태터데스크 관리자

도움말
닫기
적용하기   첫페이지 만들기

태터데스크 메시지

저장하였습니다.

'Zombie PC'에 해당되는 글 2건

  1. 2009.07.13 DDoS 악성코드는 중지되었다?
  2. 2009.07.11 이번 DDoS 공격은 가상 시나리오의 부분 현실화? (2)
보안관련소식2009.07.13 15:20


언론을 통해서 DDoS 악성코드의 공격은 끝난 것처럼 알려지고 있다.

DDoS 공격 기능은 사전에 스케줄링된 바와 같이 정지된 상태가 맞을 것이다.

하지만 현재 감염되어 있는 수 많은 Zombie PC 들이 Mass Mailing 공격을 하고 있다는 사실을 깨달아야 한다.

사용자 삽입 이미지


그 만큼 감염되어 있는 컴퓨터가 많다는 것이다.

현재 시간 2009년 7월 13일 오후 3시경 15만 2천건의 공격 필터링이 감지되고 있다.

물론 이 통계 수치는 내부에서만 잡힌 것이기 때문에 다른 곳에 유입되는 가중치와 연속 중복 수치는 오차 범위로 산정하여야 한다.

 


Posted by viruslab
보안관련소식2009.07.11 18:03


개인적으로 이번 국가기관, 주요 포털 및 금융, 언론, 보안사이트 등을 대상으로 한 분산 서비스 거부(DDoS : Distributed Denial of Service) 공격과 악성코드에 노출된 개인 컴퓨터를 대상으로 한 데이터 파괴 공격, 불특정 다수에 대한 Mass Mailer 공격 등은 나름대로 아주 오래 전부터 이론적 예측으로만 생각했던 가상 사이버 테러 시나리오와 견주와 봤을 때 매우 유사한 점이 있다.


물론 이러한 공격기법은 전혀 새로운 것은 아니다.
일부 코드는 기존에 발견되었거나 소스가 공개된 악성코드를 사용했다는 점에서 특히 그러하다.

다만, 실질적인 DDoS 공격으로 인한 직접적인 피해가 발생하기 전 까지 사태의 심각성을 일부 깨닫지 못했던 점과 엄청난 사용자들의 컴퓨터가 새로운 악성코드에 감염되어 C&C의 코드 공격 명령(변종 포함) 등을 대기하고 공격 근원지가 되는 일종의 사이버 전투 부대화되어가고 있었다는 것을 각 보안기관과 연구원들이 사전에 인지하지 못했다는 것은 안타깝지만 인정하지 않을 수 없는 사실이다.

약 13년 여간 악성코드와 관련된 정보 보안쪽에서 활동해오면서그 동안 가상 시나리오로만 생각했던 이번 공격은 개인적으로 일부 현실화되였다는 부분에서 바쁘게 DDoS 공격 긴급 대응업무를 처리하는 과정에서도 나름 놀라지 않을 수 없었다.

아직도 구체적으로 확인되지 않은 초기 악성코드 감염 기법(취약점)과 최초 유포 경유지(진원지) 등이 면밀하게 밝혀지지 않고 있다는 부분 또한 아직 알 수 없는 미지의 공격자가 추후 어떠한 재무장을 하여 또 다른 공격 시도를 감행할 것인지 알 수 없다는 점은 그 만큼 사전 방어책 준비에 다소 시일이 소요될 수 있는 부분이 아닐까 싶기도 하다.

이번에 있었던 일명 "7.7 DDoS" 국가적 대란 사태를 경험하면서 개인적으로 가장 궁금한 것은 도대체 어떠한 방식을 사용하여 Zombie 컴퓨터로 몰락한 그 수 많은 개인 사용자들의 컴퓨터에 DDoS 공격용 프로그램을 사용자 몰래 설치했을까이고, 그 과정에 소요된 시간과 보안 취약점은 무엇일까라는 점이다.

참고로 글 작성자인 본인은 2009년 7월 6일 월요일에 국내 감염 컴퓨터의 신고 접수를 최초로 받은 바 있고 원격접속으로 처음 분석을 하게 되었으며, 당시에는 언론상에서 1차 공격(한국 공격 기준 분류법)이라고 분류하고 있는 악성코드가 아닌 그 이전의 변종을 목격하였다.

당시에 국내의 컴퓨터는 미국 아마존 사이트(http://www.amazon.com)를 공격하고 있었던 변종이었고, 사전에 치밀하게 정해진 시간이 지남에 따라 공격 목표 사이트가 자동으로 한국으로 바뀌게 된 것으로 볼 수 있다.

