오는 19일부터 실시되는 한미군사합동연습인 을지프리덤가디언(을지훈련)을 앞두고, 지난 6.25 사이버테러를 수행한 조직들이 활동을 재개한 것으로 나타났다.
12일 하우리 선행연구팀 최상명 팀장은 6.25 사이버 테러에 사용됐던 도메인네임시스템(DNS) 분산서비스거부(DDoS) 공격용 악성코드가 유포되는 것과 거의 동일한 방식이 사용되고 있다고 밝혔다.
최 팀장에 따르면 최근 좀비PC로 구성된 네트워크인 봇넷이 구성되고 있으며 특히 '토르(Tor)'라는 비밀통신서비스를 이용하고 있는 것으로 드러났다. 공격자를 C&C서버를 이용해 토르 통신을 거쳐 국내 봇넷에 악성코드 유포 명령을 내리고 있는 것이다. 이는 6.25 공격 때 사용된 DDoS 공격수법과 거의 동일하며, 악성코드의 인스톨러 및 코드 구조도 유사하다.
현재로서는 초기단계라 실제 DDoS 공격에 사용되는 봇넷을 구축하기 위한 사전단계인 것으로 추정된다. 관련 악성코드 샘플이 처음 발견된 것은 지난 7일 오전부터다. 최 팀장은 이를 분석한 결과 아직 수십명이 감염된 초기단계라고 밝혔다. 6.25 공격에 수 만대의 좀비PC가 동원된 것을 고려하면 을지훈련 기간에도 비슷한 숫자의 좀비PC가 공격을 시도할 것으로 예상된다.
지난 6.25 사이버테러 당시에는 6월 9일부터 24일까지 15일동안 토르 기반 C&C서버와 봇넷이 구축돼 25일 최종적으로 대전정부종합청사 DNS 서버에 DDoS 공격을 수행하는 악성코드가 배포된 바 있다.
당시 15일 동안이나 토르 기반 C&C서버, 봇넷을 구축하고 있었으나 이를 사전에 탐지하지 못했었다. 그러나 최 팀장은 최근에는 실제 공격이 발생하기 이전인 사전 토르 기반 봇넷 구축 단계가 조기에 탐지됐다고 밝혔다.
6.25 공격때 해당 조직이 사용한 토르 기반 C&C 서버는 총10개였다. 최근 발견된 것은 6개로 주소 자체는 다르나 토르 기반 통신을 활용하고 있다는 점에서 공통점이 있다. 토르는 도메인 주소로 '.onion'을 사용한다. 새로 발견된 6개의 C&C서버 주소는 모두 '.onion' 주소가 사용된 것으로 확인됐다.
또한 6.25때는 겟 메소드 방식으로 데이터를 전송했으나 최근에는 포스트 메소드 방식을 사용하는 것으로 나타났다.
관련기사
- 6.25 사이버 공격, 北 소행 추정 근거는?2013.08.12
- 정부 “6.25 사이버공격, 북한 수법과 일치”2013.08.12
- 6.25 변종악성코드, DNS서버증폭 공격2013.08.12
- 시만텍 "6.25 사이버 테러 배후 다크서울"2013.08.12
최 팀장은 악성코드가 현재 8월 초부터 토르 기반 C&C 봇넷을 구성하고 있으며, 을지훈련이 시작되는 19일을 전후로 그들이 목표로 하는 DDoS 공격, 기밀정보 절취 등과 같은 어떠한 액션을 취할 것으로 추정된다고 밝혔다.
하우리는 초기에 발견한 토르 기반 C&C 봇넷을 지속적으로 모니터링해 추가적인 공격에 대한 내용을 정부당국과 공유할 계획이다.
