안철수연구소(대표 김홍선 www.ahnlab.com)는 1차 전용백신을 무료 제공한 데 이어 전일 저녁부터 안철수연구소를 비롯한 국내 웹사이트를 겨냥한 2차 DDoS 공격이 발생함에 따라 2차 전용백신을 개발했다고 9일 밝혔다.
안철수연구소는 2차 DDoS 공격용 악성코드 전용백신을 이날 새벽 2시부터 무료 제공하고 있다.
안철수연구소가 밤샘 분석 작업 끝에 악성코드를 해독한 결과 악성코드에 스케쥴러 기능이 설계돼 있었다. 스케쥴러에는 기존 공격 대상 사이트 중 7개 사이트를 겨냥해 9일 18시부터 10일 18시까지 네이버 메일(mail.naver.com)과 다음 메일(mail.daum.net, mail) 파란사이트(paran.com) 통합전자민원창구(www.egov.go.kr) 국민은행(www.kbstar.com) 조선일보(www.chosun.com) 옥션(www.auction.co.kr)에 DDoS 공격을 하도록 코딩됐 있다. 공격 대상과 시간은 변종 등에 의해 수시로 변경이 이뤄질 가능성이 있다는 게 안철수연구소측의 설명이다.
또한 이달 8일 18시부터 9일 18시에는 www.mnd.go.kr, www.president.go.kr, www.ncsc.go.kr, mail.naver.com, mail.daum.net, mail.paran.com, www.auction.co.kr, www.ibk.co.kr, www.hanabank.com, www.wooribank.com, www.altools.co.kr, www.ahnlab.com, www.usfk.mil, www.egov.go.kr를 공격하도록 설계돼 있었다고 덧붙였다.
이는 7일에 발생한 공격 대상에서 변경된 것으로, 공격 대상 목록을 담은 파일(uregvs.nls)을 악성코드에서 자체 생성하는 것으로 추정된다고 안철수연구소는 전했다.
이번에 많은 웹사이트를 다운시킨 악성코드는 ▲마이둠 변종(Mydoom.88064, Mydoom.33764, Mydoom.45056.D)과 ▲또 다른 악성코드를 내려받는 다운로더(Downloader.374651) ▲공격 대상 웹사이트 목록을 담은 파일(BinImage/Host) ▲네트워크 트래픽을 유발하는 다수의 에이전트(Agent.67072.DL, Agent.65536.VE, Agent.32768.AIK, Agent.24576.AVC, Agent.33841, Agent.24576.AVD)들이다. 이들 악성코드가 설치된 PC는 이른바 '좀비 PC'가 돼 일제히 특정 웹사이트를 공격한 것이다.
현재 안철수연구소는 좀비 기능을 막기 위해 nls 파일을 차단하는 전용백신(http://kr.ahnlab.com/dwVaccineView.ahn?num=81&cPage=1)을 추가 개발해 개인은 물론 기업/기관에도 무료 제공 중이다. 개인용 무료백신 ‘V3 LIte’(http://www.V3Lite.com)를 비롯해 ‘V3 365 클리닉’(http://v3clinic.ahnlab.com/v365/nbMain.ahn), V3 Internet Security 2007/7.0/8.0 등 V3 제품군 사용자는 사용 중인 제품의 최신 버전으로 진단/치료할 수 있다.
안철수연구소 김홍선 대표는 "이번 DDoS 대란은 지속적으로 발생할 가능성이 높다. 공격 기지로 악용되는 개인과 기업용 PC가 깨끗해져야 근본적으로 해결될 수 있다"며 "이번 사건으로 우리나라 정보보안 수준이 후진국 수준임이 드러났다. 개인은 물론 기업/기관 모두 정보보안의 중요성을 인식하는 계기가 되길 바란다"고 말했다.
한편 DDoS 공격을 받는 쪽에서는 트래픽을 적절히 분산하고 유해 패킷을 차단하는 등의 조치로 웹사이트 다운을 막을 수 있다. 웹사이트를 운영하는 기업/기관에서는 DDoS 차단 기능이 있는 네트워크 보안 솔루션이나 보안관제 서비스를 이용해 피해를 최소화하는 것이 중요하다.
