7·7 DDoS 공격

위키백과, 우리 모두의 백과사전.
이동: 둘러보기, 검색
디도스 공격 다이어그램

7·7 DDoS 공격 또는 777 DDoS 공격2009년 7월 7일을 기점으로 대한민국미국의 주요 정부기관, 포털 사이트, 은행 사이트 등을 분산 서비스 거부 공격(DDoS, 디도스)하여 서비스를 일시적으로 마비시킨 사건이다.

공격자[편집]

2009년 7월 9일 국가정보원에서는 발생의 진원지가 조선민주주의인민공화국110호 연구소로 추정된다는 발표를 하였고,[1][2] 보안 업체에서는 미국대한민국을 포함한 여러국가의 IP에서 발생이 시작된 것이라고 추정하였다.[3][4]

7월 16일, 영국 IPTV 플랫폼업체인 GDB(Global Digital Broadcast)는 "DDos 공격에 사용된 마스터 서버를 미국의 협력업체가 보유하고 있는 것으로 확인됐다"고 발표했다. 이날 이강래 민주당 원내대표는 고위정책회의에서 "사이버 북풍 의혹의 실체가 북한이 아닌 것으로 밝혀졌다. 이 의혹을 제기한 국정원장과 관련자들은 실상을 밝히고 엄중한 책임을 물어야 할 것"이라고 밝혔다.[5]

10월 말, 국정원에서는 진원지가 조선민주주의인민공화국의 체신청이라는 공식 조사결과를 발표했다.[6] 11월 17일 미국의 보안업체 맥아피는 북조선이 만약 디도스 공격을 감행했다면 주한미군과 본토 지휘부 사이의 커뮤니케이션을 마비시키기 위한 전략에 따른 것일 수 있다고 보고했고, CNN 등 언론이 이를 인용하여 보도했다. 다만 실제로 배후가 북조선인지에 대해서는 밝히지 않았다.[7] 12월 8일 중앙일보는 사설에서, 국정원이 디도스 공격을 북조선의 소행으로 단정했지만 구체적 조사 결과를 공개하지 않고 있음을 지적했다.[8] 12월 28일 노컷뉴스는 검찰의 수사결과를 소개하면서, 국내 디도스 공격에 관여한 이들이 20명의 중고등학생이라고 밝혔다. 검찰은 이들이 대부분 전과가 없는 학생이라는 점을 이유로 입건을 유예했다.[9] 이와 유사한 사건이 2011년 1월 6일에도 발생했는데, 같은 달 28일 경찰은 수사를 통해 '남북한 사이버 전쟁'을 촉발시킨 분산서비스거부(DDos) 공격이 네티즌의 관심을 끌려는 10대의 '1인 자작극'이었음을 밝혔다. 경찰은 문모군(19)을 불구속 입건했다.[10]

공격[편집]

공격은 여러 단계를 거쳐 변화되면서 진행되었다. 가장 처음의 공격은 미국 사이트들을 대상으로 이루어졌으며, 이에 미국에서는 7월 4일을 1차 공격으로, 대한민국에서는 7월 6일~7일을 1차 공격으로 명칭하고 있다.

공격방식[편집]

공격 명령을 하달하는 C&C 서버(명령 제어 서버)가 없으며, 미리 지정해둔 스케쥴러에 따라 지정된 시간에 공격하게 되어있다.[11][12] 따라서 대부분의 DDoS공격을 차단할 수 있는 IP차단 방식을 사용할 수 없었다.

미국 사이트 공격[편집]

한국 일부와 미국의 경우 이 공격을 1차 공격으로 명명하여 전체적으로 1차~4차의 4단계로 구분한다. 이 공격은 2009년 7월 5일, 미국 시간으로 2009년 7월 4일독립 기념일에 시작되었다. 백악관을 비롯한 미국의 27개 사이트를 공격했다.

2009년 7월 4일 국가정보원방송통신위원회는 대한민국과 미국에서 DDoS 공격 징후를 파악했지만, 적절한 대응을 하지 않았다는 것이 밝혀졌다.[13]

1차 공격[편집]

대한민국을 타겟으로 한 1차 공격은 2009년 7월 7일 오후 6시 경에 시작되고 약 24시간동안 지속되었다. 대한민국미국의 주요 26개 사이트를 공격했는데, 청와대백악관, 그리고 대한민국의 주요 언론사와 주요 정당, 포털홈페이지등이 공격리스트에 포함되어있었다 (현우).

