내 PC가 좀비?

 

때아닌 사이버 대란입니다.
소설에서나 봤던 적군의 사이버 공격이란 말도 나오고 있고요.
여기저기서 디도스(DDOS)란 놈이 화제입니다.
간략하게 디도스(DDOS)에 대해 소개할까 합니다.

디도스(DDOS)란?
분산 서비스 공격이란 말의 영어 약자입니다. 가장 초보적인 사이버 공격 수단이라고 보시면 됩니다.
원리는 매우 간단합니다.
물이 흐르는 수도관을 생각해보죠.
저마다 감당할 수 있는 양이 있습니다. 만약 순식간에 이 양을 초과한 물이 밀려온다면?
수도관이 터지겠죠.
바로 이게 디도스의 원리입니다.

웹 서비스를 하는 서버도 처리할 수 있는 정보 용량이 한계가 있습니다. 이걸 초과해서 수많은 정보가 밀려들면 결국 과부하가 걸려 다운되는 것이죠.

참고로 이번에 문제가 된 악성코드의 경우 한 번에 초당 7KB의 패킷을 서버로 날린다고 합니다. 이 정도면 매우 작은 용량이죠. 메일 하나 보내는 정도니까요.

하지만, 한 PC 안에서 똑같은 동작을 800번 수행하고, 이게 무한히 반복되면서 꾸준히 패킷이 날아가고 또 동시에 2만 대 정도되는 PC에서 날아가니 결국 서버가 견딜 수 없게 되는 겁니다.

좀비 PC?
좀비 PC가 대체 뭐냐란 말을 몇번 들었습니다.
해커가 자기 목적을 이루기 위해 중간 기지로 사용하는 PC를 뜻하는데요. 해커는 웹사이트나 스팸메일 등을 통해 일반 사용자의 PC에 악성코드를 심습니다. 그러면 이 악성코드에 따라 자기도 모르게 해커의 좀비가 되어 공격 대상 사이트에 무한 반복으로 패킷 폭탄을 날리는거죠.

악성코드, 도대체 어떻게 공격하는가?
일반적으로 악성코드는 수동적으로 패킷을 보내는 역할만 했습니다. 해커가 악성코드에게 이 사이트를 공격해라라고 명령을 보내면 단순히 패킷폭탄만 날리는 식이었죠.

따라서 해커가 명령을 내리는 서버를 찾아서 제거하면 문제가 해결되는게 지금까지의 디도스(DDOS) 공격이었습니다. 그런데 이번엔 조금 이야기가 다릅니다.

지금까지 보안 업계와 한국정보보호진흥원이 밝힌 것은 사전에 공격대상과 공격시간을 지정한 데이터파일이 있고 그 데이터에 따라 패킷이 날아갔다는 겁니다.

무슨 말이냐...

여기서 악성코드란 하나의 실행파일을 뜻합니다. msiexec1.exe란 파일이 스팸메일이나 웹사이트를 통해 좀비 PC에 들어옵니다. PC에 들어오면 자동실행되면서 윈도우즈 시스템폴더에 세 종류의 파일을 만듭니다. 하나는 dll 파일이고요. 하나는 nls라는 확장자를 가진 파일입니다.

지금 가장 문제가 되는 것은 이 nls 파일입니다.
여기에 7월 7일 저녁의 공격 목표 사이트, 8일 저녁의 공격 목표 사이트, 9일의 공격 목표 사이트 들이 쭉 적혀있었기 때문입니다. 이 목표대로 공격하란 명령에 따라 컴퓨터는 지정된 시간이 되면 패킷을 계속해서 날린 것이죠.

또 하나 실행파일이 생성됐는데요.

이 파일은 좀비 PC의 하드디스크의 부팅 섹터를 파괴하는 역할을 하는 것이었습니다. 부팅 섹터에 있는 부팅 정보를 지우고 'Memory of the Independence day'라는 영어 문자열을 덮어쓰는 겁니다.

좀비 PC를 무력화하는 이유가 뭘까 의견이 분분하지만... 자신이 좀비로 사용했던 PC를 무력화해 추적을 피하기 위함이 아니냐란 의견이 많습니다. 또, 이런 제목의 스팸메일을 보내는 명령도 있었다고 하네요.

디도스(DDOS) 막을 방법은 없는가?
가장 무식한 방법이 가장 막기 어려운 법입니다. 디도스는 사실 예방도 어렵고 대응도 어려운 편입니다.
대응에는 크게 두가지 방법이 있습니다.
이상하게 패킷을 많이 보내는 호스트에 대해선 접속을 아예 차단해버리는 겁니다. 또 하나는 그 패킷들을 분산 시켜서 부하를 줄이는 것이죠.

말은 쉽지만 무턱대고 많이 온다고 잘라버릴 수 있는 것도 아니니 이렇게 해주는 장비가 수천만 원이나 합니다. 또 지금까지 공격을 당했던 패턴이야 입력을 시켜놨으니까 그런 식으로 공격해오면 '아 디도스 공격이구나'하지만 새로운 패턴으로 공격을 해오면 그 패턴을 파악하기 전까진 그냥 당하는 것이죠 - -;;;
그래서 예방이라고 한다는게 매일 뻔하게 나오는 이야기들입니다.

일단 좀비가 되면 내가 좀비가 됐는지 알기도 어려우니 좀비가 되지 않도록 평소에 철저하게 보안 업데이트 철저히 하고, 백신 업데이트도 철저히 해야한다는 거죠.
사용자가 할 수 있는 일은 이거밖에 없습니다. 그 다음엔 보안 업계가 열심히 모니터링 하면서 최신 버전 백신 엔진 계속 만들어 배포해야 하는 것이고요.