column

DDoS 사이버 테러의 3대 의혹 (누가? 왜? 어떻게?)

reversecore 2009. 7. 10. 00:57
반응형

2009년 7월 7일부터 시작된 무차별 DDoS 공격으로 인하여 나라 전체가 큰 혼란에 빠져버렸습니다.

이번 DDoS 사이버 테러를 지켜보면서 풀리지 않는 3 가지 의혹(누가? 왜? 어떻게?) 에 대해서 제 나름의 생각을 정리해 보겠습니다.



#1. Who?


누가 이러한 사이버 공격을 감행하는 걸까요?


개인? 혹은 단체?

규모있는 단체일 가능성이 높습니다.

이에 대한 근거로는 DDoS 공격에 사용된 좀비 PC 가 수 만대에 이를 정도로 널리 악성코드를 감염시켰다는 점입니다.
통상적으로 이렇게 기존 AV 제품에 걸리지 않고 단기간에 널리 퍼지기 위한 조건은 아래와 같습니다.

  • 악성코드의 제작이 마치 상용 SW 제품과 같은 단계(기획, 개발, 테스트, 배포)를 거칩니다.
    => 버그 없이 잘 동작하는 악성코드가 만들어집니다.
  • 진단을 회피하기 위하여 AV 제품들에 대한 연구가 선행되어야 합니다.
    => 많은 테스트를 거쳐서 기존 AV 제품들에게 진단되지 않을때까지 소스를 고치고 또 고칩니다.
  • 빠른 시간내에 다양한 변종을 만들어 냅니다.
    => 시간이 지나면 AV 제품들이 진단을 하기 시작합니다.
         그때 바로 변종을 퍼뜨려 추가적인 공격을 시도합니다.

위 조건들을 모두 만족하기 위해서는 각 분야의 전문가 집단이 필요할 수 밖에 없습니다.


이와 같은 사이버 테러 단체의 특징을 한번 생각해 보죠.

이들은 2009.07.09 현재까지 총 3 회의 DDoS 공격을 무차별로 퍼붓고 있습니다.
만약 경찰에 잡히기라도 하는 날에는 인생이 그대로 끝장남에도 불구하고, 지속적으로 대담하게 공격을 반복하고 있습니다.

이 사이버 테러 단체는 한 마디로 대한민국 공권력은 안중에도 없습니다.
즉, 대한민국 공권력의 영향을 받지 않는 사람들일 가능성이 높습니다.

또한 정교한 악성코드를 기획/제작/테스트/배포하는 데에는 많은 리소스(인력, 자금)가 필요하기 때문에, 이들의 배후에는 든든한 후원세력이 있다고 생각해 볼 수 있겠습니다.



#2. Why?


도대체 그들은 왜 이런 공격을 하는 걸까요?
이 공격으로 뭘 원하는 거죠?

이번 DDoS 공격 의도를 정확히 알 수는 없지만, 아래와 같이 추정해 볼 수는 있습니다.

  • 사회 혼란을 노림
  • 대한민국의 전반적인 IT 인프라 테스트
    => 인터넷 의존도, 시스템 의존도, 대한민국의 사이버 안보 능력, DDoS 대처 능력 등
  • 자신들의 공격 실력 검증
    => 악성코드 제작/배포 능력, 역추적 방지 능력 등

아직까지도 의도가 불분명합니다.
저도 확신이 서지 않습니다. 아마도 위의 3 가지 모두를 노렸다고 밖에는 생각되지 않네요.

더군다나 하드디스크의 MBR 을 날리는 기능이 포함되었다고 하는데요, 기존의 돈을 노리는 악성코드들과는 차원이 틀립니다.
말 그대로 "사이버 테러" 입니다.

하지만 이번 DDoS 사이버 테러에 의해서 우리도 큰 교훈을 얻었습니다.

우리 나라 인터넷 환경은 DDoS 공격에 매우 취약하며, 맘 먹고 달려들면 중요 사이트를 다운시키는것은 일도 아니라는 것을 말이죠.

사실 http 프로토콜 자체가 DDoS 공격에 취약하도록 설계되었기 때문에, 이것은 비단 우리 나라만의 문제라고 볼 수 는 없습니다. 단, 사후 대응 능력은 분명 짚고 넘어가야 할 것입니다. 며칠째 반복되는 공격에 속수무책으로 당하고만 있다는 건 분명 문제가 있습니다.

