안철수硏 “3·4 디도스 2009년 7·7대란 업그레이드 판”

 정보보호  Comments Off on 안철수硏 “3·4 디도스 2009년 7·7대란 업그레이드 판”
Apr 072011
 

http://news.inews24.com/php/news_view.php?g_serial=555048&g_menu=020200

[구윤희기자] 안철수연구소(대표 김홍선)가 지난 4일 발생한 디도스 공격이 2009년 7월 7일 디도스 대란의 업그레이드판이라는 평가를 내놓았다.

안철수연구소는 지난 4일부터 발생한 문제의 디도스 공격을 분석한 결과 지난 2009년과의 유사점과 차이점을 발견하고 7일 이같이 발표했다.

안연구소에 따르면 2009년 7·7 디도스 당시에는 마지막 공격 날인 10일 자정에 하드디스크와 파일이 손상됐으며, PC 날짜를 변경하면 피해를 막을 수 있었던 반면 이번에는 날짜 변경이나 감염 시점 기록 noise03.dat 파일 삭제시에도 하드디스크와 파일이 손상되는 점이 달랐던 것으로 파악됐다. 또한 백신이 보급되자 악성코드 파일을 다운로드하는 시점에 즉시 손상되는 것으로 공격명령을 바꾸기도 한 것으로 나타났다.

또 7·7 때는 같은 파일 구성으로 여러 차례 공격을 시도했지만, 이번에는 공격 시점마다 파일 구성이 달라지고 새로운 파일이 추가 제작돼 분석과 대응 시간을 늦추는 모습이었다.

안연구소는 2009년에는 닷넷 프레임 기반인 윈도 2000, XP, 2003에만 손상이 국한됐지만 이번에는 모든 윈도 운영체제에 손상이 이뤄지도록 했고 기능적으로도 호스트 파일을 변조해 백신 업데이트를 방해하는 등 보다 진화된 공격 양상이 관찰된 점이 다르다고 파악했다.

안연구소는 그러나 2009년과 지난 4일 공격에서 유사한 점도 발견됐는데 개인 사용자 PC를 ‘좀비PC’로 만들어 디도스 공격자가 되도록 하고 외부 서버로부터 명령을 받아 사전 계획대로 공격이 이뤄졌다는 점이 같은 골격이라고 분석했다. 공격 형태와 대상이 유사하고 공격 목적이 불명확하다는 점, 하드 디스크 및 파일 손상으로 악성코드 수명이 끝난다는 점도 2009년과 같은 것으로 평가했다.

안연구소는 이밖에 악성코드 배포지로 P2P 사이트가 활용됐다는 점이 지난 2009년과 이번 모두 공통적이었다며 향후 P2P 사이트에 대한 보안 체제를 어떻게 법제화하는가가 숙제로 남는다고 덧붙였다.

김홍선 안철수연구소 사장은 “보안을 단순히 제품으로 볼 것이 아니라 프로세스로 접근해야 한다”며 “이번 일을 계기로 각 기업과 기관은 날로 지능화하는 보안 위협에 대응할 수 있도록 글로벌 기준에 맞는 대응 프로세스를 구축해야 한다”고 당부했다.

구윤희기자 yuni@inews24.com

 

 Posted by at 8:54 PM

스턱스넷이란?

 정보보호  Comments Off on 스턱스넷이란?
Apr 072011
 

http://www.dt.co.kr/contents.html?article_no=2010100702011860739002

지멘스사 산업자동화제어시스템 타깃 악성코드
취약점 5개 이용… 이란ㆍ중국 등 약 10만대 감염

최근 이란을 시작으로 중국 등 전세계 국가들을 겨냥한 사이버 공격 무기로 `스턱스넷(Stuxnet)’악성코드 이야기가 많이 나오고 있습니다. 보안 전문가들과 각국의 정부가 스턱스넷에 주목하는 것은 이 악성코드로 인해 한 국가의 주요 기간 시설이 공격자에게 장악될 수 있음을 보여줬기 때문입니다. 영화 `다이하드 4.0’에서 국가 기간망을 공격한 사이버 전쟁이 이제는 현실에서도 가능하다는 점도 확인해줬습니다. 지난 한 달간 세계 외신을 달군 스턱스넷에 대해 알아보겠습니다.

◇스턱스넷이란=스턱스넷은 독일 지멘스사의 산업자동화제어시스템을 공격 목표로 제작된 악성코드로 원자력, 전기, 철강, 반도체, 화학 등 주요 산업 기반 시설의 제어 시스템에 침투해 오작동을 일으키는 악성코드를 입력해 시스템을 마비시킬 수 있습니다.