안철수연구소는 2차 DDoS 공격용 악성코드 전용백신을 이날 새벽 2시부터 무료 제공하고 있다.
안철수연구소가 밤샘 분석 작업 끝에 악성코드를 해독한 결과 악성코드에 스케쥴러 기능이 설계돼 있었다. 스케쥴러에는 기존 공격 대상 사이트 중 7개 사이트를 겨냥해 9일 18시부터 10일 18시까지 네이버 메일(mail.naver.com)과 다음 메일(mail.daum.net, mail) 파란사이트(paran.com) 통합전자민원창구(www.egov.go.kr) 국민은행(www.kbstar.com) 조선일보(www.chosun.com) 옥션(www.auction.co.kr)에 DDoS 공격을 하도록 코딩됐 있다. 공격 대상과 시간은 변종 등에 의해 수시로 변경이 이뤄질 가능성이 있다는 게 안철수연구소측의 설명이다.
또한 이달 8일 18시부터 9일 18시에는 www.mnd.go.kr, www.president.go.kr, www.ncsc.go.kr, mail.naver.com, mail.daum.net, mail.paran.com, www.auction.co.kr, www.ibk.co.kr, www.hanabank.com, www.wooribank.com, www.altools.co.kr, www.ahnlab.com, www.usfk.mil, www.egov.go.kr를 공격하도록 설계돼 있었다고 덧붙였다.
이는 7일에 발생한 공격 대상에서 변경된 것으로, 공격 대상 목록을 담은 파일(uregvs.nls)을 악성코드에서 자체 생성하는 것으로 추정된다고 안철수연구소는 전했다.
이번에 많은 웹사이트를 다운시킨 악성코드는 ▲마이둠 변종(Mydoom.88064, Mydoom.33764, Mydoom.45056.D)과 ▲또 다른 악성코드를 내려받는 다운로더(Downloader.374651) ▲공격 대상 웹사이트 목록을 담은 파일(BinImage/Host) ▲네트워크 트래픽을 유발하는 다수의 에이전트(Agent.67072.DL, Agent.65536.VE, Agent.32768.AIK, Agent.24576.AVC, Agent.33841, Agent.24576.AVD)들이다. 이들 악성코드가 설치된 PC는 이른바 '좀비 PC'가 돼 일제히 특정 웹사이트를 공격한 것이다.
현재 안철수연구소는 좀비 기능을 막기 위해 nls 파일을 차단하는 전용백신(http://kr.ahnlab.com/dwVaccineView.ahn?num=81&cPage=1)을 추가 개발해 개인은 물론 기업/기관에도 무료 제공 중이다. 개인용 무료백신 ‘V3 LIte’(http://www.V3Lite.com)를 비롯해 ‘V3 365 클리닉’(http://v3clinic.ahnlab.com/v365/nbMain.ahn), V3 Internet Security 2007/7.0/8.0 등 V3 제품군 사용자는 사용 중인 제품의 최신 버전으로 진단/치료할 수 있다.
안철수연구소 김홍선 대표는 "이번 DDoS 대란은 지속적으로 발생할 가능성이 높다. 공격 기지로 악용되는 개인과 기업용 PC가 깨끗해져야 근본적으로 해결될 수 있다"며 "이번 사건으로 우리나라 정보보안 수준이 후진국 수준임이 드러났다. 개인은 물론 기업/기관 모두 정보보안의 중요성을 인식하는 계기가 되길 바란다"고 말했다.
한편 DDoS 공격을 받는 쪽에서는 트래픽을 적절히 분산하고 유해 패킷을 차단하는 등의 조치로 웹사이트 다운을 막을 수 있다. 웹사이트를 운영하는 기업/기관에서는 DDoS 차단 기능이 있는 네트워크 보안 솔루션이나 보안관제 서비스를 이용해 피해를 최소화하는 것이 중요하다.