안철수연구소, “3.4 디도스 공격, 7.7 대란의 업그레이드판”

보안라이프/이슈&이슈 2011. 3. 7. 10:55

-하드 및 손상 조건 변경, 공격 때마다 파일 구성 및 명령 달라져

-파일 관계도 분석 결과 10여 개 파일이 각기 다른 역할 수행

-‘스마트 디펜스신기술 V3 탑재로 디도스 악성코드 및 유포지 조기 탐지 큰 활약

-유사 사고 대비 위해 PC 보안, 디도스 공격 대응 등 전방위 대책 필요

-V3 사용자는 전용백신 없이도 진단/치료 가능

 

글로벌 통합보안 기업인 안철수연구소(대표 김홍선, www.ahnlab.com) 4일 오전 10시와 오후 6 30분에 국내 40개 웹사이트를 대상으로 발생한 디도스 공격과 2009 7.7 디도스 대란의 차이점과 유사점을 발표했다. 또한 4일 오후 6 30분에 디도스 공격을 한 악성코드들의 파일 관계도를 공개했다.

 

이번 공격의 가장 큰 특징은 7.7 디도스 대란과 유사했지만 더욱 업그레이드된 공격을 했다는 것이다. 우선, 7.7 때는 마지막 디도스 공격 날인 10일 자정에 하드 디스크와 파일이 손상됐다. 당시 백신을 설치하지 않은 PC에서는 날짜를 변경하도록 안내했다. 그런데 이번에는 날짜를 이전으로 바꾸거나, 감염 시점을 기록한 noise03.dat 파일을 삭제할 경우에 하드 디스크와 파일이 손상된다. 그러나 공격자는 명령을 파일을 다운로드시켜서 즉시 손상되는 것으로 변경했다. 또한 손상시키는 운영체제도 7.7 때는 닷넷 프레임웍 기반인 윈도우 2000/XP/2003에 국한됐으나, 이번에는 모든 윈도우 운영체제가 해당된다.

 

아울러 7.7 때는 같은 파일 구성으로 여러 차례 공격했으나, 이번에는 공격 때마다 파일 구성이 달라지고 새로운 파일이 추가 제작돼 분석 및 대응에 시간과 노력이 더 들었다. 대응을 할 때마다 공격자가 실시간으로 작전을 변경한 셈이다. 공격 종료 시점이 명확했던 것과 달리 이번에는 종료 시점이 기록되지 않았다는 것도 차이점이다. 또한 호스트 파일 변조로 백신 업데이트를 방해해 치료하지 못 하게 하는 기능도 새로 추가된 것이다.

 

또한 이번 공격과 7.7 때의 유사점은 개인 사용자 PC가 디도스 공격자이고, 배포지로 P2P 사이트가 활용됐으며, 외부 서버로부터 명령을 받으며, 사전 계획대로 공격이 이루어졌다는 점이다. 또한 공격 형태와 대상이 유사하고, 공격 목적이 불명확하다는 점, 좀비 PC의 하드 디스크 및 파일이 손상되는 것으로 악성코드의 수명이 끝난다는 점이다.

 

안철수연구소가 분석한, 4일 오후 6 30분에 디도스 공격을 유발한 악성코드들의 파일 관계도에 따르면 각기 역할이 다른 10여 개의 파일이 유기적으로 작동한다. SBUpdate.exe이 처음 설치된 후 해외의 특정 C&C 서버에 접속하는 동시에 ntcm63.dll, ntds50.dll 파일을 생성한다. 이 두 파일은 다시 7개의 파일을 생성해 실행한다. 7개의 파일은 역할이 각기 다르다.

