인 중국이 해킹의 배후로 등장하는 일도 잦아졌다.
파이낸셜타임스(FT) 등에 따르면 지난해 대선을 앞두고 버락 오바마와 존 매케인 선거캠프의 컴퓨터가 유세 기간에 중국인으로 추정되는 해커들에 의해 뚫렸다. 최근에는 백악관 이메일 시스템도 해킹을 당했는데 배후로 중국이 의심되고 있다.

그러나 중국 역시 해킹 안전지대는 아니다. 홍콩의 사우스차이나 모닝포스트는 최근 "대만 출신으로 추정되는 해커들이 원자바오 중국 총리가 작성한 '2009년도 정부 업무 보고서' 초안을 복제해 갔다"고 보도했다. 물밑에서 서방세계의 중국에 대한 역공도 거세게 이뤄지는 것이다.

실생활과 밀접한 사이버 해킹도 곳곳에서 발견되고 있다. 중국의 한 해킹 사이트에는 "한국 계좌 빌려드립니다","주민번호 대량 판매" 등의 제목을 단 글에 개인정보에 대한 구체적인 판매금액이 명시돼 있을 뿐만 아니라 "해킹 가능한 분 고수익보장합니다"며 청부해커를 고용한다는 게시물까지 올라와 있을 지경이다.

인터넷 보안 전문가들은 몇 해 전부터 개인정보를 빼내기 위한 악성코드(바이러스, 웜, 트로이목마 등 컴퓨터에 잠입하는 불법 프로그램) 유포가 급증하고 있다고 입을 모으고 있다.

은행계좌, 신용카드 정보 등 개인정보를 사이버 블랙마켓(암시장)에서 팔면 돈이 되기 때문이다. 이코노미스트지는 최근 "서비스로서의 크라임 웨어(범죄 소프트웨어)가 늘어나고 있다"며 사이버 블랙마켓에 대해 보도했다. 원하기만 하면 해킹 서비스를 언제나 인터넷에서 돈을 주고 살 수 있다는 내용이다.

이처럼 신종 해킹이 갈수록 지능화되면서 대응방법에도 비상이 걸리고 있다.

특히 계속되는 해킹으로 인한 웹사이트 변조와 악성코드 유포 위협에 대한 지적에도 불구하고 `SQL 인젝션(injection)' 등 각종 해킹 공격으로 인한 피해가 여전히심각한 수준이다. 더욱이 각종 해킹 공격 프로그램들이 해외에서 판매되고 있어 정부도 뚜렷한 해결책을 찾지 못하고 있는 상태다.

한국정보보호진흥원(KISA, 원장 황중연)은 최근 중국 해커들이 약 10만 건의 SQL 인젝션 공격을 시도했으며, 공격대상 중 한국 내 사이트가 5%를 차지했다고 밝혔다. SQL 인젝션 공격은 웹페이지의 로그인 창 등에 SQL(DB를 관리하기 위한 질의어)구문을 넣어 정당한 사용자로 속여 DB(데이터베이스)의 정보를 빼내는 해킹 수법이다.

이와 관련, 전문가들은 보안 프로세스를 빠르고 효율적으로 전환해 웹사이트들의 전반적인 보안수준을 높여야 한다고 지적했다.

업계 관계자는 "현재의 인터넷 트래픽 모니터링 방식은 한계가 있으며, 정보보호도 소방점검을 하듯이 점검기준을 만들어 점검해야 한다"며 "해킹과 악성코드를 적발, 판정해 해당 사이트 관리자에게 통보하고 조치를 취하는 절차가 더 빠르게 처리되게 해야 한다"고 말했다.

(서울=연합뉴스) 조성흠 기자  윤종석 기자 이광빈 김세영 기자