- 61개국 서버 연루된 변형된 네트워크 C&C 공격

7.7 DDoS(분산서비스거부) 공격을 유발한 좀비PC 상당수를 감염시킨 악성코드 유포지가 국내 웹하드 사이트로 확인됐다.

이러한 경로로 악성코드에 감염된 좀비PC는 4개로 구분된 61개국 435대의 네트워크형 C&C(명령·제어) 서버그룹 서버와 통신하면서 지능적으로 DDoS 공격을 수행한 것으로 나타났다.

경찰청 사이버테러대응센터는 27일 무작위로 확보한 27대의 좀비PC를 분석한 결과 이같은 사실을 발견했다고 밝혔다.

경찰에 따르면, DDoS 공격자는 웹하드 사이트 두곳을 해킹해 이용자들이 웹하드를 이용하기 위해 다운받아 설치하는 프로그램의 업데이트용 프로그램을 악성코드로 바꿔치기해 PC를 감염시킨 것으로 드러났다.

이용자들이 설치한 이들 두 곳의 웹하드 이용프로그램을 자동으로 업데이트하는 과정에서 악성코드에 감염시켜 DDoS 공격을 유발하는 좀비PC로 만든 것이다.

경찰은 좀비PC 27대 중 21대가 이들 두 곳의 웹하드 사이트를 통해 감염된 것으로 확인하고, 또 다른 유포지가 있는지 현재 조사하고 있다.   

이와 함께 경찰은 이번 DDoS 공격은 ▲좀비PC 관리 ▲파일정보 수집 ▲악성코드 공급 ▲좀비PC 파괴 기능을 수행하는 4개의 서버그룹이 변형된 C&C 서버 역할을 수행한 것으로 확인했다.  

‘좀비PC 관리서버’는 독일과 미국, 캐나다, 오스트리아, 태국, 중국 등 6개국 9대에서 확인된 서버그룹으로, 감염된 각각의 좀비PC로부터 IP, 시스템 이름 등 ‘시스템 정보’를 전송받는 등 좀비PC를 관리한다.

독일경찰로부터 확보한 자료 분석결과, 악성코드에 감염돼 시스템정보를 전송한 좀비PC는 전세계 5만5596대이며, 그중에서 우리나라 PC는 5만4628대(98%)로 나타났다.

‘파일정보 수집서버’는 국내 시스템 15대를 비롯해 총 59개국 416대의 서버그룹으로 구성된다.

국내 15대와 싱가포르, 일본 등 국내외 총 17대 시스템을 분석한 결과 악성코드에 감염될 경우 PC에 저장된 파일목록 일부가 유출됐다.

파일내용까지 유출됐는지 여부는 확인되지 않고 있으나 경찰은 인터폴을 통해 기타 58개국 401대에 대해서 해당국 경찰에 유출된 정보의 삭제 등의 조치를 요청한 상태다.

특히 총 59개국 416대의 서버에 저장된 데이터가 캐나다, 베네수엘라, 이스라엘 등 3개국 3대의 서버에 재전송되고 있는 사실도 파악하고, 3개국으로부터 관련 자료를 확보해 정보의 최종 귀착지, 활용목적 등을 규명해 나가기로 했다.

실제 DDoS 공격을 수행하는 악성코드를 공급하는 ‘악성코드 공급서버’는 미국 서부 소재 농장 홈페이지 서버로 지목됐다.

경찰은 좀비PC의 분석을 통해 미국 서부 소재 농장 홈페이지에 악성코드가 그림파일로 위장, 은닉돼 있다는 것을 알아내 미국 FBI 사이버수사조직 내 ‘DDoS 사건 태스크포스팀(T/F)’ 등에 통보한 상태다.

이에 따라 현재 미국에서 수사를 진행해 조만간 관련 자료를 우리측에 제공할 예정이다.

하드디스크를 삭제하는 기능의 악성코드를 좀비PC에게 전달하는 기능을 수행한 ‘좀비PC 파괴서버’는 발견된 86대 중 6대 서버만이 실제 하드디스크를 삭제하는 기능의 악성코드를 은닉하고 있었던 것으로 발견됐다.  

경찰은 이중 일부를 대만 경찰청, 과테말라로부터 서버자료를 확보해 접속기록 등을 분석하고 있다. 나머지 미국, 파키스탄, 멕시코, 터키와 공조수사가 진행 중에 있어 조만간 자료를 제공받을 것으로 전망했다.  

특히 지난 10일 베트남 모 보안업체가 베트남 자국 내의 서버를 분석했다며 발표한 서버는 경찰이 수사 중이던 6대에 포함된 미국 및 멕시코 소재 서버로 확인됐다.

경찰은 “이번 DDoS 공격은 ‘네트워크형 C&C 서버그룹’을 통해 전세계 61개국 서버가 통신하면서 DDoS 공격을 수행하는 진일보한 글로벌화된 사이버테러”라고 강조하고, “좀비PC의 최초 감염경로가 모두 국내 웹하드 사이트로 확인됨에 따라 웹하드 사이트를 이용할 때 네티즌들은 각별히 주의해야 한다”고 당부했다.  

<이유지 기자> yjlee@ddaily.co.kr



네이버 뉴스스탠드에서 디지털데일리 뉴스를 만나보세요.
뉴스스탠드


  • IT언론의 새로운 대안-디지털데일리
    Copyright ⓒ 디지털데일리. 무단전재 및 재배포 금지
 
· [카드뉴스] 기업의 지속가능성 해법은 결국···
· [카드뉴스] B tv 서라운드, 거실을 영화관으로
· [이지크로] 안전하고 믿을 수 있는 에스크로
  • 동영상
  • 포토뉴스
KT “갤럭시S10 5G, 배터리 최대 3시간59분… KT “갤럭시S10 5G, 배터리 최대 3시간59분…
  • KT “갤럭시S10 5G, 배터리 최대 3시간59분…
  • 삼성전자, “장마철엔 건조기가 제격”
  • LG전자, “게임은 V50씽큐가 최고”
  • LG전자, “V50씽큐로 찍은 괌 사진 어때요?…