태터데스크 관리자

도움말
닫기
적용하기   첫페이지 만들기

태터데스크 메시지

저장하였습니다.

'선벨트'에 해당되는 글 1건

  1. 2009.07.13 DDoS 악성코드와 배후설 그리고 전쟁의 정당화? (22)
보안관련소식2009. 7. 13. 08:15


http://sunbeltblog.blogspot.com/2009/07/nuttiness-has-started-show-of-force-or.html

http://sunbeltblog.blogspot.com/2009/07/ddos-global-hysteria.html

http://news.kukinews.com/article/view.asp?page=1&gCode=pol&arcid=0921350631&code=41111111&cp=nv1


http://voices.washingtonpost.com/securityfix/2009/07/pcs_used_in_korean_ddos_attack.html

http://news.naver.com/main/read.nhn?mode=LPOD&mid=sec&sid1=001&sid2=140&oid=001&aid=0002759356&isYeonhapFlash=Y

http://news.mt.co.kr/view/mtview.php?no=2009071014324512470&type=2&HEV1

사용자 삽입 이미지

이번 DDoS 악성코드를 대응하면서 느낀 개인사견으로 선벨트 소프트웨어의 연구원은 몇 가지 놓치고 있는 부분이 있다고 생각합니다.

개인적인 주장일 수 있는 부분이지만 회사 블로그를 통한 다소 직접적인 표현은 거부감이 없지 않아 있네요.

미켈란젤로 바이러스이후 통상적인 악성코드, 정형화된 DDoS 공격, BotNet 등을 비교대상으로 할 것은 분명 아니라고 봅니다.

물론 그 해외 연구원분이 보기에 맨날 나오는 악성코드에 왠 정치색깔의 옷을 입힐까라고 생각하게 했던 부분도 충분히 이해는 가지만, 단순히 과대 해석이나 한면만 보고 판단하는 것도 충분히 해석오류가 있을 것 입니다.

본인이 이런 표현을 한다고 해서 국정원의 이번 북한 배후설 의견에 무조건 동의하는 것은 절대로 아니며, 언론화 되어가는 과정이나 해석하는 사람의 기준에 따라 달라질 수 있는 부분도 엄연히 감안해야 한다는 것을 고려하면 좋지 않을까 하는 바램입니다.

아직 구체적인 정황이나 근거자료가 나왔다고 보기에는 시기상조이니 좀더 관심을 가지고 묵묵히 지켜보는 것도 하나의 방법이겠지요.

또한 아직 증명되지 않고 단순히 가능성을 열어놓고 조사를 하는 과정에 있다고 보거나 자기 스스로 너무 민감하게 반응하지 않는것도 정신건강에 참 도움이 될 것입니다.

배후이 아닌 배후로 최종 지목될 때까지 말이죠.

단순히 설이라는 가정하에 진행되고 있는 부분을 스스로 더 크게 판단하고 바라보는 시각도 오해의 시점이 될 수 있을테니깐요. 다양한 의견과 반대 방향의 접근 방식도 오픈마인드로 받아들이되 스스로 필터링하는 기준을 삼고 있다면 큰 문제는 되지 않을 것 같습니다.

이번 논쟁이 전쟁의 정당화로 이용? 어느 분이 그런 말씀을 하셨는지 모르겠지만 한번 찾아보도록 하겠습니다.
개인적으로 오히려 그런 발언이 또 다른 오해가 되는 요소로 작용하는 것은 아닐까 우려도 되는 부분입니다.

1. 이번 DDoS 공격도구가 기존에 있던 DDoS 기법과 다른 점
- 한국내에 사전에 감염되어 있던 많은 Zombie PC를 이용한 DDoS 공격(상대적 큰 비율)
- 데이터 파괴 기능 보유 (MBR)
- Mass Mailer 공격 기능

2. Mydoom 웜 소스 코드가 수 년전 공개되어 악용되었다는 점
- 마이둠 웜 소스를 구해서 사용했을 정도면 사전에 악성코드와 관련된 다양한 자료를 보유하고 있거나 잘 아는 사람(조직)
- http://www.crn.com/security/18831436;jsessionid=H0JJNOYSMNUUCQSNDLRSKH0CJUNN2JVN

3. 한국 공격 대상 사이트들에 대한 성향의 특징
- 청와대, 국회, 주한미군, 외교통상부 국방부 등 한국의 주요 국가기관을 공격 대상으로 선정

4. 코드 내부에 존재하는 다수의 한국적 특색
- _MUTEX_AHN_V3PRO_
- Accept-Language: ko
- euc-kr
-
.alz
- .hwp
- .hna
- .kwp
- .gul

5. 공격 서버 IP 만으로 공격자의 국적을 정하는 것은 억측
- 보통 악성코드 근원지, 숙주 서버를 활용할 때는 해외에 존재하는 서버를 해킹해서 루트권한을 먼저 획득하고 사용하죠.
- 바보가 아닌 이상 공격자는 자신의 컴퓨터로 접근해서 기록을 남겨주진 않겠죠.
- 추적을 못하도록 여러 서버를 우회하고 경유하죠.

