태터데스크 관리자

도움말
닫기
적용하기   첫페이지 만들기

태터데스크 메시지

저장하였습니다.

'선벨트'에 해당되는 글 1건

  1. 2009.07.13 DDoS 악성코드와 배후설 그리고 전쟁의 정당화? (22)
보안관련소식2009.07.13 08:15


http://sunbeltblog.blogspot.com/2009/07/nuttiness-has-started-show-of-force-or.html

http://sunbeltblog.blogspot.com/2009/07/ddos-global-hysteria.html

http://news.kukinews.com/article/view.asp?page=1&gCode=pol&arcid=0921350631&code=41111111&cp=nv1


http://voices.washingtonpost.com/securityfix/2009/07/pcs_used_in_korean_ddos_attack.html

http://news.naver.com/main/read.nhn?mode=LPOD&mid=sec&sid1=001&sid2=140&oid=001&aid=0002759356&isYeonhapFlash=Y

http://news.mt.co.kr/view/mtview.php?no=2009071014324512470&type=2&HEV1

사용자 삽입 이미지

이번 DDoS 악성코드를 대응하면서 느낀 개인사견으로 선벨트 소프트웨어의 연구원은 몇 가지 놓치고 있는 부분이 있다고 생각합니다.

개인적인 주장일 수 있는 부분이지만 회사 블로그를 통한 다소 직접적인 표현은 거부감이 없지 않아 있네요.

미켈란젤로 바이러스이후 통상적인 악성코드, 정형화된 DDoS 공격, BotNet 등을 비교대상으로 할 것은 분명 아니라고 봅니다.

물론 그 해외 연구원분이 보기에 맨날 나오는 악성코드에 왠 정치색깔의 옷을 입힐까라고 생각하게 했던 부분도 충분히 이해는 가지만, 단순히 과대 해석이나 한면만 보고 판단하는 것도 충분히 해석오류가 있을 것 입니다.

본인이 이런 표현을 한다고 해서 국정원의 이번 북한 배후설 의견에 무조건 동의하는 것은 절대로 아니며, 언론화 되어가는 과정이나 해석하는 사람의 기준에 따라 달라질 수 있는 부분도 엄연히 감안해야 한다는 것을 고려하면 좋지 않을까 하는 바램입니다.

아직 구체적인 정황이나 근거자료가 나왔다고 보기에는 시기상조이니 좀더 관심을 가지고 묵묵히 지켜보는 것도 하나의 방법이겠지요.

또한 아직 증명되지 않고 단순히 가능성을 열어놓고 조사를 하는 과정에 있다고 보거나 자기 스스로 너무 민감하게 반응하지 않는것도 정신건강에 참 도움이 될 것입니다.

배후이 아닌 배후로 최종 지목될 때까지 말이죠.

단순히 설이라는 가정하에 진행되고 있는 부분을 스스로 더 크게 판단하고 바라보는 시각도 오해의 시점이 될 수 있을테니깐요. 다양한 의견과 반대 방향의 접근 방식도 오픈마인드로 받아들이되 스스로 필터링하는 기준을 삼고 있다면 큰 문제는 되지 않을 것 같습니다.

이번 논쟁이 전쟁의 정당화로 이용? 어느 분이 그런 말씀을 하셨는지 모르겠지만 한번 찾아보도록 하겠습니다.
개인적으로 오히려 그런 발언이 또 다른 오해가 되는 요소로 작용하는 것은 아닐까 우려도 되는 부분입니다.

1. 이번 DDoS 공격도구가 기존에 있던 DDoS 기법과 다른 점
- 한국내에 사전에 감염되어 있던 많은 Zombie PC를 이용한 DDoS 공격(상대적 큰 비율)
- 데이터 파괴 기능 보유 (MBR)
- Mass Mailer 공격 기능

2. Mydoom 웜 소스 코드가 수 년전 공개되어 악용되었다는 점
- 마이둠 웜 소스를 구해서 사용했을 정도면 사전에 악성코드와 관련된 다양한 자료를 보유하고 있거나 잘 아는 사람(조직)
- http://www.crn.com/security/18831436;jsessionid=H0JJNOYSMNUUCQSNDLRSKH0CJUNN2JVN

