태터데스크 관리자

도움말
닫기
적용하기   첫페이지 만들기

태터데스크 메시지

저장하였습니다.

'대응팀'에 해당되는 글 2건

  1. 2009.08.24 안철수 연구소 ASEC 대응팀 블로그 (5)
  2. 2009.07.14 DDoS공격자, 좀비PC 파일유출 왜?
보안관련소식2009.08.24 19:05
보안관련소식2009.07.14 15:31


청와대와 주요 금융기관 웹사이트 등을 겨냥해 분산서비스거부(DDoS)공격을 시도했던 해커들이 좀비PC 정보유출까지 시도한 것으로 포착돼, 공격자의 의도에 귀추가 주목되고 있다.

사용자 삽입 이미지

DDoS 공격사건을 수사 중인 경찰청 사이버테러대응센터는 13일 공격에 이용된 수만대의 좀비PC에서 실행된 악성코드에 스파이웨어 기능이 포함된 있었던 것을 포착했다.

좀비 PC에 저장된 파일목록 일부를 전세계 59개국 총 416대 시스템에 전송됐다는 것. 유출된 정보는 바탕화면, 내문서, 오피스에 있는 최근 문서파일, 한글 문서파일, 즐겨찾기 파일목록, 프로그램 목록 등이다.

◇"핵심 데이터 유출 시도로 봐야할 것"

그러나 경찰은 파일이름 목록 외에 파일 등 다른 데이터 유출은 없었던 것으로 파악했다.

경찰은 "어떤 이유로 공격자가 파일목록만 수집했는지 현재로선 알 수 없다"며 "이에 대한 수사를 진행 중"이라고만 밝혔다.

이에 대해 보안 전문가들은 결과적으로 컴퓨터내 데이터 유출을 위한 사전탐지 작업일 가능성이 높다는 분석을 내놓고 있다.

이전에도 일부 악성코드에서 파일목록만 종종 빼가는 경우가 있었다는 게 백신업계의 전언이다.

수만대의 좀비PC내 주요 파일명을 우선적으로 검색한 뒤 유출할 필요성이 높은 핵심정보들을 걸러내 향후 추가적인 데이터 유출을 시도할 목적이었다는 것.

안철수연구소 시큐리티대응센터 조시행 상무는 "현재 유포된 DDoS 공격용 악성코드에 감염된 PC는 이미 공격자의 수중에 장악돼 있다고 봐야 한다"이라며 "언제든 공격자가 내부 정보를 빼갈 수 있는 원격제어 프로그램을 추가적으로 설치할 수 있기 때문"이라고 지적했다.

일각에선 '즐겨찾기 목록'을 유출한 것은 PC 이용자들이 자주 찾아 접속하는 웹사이트를 분석하기 위한 것 아니냐는 분석도 나오고 있다.

악성코드를 대량 유포하기 위해선 방문자수가 많은 웹사이트를 해킹한 뒤 그곳 방문자들을 상대로 악성코드를 유포시키는 것이 일반화돼 있다.

◇416개 서버전송, 추적회피? 데이터 분산수용?

왜 전세계 59개국 총 416대나 되는 시스템을 전송지로 이용한 것인지도 미스테리다.

이에 대해 다른 보안 전문가는 "아마도 수사당국의 추적을 회피하기 위해 허위 사이트를 수백개 만들었을 것"이라는 추정을 내놓고 있다.

이 중 실제 해커가 접근하는 사이트수는 제한돼 있을 것이라는 설명이다.

실제 그동안 데이터 유출을 시도했던 공격자들이 대부분 복수의 전송지를 두고 있다는 설명이다.

잉카인터넷 문종현 대응팀장은 "수만대의 좀비PC에서 전송되는 정보를 중요도 혹은 권역별로 분산 수용시키거나, 상호 백업체제로 활용됐을 가능성도 높다"고 분석했다.

그렇다해도 무려 400여대가 넘는 서버에 데이터를 전송했다는 점은 공격자의 또다른 의도가 있을 수 있다는 것이 보안 전문가들의 지적이다.

Posted by viruslab