6.25 사이버공격 관련 빛스캔(대표 문일준)측이 “6월 25일 국가기관 DNS 공격에 이용된 좀비 PC 확보에 이용된 두 곳의 웹하드 업체가 이전에도 대량 악성코드 유포에 이용된 정황이 포착됐다”는 의견을 냈다.

 
업체 관계자는 “두 곳의 웹하드 업체가 동시에 악성코드 유포에 이용된 정황을 확인한 결과 6월 25일 사이버공격 이전인 5월 31일과 6월 1일 양일 간에 걸쳐 동일한 형태의 악성코드를 모든 접속자에게 대량 유포한 사실을 확인했다”며 “대량 좀비 PC 확보에는 실패한 것으로 추정된다. 이후 6월 25일 소규모 좀비 PC를 확보해 파급효과가 있는 국가기관의 DNS만을 집중해 DDoS 공격을 한 것으로 예상된다. 소규모 좀비 PC였기 때문에 서비스 장애가 목적이 아닌 이슈화가 목적이었을 것”이라고 추정했다.
 
또한 “악성코드 숙주를 확인한 결과 simdisk의 경우 지금까지 대량 악성코드 유포 시도가 없었으나 5월 31일~6월 1일 기간동안에 3회에 걸쳐 악성코드 유포 이슈가 처음 발생했다”며 “또한 songsari.net의 경우 올해 3월 중순부터 6월 10일까지 총 5회에 걸쳐 악성코드 유포 이슈가 발견됐다. 두 사이트가 동시에 이용된 정황은 2회로 확인됐다”고 밝혔다.
 
한편 이 두 사이트는 업데이트 파일이 변경될 정도여서 서비스의 모든 권한을 공격자가 가지고 있었을 것으로 추정된다.
 
빛스캔 관계자는 “모든 권한을 가진 상태에서 소스코드도 임의로 변경이 가능한 상태여서 5월 31일~6월 1일 양일간 두 사이트를 동시에 악성코드 유포에 이용한 공격 그룹도 동일한 권한을 가지고 있었던 것으로 추정된다”고 전했다.
 
또 “두 사이트에서 유포된 악성코드는 웹서비스를 방문만 해도 감염이 되는 형태이며 드라이브바이다운로드 형태로 감염이 이루어졌다. 방문자의 PC를 공격대상으로 하고 있으며 이용되는 취약성은 CVE 넘버에 따르면 3544-0507-1723-4681-5076-1889-0422-0634 등이다. 즉 공다팩이 그대로 좀비PC 확보를 위해 이용되었으며 IE 취약성 1종과 자바 취약성 6종, 플래시 1종이 사용된 것으로 추정된다”고 밝혔다.
 
더불어 “웹서비스를 방문한 이용자 PC에 대해 자동적인 공격을 실행하고 공격에 성공하게 되면 PC에 추가적인 다운로더와 트로이목마를 설치하게 된다”며 “당시에 감염된 악성파일은 zip.exe라는 악성파일이 최초 감염에 이용된 것으로 보인다. 추적과 차단을 회피하기 위해 악성링크 및 최종 악성파일을 다운로드 하는 곳들 모두를 국내 사이트를 이용한 상황이며 관련된 모든 정보는 6월 25일 정보공유에 모두 제공한 바 있다”고 전했다.
 
데일리시큐 오병민 기자 bmoh@dailysecu.com