전문가 칼럼

보안 전문가들이 얘기하는 보안의 모든 것! 전문가 칼럼에서 깊이 있는 보안 정보를 만나실 수 있습니다.

[악성코드, 이렇게 대응한다 #3] 7.7 DDoS 인터넷 대란

  • Facebook에 공유하실 수
    있습니다.

  • Twitter에 공유하실 수
    있습니다.

  • Linked in

    Linked in에 공유하실 수
    있습니다.

  • 붙여넣기

    블로그나 게시판에 붙여넣기 하실
    수 있습니다.

  • 안철수연구소
  • 2010-06-22

국내외 특정 정부기관을 대상으로 한 분산서비스거부(이하 DDoS, Distributed Denial of Service) 정황이 포착되었다. 총 3차(7/7 18:00 ~ 7/10 18:00)에 걸친 DDoS 공격이 감행되었고, 공격에 활용되었던 DDoS 좀비 PC(감염 PC)들은 “소프트웨어적 하드디스크 손상”이라는 자기파괴증상을 끝으로 생을 마감하도록 설계되었다.

 

<그림> 시간대별 DDoS 공격대상 변경 흐름


7.7 DDoS 인터넷 대란을 유발한 악성코드의 특징은 다음과 같다.

  • 악성코드 간 협업 모델화: 최근 보안 위협은 하나의 악성코드에 모든 공격코드를 탑재하지 않는 것이 특징이다. 이번 DDoS 공격의 어미와도 같은 역할을 하고 있는 msiexec1.exe (Win-Trojan/Downloader.374651), 그로부터 파생되는 많은 악성코드들의 유기적인 연결고리를 이해하지 않고서는 악성코드에 대한 효과적인 분석 및 대응이 점차 어려워지고 있다.
  • 시간대별 공격 스케줄링 기능 탑재: 악성코드 wmiconf.dll (Win-Trojan/Agent.67072.DL)이 공격대상, 공격시간대 등의 정보를 담고 있는 uregvs.nls(BinImage/Host)를 참조하여 DDoS 공격을 수행하도록 설계되어 있다. 
     
  • 멀티 도메인에 대한 공격 방식: 과거 다수 좀비PC들이 하나의 특정 웹사이트를 공격하는 방식이 일반적이었으나, 이번 DDoS 공격은 하나의 PC에서도 수십 개의 웹 사이트를 공격하는 공격 방식이 이용되었다.
  • 소프트웨어적 하드디스크 손상 기능: 악성코드 wversion.exe(2nd)(Win-Trojan/Destroyer.37264)는 하드디스크의 물리적인 첫 시작 위치에 ‘Memory of the Independence Day’라는 문구를 이용해 치명적인 피해를 입힌다. 시스템의 MBR(Master Boot Recorder) 및 파티션 정보가 손상되어 정상적인 부팅이 되지 않는 증상을 유발한다. 추후 포렌식관점에서 좀비PC를 분석할 수 없도록 만들기 위한 조치라고도 볼 수 있다.
  • 중요 문서 및 파일들에 대한 손상 기능: 악성코드 wversion.exe(2nd) (Win-Trojan/Destroyer.37264)는 고정 드라이브에서 .doc,  .docx, .wpd, .wpx, .wri, .xls, .xlsx, .mdb, .ppt, .pptx, .pdf, .accdb, .db 등의 확장자 파일을 찾아 손상시킨다.

<그림> 7 DDoS 악성코드들의 연관성 분석도


이번 공격에 이용된 악성코드는 공격 대상 웹사이트 목록을 담은 파일(BinImage/Host), 네트워크 트래픽을 유발하는 다수의 에이전트(Agent.67072.DL, Agent.65536.VE) 등이 있다. 이들 악성코드가 설치된 PC는 이른바 ‘좀비 PC’가 되어 일제히 특정 웹사이트를 공격하였다.

<표> V3 제품군에서 진단하고 있는 7.7 DDoS 주요 악성코드들


7.7 DDoS 공격의 네트워크 특징


TCP, UDP, ICMP 등 다양한 프로토콜을 이용하여, 특정 웹사이트들(멀티 도메인)을 공격하도록 설계 되었는데, 공격 패킷들의 주요 특징은 아래와 같다.

  • 감염 PC 에서 극도의 패킷을 유발하지는 않음. 초당 300 개 이내의 패킷으로 데이터 양이 크지 않음
  • HTTP 에 임의의 데이터를 전송하는 트래픽이 가장 많이 전송되며, ICMP, UDP 도10-15% 수준에서 차지함 
  • HTTP > ICMP > UDP 프로토콜 순서로 트래픽을 많이 발생시킴
  • HTTP 가 약 70% 대, ICMP 가 12-20%, UDP는 6-8% 수준에서 발생
  • 평균 전체 발생시키는 트래픽은 초당 약 260-300/초, 약 50-65K /초

이 중에 문제가 된 것은 역시 GET Flooding 공격을 하는 HTTP 공격과 랜덤 데이터를 TCP 80 포트에 전송하는 공격이 해당된다. 여기서 GET 요청을 하는 HTTP 공격은 초당 약 20개, 12K의 데이터 전송 (출발지IP 위조 없음)하며, 랜덤 데이터를 전송하는 공격은 임의의 4-48byte 데이터를 보내는 패킷을 초당 약 43개, 3.6K의 데이터 전송 (출발지IP 위조)하게 된다. 


