특집
백신업계도 DDoS 공격 대응 ‘비상’
디지털데일리
발행일 2009-07-08 14:30:37
- 긴급대응체제 가동, 엔진업데이트 실시, 전용백신 배포도 나서
국내외 주요 웹사이트를 겨냥한 분산서비스거부(DDoS) 공격이 발생하자 백신업체들도 8일 분산서비스거부(DDoS) 공격 확산을 막기 위해 긴급대응체제를 가동하고 전용백신 개발, 엔진 업데이트 등 대응에 나섰다.
안철수연구소(대표 김홍선)은 7일 저녁부터 국내외 웹사이트를 겨냥한 DDoS 공격이 발생함에 따라 ASEC(시큐리티대응센터)과 CERT(컴퓨터침해사고대응센터)를 비롯해 전사 비상 대응 체제를 가동하는 한편, DDoS 공격을 유발하는 악성코드의 전용백신을 개발해 무료로 제공하기 시작했다.
이번에 많은 웹사이트를 다운시킨 악성코드는 마이둠 변종(Mydoom.88064, Mydoom.33764, Mydoom.45056.D)과 또 다른 악성코드를 내려받는 다운로더(Downloader.374651), 공격 대상 웹사이트 목록을 담은 파일(BinImage/Host), 네트워크 트래픽을 유발하는 다수의 에이전트(Agent.67072.DL, Agent.65536.VE, Agent.32768.AIK, Agent.24576.AVC, Agent.33841, Agent.24576.AVD)들이다.
이들 악성코드가 설치된 PC는 이른바 ‘좀비 PC’가 되어 일제히 특정 웹사이트를 공격한 것이다.
공격 대상은 청와대, 국방부, 옥션, 백악관, 야후 등 국내 13개, 해외 22개 사이트로 코딩되어 있으나 공격자에 의해 변경·추가될 수 있다고 회사측은 설명했다.
안철수연구소는 이들 악성코드를 진단/치료할 수 있는 전용백신(http://kr.ahnlab.com/dwVaccineView.ahn?num=81&cPage=1)을 개발해 개인은 물론 기업/기관에도 무료 제공 중이다.
개인용 무료백신 ‘V3 라이트(Lite)’를 비롯해 ‘V3 365 클리닉’(http://v3clinic.ahnlab.com/v365/nbMain.ahn), V3 인터넷 시큐리티 2007/7.0/8.0 등 V3 제품군 사용자는 사용 중인 제품의 최신 버전으로 진단/치료할 수 있다.
안철수연구소 시큐리티대응센터 조시행 상무는 “사용자의 PC가 DDoS 공격에 악용되지 않게 하려면 평소 보안 수칙을 실천하는 것이 중요하다”며, “운영체계의 보안 패치를 최신으로 유지하고, 백신 프로그램을 설치해 항상 최신 버전으로 유지하고 실시간 검사 기능을 켜두어야 한다. 이메일, 메신저의 첨부 파일이나 링크 URL을 함부로 열지 말고, P2P 사이트에서 파일을 내려받을 때 백신으로 검사하는 습관이 필요하다”고 강조했다.
웹사이트를 운영하는 기업·기관에서는 DDoS 차단 기능이 있는 네트워크 보안 솔루션이나 보안관제 서비스를 이용해 피해를 최소화하는 것이 중요하다.
에스지어드밴텍(대표 은유진)도 이날 ‘바이러스체이서’ 백신에서 이번 DDoS 악성코드로 의심되는 패턴 업데이트를 계속적으로 진행 중이다.
‘긴급 DDos 대응팀’도 편성해 불시의 공격에 대비하고 있다.
‘바이러스체이서’ 백신은 이번 DDos 공격을 정보보호진흥원(KISA)로부터 전달받은 악성코드 샘플을 비롯해 ‘Trojan.MulDrop.32558’, ‘Trojan.Agent.Based’, ’Trojan.DownLoader.Based’ 등으로 진단하며, 에스지어드밴텍 측은 DDos 공격은 자신도 모르는 사이에 사용 중인 PC가 악의적인 해킹의 도구로 이용될 수 있으므로 PC 사용자는 백신을 최신 업데이트 한 다음 전체 검사 실행을 권유했다.
최재혁 에스지어드밴텍 연구소 팀장은 “지난 주 상반기 악성코드 동향을 분석하면서 사용자의 시스템에 감염돼 시스템을 장악한 후 악의적인 해킹을 시도하는 DDos 공격이 증가할 것으로 판단, 계속 대비하고 있었다”며, “향후 이런 공격을 막기 위해서는 안티바이러스백신을 활용한 개인 PC에 대한 보안을 강화하는 개인 차원의 대비 뿐 아니라, 관공서 및 포털 사이트 등 집단으로 활용하는 인터넷 시스템을 보호하는 서버나 네트워크 보안을 강화하는 시스템 구축이 동시에 이뤄져야 할 것”이라고 말했다.
하우리(대표 김희천)도 24시간 종합상황실 운영과 함께 인터넷서비스사업자(ISP), 백신업체 등과 긴밀한 공동대응체제 구축을 통해 유사 상황에 대비하고 있다.
하우리 보안대응센터는 “고객들의 피해 최소화를 위해 7일 오후 긴급업데이트(2009-07-08.00 버전)를 완료했다”며, “국내외 대표사이트들이 피해를 입은 만큼, 주요 사이트에 대한 변종 등의 2차 피해가 우려되니 실시간 감시기를 활성화하고 최신 엔진으로 업데이트해야 한다”고 당부했다.
또 “앞으로도 DDoS에 대한 공격은 지속적으로 발생할 것으로 보여짐에 따라 백신이 설치되지 않은 PC는 감염피해가 클 것으로 예상되니, 이를 예방하기 위해서는 ‘1 PC 1 백신’을 설치하고 최신 엔진으로 업데이트 할 것을 권장한다”고 말했다.
이 회사는 최근 발표된 마이크로소프트 비디오 액티브X 콘트롤(msvidctl.dll) 취약점과 같이 패치 되지 않은 윈도 취약점에 대해서도 연관성도 분석 중이다.
하우리는 2차 DDoS 공격에 대비해 지속적인 모니터링 강화로 고객의 피해상황을 최소화 하기 위해 비상대응체제를 구축하고 있다.
<이유지 기자> yjlee@ddaily.co.kr
Copyright ⓒ 디지털데일리. 무단전재 및 재배포 금지