이미 한국 사이트를 공격하기 전에 미국의 특정 사이트를 선제 공격(사전 모의 테스트?)하고 있었던 점이 특징이라 할 수 있으며, 7월 7일 이후부터 공격 목표가 미국에서 한국을 향해 방향을 변경하였다는 점이다. 물론 이후에도 일부 미국 사이트는 계속해서 공격 대상에 포함되어 있기도 하였다.

따라서 실제로 이번 공격은 미국의 독립기념일(Independence Day)인 7월 4일 다음날인 7월 5일경부터 시작된 것으로 보여지고 있다.
그래서인지 몰라도 공격자는 악성코드에 "Memory of the Independence Day" 라는 문구를 넣어 두었고, 데이터 파괴에 이용한다.

아마도 미국 독립기념일(7월 4일)과 관련하여 준비되고 공격된 이번 DDoS 피해를 기억하라는 의미는 아닐지 모르겠다.
그렇다면 내년 미국 독립기념일이 두번째 예고된 공격일이 될지도 모른다는 조심스런 예측도 해보게 된다.


7월 5일경 부터 7월 6일까지 공격 대상으로 이용되었던 해외 주요 사이트 목록은 다음과 같다.

- http://www.whitehouse.gov
- http://www.faa.gov
- http://www.ustreas.gov
- http://www.dhs.gov
- http://www.state.gov
- http://www.dot.gov
- http://www.ftc.gov
- http://www.nsa.gov
- http://www.usps.gov
- http://www.voanews.com
- http://www.yahoo.com
- http://www.defenselink.mil
- http://travel.state.gov
- http://www.nyse.com
- http://www.nasdaq.com
- http://www.site-by-site.com
- http://www.marketwatch.com
- http://finance.yahoo.com
- http://www.usauctionslive.com
- http://www.usbank.com
- http://www.amazon.com

7월 7일 한국내에서 발견되었던 사이트 목록을 보면 다음과 같다.

- http://www.president.go.kr (청와대)
- http://www.mnd.go.kr (국방부)
- http://www.mofat.go.kr (외교통상부)
- http://www.assembly.go.kr (국회)
- http://www.usfk.mil (주한미군)
- http://blog.naver.com (네이버 블로그)
- http://mail.naver.com (네이버 메일)
- http://banking.nonghyup.com (농협 인터넷 뱅킹)
- http://ezbank.shinhan.com (신한은행 인터넷 뱅킹)
- http://ebank.keb.co.kr (외환은행 인터넷 뱅킹)
- http://www.hannara.or.kr (한나라당)
- http://www.chosun.com (조선일보)
- http://www.auction.co.kr (옥션)
- http://www.whitehouse.gov (백악관)
- http://www.faa.gov (미 연방 항공청)
- http://www.dhs.gov (미 국토 안전부)
- http://www.state.gov (미 국무부)
- http://www.voanews.com (미국의 소리 방송)
- http://www.defenselink.mil (미 국방부)
- http://www.nyse.com (뉴욕 증권 거래소)
- http://www.nasdaq.com (나스닥)
- http://finance.yahoo.com (야후 금융정보)
- http://www.usauctionslive.com (미국 옥션)
- http://www.usbank.com (US Bank)
- http://www.washingtonpost.com (워싱턴 포스트)
- http://www.ustreas.gov (미 재무부)

* 7월 8일 오후부터 변경 추가된 공격 대상 사이트는 다음과 같다.

- http://www.mnd.go.kr (국방부)
- http://www.president.go.kr (청와대)
- http://www.ncsc.go.kr (국정원 국가사이버안전센터)
- http://mail.naver.com (네이버 메일)
- http://mail.daum.net (다음 한메일넷)
- http://mail.paran.com  (파란 메일)
- http://www.auction.co.kr (옥션)
- http://www.ibk.co.kr (기업은행)
- http://www.hanabank.com (하나은행)
- http://www.wooribank.com  (우리은행)
- http://www.kbstar.com (국민은행)
- http://www.altools.co.kr (알툴즈)
- http://www.ahnlab.com (안철수 연구소)
- http://www.usfk.mil (주한미군)
- http://www.egov.go.kr (전자민원 G4C)
- http://www.chosun.com (조선일보)

그러면 여기서 잠깐 개인적으로 생각하여 여러차례 가까운 지인들에게만 언급했던 가상 사이버 테러 시나리오를 짚어보고 가보면 어떨까 싶다.

