맥아피, 3 · 3 DDoS 공격 배후로 `북한` 지목

Photo Image
맥아피가 분석한 전 세계 C&C 서버의 분포도

 북한이 지난 3월 3일 발생한 3·3 DDoS 공격의 배후라는 미 보안업체의 보고서가 발표됐다.

 맥아피는 ‘한국 DDoS 공격에 대한 맥아피 보고서(Ten Days of Rain-Expert analysis of distributed denial-of-service attacks targeting South Korea)’를 통해 북한 또는 북한의 동조세력이 올해 초 벌어진 한국 정부와 금융권 웹사이트에 대한 사이버테러의 배후로 추정된다고 6일 밝혔다.

 맥아피는 이 보고서를 통해 3·3 DDoS 북한의 사이버공격은 지난 2009년 발생한 미국 정부 인터넷 사이트를 마비시켰던 DDoS 공격과도 연관돼 있을 것이라고 추정했다. 또한 맥아피는 이 DDoS 공격이 한국 정부가 문제를 얼마나 빨리 문제를 발견하고 복구하는지를 테스트하기 위한 일종의 정치적인 동기에 의해 발생했다고 분석했다. 이번 공격은 한국 정부의 웹사이트뿐만 아니라 주한미군의 웹사이트 접속지연 및 마비현상을 초래했고, 공격의 목적은 북한의 정치적인 의도에서 출발했다는 해석이다.

 드미트리 알페로비치 맥아피 위협분석담당 부사장은 “공격이 정확히 누구의 소행인지는 말하기 어렵지만 이 공격에 대한 자세한 분석 및 2009년과 2011년 공격에 사용된 코드에 대한 분석 결과 동일 범인에 의해 공격이 이뤄졌을 가능성이 95%에 가깝다”고 말했다.

 또 이번 3·3 DDoS 악성코드에 감염된 PC들은 단 열흘동안만 활동한 뒤 자체적으로 파괴되도록 설계돼 있으며, 지난 2009년 7·7 DDoS 공격에 비해 다층 암호체계를 사용하는 등 훨씬 더 진화됐다고 맥아피 측은 설명했다. 이는 공격이 단기간 지속되고 정교한 보호체계를 갖추고 있는 점 등으로 미뤄 범죄적 동기보다는 정치적 동기가 있음을 보여준다고 맥아피 측은 해석했다.

 일반적으로 해커들은 금융정보나 사용자 암호 등을 빼내가기 위해 감염된 PC를 그대로 두는데 반해 3·3 DDoS 공격에 사용된 좀비 PC들이 단기간 활동한 뒤 하드디스크가 파괴된 것은 이례적이라는 점을 들어 정치적인 동기로 이번 공격이 이용되었음을 입증한다는 분석이다.

 한편 지난 2009년 발생한 7.7 디도스 공격은 61개국에서 435대의 서버를 이용해 한국과 미국 주요기관 35개 사이트를 해킹한 사건으로, 공격 근원지가 북한 체신성에서 사용하는 IP(인터넷주소)인 사실이 밝혀진 바 있다. 지난 3월 3일부터 발생한 3·3 DDoS 공격 역시 경찰청은 악성코드 유포 사이트와 국내 감염 좀비 PC, 외국 공격명령 서버를 분석한 결과 지난 7·7 DDoS 공격과 일치한다며 두 사건 모두 북한의 소행으로 지목한 바 있다.

 맥아피 보고서 원문은 ‘보안닷컴’ 사이트 http://boan.etnews.com/ 에서 확인할 수 있다.

Photo Image
2009년 발생한 IP어드레스에 의한 봇 분포도. 지도상 한국 등 주변국들이 집중적으로 봇이 발생한 것을 확인할 수 있다

장윤정기자 linda@etnews.com


브랜드 뉴스룸