이번 DDoS 공격들에서 문제가 된 것은 대부분 TCP 80 HTTP 공격이었는데, 트래픽으로 인해 국내 웹사이트들이 지연 또는 마비되는 문제가 발생을 하게 되었다.

<그림> 7.7 DDoS 인터넷 대란의 네트워크 공격 트래픽 유형


DDoS 공격, 우리에게 주는 교훈


이번 일로 보안 경각심이 높아지는 것은 바람직한 일이다. 개인 PC에 보안시스템을 설치하지 않았거나 보안에 취약하도록 그대로 두는 것이 이제 개인의 피해로 그치지 않는다는 것을 인식하게 되었다. 자신의 부주의로 인해 PC 악성코드에 감염돼 자국의 주요 기관이나 또는 다른 국가의 주요 기관을 공격하는 사이버전쟁에 무기로 사용될 수 있다는 것을 알아야 한다. 막연한 공포나 의심은 경계하되, 정부나 믿을 수 있는 기관에서 발표하는 행동 수칙을 잘 지키는 데에서부터 모든 보안은 시작된다.


개인 및 기업 스스로 새로운 보안 위협에 대해 충분한 위기대처 능력을 갖추기 위해 필요한 각 구성원(보안책임자, 보안실무자, 임직원)의 역할에 대해 함께 생각해 보자.


보안 책임자


1) 전문보안인력을 강화하자.


필자는 고객사의 보안사고 발생시, 신속한 대응을 위해 고객사를 직접 방문하기도 한다. 대게 보안팀 총 구성원은 10명 미만으로 고객사가 보유하고 있는 IT자산의 규모에 비해 그리 여유롭지 않은 편이며, 소수정예 보안팀원들의 열정과 노고에도 불구하고 대규모 IT환경에서 발생하는 침해사고의 불길은 쉽게 잡히지 않아 안타까운 경험을 많이 하게 된다. 단순히 전문보안 인력의 수만 늘리는 것이 능사는 아닐 것이다. 보호해야 할 IT자산에 맞는 적절한 규모의 전문보안 인력과 함께, 그들이 전문보안 인력으로써 충분한 전문기술을 배양할 수 있도록 하는 교육 프로그램 지원 등이 함께 동반되어야 할 것이다.


2) 보안인프라 투자를 확대하자


상당수의 고객은 F/W, IPS, VPN, 백신 등 기업 네트워크 보호를 위해 필요한 전통적인 보안솔루션을 오래 전부터 운영해오고 있을 것이다. 우리가 운영하고 있는 보안솔루션들이 급변하는 IT 환경 속에서 복잡해지고 고도화된 다양한 보안위협들을 지금 현재에도 적절히 커버할 수 있는 지 한번 생각해볼 필요가 있다. 상황에 따라서는 추가적인 보안솔루션의 투자, 트렌드에 맞는 보안위협 대응을 위해 가장 현실에 맞는 보안솔루션으로의 교체도 지속적으로 검토할 필요가 있다. 현재의 보안인프라로 충분한 대응이 어려워 침해사고가 빈번히 발생하고, 그로 인해 투입되는 손실비용이 오히려 크다면 현재의 보안인프라에 대한 재고가 필요할 수도 있다.


3) 보안 협력업체와의 긴밀한 협조체계를 구축하자


이제 보안은 어느 특정 집단의 소유물이 더 이상 아니다. 슈퍼맨과 같은 존재가 모든 보안위협을 해결할 수 있는 시대는 끝났다. 우리는 이번 7.7인터넷대란을 통해, 혹은 다른 보안사고들의 경험을 통해 IT환경에 포함된 모든 구성원들이 긴밀하게 움직일 때만이 신속하고 효과적인 위기대처가 가능하다는 것을 다시금 깨닫게 되었다. 관계기관 및 보안 협력업체와의 긴밀한 협조 체계를 통해 기업 내에서 발생하는 침해사고의 확산을 조기에 차단하고, 새로운 위협에 대한 사전예방 활동을 강화시켜 나갈 수 있도록 훈련되는 것이 필요하다.