저를 포함하여 일선 보안업계에 계신 수 많은 보안 연구분들이 다년간 악성코드에 대한 관제 및 분석 대응을 하다보면 "이러한 공격 방식이 언제쯤 실제로 나타나지 않을까?"에 대한 우려와 걱정반으로 준비를 하고 계셨던 것이 사실이기도 하다.

그리고 영화 "다이하드4"의 물리적 하이테크 테러(Fire Sale) 공격과 같이 다소 현실적 어려움이 존재하는 것은 어찌보면 영화에서만 볼 수 있었던 것으로 생각할지도 모른다.

사용자 삽입 이미지

※ Fire Sale : http://en.wikipedia.org/wiki/Fire_sale
국가 기간의 전체 구조에 대한 체계화되고 조직화된 3단계 국가적 디지털 공격형태를 의미하며, 사회 혼란을 가중시킬 수 있는 국가 사이버 테러라 할 수 있다.

1단계 : 주요 교통 체계(신호등 교란)와 통신망(지상파) 등을 파괴(마비)하거나 제어권 장악
2단계 : 전기(발전소), 가스, 수도 등 공공 국가 시설물의 통제권 장악
3단계 : 장악한 각종 무력 권한을 통한 국가기간망 초토화 공격

사용자 삽입 이미지

하지만 이러한 공격방식은 이론적으로 가능하나 구조적으로 매우 어렵거나 불가능할 수 있는데, 그 이유는 국가 주요 시설물의 네트워크망은 내부용과 외부용이 따로 따로 분리되어 있다는 점과 주요 국가 시설물 관리용 제어 컴퓨터는 대부분 외부 네트워크와는 단절되어 운용되고, 그 중요도 만큼 보안시스템도 매우 강화되어 있다는 점을 꼽을 수 있을 것이다.

그래서 영화에서는 공공시설 건물 등에 직접 침입하여 내부 네트워크에 접근하는 과정을 볼 수 있었지만, 외부의 공격자가 모든 시설물의 건물에 침입하고 주요 권한을 획득하기란 현재의 물리적 보안 시스템을 우선적으로 무력화해야 한다는 현실적 어려움이 함께 존재하기 때문이다.

자 그러면 공격의 범위나 방식이 꼭 해당 국가 시설물의 통제권 획득만이 있을까? 결론부터 말하면 꼭 그렇지는 않다는 것이다.

IT강국인 대한민국이 이번과 같이 주요 정부기관의 홈페이지, 포털 사이트, 인터넷 뱅킹 서비스, 온라인 전자 상거래, 뉴스 및 언론 사이트, Anti-Virus 서비스업체 등 인터넷 웹 기반의 정보 제공업자를 기반으로 하고 있는 곳이 서비스 거부 공격에 무력화 될 경우 불특정 국민들에게 어떠한 피해를 직간접적으로 야기시킬 수 있을 것인가에 대한 점을 다시 한번 생각해 보면 좋지 않을까 싶다.

[가상 사이버 테러 시나리오]

아래 내용은 접근 방식이 "가상"이라는 점을 먼저 공감해 주시고 읽어주시기 바랍니다.

1. 새로운 공격 기법이 필요하다.

사이버 테러 조직(개인)은 제일 먼저 그 동안 전혀 알려지지 않는 새로운 공격 방식 도입과 그 과정에 필요한 Zero-Day(Hour) Attack 을 준비하여야 한다. 이를 통해서 자신이 준비한 신종 악성코드 프로그램이 아무도 눈치채지 못하도록 하는 것이 가장 중요한 임무이다.

주) 아무도 모르는 취약점을 이용하는 것이 이론처럼 그렇게 쉽진 않겠죠? 각국에 전방위적으로 포진되어 있는 수 보안 전문가들도 그러한 공격에 대비하여 24시간 모니터링을 하고 365일 맞대응 준비를 하고 있으니깐요.

2. 공격 방식과 대상을 지정한다.

특정 공격 대상 선정과 불특정 다수 공격 방식에 따라서 공격 방식을 다르게 지정하며, 두가지 모두 침입 흔적(접근 로그 기록 등)을 완벽하게 제거한다는 조건을 우선시 한다.

