선관위 DDoS 공격 해킹 프로그램 카스 직접 실행해 보니

Photo Image
이번 선관위 DDoS 공격에 사용된 카스툴은 DDoS공격을 위해 일반적으로 많이 사용하는 알려진 툴로서 C&c에서 공격 기법을 선택할 수 있고, 선택된 공격 기법에 대해 좀비PC들에 명령을 내리면 지정된 “목적지”를 대상으로 공격이 수행되는 구조로 되어있다. 카스툴을 이용해 디도스 명령을 내리는 화면

10·26 재보궐선거 당시 선거관리위원회를 공격한 분산서비스거부(DDoS) 공격 툴로 알려진 ‘카스’를 입수해 본지가 그 성능을 확인해봤다. 카스는 시중에서 값싸고 구하기 쉬운 해킹 툴이다.

 ◇‘카스’ 툴의 성능은=전자신문과 KTB솔루션이 입수한 카스 툴은 개당 100원가량에 블랙마켓에서 거래되는 매우 흔한 툴이다. 경쟁사 도박사이트 등을 중단시켜달라는 식의 청부형 DDoS 공격에 자주 쓰인다. ‘카스’ 툴로는 신 플러드(SYN Flood), TCP 플래그(Flag) 플러드, HTTP 플러드, UDP 플러드 등 다양한 DDoS 공격기법을 구사할 수 있다. 대개 카스 툴이 설치된 좀비PC는 대당 1.3Mbps가량의 트래픽을 유발한다.

 이번 선관위 공격엔 최대 2Gbps가량 트래픽이 집중됐다는 경찰 발표를 감안하면 좀비PC 1500대가량이 필요하다. 하지만 사고발생 시각이 새벽 시간이고, 그 시간대에는 대부분 좀비PC가 비활성화된 점을 감안하면 그보다 10배 이상 많은 2만대가 필요했을 것이라는 계산이다. 따라서 카스 툴 구입에만 최소 200만원의 비용이 든다.

 ◇‘카스’만으로는 역부족=이번 시연에서 카스만으로 서버의 기능 일부(DB 선택적 단절 등)만을 제한하기엔 역부족인 것이 확인됐다. 다량의 좀비PC를 동원해 서버 중단을 유발하면 웹페이지 전체 기능이 멈춰 이번 사고 사례처럼 DB만 단절시키기엔 불충분하다는 게 보안 전문가들의 공통된 의견이다.

 김태봉 KTB솔루션 사장은 “카스를 시연한 결과 여느 DDoS 공격 툴처럼 대상 웹 페이지가 통째로 다운되는 결과가 나왔다”며 “일부 서비스만 선택적으로 중단하려면 전문가를 동원한 별도의 해킹기법이 사용됐을 것”이라는 설명이다.

 권석철 큐브피아 사장은 “DDoS 공격으로 DB서버를 공격하기 위해서는 DB의 IP를 알아야하는데 IP를 알아내려면 오랜 기간 준비 작업이 필요했을 것”이라며 “우발적이고 즉흥적인 범행으로 보기 어렵다”고 설명했다.

Photo Image
인터넷에서 다운받은 카스 툴을 내부망에서 고의로PC에 감염시키고 실제 구동 결과 정상 동작, 좀비pc내 트래픽 증가 및 타겟 서버 다운되는 것을 확인했다

장윤정기자 linda@etnews.com


브랜드 뉴스룸