청와대 등 40개 사이트 디도스 공격..추가공격 가능성

[이데일리 신혜리 기자] 안철수연구소(053800)는 4일 오전 10시부터 청와대 등 국내 40개 웹사이트가 디도스 공격을 받은 것으로 파악된다고 밝혔다. 또 오늘 오후 오후 6시30분부터 디도스 공격 가능성이 있다고 경고했다.   이날 오전 이와 관련 포털 다음과 네이버, 오픈마켓 옥션 등의 사이트가 일시 다운되는 등 이용자들이 불편을 겪고 있다.

안철수연구소는 ASEC(시큐리티대응센터)과 CERT(컴퓨터침해사고대응센터)를 비롯해 전사 비상 대응 체제를 가동하는 한편 DDoS공격을 유발하는 악성코드의 전용백신을 개발해 무료 제공키로 했다.

이번 공격은 지난 2009년 7월7일부터 9일까지 3일간 국내 17개 웹사이트를 겨냥한 7.7 디도스 대란 때와 유사하다는 우려다.   오늘 공격 대상 웹사이트는 네이버, 다음, 옥션, 한게임, 디씨인사이드, 지마켓, 청와대, 외교통상부, 국가정보원, 통일부, 국회, 국가대표포털, 방위산업청, 경찰청, 국세청, 관세청, 국방부, 합동참모본부, 육군본부, 공군본부, 해군본부, 주한미군, 국방홍보원, 제8전투비행단, 방송통신위원회, 행정안전부, 한국인터넷진흥원, 안철수연구소, 금융위원회, 국민은행, 우리은행, 하나은행, 외환은행, 신한은행, 제일은행, 농협, 키움증권, 대신증권, 한국철도공사, 한국수력원자력㈜이다.

디도스 공격을 유발하는 악성코드는 ntcm63.dll, SBUpdate.exe, ntds50.dll, watcsvc.dll, soetsvc.dll, mopxsvc.dll, SBUpdate.exe 등이다. 이들 악성코드가 설치된 PC는 이른바 `좀비 PC`가 돼 일제히 특정 웹사이트를 공격한다.

안철수연구소는 이들 악성코드를 진단/치료할 수 있는 긴급 전용백신(http://www.ahnlab.com/kr/site/download/vacc/downFile.do?file_name=v3removaltool.exe)을 개발해 개인은 물론 기업/기관에도 무료 제공 중이다.   개인용 무료백신 ‘V3 LIte’(http://www.V3Lite.com)를 비롯해 `V3 365 클리닉`(http://v3clinic.ahnlab.com/v365/nbMain.ahn), V3 Internet Security 8.0 등 모든 제품군 사용자는 사용 중인 제품의 최신 버전으로 진단·치료할 수 있다.

한편, 이들 악성코드는 디도스 공격 외에 V3 엔진 업데이트를 제공하는 인터넷 주소의 호스트 파일을 변조해 업데이트를 방해한다. 또한 PC내 문서 및 소스 파일을 임의로 압축하는 증상도 있다.

악성코드가 유포된 경로는 국내 P2P사이트인 셰어박스와 슈퍼다운인 것으로 밝혀졌다. 공격자는 이들 사이트를 해킹해 셰어박스 업데이트 파일과 슈퍼다운 사이트에 올려진 일부 파일에 악성코드를 삽입해 유포했다. 유포 시각은 3월3일 오전 7시~9시로 추정된다.

▶ 관련기사 ◀ ☞안철수硏, 게임보안 솔루션으로 해외시장 공략