6. 구입된 Bot Master 이용?
- 특별한 이득도 없는 공격에 거금을 주고 Bot Net 을 구입한다? 현실적으로 누가요?

7. 공격시간이 6시를 기점으로 변경
- 보통 Zombie PC를 이용하여 공격을 한다면 해당 컴퓨터가 켜지는 시점을 최대한 활용해야 겠지요.
- 오후 6시라는 시간대는 직장인들에게는 퇴근시간대이고, 학생들에게는 컴퓨터를 켜는 시간대라고 볼 수 있겠지요.
- http://viruslab.tistory.com/893
- 그렇다면 직장인보다는 학생들의 컴퓨터가 더 많이 감염되어 있었을 수 있겠다고 가정할 수 있겠지요.

8. nls 확장자 파일을 이용해 DDoS 공격 리스트 활용
- http://msdn.microsoft.com/en-us/goglobal/bb896001.aspx
-  6월 30일 한국기계연구원 광주 전산망 DDoS 공격에 사용되었던 확장자

[자료 참고]

일단 이 자료들은 이번 DDoS 악성코드 제작자가 한국적 특색을 매우 잘 알고 있다는 것을 반증한다고 보시면 됩니다.

물론 외국에 거주하는 교포거나 아니면 한국을 너무 잘 아는 외국인일지도 모르겠지만요. 가능성적인 측면에서 접근했다고 봐주시면 참고가 될 듯 싶습니다.

제작자가 검거되기 전까진 공격지(자)를 말하는 것은 아직 성급한 판단이겠지만 나름대로 판단해 보시면 일단 한국을 전혀 모르는 악성코드 제작자가 한 것은 분명 아니겠지요.

공격코드 내부에서 사용하는 Mutex 값에 안철수 연구소의 제품을 의미하는 AHN V3PRO 라는 문자열을 보실 수 있습니다.
안철수 연구소의 V3 PRO 제품을 사용하는 사람이 악성코드를 만들었을까요?


프로그램 제작시 한국을 의미하는 ko, kr 문자를 사용합니다.
제작자가 악성코드 제작시 사용한 운영체제가 한글 윈도우(개발프로그램)이거나 한글언어팩을 사용했다고 봐야겠지요?! 




위의 화면은 현재 유포되고 있는 Mass Mailer 공격에 사용되는 코드이며, ROT13 단순 암호화 기법을 사용하는 부분입니다.

뭐 이건 마이둠 변종들이 그렇듯이 Mydoom 소스상에 포함되어 있는 암호화 알고리즘으로 보면 될 것입니다. 따라서 악성코드 제작자가 직접 도입한 방식은 아니겠지요.


DDoS 악성코드가 파괴하는 확장자명에 *.alz, *.kwp,*.gul, *.hna, *.hwp 등 한국적 프로그램의 확장명이 포함되어 있습니다.

특히 여러분들이 자주 접하지 못했던 확장자들도 보이시죠?

alz : 알집 압축 확장자
hna, kwp : 하나 워드 프로세서 확장자
gul : 훈민정음 워드 프로세서 확장자
hwp : 아래아 한글 워드 프로세서 확장자


http://blog.naver.com/leehk0079?Redirect=Log&logNo=140039921189

하나워드는 금성소프트웨어(현 효성그룹의 홍진데이타서비스)에서 개발한 도스용 워드 프로세서로, 군대와 국가행정전산망용 워드프로세서로 사용되던 프로그램입니다.

그렇다면 DDoS 공격용 악성코드가 하나워드 파일을 삭제 대상으로 사용하고 있다는 사실에서 유추할 수 있는 내용은 아래와 같이 정리해 볼 수 있겠네요.

제일 먼저 이번 DDoS 공격 프로그램을 제작하고 사용한 사람 또는 배후에는 우리나라의 공공 및 국가기관이 예전에 사용하였던 다양한 응용 프로그램에 대한 사전 지식을 가지고 있다고 볼 수 있겠지요.

