by임일곤 기자
2009.07.09 10:38:20
주요 포털 메일, 국민은행, 조선닷컴 재차 공격
[이데일리 임일곤기자] 이번 디도스(DDos) 공격은 하루 단위로 특정 사이트를 공격하게끔 설계된 것으로 알려졌다. 3차 공격은 오늘(9일) 오후 6시부터 내일 오후 6시까지 진행될 것으로 예상된다.
9일 안철수연구소(053800)는 이번 해킹을 해독한 결과 악성코드에 스케쥴러 기능이 설계된 것으로 나타났다고 밝혔다.
이에 따르면, 기존 공격 대상 사이트중 7개 사이트를 겨냥했다. 9일 오후 6시부터 10일 오후 6시까지 네이버 메일, 다음 메일, 파란 메일, 전자민원(G4C), 국민은행, 조선닷컴, 옥션 등 7개 사이트에 디도스 공격을 하도록 코딩돼 있다.
공격 대상과 시간은 변종 등에 의해 수시로 변경될 수 있다.
또한 전날 오후 6시부터 오늘 오후 6시 사이에는 청와대, 국방부, 주한미군, 전자민원 G4C 등 정부기관과 네이버와 다음, 파란 등 포털 e메일, 기업, 하나, 우리 은행 등 은행권, 알툴즈, 안철수연구소 등 보안업체 등이 공격되도록 설계됐다.
현재 공격대상 사이트는 www.mnd.go.kr, www.president.go.kr, www.ncsc.go.kr, mail.naver.com, mail.daum.net, mail.paran.com, www.auction.co.kr, www.ibk.co.kr, www.hanabank.com, www.wooribank.com, www.altools.co.kr, www.ahnlab.com, www.usfk.mil, www.egov.go.kr 등이다.
이는 7일에 발생한 공격 대상에서 변경된 것으로, 공격 대상 목록을 담은 파일(uregvs.nls)을 악성코드에서 자체 생성하는 것으로 추정된다.
김홍선 안철수연구소 대표는 "이번 DDoS 대란은 지속적으로 발생할 가능성이 높으며, 공격 기지로 악용되는 개인 및 기업용 PC가 깨끗해져야 근본적으로 해결될 수 있다"고 설명했다.
또 "이번 사건으로 우리나라 정보보안 수준이 후진국 수준임이 드러났다"며 "개인은 물론 기업/기관 모두 정보보안의 중요성을 인식하는 계기가 되길 바란다"고 말했다.
한편 디도스 공격을 받는 쪽에서는 트래픽을 적절히 분산하고 유해 패킷을 차단하는 등 조치로 웹사이트 다운을 막을 수 있다.
이번에 많은 웹사이트를 다운시킨 악성코드는 마이둠 변종(Mydoom.88064, Mydoom.33764, Mydoom.45056.D)과, 또 다른 악성코드를 내려받는 다운로더(Downloader.374651) 등이다.
또한 공격 대상 웹사이트 목록을 담은 파일(BinImage/Host), 네트워크 트래픽을 유발하는 다수의 에이전트(Agent.67072.DL, Agent.65536.VE, Agent.32768.AIK, Agent.24576.AVC, Agent.33841, Agent.24576.AVD) 등인데 이들 악성코드가 설치된 PC는 이른바 ‘좀비 PC’가 되어 일제히 특정 웹사이트를 공격한 것이다.