3. 한국 공격 대상 사이트들에 대한 성향의 특징
- 청와대, 국회, 주한미군, 외교통상부 국방부 등 한국의 주요 국가기관을 공격 대상으로 선정

4. 코드 내부에 존재하는 다수의 한국적 특색
- _MUTEX_AHN_V3PRO_
- Accept-Language: ko
- euc-kr
-
.alz
- .hwp
- .hna
- .kwp
- .gul

5. 공격 서버 IP 만으로 공격자의 국적을 정하는 것은 억측
- 보통 악성코드 근원지, 숙주 서버를 활용할 때는 해외에 존재하는 서버를 해킹해서 루트권한을 먼저 획득하고 사용하죠.
- 바보가 아닌 이상 공격자는 자신의 컴퓨터로 접근해서 기록을 남겨주진 않겠죠.
- 추적을 못하도록 여러 서버를 우회하고 경유하죠.

6. 구입된 Bot Master 이용?
- 특별한 이득도 없는 공격에 거금을 주고 Bot Net 을 구입한다? 현실적으로 누가요?

7. 공격시간이 6시를 기점으로 변경
- 보통 Zombie PC를 이용하여 공격을 한다면 해당 컴퓨터가 켜지는 시점을 최대한 활용해야 겠지요.
- 오후 6시라는 시간대는 직장인들에게는 퇴근시간대이고, 학생들에게는 컴퓨터를 켜는 시간대라고 볼 수 있겠지요.
- http://viruslab.tistory.com/893
- 그렇다면 직장인보다는 학생들의 컴퓨터가 더 많이 감염되어 있었을 수 있겠다고 가정할 수 있겠지요.

8. nls 확장자 파일을 이용해 DDoS 공격 리스트 활용
- http://msdn.microsoft.com/en-us/goglobal/bb896001.aspx
-  6월 30일 한국기계연구원 광주 전산망 DDoS 공격에 사용되었던 확장자

[자료 참고]

일단 이 자료들은 이번 DDoS 악성코드 제작자가 한국적 특색을 매우 잘 알고 있다는 것을 반증한다고 보시면 됩니다.

물론 외국에 거주하는 교포거나 아니면 한국을 너무 잘 아는 외국인일지도 모르겠지만요. 가능성적인 측면에서 접근했다고 봐주시면 참고가 될 듯 싶습니다.

제작자가 검거되기 전까진 공격지(자)를 말하는 것은 아직 성급한 판단이겠지만 나름대로 판단해 보시면 일단 한국을 전혀 모르는 악성코드 제작자가 한 것은 분명 아니겠지요.

공격코드 내부에서 사용하는 Mutex 값에 안철수 연구소의 제품을 의미하는 AHN V3PRO 라는 문자열을 보실 수 있습니다.
안철수 연구소의 V3 PRO 제품을 사용하는 사람이 악성코드를 만들었을까요?


프로그램 제작시 한국을 의미하는 ko, kr 문자를 사용합니다.
제작자가 악성코드 제작시 사용한 운영체제가 한글 윈도우(개발프로그램)이거나 한글언어팩을 사용했다고 봐야겠지요?! 




위의 화면은 현재 유포되고 있는 Mass Mailer 공격에 사용되는 코드이며, ROT13 단순 암호화 기법을 사용하는 부분입니다.

뭐 이건 마이둠 변종들이 그렇듯이 Mydoom 소스상에 포함되어 있는 암호화 알고리즘으로 보면 될 것입니다. 따라서 악성코드 제작자가 직접 도입한 방식은 아니겠지요.


DDoS 악성코드가 파괴하는 확장자명에 *.alz, *.kwp,*.gul, *.hna, *.hwp 등 한국적 프로그램의 확장명이 포함되어 있습니다.

특히 여러분들이 자주 접하지 못했던 확장자들도 보이시죠?

alz : 알집 압축 확장자
hna, kwp : 하나 워드 프로세서 확장자
gul : 훈민정음 워드 프로세서 확장자
hwp : 아래아 한글 워드 프로세서 확장자


http://blog.naver.com/leehk0079?Redirect=Log&logNo=140039921189

하나워드는 금성소프트웨어(현 효성그룹의 홍진데이타서비스)에서 개발한 도스용 워드 프로세서로, 군대와 국가행정전산망용 워드프로세서로 사용되던 프로그램입니다.