이 하나워드 확장자명은 최근의 보안 전문가들에게 이름조차 생소한 것 중 하나이며, 주위에 컴퓨터를 오래 사용한 사람들에게 물어봐도 잘 모르는 경우가 대부분이었습니다.

하나워드는 도스(DOS)운영체제에서 사용되던 워드프로세서 프로그램입니다.
저도 사용해 보지는 못한 프로그램입니다.


윈도95가 개발되고 한컴의 한글 워드프로세서, MS Word 프로세서가 등장한 이후 10년 전부터 전혀 사용되지 않고 있기 때문에 많은 사용자들이 모르는 것이 어찌보면 당연한 일 중에 하나인 프로그램이죠.

현재 사용되고 있지도 않은 하나워드 파일을 공격 대상으로 사용했다는 사실에서 이번 공격의 목표가 단순히 관심을 끌기 위한 장난성 공격이 아니라 국가 공문서 파괴라는 실질적 목표를 가졌음을 예측해 볼 만한 부분이기도 합니다.

특별히 국가에서 많이 사용하는 문서 파일을 공격대상으로 생각하지 않았던 악성코드 제작자 였다면 일반 사용자의 컴퓨터에는 거의 존재하지도 않는 하나 워드 파일을 삭제 대상으로 넣지는 않았을 것입니다.

물론 이것이 하나의 트릭일 가능성도 있지만 만약 그러한 반전까지 노렸다면 더욱 더 치밀한 공격자라고 말해야 하겠지요!

일반적인 자기 과시용 공격이었다면 하나 워드 파일보다 널리 쓰이는 EXE 나 MP3 등의 파일들을 삭제하는게 더 큰 효과가 있었을 것입니다.
 
이에 따라 국가 공문서를 파괴하기 위한 배후의 대상자가 누가될 수 있겠느냐에 대한 조건성립 차원에서 가장 유력시되는 용의자는 그 만큼 의혹의 대상이 될 수 밖에 없을 것입니다.

단순히 전쟁을 정당화(?)할려고 북한 개입설을 주장하는것은 아니겠지요.

그렇다면 한국과 미국 중 북한 배후설을 주장하는 사람이나 조직은 전쟁을 정당화 한다는 논리일까요?

개인적으로 현재의 이번 논쟁은 포커스를 제대로 빗나간것이 아닌가 싶습니다.

그리고 악성코드 제작자가 국가적인 공격 성향을 가지고 있는데, "난 북한인이고 내가 공격했다"라며 증거자료를 넣어두지 않는 것은 자명할 부분일 것입니다.

마이둠 웜 변종 코드를 사용해서 이게 단순 마이둠 변종으로 오해를 한건 아닐까 싶기도 합니다.

결론은 악성코드를 유포한 근원지 또는 기법에 대한 구체적인 자료 증거가 우선 확보되어야 하지 않을까 싶네요.

그 만큼 다들 악성코드 유포지를 찾아내기 위해서 혈안이 되어 있는지도 모르겠지만 말입니다.

다량으로 악성코드 감염자가 발생할 만큼 철두철미하게 유포를 했다면 자신의 흔적도 철저히 제거했을 것으로 보입니다.

이번 공격자가 또 다른 공격을 생각하거나 준비하고 있을지도 모르겠구요.

꼬리가 길면 잡히는 법.. 우리모두 다음엔 꼬리를 잡도록 해야겠습니다.


Posted by viruslab
TAG

댓글을 달아 주세요

  1. 제가 먼저 트랙백을 날렸습니다.

    2009.07.11 22:50 신고 [ ADDR : EDIT/ DEL : REPLY ]
  2. 분명한 것은 초보자는 아니므로 확장자는 그런 면에서는 누적 자료 등을 가지고 있을 수도 있을 것 같습니다.

    특히 한국을 공격 초점으로 잡은 것은 그만큼 한국 내의 문서 파괴를 목적으로 했기에 현재는 거의 사용하지 않는 포멧도 포함했을 수도 있다고 볼 수 있지 않을까 생각됩니다.

    2009.07.11 23:00 신고 [ ADDR : EDIT/ DEL : REPLY ]
    • 맞습니다.

      그런 부분이 하나 하나 신중하게 판단해야 하는 요소가 되겠지요.

      그런데 단순히 한국내의 문서가 아니라 국가 기관에서 공문서 작성에 사용했던 문서라는 부분으로 조금 제한된 부분이 아마도 국정원에서 의심하는 기준이 되는건 아닐까 싶기도 합니다.

