대한민국에 또 다시 분산서비스거부(DDoS) 공포가 시작됐다. 4일 오전,청와대, 국가정보원을 비롯한 29개 웹사이트가 공격을 받았다.
이번 DDoS 공격은 지난 2009년 7.7대란과 유사한 형태로 4일 오전 10시부터 11시 현재까지 멈추지 않고 있다.
피습대상 웹사이트는 청와대, 외교통상부, 국가정보원 등 국가공공기관과 포털 네이버와 다음으로 알려졌다. 이 밖에 금융위원회, 국민은행, 우리은행 등 주요 금융권도 공격 대상이다. DDoS공격을 유발하는 악성코드는 ntcm63.dll, SBUpdate.exe, ntds50.dll, watcsvc.dll, soetsvc.dll, mopxsvc.dll, SBUpdate.exe 등이다. 이들 악성코드가 설치된 PC는 '좀비PC'가 돼 일제히 특정 웹사이트를 공격한다는 것이 정부 측 설명이다.
방송통신위원회는 3일부터 발생한 DDoS 공격 관련, 악성코드를 유포하는 것으로 확인된 28개 사이트는 접속을 차단했지만, 좀비PC로 파악된 700~1000대 PC는 접속 차단을 막지 못한 상황이다.
방통위 관계자는 보안업체들과 협조해 좀비PC로 파악된 이용자에게 사실을 알리고 있으나 아직 PC 강제 차단은 하지 않았다며 이용자들이 백신 프로그램을 다운받아 자신의 PC가 감염됐는지를 우선 파악하고 치료하는 것이 중요하다고 설명했다.
안철수연구소를 비롯한 보안업체들도 적극 대응에 나섰다. 방통위와 국정원의 가이드라인이 나오면 나서서 협조하겠다는 입장이다.
다만 이번 공격을 일으키는 악성코드가 안연구소 V3엔진 업데이트를 제공하는 인터넷 주소 호스트 파일을 변조, 업데이트를 방해하는 것은 인지해야 한다. PC내 문서 및 소스 파일을 임의로 압축하는 증상도 함께 나타났다는 것이 안연구소 측 설명이다.
악성코드가 유포된 경로는 국내 P2P사이트인 셰어박스와 슈퍼다운인 것으로 밝혀졌다. 공격자는 이들 사이트를 해킹해 셰어박스 업데이트 파일과 슈퍼다운 사이트에 올려진 일부 파일에 악성코드를 삽입해 유포한 것으로 알려졌다. 유포 시각은 3월 3일 07시~09시로 추정된다.
김홍선 안철수연구소 대표는 PC가 DDoS공격에 악용되지 않게 하려면 평소 보안 수칙을 실천하는 것이 중요하다며 운영체계의 보안 패치를 최신으로 유지하고, 백신 프로그램을 설치해 항상 최신 버전으로 유지해 실시간 검사 기능을 켜두어야 한다고 강조했다.
이어 웹사이트를 운영하는 기업/기관에서는 디도스 차단 기능이 있는 네트워크 보안 솔루션이나 보안관제 서비스를 이용해 피해를 최소화하는 것이 중요하다고 말했다.
관련기사
- 방통위, DDoS 사이버 대피소 개소2011.03.04
- 1년만에 재현된 7.7 DDoS 공격, 원인은?2011.03.04
- 7.7 DDoS 대란 1주년, 위협은 사라졌는가?2011.03.04
- "DDos 대란 재발 막으려면 종합 감시망 필요"2011.03.04
■공격대상 웹사이트
네이버, 다음, 옥션, 한게임, 디씨인사이드, 지마켓, 청와대, 외교통상부, 국가정보원, 통일부, 국회, 국가대표포털, 방위사업청, 경찰청, 국세청, 관세청, 국방부, 합동참모본부, 육군본부, 공군본부, 해군본부, 주한미군, 국방홍보원, 미8군전투비행단, 방송통신위원회, 행정안전부, 한국인터넷진흥원, 안철수연구소, 금융위원회, 국민은행, 우리은행, 하나은행, 외환은행, 신한은행, 제일저축은행, 농협, 키움증권, 대신증권, 한국철도공사, 한국수력원자력㈜
