선관위 악성코드 분석결과, 공격자는 아마추어 수준

추적 가능한 국내 IP 기반 명령제어 서버 이용

[보안뉴스 오병민] 경찰의 비밀수사 속에 정체를 파악할 수 없었던 선관위 DDoS 악성코드가 지난 5일 KISA를 통해 백신업체에 공유된 것으로 확인됐다. 현재 국내 백신업체들은 넘겨받은 악성코드를 바탕으로 악성기능을 분석하고 있는 것으로 전해졌다.

해당 악성코드는 이미 몇 년전 중국에서 제작, 개발된 툴을 이용해 생성된 파일로사용자 PC에 설치되면 좀비PC가 되어 공격자가 C&C(명령제어)서버에서 내리는 명령에 따라 다양한 기능을 수행한다.

▲중앙선관위 DDoS공격에 이용됐던 악성코드 ⓒ이스트소프트

이 악성코드는 감염자 PC의 정보(CPU, OS버전, 메모리 용량 등 하드웨어 정보)를 C&C서버에 전송할 수 있고 공격자의 명령에 따라 원격 서버에서 실행 파일을 다운받아 실행할 수 있으며, DDoS 공격 및 감염자 PC종료, 자가 삭제 등을 할 수 있다.

특이사항은 이 악성코드에게 공격 명령하는 C&C서버가 국내 IP를 기반으로 하고 있다는 점이다. C&C서버가 국내에 있을 경우, 악성코드 만으로도 공격자를 추적할 수 있다. 따라서 전문가들은 공격자가 매우 보안에 능통한 전문가는 아닐 가능성이 높다고 이야기한다.

더불어 경찰이 발견하기 전부터 이 악성코드는 기존 백신에서 진단하고 있었던 것으로 파악됐다. 따라서 전문가들은 선관위 DDoS 공격 당시 이용됐던 좀비PC들은 백신을 이용하지 않은 보안 취약계층의 PC일 가능성이 높다고 추측했다.

현재 이 악성코드와 연결된 C&C서버는 KISA에 의해 차단돼 더 이상 공격자의 명령을 수행할 수 없는 것으로 확인됐다.

이 악성코드와 대응하는 공격툴은 이미 많은 변형 DDoS 공격 프로그램으로 파생시킨 ‘DarkShell’을 기반으로 하고 있다. 카스툴을 비롯해 설화툴, 스톰툴, 울프툴, 퍼펙트툴 등이 이 툴을 기반으로 하고 있다.

[오병민 기자(boan4@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)