18시30분 40개 웹사이트 디도스 공격…진단·예방법은?
입력
수정
국가기관, 금융기관과 주요 인터넷기업 등 29개 웹사이트에 대한 분산서비스거부(디도스·DDoS) 공격이 4일 오전 10시께 발생한 가운데 안철수 연구소는 오후 6시 30분부터 40개 웹사이트가 공격을 받을 것이라고 예측했다.
이에 따라 안철수연구소는 ASEC(시큐리티대응센터)과 CERT(컴퓨터침해사고대응센터)를 비롯해 전사 비상 대응 체제를 가동하는 한편 DDoS공격을 유발하는 악성코드의 전용백신을 개발해 무료 제공한다고 이날 밝혔다.이날 18시 30분 공격 대상 40개 웹사이트는 네이버, 다음, 옥션, 한게임, 디씨인사이드, 지마켓, 청와대, 외교통상부, 국가정보원, 통일부, 국회, 국가대표포털, 방위사업청, 경찰청, 국세청, 관세청, 국방부, 합동참모본부, 육군본부, 공군본부, 해군본부, 주한미군, 국방홍보원, 미8군 전투비행단, 방송통신위원회, 행정안전부, 한국인터넷진흥원, 안철수연구소, 금융위원회, 국민은행, 우리은행, 하나은행, 외환은행, 신한은행, 제일저축은행, 농협, 키움증권, 대신증권, 한국철도공사, 한국수력원자력이다.
◇좀비 PC 진단은…
디도스 공격을 유발하는 악성코드는 ntcm63.dll, SBUpdate.exe, ntds50.dll, watcsvc.dll, soetsvc.dll, mopxsvc.dll, SBUpdate.exe 등이다. 이들 악성코드가 설치된 PC는 이른바 '좀비 PC'가 돼 일제히 특정 웹사이트를 공격한다. 안철수연구소는 이들 악성코드를 진단/치료할 수 있는 긴급 전용백신(http://www.ahnlab.com/kr/site/download/vacc/downFile.do?file_name=v3removaltool.exe )을 개발해 개인은 물론 기업/기관에도 무료 제공 중이다.
개인용 무료백신 'V3 LIte'( http://www.V3Lite.com )를 비롯해 'V3 365 클리닉'( http://v3clinic.ahnlab.com/v365/nbMain.ahn ), V3 Internet Security 8.0 등 모든 제품군 사용자는 사용 중인 제품의 최신 버전으로 진단·치료할 수 있다.
이들 악성코드는 디도스 공격 외에 V3 엔진 업데이트를 제공하는 인터넷 주소의 호스트 파일을 변조해 업데이트를 방해한다. 또한 PC내 문서 및 소스 파일을 임의로 압축하는 증상도 있다. ◇디도스 공격 누가 왜?
악성코드가 유포된 경로는 국내 P2P사이트인 셰어박스와 슈퍼다운인 것으로 밝혀졌다. 공격자는 이들 사이트를 해킹해 셰어박스 업데이트 파일과 슈퍼다운 사이트에 올려진 일부 파일에 악성코드를 삽입해 유포했다. 유포 시각은 3월3일 오전 7시~9시로 추정된다.
이번 공격은 지난 2009년 7월 7일부터 9일까지 국내 23개 웹사이트를 겨냥한 7.7 디도스 대란 때와 유사하다. 그러나 누가 어떤 의도로 디도스 공격을 시도했는지는 아직 파악되지 않고 있다.업계에 따르면 디도스 수법 특성상 이른바 좀비PC를 통해 공격이 가해진다는 점, 7.7 대란 당시와 마찬가지로 금전이나 특정 목적이 없다는 점에서 범인을 찾기는 쉽지 않을 것이란 분석이다.
안철수 연구소에 따르면 3월4일 오전 10시부터 29개 웹사이트가 공격을 받았으며 이들은 네이버, 다음, 한게임, 디씨인사이드, 지마켓, 청와대, 외교통상부, 통일부, 국회, 국가대표포털, 방위산업청, 경찰청, 국세청, 국방부, 합동참모본부, 육군본부, 공군본부, 해군본부, 주한미군, 행정안전부, 한국인터넷진흥원, 안철수연구소, 금융위원회, 국민은행, 외환은행, 신한은행, 농협, 키움증권, 대신증권이다.
또 한국인터넷진흥원(KISA)에 따르면 이날 오전 디도스 공격에 동원에 좀비 PC는 1만1000대로 잠정 집계됐다.
앞서 방통위에서는 이번에 감염된 좀비PC의 수는 2009년 7월 공격 당시의 11만5000대에 비해 소규모인 720여대라고 밝힌 데 이어 급증한 것이다.