보안 실무자


1) 보안정보 수집 채널을 확보하자


하루에도 수많은 새로운 보안위협이 발생하고, 때로는 기업 내 침해사고로 연결되어 큰 피해를 주기도 한다. 정보는 크게 실시간 정보 모니터링과 정기적인 동향 분석으로 나누어 볼 수 있다. 안철수연구소 ASEC에서는 실시간 보안위협 정보에 대해 보안실무자의 니즈를 반영하여 ‘AhnLab Threat Research’ 보안블로그를 운영중에 있고, AhnLab Proactive Threat Report를 통해 침해사고 예방 활동을 지원하고 있으며, 오래전부터 정기적인 동향 정보를 담고 있는 ASEC Report 제공을 통해 보안실무자의 보안정보 수집에 도움을 주고 있다. 이 밖에도 KISA, NCSC에서 제공하는 보안정보 및 보안포털 보안뉴스 웹사이트를 꾸준히 방문하여 보안위협 흐름을 놓치지 않는 것이 중요하다.


2) 회사의 보안위협에 대해 정확하게 이해하자


기업보안담당자는 회사의 중요 정보 자산을 노리는 보안위협에 대해 올바른 이해가 필요하다. 그래야만 위협별 대응전략이 도출될 수 있고, 그에 맞는 적절한 보안솔루션을 도입을 통해 위기관리 능력을 유지할 수 있는 것이다. 보안위협에 대한 분석 방법으로는 보안위협 이벤트 모니터링을 강화할 것을 권고한다. 다량의 이벤트들을 분석하고, 이벤트들 간의 연관관계 분석을 통해 위협 침투경로, 전파방법, 확산도, 침해 영향 등을 파악하는 일은 결코 쉬운 일은 아닐 것이다. 때로는 침입탐지시스템(IDS)나 통합보안관제(ESM)의 수많은 이벤트들에 스스로 백기 투항하지 않고 인내와 끈기를 갖고 보안위협을 정확히 이해하는 것이 위기대처 능력을 갖추는 유일한 방법이다.


3) 위기대처 능력을 강화시켜 나가자


기업보안담당자는 항시 모의훈련 및 다양한 실무 경험 노하우를 바탕으로, 오늘의 부족함을 개선해나가고 임직원 누구나 손쉽게 대처할 수 있도록 대응매뉴얼을 작성/배포함으로써 앞으로 다가 올 새로운 위협에는 더 나은 위기대처 능력을 보여줄 수 있어야 한다.


4) 임직원 보안교육에 앞장서자


보안실무자는 슈퍼맨이 아니다. 예전처럼 실무자 몇 명이 기업의 모든 IT인프라를 책임질 수는 없는 노릇이다. 따라서, 모든 임직원이 기업의 보안수준을 향상시키는 데 일조할 수 있도록 참여를 독려하고, 보안교육 등 다양한 활동을 통해 임직원이 충분한 보안 지식을 숙지할 수 있도록 더 노력해야 한다. 필자도 오래전부터 인터넷 지면이나, 외부 교육 지원에 적극적으로 참여하여 IT사용자 개개인과 소통하는 시간을 점차 늘려나가고 있다. 임직원 스스로 본인의 PC를 악성코드나 외부 공격으로부터 보호해낼 수 있다면, 그 자체만으로도 기업의 IT보안 수준은 충분히 향상될 수 있고, 보안담당자들도 당면과제에 매달려 하루를 소진하기 보다는 조금 더 여유롭게 회사 보안인프라의 미래 구상을 위해 행복한 고민을 할 수 있게 될 것이다.


임직원


1) 회사의 보안지침을 충실히 따르자


2) 보안을 생활화하자


회사의 보안과 나를 따로 떨어트려 생각해서는 안된다. 나 하나로 인해 기업 네트워크가 마비되고, 더 나아가서는 대국가 차원의 인터넷 마비를 초래할 수 있음을 잊지 말아야 한다. 사실 개인이 감염된 자기PC를 스스로 치료하는 것이 쉬운 일은 아니다. 때문에, 개인은 PC감염 후 사후대응 보다는 사전예방 활동을 강화하여 PC가 감염되지 않도록 보안수준을 유지해주는 것이 가장 중요하다.


※  본 원고의 저작권은 한국인터넷진흥원(KISA)과 안철수연구소 시큐리티대응센터(ASEC)에 있습니다.

김지훈 프로필 사진

김지훈 시큐리티 분석가

AhnLab의 시큐리티대응센터에서 취약점, 악성코드 및 네트워크 위협 분석을 담당하고 있다. “안랩 칼럼니스트”뿐만 아니라, 다수의 보안 강연 및 컬럼니스트로 활동하고 있다. 일반인들이 쉽게 이해할 수 있도록 보안지식을 전파하는 "전문 보안교육전문가"가 되는 것이 그의 소박한 꿈이라고 한다.

  • Facebook에 공유하실 수
    있습니다.

  • Twitter에 공유하실 수
    있습니다.

  • Linked in

    Linked in에 공유하실 수
    있습니다.

  • 붙여넣기

    블로그나 게시판에 붙여넣기 하실
    수 있습니다.