대표적인 예로 중국에서는 오래전부터 군대 조직내에 사이버전을 수행할 수 있는 특수부대를 양성하고 있다고 합니다. 우리나라도 이번 기회에 그에 대한 대비를 철저히 해야 할 것입니다.
인터넷도 국가 기간망(도로, 통신, 기타)으로 볼 수 있으니까요. 충분히 적들의 공격대상이 될 수 있습니다.



#3. How?


엔지니어로써 가장 궁금했던 부분입니다.

도대체 어떻게 수 만대의 PC 가 악성코드에 감염되어 DDoS 공격을 위한 좀비 PC 가 되었을까요?
사용된 악성코드들을 살펴보니 그 중에 웜(자체 전파 기능을 가짐)은 없었는데 말이죠.

아직까지도 정부기관과 AV 업체들은 좀비 PC 가 어떤 경로를 통하여 감염이 되었는지 파악하지 못하고 있습니다.
(아예 감염 경로 파악이 불가능하다는 말도 나오고 있는 실정입니다.)

잠깐 기억을 되돌려서 예전에 세상을 떠들썩하게 했던 악성코드 사건들을 생각해 보겠습니다.

  • CIH 바이러스 - 감염된 시스템은 특정 날짜에 ROM BIOS 가 날라감
    => 각 AV 업체에서 사건 발생 1년 전에 이미 대응을 마쳤으며, 지속적으로 주의 경보를 하였습니다.
    => 문제는 사람들이 경보를 무시하고 최신 엔진으로 업데이트 하지 않아서 피해가 엄청났었죠.
  • 1.25 인터넷 대란 - Slammer 웜이 MS-SQL DB Server 의 보안 취약점을 공격하여 전세계 인터넷이 마비 되었습니다.
    => MS 에서 이미 사건 발생 6 개월 전에 보안 패치를 내려보냈으며,
        각 AV 업체 또한 Slammer 웜에 대한 진단 시그니처를 가지고 있었습니다.
    => 사람들이 윈도우 보안패치와 AV 최신엔진 업데이트를 소홀히 하였기 때문에 엄청난 피해가 발생하였습니다.


위 두 사례 모두 PC 사용자들이 윈도우 보안패치AV 최신엔진 업데이트만 했었어도 충분히 막을 수 있는 사건이었습니다.

전 이번 DDoS 사이버 테러에 사용된 악성코드들 또한 (과거와 같이) 기존의 보안 취약점을 이용한 것이라고 생각합니다.

제가 생각하는 감염 시나리오는 이렇습니다.

1) 해커가 사람들이 많이 접속하는 사이트(예:포탈, 관공서 등)를 해킹하여 특정 페이지를 변조하여 IFrame 을 심어둡니다.
2) 해당 페이지에 접속한 사람들은 자신도 모르게 IFrame 에 쓰여진 주소로 이동하여 IE 취약점을 통하여 악성 파일을 다운 받아 실행하게 됩니다.
3) 해커는 역추적을 방지하기 위해 일정 시간이 지나면 변조한 페이지를 원래대로 복원시킵니다.

외부로 전파하는 기능을 가진 웜(Worm)을 사용하지 않고 단기간내에 불특정 다수를 감염시키면서, 동시에 감염 경로를 숨기기 위해서는 위 방법이 가장 좋다고 봅니다.

기존 웜을 통한 악성코드 전파 방법은 다른 시스템에 전파하기 위해 네트워크 스캐닝(윈도우 보안 취약점 패킷 전송)을 하는데, 이런 흔적은 AV 업체의 주목을 끌어 사전에 걸릴 확률이 높습니다.

따라서 이번 DDoS 사이버 테러의 경우는 매우 설계가 잘 되어 있고, 효과가 좋다고 볼 수 있습니다.
(공격자들은 프로가 맞습니다.)

좀 더 위험한 추정을 하자면 공격자는 사이트 관리자 중 한명과 내통하고 있다고 볼 수 도 있습니다.
이건 제가 영화를 너무 좋아하는 관계로 너무 지나친 비약이라고 할 수 있지요.
하지만 자고로 최고의 해킹은 내부 해킹이라고 하였습니다. 절대 발각 될 수 없지요.



+-----+

위 얘기들은 모두 제 자신의 추정일 뿐이며 사실로 밝혀진게 아닙니다. ^^

참고만 하시기 바랍니다.

마지막으로 한 말씀 드리겠습니다.

좀비 PC 가 되지 않도록 윈도우 보안 업데이트와 AV 최신 엔진 업데이트를 철저히 하도록 해야 겠습니다.




반응형