그렇다면 DDoS 공격용 악성코드가 하나워드 파일을 삭제 대상으로 사용하고 있다는 사실에서 유추할 수 있는 내용은 아래와 같이 정리해 볼 수 있겠네요.

제일 먼저 이번 DDoS 공격 프로그램을 제작하고 사용한 사람 또는 배후에는 우리나라의 공공 및 국가기관이 예전에 사용하였던 다양한 응용 프로그램에 대한 사전 지식을 가지고 있다고 볼 수 있겠지요.

이 하나워드 확장자명은 최근의 보안 전문가들에게 이름조차 생소한 것 중 하나이며, 주위에 컴퓨터를 오래 사용한 사람들에게 물어봐도 잘 모르는 경우가 대부분이었습니다.

하나워드는 도스(DOS)운영체제에서 사용되던 워드프로세서 프로그램입니다.
저도 사용해 보지는 못한 프로그램입니다.


윈도95가 개발되고 한컴의 한글 워드프로세서, MS Word 프로세서가 등장한 이후 10년 전부터 전혀 사용되지 않고 있기 때문에 많은 사용자들이 모르는 것이 어찌보면 당연한 일 중에 하나인 프로그램이죠.

현재 사용되고 있지도 않은 하나워드 파일을 공격 대상으로 사용했다는 사실에서 이번 공격의 목표가 단순히 관심을 끌기 위한 장난성 공격이 아니라 국가 공문서 파괴라는 실질적 목표를 가졌음을 예측해 볼 만한 부분이기도 합니다.

특별히 국가에서 많이 사용하는 문서 파일을 공격대상으로 생각하지 않았던 악성코드 제작자 였다면 일반 사용자의 컴퓨터에는 거의 존재하지도 않는 하나 워드 파일을 삭제 대상으로 넣지는 않았을 것입니다.

물론 이것이 하나의 트릭일 가능성도 있지만 만약 그러한 반전까지 노렸다면 더욱 더 치밀한 공격자라고 말해야 하겠지요!

일반적인 자기 과시용 공격이었다면 하나 워드 파일보다 널리 쓰이는 EXE 나 MP3 등의 파일들을 삭제하는게 더 큰 효과가 있었을 것입니다.
 
이에 따라 국가 공문서를 파괴하기 위한 배후의 대상자가 누가될 수 있겠느냐에 대한 조건성립 차원에서 가장 유력시되는 용의자는 그 만큼 의혹의 대상이 될 수 밖에 없을 것입니다.

단순히 전쟁을 정당화(?)할려고 북한 개입설을 주장하는것은 아니겠지요.

그렇다면 한국과 미국 중 북한 배후설을 주장하는 사람이나 조직은 전쟁을 정당화 한다는 논리일까요?

개인적으로 현재의 이번 논쟁은 포커스를 제대로 빗나간것이 아닌가 싶습니다.

그리고 악성코드 제작자가 국가적인 공격 성향을 가지고 있는데, "난 북한인이고 내가 공격했다"라며 증거자료를 넣어두지 않는 것은 자명할 부분일 것입니다.

마이둠 웜 변종 코드를 사용해서 이게 단순 마이둠 변종으로 오해를 한건 아닐까 싶기도 합니다.

결론은 악성코드를 유포한 근원지 또는 기법에 대한 구체적인 자료 증거가 우선 확보되어야 하지 않을까 싶네요.

그 만큼 다들 악성코드 유포지를 찾아내기 위해서 혈안이 되어 있는지도 모르겠지만 말입니다.

다량으로 악성코드 감염자가 발생할 만큼 철두철미하게 유포를 했다면 자신의 흔적도 철저히 제거했을 것으로 보입니다.

이번 공격자가 또 다른 공격을 생각하거나 준비하고 있을지도 모르겠구요.

꼬리가 길면 잡히는 법.. 우리모두 다음엔 꼬리를 잡도록 해야겠습니다.


Posted by viruslab
TAG