check 3d gpu
바로가기
왼쪽 메뉴로 이동
본문으로 이동

중국 DDoS 공격 범죄자 58명 체포돼…공격 실행 과정 정리

2017년 09월 19일(화)
공유하기

구글+구글+ 카카오톡카카오톡 카스카스 라인라인 밴드밴드 URL복사URL복사

URL 복사

아래의 URL을 길게 누르면 복사하실수 있습니다.

Cybersecurity-11.jpg
지난 2017년 4월초, 장쑤성 어느 네트워크회사의 서버가 DDoS(디도스)공격을 당해 서버상의 많은 웹사이트가 정상적으로 운영되지 않아 심각한 손실을 입었다. 해당 DDoS공격은 경쟁업체가 해커를 고용해 실시한 네트워크 범죄행위였다.

장쑤성 쉬저우시 공안국 사이버파견부대는 사이버공격의 출처를 역추적해 15개성 30여개 도시에서 58명의 범죄용의자를 체포했다.

중국 사이버 위협 인텔리전스 정보 서비스 전문기업 씨엔시큐리티(대표 류승우) 정보에 따르면, 용의자 중에는 의뢰자, 공격실행자, 좀비PC 대행업자, 트래픽 조절자, 보증인, 해킹공격 프로그램제작자 등 중국 DDoS블랙마켓에서 다양한 역할을 하는 범죄자가 포함되어 있어 이러한 유형의 공격범죄는 충격을 주었다.

DDoS공격 블랙마켓에서의 최상위 역할은 ‘의뢰자’이다. 비용을 지불하며 구체적인 웹사이트 혹은 서버에 공격을 일으키고 싶어하는 수요가 있는 사람이다. 흔히 ‘의뢰자’는 불법 웹사이트들(음란물, 도박, 복권, 게임사설서버)을 운영하는 운영자들이다. 경쟁상대를 방해하기 위해 해커를 고용해 웹사이트에 대한 공격을 진행 한다.

‘의뢰인’의 지시를 받은 후, 공격을 실행하는 사람이며, ‘공격실행자’라고 불린다.

공격실행에는 두 가지 종류의 방법이 있다.

1. 프로그램, 툴을 이용하여 좀비PC를 통해 타겟서버의 CPU자원을 잠식하여 정상적인 사용자의 접근을 방해한다.

2. 대량의 트래픽을 발송하여 타겟서버를 공격해 서버가 네트워크에 연결되지 않도록 한다. 프로그램 혹은 툴은 대부분 ‘해킹프로그램제작자’에게 구매한다. 어떤 ‘공격실행자’는 서버공격을 위한 DDoS구축을 알지 못해, ‘좀비PC 대행업자’와 ‘트래픽 조절자’측에서 이미 구성한 ‘좀비 네트워크’와 ‘트래픽 플랫폼의 웹페이지 엔드 서비스’를 구매한다.

‘좀비PC 대행업자’는 컴퓨터정보시스템에 침입한 공격실행자이거나 침입한 컴퓨터시스템 권한을 판매하는 중간상이다. 그들은 백도어 프로그램과 각종 보안취약점을 결합하여 개인컴퓨터와 서버의 제어권한을 얻고, 트로이목마를 삽입하여 컴퓨터가 DDoS공격을 실행하는 ‘좀비PC’로 만든다.

‘트래픽 조절자’는 서버제어권한과 네트워크 트래픽 발생 능력을 가지고 있는 사람이다. 그들은 어느 정도의 기술을 가지고 있고 전용서버 임대, 자체적으로 공격프로그램을 설정할 수 있어 트래픽을 발생시킬 수 있다.

의뢰자, 좀비PC구매, 트래픽 구매 등 각 거래과정에서, 거래양측은 종종 서로 모르기 때문에 업계 내 ‘평판’이 높은 해커를 찾아 ‘보증인’으로 삼는다. 구매와 판매 양측의 자금 중계를 책임지며 일정한 수수료를 받는다.

DDoS프로그램 제작을 책임진다. 여러 종류의 공격방식을 실현시키기 위해, 해킹공격의 장벽을 낮추며 프로그램을 판매해 이익을 얻는다.

DDoS공격의 산업화와 봇넷구성 툴 킷과 소위 ‘stresser’,’booter’ 및 기타 DDoS대여 서비스가 광범위하게 활용됨에 따라, DDoS공격의 단속 난이도를 높였을 뿐만 아니라 DDoS공격의 실행장벽을 낮추고 있다.

오늘날 국가지원을 받는 해커와 APT조직들이 DDoS아키텍처를 사용할 뿐만 아니라 일반적인 사이버범죄자들과 스크립트 키드 또한 손쉽게 DDoS공격을 일으킬 수 있다.

한편 씨엔시큐리티는 오는 9월 21일 데일리시큐 주최 2017 대한민국 정보보호 인텔리전스 컨퍼런스에서 한국을 향한 중국 해커들의 사이버 위협에 대해 상세한 내용을 공개할 예정이다.

-K-ISI 2017 등록: http://conf.dailysecu.com/conference/k-isi/2017_1.html

★정보보안 대표 미디어 데일리시큐!★


길민권 기자 mkgil@dailysecu.com

전체선택후 복사하여 주세요. 닫기