안철수연구소도 V3 이용자 중 악성코드에 유포돼 이번 공격에 동원된 좀비PC의 수는 4300대 정도로 추정하고 있다.
현재 국내 V3 이용자가 1800만명 수준이라는 것을 감안하면 실제 좀비PC의 수는 이보다 훨씬 더 많을 것이라는 전망도 나오고 있다.
◇좀비 PC 예방은…
안철수연구소는 좀비PC를 예방하기 위한 방법으로 △윈도 운영체제(OS), 인터넷 익스플로러, 오피스 제품의 최신 보안 패치를 모두 적용할 것 △통합보안 소프트웨어를 설치할 것 △이메일 확인 시 발신인이 모르는 사람이거나 불분명한 경우 유의할 것 △페이스북, 트위터 등 소셜네트워크서비스(SNS) 이용 시 잘 모르는 사람의 페이지에서 함부로 단축 URL을 클릭하지 말 것을 당부했다.
특히 SNS나 온라인 게임, 이메일의 비밀번호를 8자리 이상으로 설정하고 최소 3개월 주기로 변경해야 한다. 또 웹 서핑 시 특정 프로그램을 설치하라는 창이 뜰 때는 신뢰할 수 있는 기관의 서명이 있는 경우에만 '예'를 클릭해야 한다고 조언했다.
P2P 프로그램 사용 시 파일을 다운로드할 때는 반드시 보안 제품으로 검사한 후 사용하고 정품 소프트웨어를 사용해야만 좀비PC로 감염되는 것을 막을 수 있다는 설명이다.안철수연구소 김홍선 대표는 "PC가 디도스 공격에 악용되지 않게 하려면 평소 보안 수칙을 실천하는 것이 중요하다. 운영체계의 보안 패치를 최신으로 유지하고, 백신 프로그램을 설치해 항상 최신 버전으로 유지하고 실시간 검사 기능을 켜두어야 한다. 또한 이메일, 메신저의 첨부 파일이나 링크 URL을 함부로 열지 말고, P2P 사이트에서 파일을 내려받을 때 백신으로 검사하는 습관이 필요하다. 또한 웹사이트를 운영하는 기업·기관에서는 디도스 차단 기능이 있는 네트워크 보안 솔루션이나 보안관제 서비스를 이용해 피해를 최소화하는 것이 중요하다"라고 강조했다.
한경닷컴 김동훈 기자 dhk@hankyung.com
이에 따라 안철수연구소는 ASEC(시큐리티대응센터)과 CERT(컴퓨터침해사고대응센터)를 비롯해 전사 비상 대응 체제를 가동하는 한편 DDoS공격을 유발하는 악성코드의 전용백신을 개발해 무료 제공한다고 이날 밝혔다.이날 18시 30분 공격 대상 40개 웹사이트는 네이버, 다음, 옥션, 한게임, 디씨인사이드, 지마켓, 청와대, 외교통상부, 국가정보원, 통일부, 국회, 국가대표포털, 방위사업청, 경찰청, 국세청, 관세청, 국방부, 합동참모본부, 육군본부, 공군본부, 해군본부, 주한미군, 국방홍보원, 미8군 전투비행단, 방송통신위원회, 행정안전부, 한국인터넷진흥원, 안철수연구소, 금융위원회, 국민은행, 우리은행, 하나은행, 외환은행, 신한은행, 제일저축은행, 농협, 키움증권, 대신증권, 한국철도공사, 한국수력원자력이다.
◇좀비 PC 진단은…
디도스 공격을 유발하는 악성코드는 ntcm63.dll, SBUpdate.exe, ntds50.dll, watcsvc.dll, soetsvc.dll, mopxsvc.dll, SBUpdate.exe 등이다. 이들 악성코드가 설치된 PC는 이른바 '좀비 PC'가 돼 일제히 특정 웹사이트를 공격한다. 안철수연구소는 이들 악성코드를 진단/치료할 수 있는 긴급 전용백신(http://www.ahnlab.com/kr/site/download/vacc/downFile.do?file_name=v3removaltool.exe )을 개발해 개인은 물론 기업/기관에도 무료 제공 중이다.
개인용 무료백신 'V3 LIte'( http://www.V3Lite.com )를 비롯해 'V3 365 클리닉'( http://v3clinic.ahnlab.com/v365/nbMain.ahn ), V3 Internet Security 8.0 등 모든 제품군 사용자는 사용 중인 제품의 최신 버전으로 진단·치료할 수 있다.
