DDoS 공격 악성코드 국내 웹하드서 유포

지난 7월초 분산서비스거부(DDoS) 대란의 원인이 된 좀비PC의 악성코드 감염 경로가 국내 웹하드 사이트인 것으로 밝혀졌다.

또 감염된 좀비PC는 크게 4개로 구분된 서버그룹, 최소 61개국 435대의 서버와 통신하면서 지능적·조직적으로 공격에 가담한 것으로 나타났다.

27일 경찰청 사이버테러대응센터는 좀비PC 분석 결과, 공격자가 보안이 취약한 웹하드 사이트를 해킹하고, 사이트 이용에 필요한 프로그램을 악성코드로 바꿔치기한 후 자동 업데이트를 통해 이용자 PC에 악성코드를 심은 것으로 확인됐다고 발표했다.

악성코드를 유포한 웹하드 사이트는 서울과 부산, 2군데로 경찰이 확보한 좀비PC 27대 중 21대가 이 웹하드 사이트를 통해 악성코드를 내려받았다.

또 이번 DDoS 공격이 명령은 해외서버에서, 악성코드 유포는 국내서버를 활용해 입체적인 형태로 진행됐다고 경찰은 밝혔다.

경찰에 따르면, 감염된 좀비PC는 크게 4개로 구분된 서버그룹, 최소 61개국 435대의 서버와 통신하면서 DDoS 공격을 가했다.

기존 DDoS 공격과 달리 4개의 서버그룹이 순차적으로 각각의 기능을 수행하면서, 변형된 C&C 서버 역할을 한 것이다.

◆네트워크형 C&C 서버가 순차적으로 공격

이들 C&C서버는 ▲좀비PC 관리서버 ▲파일정보 수집서버 ▲악성코드 공급서버 ▲좀비PC 파괴서버 등 4가지 종류다.

좀비PC 관리서버는 6개국 9대(독일 3, 미국 2, 캐나다, 오스트리아, 태국, 중국 각 1대)에서 확인된 서버그룹으로 감염된 각각의 좀비PC로부터 IP 등 시스템 정보를 전송받았다.

독일 경찰로부터 확보한 자료에 따르면, 악성코드에 감염돼 시스템정보를 전송한 좀비PC가 전세계 5만5천596대로 이 중 5만4천628대가 국내 PC다.

우리나라 15대를 포함한 59개국 416대의 파일정보 수집서버는 좀비PC에 저장된 파일목록 등 일부를 내려받았다.

경찰은 총 59개국 416대의 서버에 저장된 데이터가 캐나다, 베네수엘라, 이스라엘 등 3개국 3대의 서버에 재전송된 사실을 포착, 정보의 최종 귀착지를 추적하고 있다.

실제 DDoS 공격을 수행하는 악성코드를 좀비PC에 공급한 악성코드 공급서버는 미국 서부에 있는 농장 홈페이지 관리 서버인 것으로 확인됐다. DDoS 공격을 수행하는 악성코드는 그림파일로 위장·은닉돼 있었다고 경찰이 밝혔다.

좀비PC 파괴서버는 하드디스크를 삭제하는 기능의 악성코드를 좀비PC에전달하는 기능을 수행한 서버로, 총 86대 중 6대 서버만이 실제 하드디스크를 삭제하는 기능의 악성코드를 은닉한 것으로 밝혀졌다.

경찰청 사이버테러대응센터 최인석 수사실장은 "지난 DDoS 공격은 전세계 61개국의 서버가 연루됐을 뿐만 아니라 네트워크형 C&C 서버그룹이 순차적으로 공격을 수행해 상당히 조직적"이라며 "좀비PC의 최초 감염경로가 국내 웹하드 사이트로 확인됨에 따라 이용자들의 각별한 주의가 요구된다"고 말했다.