      그리고 북한쪽에서 사용하는 기법 중 nls 파일을 쓰는것이 이번과 동일해서 추론이 되기도 했었나 봅니다.

      그런 내용은 보안연구원도 잘 알 수 없는 자료라서 뭐라고 거론하긴 애매하지만요^^

      2009.07.11 23:22 신고 [ ADDR : EDIT/ DEL ]
  3. 야... hna라는 파일 확장자까지는 생각을 못했는데 말입니다.

    그럼 진짜 범인은 누구일까요? 으흠..

    2009.07.11 23:28 신고 [ ADDR : EDIT/ DEL : REPLY ]
    • 초기에 이번 사건의 주범을 추적하기 위해서 감염되었던 컴퓨터들의 흔적을 찾아봤지만 특별히 의심스러운 것을 발견하지 못했습니다.

      아마도 유포기법이나 자신의 존재에 대해서는 절대로 알려주고 싶진 않았나 봅니다.

      깨끗하게 청소하고 나간거 보면 말이죠.

      2009.07.12 00:25 신고 [ ADDR : EDIT/ DEL ]
  4. 확실해 보이는 것은 공격자 중 누군가는 한국어를 잘 하는 사람일텐고, 조선족 아니면 북한일꺼라 짐작은 갑니다.

    2009.07.11 23:36 신고 [ ADDR : EDIT/ DEL : REPLY ]
    • 네..어쩌면 우리가 잘 알고 있는 한국사람일지도 모르겠지요.

      만약 그렇다면 제대로 뒤통수 맞는것 일수도 있지 않을까 싶어요.

      2009.07.12 00:26 신고 [ ADDR : EDIT/ DEL ]
  5. 저도 리소스나 컴파일러를 통해서 제작국가를 추정해볼까했지만.. 컴파일러 자체는 영문버전을 사용한 것 같더군요. 또, 왜 하필 마이둠 소스를 이용했는가도 생각해 볼만 합니다. 나머지는 자신들의 코드(어디서 가져왔는지는 모르겠지만요)를 이용했는데 말이죠.

    2009.07.11 23:54 신고 [ ADDR : EDIT/ DEL : REPLY ]
    • 보통 한국에서도 영문버전의 Visual C 를 쓰듯이..그런게 아닐까 싶기도 하고요.

      공개된 이메일 웜 소스중 Mydoom과 Bagle 이 그나마 유명세를 많이 탔었잖아요.

      상대적으로 소스 구하기는 마이둠이 편할것 같기도 하고요. 호환성 때문일지도 모르겠고요.

      2009.07.12 00:30 신고 [ ADDR : EDIT/ DEL ]
    • 아.. 제 생각에는 전체 코드를 보면 굳이 마이둠 소스를 참조하지 않더라도 스스로 만들 수 있는 실력은 된다고 생각해서요. (1명이 짰다면...) 만약, 그정도 실력이 안된다면 나머지 코드도 다른 사람이 짠걸 일부 고쳐 사용했을 수도 있겠죠. 뭐.. 이 얘기는 배후설하고는 전혀 상관없는 개인적인 의문입니다만...

      2009.07.12 00:37 신고 [ ADDR : EDIT/ DEL ]
  6. 누군지 모르겠지만(정말 북한이든 아니든) 악성코드 제작자는 초기에 미국을 먼저 공격하긴 했지만 한국을 분명 노렸습니다. 사용된 시스템도 국내 컴퓨터들이고 내부에 있는 mutex 이름도 그렇고 원래 마이둠 소스의 메일 방식은 Windows-1252 인데 굳이 euc-kr 로 변경했으니까요. (정작 보내는 메일은 영어지만요.) 또, GET/POST 방식에서 euc-kr 역시 제작 환경이 한글보다는 오고가는 데이터 양식이 한글을 뜻하므로 한글적으로 맞춘거겠죠. 마지막으로 하나 워드프로세스는 저도 행망용으로 사용되었다는 정도로 알고 있는데 확장자가 hna, kwp 이었군요. 한국사람 혹은 한국어를 구사하거나 적어도 누군가 우리나라에 대해서 도와줬을텐데... 누굴까요 정말 ?!

    2009.07.12 00:33 신고 [ ADDR : EDIT/ DEL : REPLY ]
    • http://acc.pdbox.co.kr/secu_view.asp?seq=2034

      AVZONE 운영하면서 겪은 에피소드들
      어느 날 북한의 정보통신 교육대학인 미림대학의 연구원으로 신분을 밝힌 사람이 메신저로 연락해 왔다고 한다. 인터넷을 통해 알게 됐고 미화 10만 달러를 입금해 줄 테니 신종 바이러스 샘플을 보내달라는 것. 북한에서 인터넷으로 남한에 접속할 수 없어 중국에서 연락한 것이라고. 하지만 문종현씨는 거절했고, 다시 연락은 오지 않았다고 한다.

