안철수연구소는 국내 40개 인터넷 사이트를 대상으로 4일 오전 10시부터 디도스 공격이 발생하고 있다고 이날 밝혔다. 안철수 연구소는 오후 6시 30분부터 재차 발생할 것이라고 전망했다.
안철수 연구소에 따르면 이번 공격은 지난 2009년 7월 7일부터 발생한 ‘7·7 디도스 대란’ 때와 유사하다.
공격 대상은 네이버, 다음, 옥션, 한게임, 디씨인사이드, 지마켓, 청와대, 외교통상부, 국가정보원, 통일부, 국회, 국가대표포털, 방위산업청, 경찰청, 국세청, 관세청, 국방부, 합동참모본부, 육군본부, 공군본부, 해군본부, 주한미군, 국방홍보원, 미8군 전투 비행단, 방송통신위원회, 행정안전부, 한국인터넷진흥원, 안철수연구소, 금융위원회, 국민은행, 우리은행, 하나은행, 외환은행, 신한은행, 제일저축은행, 농협, 키움증권, 대신증권, 한국철도공사, 한국수력원자력㈜ 등 40여곳이다.
디도스 공격에 사용된 악성코드는 ntcm63.dll, SBUpdate.exe, ntds50.dll, watcsvc.dll, soetsvc.dll, mopxsvc.dll, SBUpdate.exe 등이다. 이들 악성코드가 설치된 PC는 이른바 ‘좀비 PC’가 되어 일제히 특정 웹사이트를 공격한다.
안철수연구소는 지난 3일 첫 신고를 받아 분석한 결과 공격 대상과 공격 시각을 파악했으며, 전용백신을 신속히 개발했다.
긴급 전용백신은 안철수연구소 홈페이지(ahnlab.com/kr/site/download/vacc/downFile.do?file_name=v3removaltool.exe)에서 무료로 내려받을 수 있다.
이들 악성코드는 디도스 공격 외에 V3 엔진 업데이트를 제공하는 인터넷 주소의 호스트 파일을 변조해 업데이트를 방해하고 PC내 문서 및 소스 파일을 임의로 압축하는 증상도 있다고 안철수연구소는 설명했다.
악성코드 유포 경로는 파일공유사이트 셰어박스와 슈퍼다운인 것으로 알려졌으며 공격자들은 이들 사이트를 해킹해 셰어박스 업데이트 파일과 슈퍼다운 사이트에 올려진 일부 파일에 악성코드를 삽입해 유포했다. 유포 시각은 3월 3일 07시∼09시로 추정된다.
안철수연구소 김홍선 대표는 “PC가 디도스 공격에 악용되지 않게 하려면 평소 보안 수칙을 실천하는 것이 중요하다. 운영체계의 보안 패치를 최신으로 유지하고, 백신 프로그램을 설치해 항상 최신 버전으로 유지하고 실시간 검사 기능을 켜둬야 한다”고 조언했다.
그는 이어 “이메일, 메신저의 첨부 파일이나 링크 인터넷주소를 함부로 열지 말고, P2P 사이트에서 파일을 내려받을 때 백신으로 검사하는 습관이 필요하다. 또한 웹사이트를 운영하는 기업/기관에서는 디도스 차단 기능이 있는 네트워크 보안 솔루션이나 보안관제 서비스를 이용해 피해를 최소화하는 것이 중요하다”라고 강조했다.
/hong@fnnews.com 홍석희기자
※ 저작권자 ⓒ 파이낸셜뉴스, 무단전재-재배포 금지