 

, mopxsvc.dll 파일은 faultrep.dat(C&C서버 주소를 저장함) 파일을 참조해 C&C 서버에 접속해 명령을 받아온다. watcsvc.dll 파일은 tlntwye.dat 파일(디도스 공격 시각 정보를 담음), tljoqgv.dat 파일(공격 대상 웹사이트 40개의 정보를 담음)을 참조해 디도스 공격을 수행한다. 또한 soetsvc.dll 파일은 noise03.dat(최초 감염 시각을 저장함) 파일을 참조해 하드 디스크 및 파일을 손상시킨다. 4일 오전 10시에 발생한 공격 또한 이와 같은 방식으로 이루어진다. 한편, 5일 밤에는 해외의 특정 C&C 서버에서 clijproc.dll 파일이 새로 다운로드됐다. 이 파일이 다운로드되는 즉시 하드 디스크 및 파일이 손상됐다.

 

37일 오전 10시 현재 하드 디스크 손상 신고 건수는 30 건이다. 월요일 기업/기관의 업무 시작을 맞아 안철수연구소 웹사이트 접속이 폭주하고 있는데, 모든 V3 사용자는 실시간 사용 중이면 안심해도 되며, 여타 사용자만 전용백신을 내려받아 검사하면 된다.

 

한편, 안철수연구소는 현재까지 발견된 악성코드에서는 추가 디도스 공격에 대한 정보는 확인되지 않았으나, 변종 제작 등 유사한 사태가 벌어질 가능성에 대비해야 한다고 강조했다. , 디도스 공격의 발원지인 PC에서 악성코드를 깨끗이 치료하는 것이 근원적인 해법이다. 또한 인터넷 서비스 제공자는 웹사이트가 디도스 공격을 받더라도 서비스 장애가 발생하지 않도록 전문 장비를 구축하고 네트워크 트래픽을 상시 모니터링하는 보안관제 서비스를 이용하는 등 전방위 보안 대책이 필요하다.

 

안철수연구소는 이번 디도스 공격이 7.7 때보다 교묘해졌음에도 피해가 적었던 것은 자사가 2009년부터 2년여에 걸쳐 투자 및 연구한 클라우드 컴퓨팅 개념 보안 전략인 액세스(ACCESS) 스마트 디펜스기술이 제대로 효과를 발휘했기 때문이라고 평가했다. , 그 동안의 적용 결과를 기반으로 한 자동화 시스템을 통해 악성코드 유포지를 조기에 발견했으며, 악성코드의 행위와 파일 DNA, 파일 관계 등을 신속히 분석했다. 이에 따라 전용백신 및 V3 엔진 업데이트를 신속히 할 수 있었다. ASEC(시큐리티대응센터)의 악성코드 수집 및 분석 능력과 CERT(침해사고대응팀)의 위협 모니터링 및 대응 서비스가 유기적으로 작동한 것도 큰 역할을 했다. 아울러 정부 기관인 방통위, 한국인터넷진흥원(KISA), 국정원과 공조 등이 신속히 이루어진 것도 주효했다.

 

안철수연구소 김홍선 대표는 보안을 단순히 제품으로 볼 것이 아니라 프로세스로 접근해야 한다. 이번 일을 계기로 각 기업과 기관은 날로 지능화하는 보안 위협에 대응할 수 있도록 글로벌 기준에 맞는 대응 프로세스를 구축해야 한다.”라고 강조했다.

 

-------<보충 자료>-------

 

*7.7 3.4의 차이점과 유사점

 

<차이점>

 

 

2009 7 7

2011 3 4

공격 대상(웹사이트)

청와대 등 국내 주요 사이트 23

청와대 등 정부 사이트, 네이버 등 국내 주요 국가 사이트 및 주한 미군 등 40

공격 지속 기간

7~9 3일 간 오후 6시에서 다음날 6시까지

4일 오전 10, 오후 6 30분에 시작, 공격종료 시점 불확실

손상 운영체제

닷넷 프레임웍 기반 윈도우 2000/XP/2003

모든 윈도우 운영체제

파일 구성

같은 파일 구성으로 여러 차례 공격

공격 때마다 파일 구성이 달라짐.

명령 변경

변경 없이 일관되게 진행.

대응에 따라 명령을 변경함.

