6·25 사이버공격 변종 악성코드 추가 발견

[김국배기자] 6·25 사이버공격을 일으킨 악성코드 중에는 공격 대상의 IP주소로 위장해 다른 서버에 질의를 보낸 뒤 응답 트래픽이 집중되도록 하는 변종 악성코드가 숨어있던 것으로 추가 확인됐다. 여러 휴대전화로 문자메시지를 보내면서 발신번호만 바꿔 답신 메시지가 한 곳으로 몰리게 하는 원리다.

안랩(대표 김홍선)이 지난 25일 일부 정부기관을 대상으로 발생한 디도스(DDoS) 공격과 관련 이같은 방식의 변종 악성코드를 추가로 확인했다고 밝혔다.

안랩의 분석결과에 따르면, 이번 악성코드는 지난 25일 좀비PC를 사용해 정부통합전산센터에 디도스 공격을 유발한 악성코드의 변종으로 일명 '도메인네임서비스(DNS) 증폭 디도스(DNS Amplification DDoS)' 공격을 유발하도록 설계됐다.

도메인네임서비스(DNS) 서버는 웹사이트 이용자들이 영문 도메인 주소(xxx.go.kr 등)를 입력하면 이를 실제 웹사이트(11.22.33.44 등의 실제 IP)로 연결시켜주는 기능을 한다.

이번 변종 디도스 악성코드는 일반 PC 감염 이후 해당 PC의 IP주소를 공격 타깃인 특정 정부기관 DNS 서버의 IP로 위장했다. 이후 약 2만여 개의 다른 DNS 서버로 특정 도메인 이름에 대한 확인요청을 일시에 보냈다. 이 요청에 대한 응답은 1천 바이트 이상으로 일반적인 요청의 수십 배에 달한다는 게 안랩 측 설명이다.

요청을 받은 DNS 서버들은 이에 대한 응답을 최초에 악성코드가 위장한 특정 정부기관의 DNS 서버(최종 타깃)로 집중시켜 서버 과부하를 일으키게 된다.

안랩은 "이번 변종 디도스 악성코드의 제작 시각은 6월 25일 20시 경이며 27일 의심 IP를 모니터링 하는 과정에서 발견했다"며 "이번에 발견된 악성코드 자체가 변종이므로 추가 변종이 발견될 가능성도 배제할 수 없다"고 말했다.

◆DNS 증폭 디도스 공격이란

DNS 증폭 디도스 공격이란 출발지의 IP를 변경해 응답이 조작된 출발지 IP로 가도록 하는 공격방식이다. 이 때 전송되는 응답의 크기가 일반적인 경우에 비해 수십 배 이상의 크기가 되도록 유도해 대상을 마비시킨다. 이는 이미 해외에서도 여러 차례 피해사례가 보고된 바 있는 공격방식이다.

한 사람이 수 천명에게 휴대전화 문자 메시지를 보내면서 발신자 전화번호를 다른 사람의 전화번호로 바꿔 보내면, 그에 대한 답신 문자가 사칭한 휴대전화로 집중되는 것과 같은 원리다.

기술적으로 보면 먼저 공격자는 악성코드를 감염시켜 다수 PC의 IP주소(컴퓨터 관련 장비의 인터넷주소)를 최종 공격 목표로 삼은 IP주소로 위장해 다른 DNS 서버들에 도메인 주소 확인 요청을 보낸다.

그렇게 하면 확인 요청을 받은 DNS 서버들은 일제히 실제 IP주소가 아닌 악성코드가 위장한 IP주소로 응답을 보내 결과적으로 최종 공격 대상 서버에 응답 트래픽이 집중된다.

특히 공격자는 변조된 IP주소로 DNS 서버에 요청을 보낼 때 요청 메시지 크기의 수십 배에 달하는 큰 용량의 응답이 필요한 내용을 요구함으로써 증폭된 트래픽이 타깃 DNS 서버에 쏟아지는 것이다.

한편, 안랩은 지난 26일과 27일에 각각 제공한 디도스 유발 악성코드·악성 스크립트 전용백신에 이어 이번 DNS 증폭 디도스 공격을 유발하는 악성코드에 대한 전용백신도 제공할 예정이다. 또한 해당 악성코드 분석결과를 한국인터넷진흥원(KISA) 등 유관기관에 공유했다.