이들 악성코드는 디도스 공격 외에 V3 엔진 업데이트를 제공하는 인터넷 주소의 호스트 파일을 변조해 업데이트를 방해한다. 또한 PC내 문서 및 소스 파일을 임의로 압축하는 증상도 있다. ◇디도스 공격 누가 왜?
악성코드가 유포된 경로는 국내 P2P사이트인 셰어박스와 슈퍼다운인 것으로 밝혀졌다. 공격자는 이들 사이트를 해킹해 셰어박스 업데이트 파일과 슈퍼다운 사이트에 올려진 일부 파일에 악성코드를 삽입해 유포했다. 유포 시각은 3월3일 오전 7시~9시로 추정된다.
이번 공격은 지난 2009년 7월 7일부터 9일까지 국내 23개 웹사이트를 겨냥한 7.7 디도스 대란 때와 유사하다. 그러나 누가 어떤 의도로 디도스 공격을 시도했는지는 아직 파악되지 않고 있다.업계에 따르면 디도스 수법 특성상 이른바 좀비PC를 통해 공격이 가해진다는 점, 7.7 대란 당시와 마찬가지로 금전이나 특정 목적이 없다는 점에서 범인을 찾기는 쉽지 않을 것이란 분석이다.
안철수 연구소에 따르면 3월4일 오전 10시부터 29개 웹사이트가 공격을 받았으며 이들은 네이버, 다음, 한게임, 디씨인사이드, 지마켓, 청와대, 외교통상부, 통일부, 국회, 국가대표포털, 방위산업청, 경찰청, 국세청, 국방부, 합동참모본부, 육군본부, 공군본부, 해군본부, 주한미군, 행정안전부, 한국인터넷진흥원, 안철수연구소, 금융위원회, 국민은행, 외환은행, 신한은행, 농협, 키움증권, 대신증권이다.
또 한국인터넷진흥원(KISA)에 따르면 이날 오전 디도스 공격에 동원에 좀비 PC는 1만1000대로 잠정 집계됐다.
앞서 방통위에서는 이번에 감염된 좀비PC의 수는 2009년 7월 공격 당시의 11만5000대에 비해 소규모인 720여대라고 밝힌 데 이어 급증한 것이다.
안철수연구소도 V3 이용자 중 악성코드에 유포돼 이번 공격에 동원된 좀비PC의 수는 4300대 정도로 추정하고 있다.
현재 국내 V3 이용자가 1800만명 수준이라는 것을 감안하면 실제 좀비PC의 수는 이보다 훨씬 더 많을 것이라는 전망도 나오고 있다.
◇좀비 PC 예방은…
안철수연구소는 좀비PC를 예방하기 위한 방법으로 △윈도 운영체제(OS), 인터넷 익스플로러, 오피스 제품의 최신 보안 패치를 모두 적용할 것 △통합보안 소프트웨어를 설치할 것 △이메일 확인 시 발신인이 모르는 사람이거나 불분명한 경우 유의할 것 △페이스북, 트위터 등 소셜네트워크서비스(SNS) 이용 시 잘 모르는 사람의 페이지에서 함부로 단축 URL을 클릭하지 말 것을 당부했다.
특히 SNS나 온라인 게임, 이메일의 비밀번호를 8자리 이상으로 설정하고 최소 3개월 주기로 변경해야 한다. 또 웹 서핑 시 특정 프로그램을 설치하라는 창이 뜰 때는 신뢰할 수 있는 기관의 서명이 있는 경우에만 '예'를 클릭해야 한다고 조언했다.
P2P 프로그램 사용 시 파일을 다운로드할 때는 반드시 보안 제품으로 검사한 후 사용하고 정품 소프트웨어를 사용해야만 좀비PC로 감염되는 것을 막을 수 있다는 설명이다.안철수연구소 김홍선 대표는 "PC가 디도스 공격에 악용되지 않게 하려면 평소 보안 수칙을 실천하는 것이 중요하다. 운영체계의 보안 패치를 최신으로 유지하고, 백신 프로그램을 설치해 항상 최신 버전으로 유지하고 실시간 검사 기능을 켜두어야 한다. 또한 이메일, 메신저의 첨부 파일이나 링크 URL을 함부로 열지 말고, P2P 사이트에서 파일을 내려받을 때 백신으로 검사하는 습관이 필요하다. 또한 웹사이트를 운영하는 기업·기관에서는 디도스 차단 기능이 있는 네트워크 보안 솔루션이나 보안관제 서비스를 이용해 피해를 최소화하는 것이 중요하다"라고 강조했다.
한경닷컴 김동훈 기자 dhk@hankyung.com