치료 방해

없음

호스트 변조로 백신 업데이트 및 홈페이지 접근 방해

하드 디스크 및 파일 손상 시점

마지막 디도스 공격 날인 10일 자정 손상. 당시 백신을 설치하지 않은 PC는 시스템 날짜를 이전으로 바꿔야 했음.

시스템 날짜를 감염 시각 이전으로 바꾸거나, 감염 시각을 기록한 noise03.dat 파일을 삭제할 경우, 감염 후 7, 4일 후로 계획했다가 5일 밤 9시경을 기해 즉시 손상되는 것으로 변경.

좀비 PC (방통위 발표)

20만여 대

5만여 대

대응 방식

제대로 준비되지 않은 상태에서 대대적 혼란 야기

7.7 디도스 이후 기업/기관의 준비가 있었고, 보안 업체와 유관 기관과의 협조로 피해 최소화

 

<유사점>

악성코드 배포지

P2P 사이트

공격에 사용된 PC

주로 개인 사용자의 PC

공격 형태

외부 서버로부터 명령을 받음. 사전에 계획된 공격

공격 대상

대표적 포털, 공공기관, 금융기관 등

공격 목적

불분명

공격 종료

하드 디스크 파괴로 공격 종료

*디도스 공격 악성코드 파일 관계도

 

*안철수연구소 클라우드 컴퓨팅 개념 보안 전략 ‘액세스’

 

안철수연구소는 DDoS 공격을 비롯해 더욱 지능화 복합화한 보안 위협에 ‘액세스(ACCESS; AhnLab Cloud Computing E-Security Service)’ 전략으로 전방위 입체적인 대응을 한다. ‘액세스’는 ASEC(시큐리티대응센터)의 악성코드 수집 및 분석 능력과 CERT(침해사고대응팀)의 위협 모니터링 및 대응 서비스를 지능형 기술로 받쳐주는 플랫폼이다. 각종 보안 관리 데이터베이스(DB)와 유기적으로 결합해 위협의 근원인 악성코드와 해킹 기법을 실시간 수집/탐지/치료함은 물론 악성코드 시그니처 DB를 다이나믹하게 생성한다. 이 결과는 ASEC CERT, 안철수연구소 제품 및 서비스, 유관 전문 기관과 실시간 연계되어 신속하고 정확하게 일관된 종합 대응을 할 수 있다.

 

<그림> ‘액세스개념도

 

 

*신종 악성코드 실시간 차단 획기적 신기술 ‘스마트 디펜스’

 

2009 6월 선보인 신개념의 실시간 악성코드 대응 기술인 ‘스마트 디펜스’(AhnLab Smart Defense)는 수많은 악성코드의 데이터를 모두 PC에 다운로드해 처리하던 방식에서 획기적으로 진일보한 기술이다.

 

이는 수천만 개의 유형별 파일 DNA(파일의 시그니처) 데이터베이스를 중앙 서버에서 관리하며 PC 내 파일이 악성코드인지를 실시간으로 확인해준다. 특히 DDoS 공격을 하는 파일의 이상 행위를 탐지하며, 이를 실시간으로 중앙 서버에서 분석하여 현재 알려진 악성코드 외에 아직 알려지지 않은 DDoS 악성코드까지 진단/치료할 수 있다.

 

이 기술의 적용으로 V3 제품군은 진단율과 검사 속도를 한층 높이고, 엔진 업데이트 이전의 위협을 원천 차단할 수 있다. 이에 따라 기존 TS(Total Security) 엔진과 함께 시너지 효과를 냄으로써 사전 진단 및 사후 치료까지 더욱 안전한 컴퓨팅 환경을 보장하게 됐다.

 

<그림> ‘스마트 디펜스’ 작동 방법

 

 


댓글을 달아 주세요

  1. 너서미 2011.03.07 11:39  Address |  Modify / Delete |  Reply

    이런 일이 있을 때마다 안철수연구소에 대해 감사함을 느낍니다.
    좋은 한 주 되세요.