      ------------------------------------

      예전에 자기가 북한의 바이러스 연구원이라고
      말했던 사람이 요즘들어 자꾸 머리속에 떠오릅니다.

      오늘은 그때 대화했던 자료를 찾아볼까 합니다.

      공개해도 국정원에서 잡아가진 않겠지요?^^

      2009.07.12 00:28 신고 [ ADDR : EDIT/ DEL ]
    • 참고조사 정도는 받을 것 같은데요... TT

      2009.07.12 00:39 신고 [ ADDR : EDIT/ DEL ]
  7. 빠르고 좋은 정보로 자주 들리는 블로그였습니다.
    제 블로그까지 와주셔서 감사하네요^^;
    앞으로도 좋은 정보 부탁드립니다

    잠시 쉬는 사이에 많은 글 올려주셧네요
    수고가 많으십니다^^

    2009.07.12 01:00 신고 [ ADDR : EDIT/ DEL : REPLY ]
    • 아 정말요?^^

      그동안 저말 몰랐네요.ㅎㅎ

      아직 새벽인데..근무중이신가봐요.

      2009.07.12 01:25 신고 [ ADDR : EDIT/ DEL ]
  8. 확장자만 보고 머 저런 확장자가 있나 생각 했는데 hna 이거 보니 조금 기억이 나네요
    아니 하나워드??? 점점 흥미롭네요 ㅎㅎㅎㅎ

    만든 사람이 십대는 아니겠네요 ㅎ

    워드 자격증 시험때 한글 1.5 나 하나워드 둘중에 하나 선택을 할수 있었던걸로 기억합니다.
    표만들때 조금 편해서 하나워드를 좋와했던 여자분이 있던걸로 기억하구요

    다른건 잘 기억 못하지만 저게 완성형 한글만 지원했던것 같은데 공개용 한글애뮬레이터 에서는
    에러나고 키보드 먹통되어서 한글 카드 없는 분들은 조금 사용하기 불편했습니다.

    아마 태백한글 이라는 애뮬레이터에서는 잘 작동했는데 그게 상용이고 이였고
    태백한글 나올때 쯤에는 주위에 하나워드 사용하는 분들도 거의 없었던것 같네요

    그리고 태백한글은 컴퓨터잡지사에서 기자로 일하고 있던 분이 프로그램만들고 싶어서
    잡지사 때려 치우고 만들었던 프로그램인데... 아무튼 쓸대 없는 이야기 였습니다.

    글 재미 있게 읽고 갑니다.

    2009.07.12 01:02 신고 [ ADDR : EDIT/ DEL : REPLY ]
    • 와..태백한글..그런것도 있었군요^^

      좋은 말씀 남겨주셔서 저도 잘 읽었습니다.

      고맙습니다.

      2009.07.12 01:27 신고 [ ADDR : EDIT/ DEL ]
  9. 북한 배후설에 대한 뉴스가 꽤 많이 나갔는데, 북한의 반응이 전혀 없는것도 좀 이례적입니다.

    자기들을 모략한다고 대남방송을 했어야 할 텐데 말이죠.ㅋㅋ

    조용한게 더 이상하네.ㅋㅋ

    2009.07.12 02:07 신고 [ ADDR : EDIT/ DEL : REPLY ]
  10. 기록용으로 남깁니다.

    http://www.dailynk.com/korean/read.php?cataId=nk01400&num=73769

    http://www.dailian.co.kr/news/news_view.htm?id=169192&sc=naver&kind=menu_code&keys=1

    http://www.dailynk.com/korean/read.php?cataId=nk05000&num=73977

    http://www.sisapress.com/news/articleView.html?idxno=49650#

    http://news.hankooki.com/lpage/society/200907/h2009072802464321980.htm

    2009.09.07 14:30 신고 [ ADDR : EDIT/ DEL : REPLY ]
  11. http://viruslab.tistory.com/901

    http://viruslab.tistory.com/1264

    2009.10.17 08:39 신고 [ ADDR : EDIT/ DEL : REPLY ]
  12. 북한 체신청 이라는 국정원의 추가 보고 내용

    http://viruslab.tistory.com/1294

    2009.10.30 08:50 신고 [ ADDR : EDIT/ DEL : REPLY ]