3. 4 DDos 사건의 공격자는 7. 7 DDos와 동일범
- 해외 70개국 746대 서버 동원, 디도스 공격 주도 -
□ 경찰청(사이버테러대응센터)은
○ 지난 3. 3부터 3. 5까지 국내 주요 40개 사이트를 대상으로 발생한 DDos 공격에 대한 수사결과, ’09. 7. 7 발생한 DDos 공격과 동일범임을 확인했다고 밝혔다.
□ 경찰청은
○ 행안부․방통위(한국인터넷진흥원) 등 유관기관과 협조, 악성코드 유포사이트․국내 감염 좀비PC․해외 공격명령서버를 확보하여 정밀 분석한 결과,
○ 불상의 해커가 파일공유사이트의 업데이트 파일을 바꿔치기 하는 수법으로 악성코드를 유포하여 10만여대의 PC를 감염시킨 뒤, 해외 70개국 746개 공격명령서버(C&C : Command & Control)에서 실시간으로 좀비PC를 제어하면서 공격명령을 하달하는 등 공격 실체를 규명하였다.
○ 특히 ’10년 8월이후 7개월간 국내 파일공유사이트 및 해외공격명령서버를 해킹한 중국 소재 공격근원지 IP들을 확인하고 이중 일부는 디도스 공격기간 중 좀비PC로 위장하여 진행상황을 점검한 사실도 밝혀냈다.
□ 7. 7 DDos 공격자와 동일범임을 판단하는 근거로
○ 파일공유사이트를 통해 악성코드를 유포하고 여러단계의 해외 공격명령서버(C&C : Command & Control)를 이용하여 공격을 시도하는 등 디도스 공격체계 및 방식이 동일하다는 점, 악성코드의 설계방식 및 통신방식이 정확하게 일치하는 등 동일 프로그래머에 작성된 것으로 입증된 점
○ 특히 3. 4 DDos 공격과 7. 7 DDos 공격시 활용된 해외 공격명령서버 일부가 동일한 점 등을 결정적 증거로 제시하였다.
※ 전세계 IP 주소는 42억개 이상으로 공개되지 않은 7. 7 DDos의 C&C 서버와 동일한 IP를 사용했다는 것은 동일범이 아니면 불가능
□ 경찰청은
○ 향후에도 공격근원지 확인 및 해외 공격명령서버 추가 확보를 위해 국제공조수사를 요청하는 등 계속 수사할 계획이라고 밝혔다.
※ 7. 7 DDos 사건 : ’09. 7. 7 ∼ 9일까지 61개국 총 435대 서버를 활용, 한․미 주요기관 등 총35개 사이트를 DDos 공격, 경찰 수사결과 공격근원지가 중국에 소재한 북한 체신성으로 확인
【첨부】공격 체계도
【첨부】7. 7 디도스 공격과 비교
구 분 |
’09. 7. 7 디도스 |
’11. 3. 4 디도스 |
비 고 |
공격대상 사이트 |
국내 21개 사이트 해외 14개 사이트 |
국내 40개 사이트 |
국내 15개 사이트 중복 |
유포경로 |
파일공유사이트 |
파일공유사이트 |
|
유포수법 |
자동업데이트 파일을 악성코드로 바꿔치기 |
자동업데이트 파일을 악성코드로 바꿔치기 |
|
DDoS 공격수법 |
세션공격 중 CC공격 |
세션공격 중 CC공격 |
Cache Control의 약자로 디도스공격의 한 수법 |
공격 특징 |
특정일시에 맞춰 공격대상 재지정 |
특정일시에 맞춰 공격대상 재지정 |
|
자료삭제 기능 |
특정일시에 좀비PC 삭제 |
특정일시에 좀비PC 삭제 |
|
C&C 서버 |
61개국 435대 4단계 구조 및 마스터 서버 존재 |
70개국 746대 3단계 구조 및 마스터 서버 존재 |
일부 중복 |
악성코드 기능 |
디도스 공격 / 하드디스크 삭제 정보유출 / 스팸메일 발송 |
디도스 공격 / 하드디스크 삭제 |