안철수연구소 시큐리티대응센터의 분석에 따르면 스턱스넷은 여러 개의 파일로 구성되며, 알려지지 않은 여러 개의 취약점을 이용해서 산업자동화제어시스템을 제어하는 PC에 드롭퍼(스턱스넷의 핵심 모듈 파일을 생성하는 하는 파일)가 실행됩니다. 이 드롭퍼는 정상 s7otbxdx.dll 파일의 이름을 변경해 백업하고, 정상 s7otbxdx.dll 파일과 동일한 이름으로 자신의 파일을 생성합니다. 이후 산업자동화제어시스템을 통합 관리하는 도구(소프트웨어)인 `Step7’을 실행하면 원래의 정상 파일이 아닌 스턱스넷이 실행되게 됩니다.

`Step7’의 기능은 s7otbxdx.dll 파일을 통해서 제어 PC와 산업자동화제어시스템 간에 블록 파일을 교환하는 것입니다. 이 파일을 Stuxnet의 DLL 파일로 바꾸면 산업자동화제어시스템을 모니터링하거나 제어(수정 또는 악성 블록 생성)할 수 있게 됩니다. 이후 공격자는 모터, 컨베이어 벨트, 펌프 등의 장비를 제어하거나 심지어 폭발시킬 수도 있습니다. 즉, 산업 시설이 관리자가 아닌 악의적 공격자에게 장악될 수 있는 것입니다.

스턱스넷이 실행되는 환경 조건은 감시 제어 데이터 수집 시스템(SCADA)안에 지멘스사의 `Step7’이 산업자동화제어시스템 제어용 PC에 설치되어 있고, 산업자동화제어시스템 타입이 6ES7-315-2 또는 6ES7-417이고, 산업자동화제어시스템 제어 PC의 운영체제(OS)가 윈도우인 경우입니다.

또 스턱스넷이 이용하는 취약점은 총 5개로, 이 취약점 중 3개(USB, 공유 프린터, 공유 폴더를 통해 감염)는 이미 MS에서 보안 패치를 제공하지만 2개는 아직 발표하지 않은 상황입니다.

◇스턱스넷 감염 현황=현재 스턱스넷은 이란 부셰르 원자력핵발전소와 중국 1000여 개 주요 산업 시설을 비롯해 전세계 여러 국가에 감염이 확산된 것으로 보고되고 있습니다. 시만텍 등 보안업계에 따르면 전세계 PC 수십 만 대가 감염된 것으로 나타났습니다. 시만텍 관계자는 세계적으로 약10만대의 컴퓨터가 스턱스넷에 감염됐고 이중 이란이 60%, 인도네시아가 18%, 미국은 2% 정도라고 밝혔습니다. 또 적어도 5명 이상의 전문가로 구성된 해커들의 짓이라고 예상했습니다. 주요 보안업체들은 웜바이러스가 누구에 의해, 무엇을 목적으로 개발됐는지 아직 확인하기 어렵다는 입장입니다. 하지만 특정 국가를 노린 웜 바이러스가 등장한데 대해 사이버 무기의 전초전이라는 분석을 내놓고 있습니다.

조시행 안철수연구소장은 “이번 스턱스넷은 최근 꾸준하게 보안전문가들이 제기한, 구체적인 목표를 가진 타깃형 사이버 공격”이라며 “악성코드가 전략적으로 이용될 가능성을 보여주는 구체적인 사례이며, 이 같은 공격은 더욱 늘어날 것으로 예상된다”고 말했습니다.

현재 스턱스넷의 국내 감염사례나 피해상황은 확인된 바 없습니다.

행정안전부에 따르면 우리나라에서 독일 지멘스사 제어시스템을 사용하는 곳은 40여개 산업시설로, 현재까지는 스텍스넷에 의한 감염사례 등 피해는 발생하지 않은 것으로 확인됐습니다. 행안부는 유관기관등과 협조해 산업자동화제어시스템을 사용하고 있는 국내 주요 정보통신기반시설에 대해 악성코드 감염 여부를 일제조사하고 백신프로그램을 설치하도록 긴급 조치한 상황입니다.

그러나 최근 시만텍이 발간한 스턱스넷 분석 보고서를 보면, 155개 국가, 총 4만개의 스턱스넷 감염IP중 지멘스사 제품을 사용하는 호스트만 따로 집계한 결과 이중 67.6%가 이란이었고, 한국이 8.1%로 그 뒤를 이었습니다. 미국 와이어드(Wierd) 등 외신들은 이를 인용해 한국의 지멘스 산업자동화제어시스템이 스턱스넷에 이란 다음으로 감염율이 높은 것으로 나타났다고 보도하기도 했습니다.

이와 관련, 행안부, 한국 지멘스 등은 여전히 감염 사례가 없다는 입장이지만, 보안업계는 국내 감염 여부에 대한 철저한 조사가 필요하다고 지적하고 있습니다.

임종인 한국정보보호학회장은 “스턱스넷은 명령제어(C&C)서버를 차단하더라도 P2P 등을 통해 업데이트가 가능할 정도로 정교하게 만들어졌다”며 “변형된 스턱스넷 유포도 얼마든지 가능하기 때문에 지금 패치를 했다고 안심해서는 안 된다”고 말했습니다.

김지선기자 dubs45@

자료제공=안철수연구소

 

 Posted by at 8:49 PM