- 특정 공격 대상 : 대상 조직과 관련된 웹 사이트의 자료를 수집하여 분석하고, 해당 자료를 기반으로 하여 접속자에 대한 개인정보 유출 및 관련 시설의 정상 서비스 방해나 파괴 등을 시행할 수 있는 공격 프로그램을 몰래 설치한다.

- 불특정 다수 : 수 많은 사람들이 이용하는 포털 사이트나 유명 인터넷 사이트 등을 아무도 몰래 침입하고, 사전에 준비된 취약점과 공격 프로그램을 설치한다.

주) 특정 공격 대상(특정 웹 사이트 서비스 거부 공격) + 불특정 다수(일반 개인 데이터 파괴)을 함께 시행하는 경우가 이번 DDoS 의 한 예라고 말할 수 있겠네요.

3. 가능한 단 시간에 대량 살포를 실시한다.

인터넷 사용자 접속이 많은 사이트에 악성코드를 유포하도록 취약점이 노출되었다면 매우 짧은 시간에 악성코드 공격 기지를 구축할 수 있게 되고, 일종의 Zombie PC 군단, Bot Net 사이버전 부대가 만들어지게 된다.

공격 전초 기지를 통해서 악성코드 감염자 수를 실시간으로 기록 체크하여 완벽한 공격태세를 준비하고 대기한다.

주) 웹 사이트를 통한 악성코드 설치는 현재도 많이 이용되는 악성코드 유포기법이라 할 수 있습니다.

4. 잠복하고 은폐하여 공격 명령 전까지 발각되지 않는다.

사용자 몰래 잠입한 악성코드가 사용자 본인이든 보안 프로그램이든 쉽게 발각되어 신고된다면 특정 공격 명령이 하달되기 전에 힘없이 무력화 될 것이다. 따라서 절대로 사용자가 인지하지 못하도록 치밀하게 제작되어져야 한다.

주) 현재의 수 많은 악성코드는 감염되자 마자 특징적인 증상을 유발하기 때문에 쉽게 발견 보고가 되고 치료 프로그램이 신속하게 배포되고 있지요.

5. 다양한 공격 패턴으로 초토화 명령을 시행한다.

특정 조건(날짜, 시간, 공격자 명령 등)이 성립되면 감염된 모든 컴퓨터를 이용하여 전 방위적 공격이 감행되며, 공격 방식은 매우 다양하게 조절될 수 있다.

이번처럼 특정 웹 사이트를 DDoS 공격하여 정상적인 서비스를 방해할 수도 있고, 또 다른 악성코드를 유포하는데 사용할 수도 있으며, 감염된 컴퓨터의 모든 데이터를 한 순간에 파괴할 수도 있다.

더불어 인터넷 뱅킹, 포털 사이트 공격, 주요 온라인 서비스 등을 중지시켜 사회적 혼란을 야기시키거나 2차, 3차 연속적인 바이러스 프로그램 공격 등을 통해서 다량의 피해를 입힐 수 있게 된다.

(주) 인터넷 세상이라 할 만큼 우리는 하루 하루 인터넷과 함께 지내고 있다는 점이 어찌보면 그 만큼 위험 요소로 작용하고 있는 것은 아닐까 고민해 보도록 하지요. (가상 시나리오 끝)

위와 같이 간단하게 정리해 본 가상 시나리오는 사실상 이론적으로 충분히 가능한 부분도 존재하지만, 역시나 그에 대한 보안 업계의 신속한 대응을 무시할 수 없는 부분이라 할 수도 있겠다.

이번 DDoS 공격 피해와 관련하여 공개되지 않은 많은 비하인드 스토리와 아직도 24시간 대응하느라 고생하시는 많은 관계자분들의 노고에 큰 박수와 감사의 말씀을 보냈으면 한다.

마지막으로.. 불행 중 다행이다? 아니면 앞으로 예고되어 있을지 모를..공격에 대해서 만반의 준비태세를 갖추고 더 이상의 혼란은 없어졌으면 하는 바램이다.

혹시 이 글을 금번 DDoS 공격을 주도했던 사람이 볼지도 모르겠지만...

처음 감염되었던 Zombie PC 들이 DDoS 공격이 우선이 아니라 좀더 많은 개인 컴퓨터를 감염시키도록 일정 잠복기를 거치고 즉시 파일 파괴 명령이 수행되었다면 이번보다 더 큰 사회 혼란(사이버 테러)이 있지는 않았을까 하는 생각을 하면서 마무리하고자 한다.

재미없는 긴글 읽어주시느라 고생하셨고, 감사드립니다.

Posted by viruslab