(서울=연합뉴스) 지난 3일부터 시작된 분산서비스거부(디도스:DDoS) 공격은 2009년 '7.7 디도스 대란' 당시에 비해 더욱 지능화하고 교묘한 수법을 사용한 것으로 드러나 눈길을 끌고 있다.
다만 7.7 디도스 대란 이후 민관 공조 대응 체제가 갖춰진데다 디도스 대응 기술도 발전하면서 7.7 당시에 비해 피해를 줄일 수 있었다는 평가다.
◇ 10개 파일 유기적으로 작동 = 7일 안철수연구소 분석에 따르면 지난 4일 오후 6시 30분에 디도스 공격을 유발한 악성코드는 각기 역할이 다른 10여개의 파일이 유기적으로 결합했다.
SBUpdate.exe 파일이 처음 설치된 뒤 해외의 특정 공격지령(C&C) 서버에 접속하는 동시에 ntcm63.dll, ntds50.dll 파일을 생성한다. 이 두 파일은 다시 7개의 파일을 생성해 실행하는데 7개 모두 각기 다른 역할을 갖고 있다.
mopxsvc.dll 파일은 faultrep.dat 파일(C&C 서버 주소를 저장함)을 참조해 C&C 서버에 접속, 명령을 받아온다.
watcsvc.dll 파일은 tlntwye.dat 파일(디도스 공격 시각 정보를 담음), tljoqgv.dat 파일(공격 대상 웹사이트 40개의 정보를 담음)을 참조해 디도스 공격을 수행한다.
soetsvc.dll 파일은 noise03.dat 파일(최초 감염 시각을 저장함)을 참조해 하드디스크 및 파일을 손상시킨다.
4일 오전 10시에 발생한 공격도 이러한 방식으로 시도됐다. 5일 밤에는 해외의 특정 C&C 서버에서 clijproc.dll 파일이 새로 다운로드됐는데, 이 파일은 다운로드되는 즉시 하드디스크 및 파일 손상을 수행했다.
안철수연구소는 현재까지 발견된 악성코드에서는 추가 디도스 공격에 대한 정보는 확인되지 않았지만 변종 제작 등 유사한 사태가 벌어질 가능성에 대비해야 한다고 강조했다.
김홍선 안철수연구소 대표는 "디도스 공격의 발원지인 PC에서 악성코드를 깨끗이 치료하는 것이 근원적인 해법"이라며 "인터넷 서비스 제공자는 웹 사이트가 디도스 공격을 받더라도 서비스 장애가 발생하지 않도록 전문 장비를 구축하고 네트워크 트래픽을 상시 모니터링하는 보안관제 서비스를 이용하는 등 전방위 보안 대책이 필요하다"고 강조했다.
◇ 7.7 대란과 유사점ㆍ차이점은 = 이번 디도스 공격은 7.7 디도스 대란과 유사했지만 더욱 업그레이드된 시도가 나타났다.
우선 7.7 때는 마지막 디도스 공격 날인 10일 자정에 하드디스크와 파일이 손상됐다. 당시 백신을 설치하지 않은 PC에서는 날짜를 변경하도록 안내했다.
당초 이번 공격에서는 날짜를 이전으로 바꾸거나 감염 시점을 기록한 noise03.dat 파일을 삭제할 경우에 하드디스크와 파일이 손상되도록 설계됐다.
그러나 공격자는 중간에 명령을 변경, 파일을 즉시 손상하도록 했다.
손상시키는 운영체제(OS)도 7.7 때는 닷넷 프레임웍 기반인 윈도 2000/XP/2003에 국한됐으나 이번에는 모든 윈도 OS로 확대됐다.
아울러 7.7 때는 같은 파일 구성으로 여러 차례의 공격이 시도됐으나 이번에는 공격 때마다 파일 구성이 달라지고 새로운 파일이 추가 제작돼 분석 및 대응에 더 많은 시간이 요구됐다.
대응을 할 때마다 공격자가 실시간으로 작전을 변경했고 공격 종료 시점이 명확했던 7.7 때와 달리 이번에는 종료 시점이 기록되지 않았다는 것도 차이점이다.
호스트 파일 변조로 백신 업데이트를 방해해 치료하지 못하게 하는 기능도 새로 추가됐다.
개인 사용자 PC가 디도스 공격을 감행했고 배포지로 P2P 사이트가 활용됐으며 외부 서버로부터 명령을 받았다는 점, 사전 계획대로 공격이 이루어진 점은 7.7 디도스 대란과 유사한 점이다.
청와대 등 정부기관과 금융기관, 인터넷사이트 등 공격 형태와 대상이 유사하고 공격 목적이 불명확하다는 점, 좀비 PC의 하드디스크 및 파일이 손상되면서 악성코드의 수명이 끝난다는 점도 7.7 대란을 떠올리게 하는 대목이다.
7.7 디도스 대란보다 지능화되고 교묘한 공격 수법이 사용됐음에도 피해를 줄일 수 있었던 것은 정부와 보안업계의 공조가 신속히 이뤄졌기 때문이라는 평가다.
김 대표는 "보안을 단순히 제품으로 볼 것이 아니라 프로세스로 접근해야 한다"면서 "이번 일을 계기로 각 기업과 기관은 날로 지능화하는 보안 위협에 대응할 수 있도록 글로벌 기준에 맞는 대응 프로세스를 구축해야 한다"고 말했다.