㈜이스트소프트(대표 김장중 http://www.alyac.co.kr) 알툴즈사업본부에서는 10일 0시를 기점으로 이번 DDoS 공격에 활용된 좀비PC의 데이터를 파괴하는 방식에 대한 분석 결과를 발표하며 현재 피해를 입은 좀비PC의 압축파일 데이터는 복구가 불가능하다고 밝혔다.

이 회사의 알집 개발팀에서 분석한 자료에 따르면 알약 진단명 ‘V.TRJ.Ransum.MotID’으로 명명된 이번 악성코드는 좀비PC에 저장된 데이터 중 35개 확장자를 사전에 정해놓고 해당하는 데이터를 5초 내외의 짧은 시간 내에 자동 검색하여 찾아낸 후 개별 파일 형태로 압축한 후에 원본파일은 삭제하는 방식으로 동작하는 것으로 밝혀졌다.

특히 이렇게 압축된 파일은 감염된 PC의 사용자가 압축파일을 해제 할 수 없도록 개별 PC마다 고유로 랜덤하게 비밀번호를 설정하고 압축된 파일 자체도 파일의 앞부분 5MB 부분은 원본 파일을 손상시킨 뒤 압축을 하는 방식이기 때문에 사실상 압축된 파일은 무용지물이 되고 원본 데이터의 복구가 근본적으로 불가능하다는 설명이다.

하지만 다행스럽게도 9일 발생한 3차 DDoS 공격이 우려한 수준보다는 피해가 적은 것으로 조사되고 있고 동원된 좀비PC 역시 1,2차 공격에 비하여 감소된 것으로 알려지고 있어 피해가 상대적으로 크지 않았다.

그 원인으로 1, 2차 공격을 통해 대상 업체들의 사전 대응이 강화되어 있었다는 점과, 관련 기관들과 보안업체의 지속적인 홍보로 인하여 백신 소프트웨어를 통한 탐지와 치료한 PC사용자의 수가 늘었던 것으로 파악되었다.

실제로 백신 소프트웨어 알약을 통하여 치료된 건수는 10일 오후 현재 6만여 건이 넘는 것으로 집계되고 있으며 알약 DDoS 전용백신의 다운로드 수가 49만 건에 달하고 있기 때문에 이를 통해 치료된 통계까지 포함되면 상당 수의 PC 사용자가 이번 DDoS 공격의 원인으로 지목되는 악성코드가 사전에 치료되어 더 큰 피해를 막을 수 있었던 것으로 생각된다.

이스트소프트 알약 긴급대응팀 관계자는 “세 차례에 걸친 DDoS 공격은 사전에 치밀하게 계획된 것으로 밝혀지고 있으며, 10일 개시된 좀비PC의 데이터 파괴 공격 과정에서도 PC내 데이터 검색 기술과 압축 기술이 동원되는 등 상당한 수준의 기술을 소유한 해커의 소행으로 생각된다” 며 “이러한 국가적인 혼란의 재발을 막기 위해서라도 온 국민의 보안 의식을 높일 수 있는 후속 조치가 이뤄져야 할 것이다”라고 의견을 피력하였다.

참고: 좀비PC 데이터 파괴 대상 파일 확장자 35종
.zip/.pas/.cpp/.java/.jsp/.aspx/.asp/.php/.rar/.gho/.alz/.xml/.pst/.eml/.kwp/.gu/l.hna/.hwp/.txt/.rtf/.dbf/.accdb/.pdf/.pptx/.ppt/.mdb/.xlsx/.xls/.wri/.wpx/.wpd/.docm/.docx/.doc