“특정 사이트에 수만건 응답 몰리게 해”

안랩은 25일 발생한 정부기관을 노린 디도스(DDoS·분산 서비스 거부) 공격에서 디도스 유발 변종 악성코드를 추가로 확인했다고 28일 밝혔다.

새로 발견된 악성코드는 며칠 전 정부통합전산센터를 공격한 ‘좀비컴퓨터 이용 디도스’의 변종 악성코드로, 일명 ‘DNS 증폭 디도스’(DNS Amplification DDoS) 공격을 일으키도록 설계되어 있다.

DNS 증폭 디도스 공격이란 출발지의 아이피(IP)를 변경해 요청에 대한 응답이 조작된 IP로 가도록 하는 공격방식이다. 전송되는 응답의 크기가 보통 수준의 수십 배 이상이 되도록 유도해 대상을 마비시킨다.

가령 남의 번호를 발신번호로 해서 수천 명에게 문자를 보내 그 발신번호가 속한 휴대전화로 수 천명의 답장이 오도록 하는 것과 같은 방식이다.

해외에서는 이미 이 공격에 의한 피해사례가 여러 차례 보고됐다.

이번 변종 디도스 악성코드는 일반 PC를 감염시키고 이 PC의 IP주소를 공격 표적인 정부기관의 DNS서버 IP로 위장했다. 이후 2만 개의 다른 DNS서버로 특정 도메인에 대한 확인요청을 일시에 보냈다.

요청에 대한 응답은 각 1천 바이트 이상으로, 일반적인 요청의 수십 배에 달한다.

요청을 받은 DNS서버는 이에 대한 응답을 악성코드가 의도한 특정 정부기관의 DNS서버로 집중시켜 서버 과부하를 일으키는 것이다.

안랩 관계자는 “이 변종 디도스 악성코드의 제작 시각은 6월 25일 20시께인데 의심 IP를 검토하다가 발견했다”고 설명했다.

한편, 안랩은 지난 26일과 27일부터 각각 제공한 디도스 유발 악성코드·악성 스크립트 전용백신에 이어 이번에 발견된 악성코드 전용백신도 제공할 예정이다.

안랩은 악성코드 분석결과를 한국인터넷진흥원(KISA)같은 관계기관과 공유했다.

연합뉴스