검색

메뉴보기

일타쌍피 DDoS 공격 첫 등장

일타쌍피 DDoS 공격 첫 등장

▲ '매스 메일러 웜'은 전자 우편의 첨부 파일로 복사본을 첨부해 감염시 급속한 확산을 시도하는 스팸메일로 해커들은 그동안 DDoS 공격시 전용 프로그램을 활용해왔으나 최근 매스메일러웜을 사이버 공격에 이용하기 시작했다.

해커들이 분산서비스거부(DDoS) 공격에 스팸 메일의 일종인 '매스 메일러 웜(Mass Mailer Worm)'을 사용한 새로운 유형의 DDoS 공격기법을 시도, 주목된다. '매스 메일러 웜'은 전자 우편의 첨부 파일로 복사본(악성코드)을 첨부해 감염시 급속한 확산을 시도하는 스팸메일로 해커들은 그동안 DDoS 공격시 전용 프로그램을 활용해왔다.

29일 업계에 따르면 해커들이 평소 친분이 있는 사람 등이 송신자인 것처럼 위장한 '매스 메일러웜'을 유포, 이를 열어본 수신자 PC를 감염시킨 후 동일한 스팸 메일을 재유포하는 데 그치지 않고 특정 사이트를 DDoS 공격하는 좀비 PC로 활용하기 시작했다.

실제, 최근 유포된 비씨카드 이메일 카드 명세서를 위장한 이메일은 '매스 메일러 웜'으로 사용자 PC를 감염시킨 후 같은 내용의 스팸 메일을 발송하는 동시에 네이버를 타깃으로 DDoS 공격했다. 보안 업체들은 이러한 사이버 공격 사례는 국내에서 처음 발견된 것으로 지적했다.

경찰청 사이버수사대는 이번 네이버 웹사이트를 대상으로 좀비 PC에 공격 명령을 내린 해커의 C&C(Command & Control) 서버를 대상으로 사이버 수사에 나선 것으로 전해졌다.

잉카인터넷은 이번 비씨카드를 위장한 이메일에 감염된 PC에서 12시간 안에 200여개의 이메일을 수집해 재배포하고 DDoS공격을 개시한다고 분석했다.

잉카인터넷 측은 "12시간으로 공격 시기를 맞춰놓은 것은 공격자가 들키지 않기 위해 간격을 둔 것으로 파악된다"며 "해커가 메스 메일러 웜을 배포하고 공격주기를 짧게 설정했다면 제 2의 7.7 DDoS 대란을 일으킬 가능성도 충분하다"고 지적했다.

잉카인터넷 보안연구소 문종현 팀장은 "이번에 발견된 비씨카드 위장 악성코드 메일의 가장 큰 특징은 국내 사용자들이 신뢰하는 비씨카드란 카드사를 이용하면서 대표 포털인 네이버를 공격한 점 등으로 미뤄 해커가 치밀하게 계획된 사이버 공격"이라고 설명했다.

안철수연구소 측에서도 비슷한 분석을 내놓았다.

안철수연구소 측은 "이번 비씨카드 악성코드를 위장한 스팸메일은 지난달 발견된 '남아공 월드컵 직접 볼 수 있다'란 제목으로 유포된 악성코드 이메일의 변형"이라며 "공격을 지시하는 C&C 서버에 해커가 남아공 월드컵 이메일건은 '버전 1', 비씨카드 이메일건은 '버전 2'라고 기록, 해커가 유사한 형태로 계속 유포할 가능성이 높다"고 진단했다.

또한, 안철수연구소 측은 "BC카드 사칭 악성메일은 전통적인 매스 메일러 웜보다 더욱 강력한 스팸 발송력을 갖고 있어 감염된 회사 메일서버에 부하를 줘 네트워크를 마비하는 것은 물론 비씨카드 등 피해 기관의 이미지 실추 등 부정적인 영향을 준다"고 설명했다.
장윤정 기자 linda@etnews.co.kr

위방향 화살표