금융권, 게임업계, 정계에 이르기까지 올 해는 유독 보안사고가 많이 발생했다. 그 중에서도 특히 분산서비스거부(DDoS)공격으로 인한 사회의 전반적인 우려와 논란이 컸던 한 해였다.
전 세계적으로 인터넷이 생활 기반으로 자리 잡으면서 다수에게 영향을 끼칠 수 있는 보안위협이 국내서도 본격화되기 시작했다. 그 중 국내서 가장 빈번하게 발생하는 보안위협은 DDoS공격이다.
■국내 DDoS공격의 진화
DDoS공격은 여러 대의 컴퓨터를 일제히 동작해 특정 사이트를 공격하는 해킹 방식이다. 사용자 시스템의 리소스를 독점하거나 파괴해 더 이상 정상적인 서비스를 할 수 없도록 만드는 공격 방법이다.
DDoS공격이 발생하면 시스템 과부하로 정상고객들이 접속을 할 수 없는 상태가 되기 때문에 공격대상이 된 특정 웹사이트를 정상적으로 이용할 수 없게 된다.
국내에서 DDoS공격에 대해 관심이 집중된 것은 지난 2009년 7.7 DDoS공격 부터다. 사회적으로 파장을 불러일으키면서 DDoS에 대한 관심이 높아지기 시작했다. '사후약방문'식의 조치가 이뤄진 후, 또 다시 DDoS위협에 대한 경각심을 불러일으킨 사건은 올해 3.4 DDoS 사건이다.
7.7 DDoS와 비교해 3.4 DDoS공격은 더욱 진화된 형태로 이뤄졌다. 해커들이 DDoS공격에도 기량을 본격적으로 뽐내기 시작한 것이다. 관련업계에 따르면 이제 DDoS는 일상적인 공격으로 빈번한 공격 시도로 인해 이를 방어할 수 있는 기술 또한 날로 진화하고 있는 상황이다.
국내서는 패커(packer)를 이용해 분석 자체를 어렵게 하는 형태의 악성코드를 이용하는 DDoS공격이 발생하고 있다. 일반적으로 사용되는 자체 패커보다 윈라이센스(WinLicense), 더미다(Themida), VM프로텍트 등을 통해 공격을 감행한다.
유동DNS를 통한 악성코드 이용의 경우는 국내 다이나믹 DNS에서 DDoS공격 명령을 내리는 명령제어(C&C)서버로 사용되는 것이 다수를 차지한다. 평소에는 정상 사이트 주소로 연결되지만, 공격할 때만은 변경 분석을 하기 때문에 혼란을 일으키나 방해되는 경우가 많다.
중국산 생성기를 이용해 악성코드가 뿌려지는 경우도 많다. 넷봇 어테커 등 중국산 DDoS 공격 프로그램 생성기 이용하는 경우가 증가 추세다. 특히 중국산 생성기를 쉽게 구할 수 있기 때문에 국내 학생들이 이를 이용하기도 한다.
■국내 DDoS, '웹하드 서버 해킹'이 가장 많아...
국내서 발생한 가장 대표적인 DDoS대란이었던 7.7과 3.4공격 두 차례 모두 웹하드 업데이트 서버 해킹으로 인해 피해가 발생했다. 이는 웹하드 프로그램이 업데이트 되면 사용자PC에 자동 설치돼 악성코드를 유포시키는 형태다.
해커는 웹하드 서비스 업체 해킹을 통해 업데이트 파일을 악성코드로 교체하고, 정상파일로 위장해 피해가 발생하게 된다. 이 악성코드에 감염되는 PC는 좀비PC가 되고 해커들에 의해 원격 제어도 가능해졌다.
DDoS공격에 이용되는 악성코드의 감염경로 역시 최근에는 더욱 다양해지고 있다. 특히 해커들은 사용자가 많은 대형 포털사, 언론사 등을 해킹해 악성코드를 심어두고 공격 피해를 입히기도 한다. 날이 갈수록 DDoS에 이용되는 악성코드의 기능도 진화하고 있는 것이다.
관련기사
- 윈도폰, SMS 결함 발견 'DDoS공격 노출'2011.12.15
- DDoS 그렇게 당하고도....2011.12.15
- DDoS, 아직 끝나지 않은 이야기2011.12.15
- DDoS공격, 태블릿PC는 안전해?2011.12.15
이 밖에도 모바일을 이용한 DDoS공격도 예언되고 있다. 스마트폰 악성코드 등장이 본격화되면서 전문가들이 스마트폰 악성코드 감염을 통해 좀비폰을 양산한 공격이 성행할 수 있을 것으로 전망했다.
이호웅 안철수연구소 시큐리티대응센터(ASEC) 센터장은 최근 악성코드는 종합선물세트라 비유할 수 있다면서 악성코드 하나가 설치돼 좀비PC가 되면 이후 외부와 통신해 다양한 악성코드를 내려 받을 수도 있어 DDoS는 물론 지능형 지속가능 공격(APT), 키로깅, 화면캡처 등에 악용될 수 있다고 말했다.
