본문 바로가기

Security Indicator/Insight

대선 DDoS 대응과 그 후폭풍 ( 최근 대량의 국내 사건/ 사고에 대한 원인)

대선 DDoS 대응과 그 후폭풍

 

최근 국내 인터넷 서비스를 이용한 악성코드 중계지 증가에 대한 원인과 향후 전망

 

대응 요약:

12.12일부터 12.19일까지 7일간에 걸쳐서 빛스캔㈜에서는 DDoS 공격 기능을 가진 Agent들의 다수 유포와 관련하여 국내 20여 개의 백신 및 ISP, 유관기관에 정보를 제공한 바 있습니다. 총 정보 제공 범위는 총 4회에 걸쳐 60여종의 최종 악성파일과 40여개의 C&C로 추정되는 IP와 도메인을 전달한 바가 있습니다. 60여종의 악성파일 중 국내에서 사용중인 주요 백신이 모두 탐지하는 악성파일은 10여 종이였으며 나머지 50여 종이 추가 대응이 필요한 상황의 악성파일인 상황 이였습니다.

 

정보제공 이후의 결과는 다음과 같습니다.

 

< 악성코드 샘플 공유 이후의 공격 양상>

<1월 1주차 날짜별 통계. 공격의 급격한 감소를 확인>

 

한국인터넷을 대상으로 한 공격이 대폭 감소하는 것이 확인 되었으며, C&C 및 악성링크 정보 제공으로 인해 공격 강도가 낮아지는 것을 직접 관찰 되었습니다.

<정보제공 이후의 주요 백신 탐지 결과>

본 샘플은 미 보고된 샘플이며, 정보제공 이후 국내 백신은 정식 진단명을 가지는 상태로 정확한 샘플에 대한 진단을 하는 상태를 볼 수 있습니다.

 

대량 유포된 샘플들에 대한 진단과 감염된 악성코드들이 연결되는 사이트들 정보들도 대부분 해외 IP이다 보니 적극적인 차단들이 진행 되어 추가적인 악성행위의 예방도 충분 하였으리라 판단됩니다. 단기간의 대응을 통해 한국인터넷을 위협하는 실체를 분명히 감소시킨 것을 이후의 통계에서도 직접 확인 할 수 있었습니다.

 

그리고 문제는 그 이후에 발생 됩니다.

 

성공적인 공동 대응의 후폭풍

 

적극적인 차단과 대응의 노력은 공격자들의 공격전략의 변화를 초래 하였으며, 그 직접적인 영향을 받고 있는 상태를 확인 할 수 있습니다.

<1월 1주차 악성링크 발생 빈도 – 국내가 월등히 높아진 이상 징후 발견>

대선 공동 대응 이전의 통계와 이후의 한달 간의 통계를 보면 높아진 비율을 절실하게 확인 할 수 있습니다.

<11월 2주차 ~ 12월 2주차 누적 악성링크 도메인 통계>

 

<12월 2주차 ~ 1월 2주차 누적 악성링크 도메인 통계>

 

공격 기법의 변화를 살펴 보면 두 가지 특징을 살펴 볼 수 있습니다.

 

* 방문자가 극히 많은 대형 사이트만을 대상으로 한 공격 ( 연말 이후 다수 기사화)

* 차단 및 탐지 회피를 위해 국내 웹서비스를 해킹한 이후 직접적인 악성링크로 활용

 

대선 이후를 기점으로 하여 국내 중요 사이트에서의 악성코드 유포가 대폭 증가한 상태이며, 현재도 동일 수준을 유지하고 있습니다. 1월 2주차인 현재까지 빛스캔㈜에서는 원칙대로 악성링크로 이용 되거나 영향력이 큰 이슈에 대해서는 현실 개선과 주의 환기 차원에서 공개 및 기사화를 원칙으로 하고 있습니다.

 

국내 주요 서비스들에 대한 공격과 악성코드 유포 이슈가 공격자들의 전략 변화에 따라 급증함에 따라 매주마다 엄청난 수량의 이슈가 생산되고 있는 상황입니다. 공동대응의 후폭풍 이라 할 수 있을 것 같습니다.

 

 

 

결론

 

현재 상태는 그만큼 국내 인터넷 서비스의 상태가 위험한 상태임을 의미하고 있으며, 공격자들이 노출을 감내하면서도 국내 인터넷 서비스를 직접적인 악성링크 및 악성코드 감염의 중개지로 활용 하는 상황은 현 상황을 충분히 짐작 할 수 있게 합니다.

 

앞으로도 차단과 탐지가 어려울 수 밖에 없는 국내 도메인을 이용한 악성코드 유포 이슈가 현 상태라면 계속 증가할 것으로 예상 되어, 향후에도 개선을 위한 기사화는 계속 될 수 밖에 없을 것입니다.

 

근본적인 서비스 체계의 안정성을 심각하게 돌아보고 상시적으로 문제를 검토하고 일년에 한번 날 잡아서 받아야 하는 정밀진단이 아닌 손 쉬운 자동화 도구를 이용한 공격 대상이 될 수 있는 URL 인자에 대한 유효성 체크 등은 상시적으로 운영 해야 할 것입니다. 변화가 많은 웹 서비스들은 날마다 할 필요성이 있을 것입니다.

 

또한 취약한 웹서비스들을 통해 모든 방문자에게 대량으로 유포되는 악성코드를 사전에 탐지하고 제거하기 위한 협력과 노력을 통해 공격의 효과를 반감 시킬 수 있도록 해야만 할 것입니다.

 

최근 금융권에서의 많은 피싱과 공격의 사례들도 웹을 통해 대량으로 감염 되고 유포된 악성코드들에 의한 것이므로 적극적인 노력과 대응이 필요한 부분입니다.

 

마지막으로 단 1주간의 공동대응을 통해 한국 인터넷을 위협하는 공격 형태가 급격하게 감소하고 공격전략이 변경 되었다는 점은 앞으로 충분히 제어가 가능한 부분이 있음을 시사하고 있다는 점입니다. 사나운 고양이 목에 방울을 달 수도 있을 것 같습니다.

 

1월 2주차 관찰 결과는 국내 도메인을 이용한 공격은 계속 되고 있으며, 이번에 패치가 발표되지 않은 IE 0 day인 2012-4792는 근 시일 내 대량 공격에 이용될 것으로 보입니다. 현재 테스트는 완료된 것으로 보입니다. 위기의 인터넷을 잘 견디시길…