2차 공격[편집]

2차 공격은 2009년 7월 8일 오후 6시에 시작되고 약 24시간동안 지속되었다. 1차 공격 리스트에 있었던 사이트 일부와 주요포털 사이트의 메일서비스를 대상으로 공격을 했다. 공격 대상이 된 사이트는 16개이다.

3차 공격[편집]

3차 공격은 2009년 7월 9일 오후 6시에 시작되었다. 이로 인해 국가정보원과 일부 금융기관 홈페이지가 장애를 빚었지만[14][15] 약 3시간 만에 정상화되었다. [출처 필요]

피해[편집]

공격에 사용된 웜 중 일부에서 감염된 컴퓨터의 하드 디스크를 파괴하는 코드가 발견되었으며[16][17] 실제 피해 사례도 나타났다.[18] 이 코드는 2009년 7월 10일을 기점으로 작동하며, 이 피해를 입을 경우 하드 디스크의 마스터 부트 레코드가 손상되어 부팅이 불가능하게 될 수도 있다.

방어[편집]

안철수연구소는 1차공격 직후 바로 전용백신을 공급하였고 이어서 여러 백신 기업이 전용백신을 출시 하였다. 특히 안철수 연구소는 하드디스크의 파괴, 2,3차 공격까지 정확히 파악하여 여러 언론에게 알렸다.[출처 필요] 공격을 받은 포털들도 대응이 빨랐다.[출처 필요] 예를 들어 네이버의 메일 서비스 홈페이지 서버(http://mail.naver.com) 가 공격을 받은 경우 즉시 서버를 바꿔(http://mail2.naver.com) 서비스 하는 등이 있었다.

사후조치[편집]

5개 분야 범정부 DDoS 대응체계 구축 사업과 함께 DDoS 대응장비를 별도지정하였다.[19] 국가정보원장 주재로 국가사이버안전전략회의가 개최되어 외국발 사이버공격으로부터 대응역량을 강화하기 위해 '국가 사이버위기 종합대책'을 수립 시행하였다. 11월 29일, 국방부는 2010년 1월에 사이버방호사령부를 신설하기로 결정하였다.[20]

같이 보기[편집]

주석[편집]

  1. 보안뉴스 - 국정원, “DDoS공격 배후, 북한과 그 추종세력으로 추정” 발표
  2. 헤럴드 경제 - ‘北 IP라더니 美 IP 잡히네’…해커정체 혼선 가중
  3. "쉬프트웍스 “디도스 공격 서버는 美 IP”", 《파이낸셜뉴스》, 2009년 7월 9일 작성. 2009년 7월 11일 확인.
  4. IP주소는 스푸핑이 수월한뿐더러 실제 공격의 배후와, 진원지는 다른 경우가 많다.
  5. 민주 "DDos 테러 '북한' 지목했던 국정원, 책임 물어야"《민중의소리》2009-07-16 11:23:25
  6. "DDos 테러 진원지는 북한 체신청", 《YTN》, 2009년 10월 30일 작성.
  7. "DDoS 공격, 북한이 미군 노린 것"《디지털타임스》2009.12.08 10:44
  8. (취재일기) 대북 정보, 손발 안 맞는 통일부·국정원·외교부 《중앙일보》2009.12.08 10:44
  9. 디도스 유포·공격, 알고보니 대부분 중·고생 《노컷뉴스》2009.12.28
  10. ‘남북 사이버전쟁’은 19세의 자작극 《경향신문》2011.01.28
  11. 박찬암 - 777 DDoS 악성코드 분석 기술문서
  12. 인터넷 침해사고 대응센터(KrCERT/CC) - 국내 주요사이트 대상 분산서비스거부공격 분석 보고서
  13. "국정원, 디도스 징후 포착 이후 늑장대응 논란", 《뉴스한국》, 2009년 7월 10일 작성. 2009년 7월 10일 확인.
  14. 헤럴드 경제 - DDoS 3차 공격에 국정원, 국민은행 사이트 또다시 장애
  15. 연합뉴스 - 3차 DDoS공격 시작..일부 접속불안
  16. "DDoS, 감염PC 저장데이터도 파괴할 듯", 《연합뉴스》, 2009년 7월 9일 작성. 2009년 7월 10일 확인.
  17. 긴급! DDoS 관련 좀비PC 하드디스크 손상 주의.
  18. 연합뉴스. "DDoS 공격 PC파괴 424건 신고".
  19. (취재수첩) 혼란만 키운 국정원 DDoS 대응장비 시험《디지털데일리》2009년 11월 24일 18:24:56
  20. 사이버사령부, 독립부대로 별도 운영《중앙일보》2009.12.01 03:42