이번 3.3 DDoS 공격은 지난 2009년 7.7 DDoS 대란의 업그레이드판이라는 분석이 나왔다. 공격 수법과 유포처 등에서 이번 3·3 디도스 공격은 지난 7·7과 거의 흡사하지만 상당 부분 업그레이드됐다는 평가다.
안철수연구소(대표 김홍선)는 지난 4일 오전 10시와 오후 6시 30분에 국내 40개 웹사이트를 대상으로 발생한 디도스 공격과 2009년 7·7 디도스 대란의 차이점과 유사점을 발표했다. 또한 4일 오후 6시 30분에 디도스 공격을 한 악성코드들의 파일 관계도를 공개했다.
이번 공격의 가장 큰 특징은 7·7 디도스 대란과 유사했지만 더욱 업그레이드된 공격을 했다는 것이다. 우선, 7·7때는 마지막 디도스 공격 날인 10일 자정에 하드디스크와 파일이 손상됐다. 당시 백신을 설치하지 않은 PC에서는 날짜를 변경하도록 안내했다. 반면 이번에는 날짜를 이전으로 바꾸거나, 감염 시점을 기록한 noise03.dat 파일을 삭제할 경우에 하드디스크와 파일이 손상된다. 그러나 공격자는 명령을 파일을 다운로드시켜서 즉시 손상되는 것으로 변경했다. 손상시키는 운용체계도 7·7 때는 닷넷 프레임웍 기반인 윈도 2000/XP/2003에 국한됐으나, 이번에는 모든 윈도 운용체계가 해당된다.
아울러 7·7 때는 같은 파일 구성으로 여러 차례 공격했으나, 이번에는 공격 때마다 파일 구성이 달라지고 새로운 파일이 추가 제작돼 분석 및 대응에 시간과 노력이 더 들었다. 대응을 할 때마다 공격자가 실시간으로 작전을 변경한 셈이다. 공격 종료 시점이 명확했던 것과 달리 이번에는 종료 시점이 기록되지 않았다는 것도 차이점이다. 또한 호스트 파일 변조로 백신 업데이트를 방해해 치료하지 못 하게 하는 기능도 새로 추가된 것이다.
또한 이번 공격과 7·7 때의 유사점은 개인 사용자 PC가 디도스 공격자이고, 배포지로 P2P 사이트가 활용됐으며, 외부 서버로부터 명령을 받으며, 사전 계획대로 공격이 이루어졌다는 점이다. 또한 공격 형태와 대상이 유사하고, 공격 목적이 불명확하다는 점, 좀비 PC의 하드디스크 및 파일이 손상되는 것으로 악성코드의 수명이 끝난다는 점이다.
한편 7일 오전 10시, 안철수연구소의 발표에 따르면 현재 하드디스크 손상 신고 건수는 30여 건이다. 안철수연구소는 현재까지 발견된 악성코드에서는 추가 디도스 공격에 대한 정보는 확인되지 않았으나, 변종 제작 등 유사한 사태가 벌어질 가능성에 대비해야 한다고 강조했다.
김홍선 안철수연구소 사장은 “보안을 단순히 제품으로 볼 것이 아니라 프로세스로 접근해야 한다”며 “이번 일을 계기로 각 기업과 기관은 날로 지능화하는 보안 위협에 대응할 수 있도록 글로벌 기준에 맞는 대응 프로세스를 구축해야 할 것”이라고 강조했다.
장윤정기자 linda@etnews.co.kr
