안랩(대표 김홍선)은 25일 발생한 청와대와 국정원, 새누리당 웹사이트 공격에는 악성 스크립트 방식의 분산서비스거부(DDoS, 디도스)공격 기법이 이용됐다고 26일 밝혔다. 또 정부통합전산센터의 도메인 네임 서비스(DNS)는 좀비PC를 활용한 기존 방식의 디도스 공격을 받은 것으로 확인됐다고 분석했다.

'악성스크립트 방식' 디도스 공격은 공격자가 특정 웹사이트에 악성스크립트를 설치하고 사용자가 해당 사이트를 방문하면, 미리 설정한 웹사이트로 공격 트래픽을 전송하는 방식이다. 기존의 기존 좀비PC를 이용한 공격과 동작 원리가 다르다.안랩은 "악성스크립트가 설치된 해당 웹사이트에 접속하자 공격자가 목표로 한 청와대, 국정원과 새누리당 웹사이트에 대규모 트래픽 공격이 이뤄졌다"며 "이 같은 디도스 공격은 지금까지 보고된 사례가 없는 새로운 방식"이라고 설명했다.

이어 "새로운 방식의 디도스 공격을 막기 위해서는 각 웹사이트의 보안을 강화해야 한다"며 "이용자들도 신뢰할 수 없는 웹사이트에는 방문을 하지 말아야 한다"고 조언했다.

안랩에 따르면 정부통합전산센터의 DNS에 대한 공격은 좀비 PC를 통한 디도스 공격 방식이 이용됐다. 공격자는 25일 자정부터 특정 웹하드의 업데이트 파일을 통해 개인 사용자의 PC에 악성코드를 심어 좀비PC로 만들었다. 이후 이날 오전 10시 좀비PC에 정부통합전산센터에 있는 2대의 DNS를 공격하도록 제어(C&C) 서버를 통해 명령을 내린 것으로 확인됐다고 안랩은 설명했다.특히 다수의 좀비PC로 DNS를 공격하는 방식이 아닌 1대의 좀비PC에서 발생하는 트래픽을 늘려 부하를 주는 방식이 사용됐다고 안랩은 분석했다. 안랩은 "자신의 PC가 디도스 공격에 이용되지 않으려면 백신 업데이트와 정밀검사를 통한 지속적인 관리가 필요하다"고 당부했다.

한편 안랩은 정부기관 디도스 공격에 이용된 악성코드와 별도로 일부 언론사에 대한 디도스 공격 악성코드와 '3.20 전산대란' 때와 비슷한 '하드디스크 파괴기능을 가진 악성코드'도 추가로 확인했다고 밝혔다. 안랩은 해당 악성코드에 대한 상세 분석을 진행 중이며, 이를 치료할 수 있는 엔진을 V3에 적용했다. 안랩은 향후 악성코드 추가 발견 시 지속적으로 엔진을 업데이트 할 예정이다.


artjuck@news1.kr