KISA KrCERT/CC는 게임아이템거래 사이트를 마비시킨 DDoS 공격은 ‘Anti.exe’와 ‘Down(1).exe’로 인해 발생했다고 분석했다. DDoS 기능이 구현된 이들 악성코드에 감염된 국내 인터넷사용PC가 에이전트로 악용돼 대량의 트래픽을 아이템거래 사이트에 발생시킴으로써 서버다운, 접속불량 등을 불러일으켰던 것. 공격자는 추적을 피하기 위하여 특정 웹 서버를 이용해 원격명령 전달을 위한 서버 IP주소를 주기적으로 변경하는 치밀함도 보였다.
또한 이들 악성코드에는 DDoS 기능 뿐 아니라 정보유출 등의 기능이 구현돼 있어 개인정보보호를 위한 사용자들의 주의가 요구된다. KrCERT/CC에 따르면, 이들 악성코드 감염 시 공격자는 감염 PC 내의 파일을 열람하고, 이들을 변경, 혹은 삭제할 수 있으며, 새로운 스로세스를 생성하거나 종료하는 등 감염된 PC에 대한 완전한 통제권을 획득하게 된다.
KrCERT/CC는 DDoS에 의한 피해 방지를 위해 ▲PC를 항상 최신 보안 업데이트 상태로 유지해 DDoS 공격을 발생, 개인정보 유출, 스팸릴레이 발송 등 침해사고에 악용되지 않도록 하는 것이 가장 중요하다고 지적했다. ▲ISP/IDC 및 기업 네트워크 운용자의 경우에는 평상시에 유효하지 않은 IP주소(Bogon IP) 및 악성 봇 명령 제어/서버 도메인 등에 대한 사전 필터링 조치로 DDoS 공격을 발신지부터 제거하는 노력이 필요하며, ▲IDC, 웹 호스팅업체, 기업, 개인 등의 웹 서버 운영자는 자신이 운영하는 웹서버가 해킹되어 악성코드를 유포하거나 DDoS 공격관련 스크립트 전달 경유지로 악용되지 않도록 웹 방화벽 설치, 웹서버 및 운영체제에 대한 최신 보안업데이트 설치, 주기적인 로그 분석 등을 실시해야 한다고 강조했다. ▲피해기업의 네트워크 및 웹서버 운영자는 운용 서버에서 허용되지 않는 서비스를 차단하기 위한 방화벽, 침입시도를 탐지·차단하는 침입방지 시스템 및 DDoS 차단 시스템 등을 설치해 DDoS 공격에 보다 능동적인 대응이 필요하다고 지적했다.
한편, 이번 DDoS 공격에 악용되는 PC들은 악성코드가 은닉된 웹 사이트에 방문함으로써 감염된 것으로 추정되는데, KrCERT는 10월 538개의 악성코드 은닉사이트를 탐지·차단했다고 밝혔다. 이는 올해 들어 가장 많은 것으로 웹방화벽 설치 등 웹 사이트 운용자들의 보안 강화 노력이 필요하다고 지적된다. 악성코드 은닉사이트는 KISA의 꾸준한 노력으로 8월과 9월 300개 미만으로 감소했지만, 10월 들어 또다시 큰 폭의 증가세를 보였다.
이외에 10월 인터넷침해사고 동향의 주요 사항을 살피면, 웜∙바이러스 피해신고는 전월에 비해 10.7% 감소한 499건, 해킹신고 처리는 전월대비 4.8% 감소한 1376건을 기록했다. 스팸릴레이, 피싱경유지, 홈페이지 변조는 각각 11.7%, 15.2%, 50.8% 감소해 스팸릴레이는 677건, 피싱경유지는 78건, 홈페이지 변조는 116건으로 집계됐다. 반면, 단순침입시도, 기타해킹은 각각 52.3%, 8.6% 증가했다. <오현식 기자>
