게임 업체 공격한 해킹 단체와 비슷한 인프라 발견돼
미라이 멀웨어가 일등공신...디폴트 암호가 너무 많아
[보안뉴스 문가용 기자] DNS 공급업체인 딘(Dyn)의 10월 21일 대규모 디도스 사건에 대한 수사가 계속 진행되고 있다. 여태까지 밝혀진바 얼마 전 소스코드가 공개된 미라이(Mirai) 멀웨어가 이번 공격의 일등공신인 것으로 나타났다. 그리고 어제 딘의 부회장인 스콧 힐튼(Scott Hilton)은 블로그에 “공격자들이 53번 포트를 통해 마스킹된 TCP와 UDP 트래픽을 사용했다”고 추가로 밝혔다.
.jpg)
“TCP 트래픽이 사용되었다는 건 매우 흥미 있는 일입니다. 보통 용량이 엄청난 디도스 공격들은 스푸핑이 필요한 UDP 증폭 방식을 취하거든요. 결국 디폴트 암호를 가진 ‘쓰레기’들이 엄청나게 퍼져 있다는 뜻입니다.” 이는 디폴트 암호를 찾아 공격해 봇넷을 만드는 미라이 멀웨어가 일등공신 역할을 했다는 것과도 일맥상통한다.
현재 수사는 ‘누가 과연 이 공격을 감행했는가?’에 집중하고 있다. “딘은 현재 진행 중인 수사 과정에 적극 협조하여 누가 어떤 동기로 이런 공격을 실행했는지 밝혀내고자 애쓰고 있다”고 힐튼은 위에서 언급한 블로그에 덧붙이기도 했다.
이미 보안 커뮤니티에서는 러시아가 가장 큰 배후 세력으로 꼽히고 있다. 최근 러시아의 외교부 홈페이지를 디페이스 공격했다고 주장하는 더 제스터(The Jester)라는 해커가 그렇게 주장했기 때문이다. 위키리크스(WikiLeaks)는 “러시아 정부가 직접 했다기보다 러시아 정부를 지지하는 세력이 일을 저질렀을 가능성이 더 크다”고 비슷하지만 살짝 다른 견해를 내비치기도 했다. 그러면서 뉴월드해커스(New World Hacker)라는 핵티비스트 단체를 언급했다.
하지만 보안업체인 플래시포인트(FlashPoint)는 “정부가 후원하는 세력이 했을 가능성이 매우 낮다”고 반박했다. 심지어 핵티비스트나 돈을 노린 사이버 범죄자들도 아니라고 주장했다. “핵포럼(HackForums)에서 활동하는 아마추어 해커들일 가능성이 제일 높습니다.”
플래시포인트가 이렇게 주장하는 이유는 딘을 공격한 디도스 인프라가 주요 비디오 게임 업체를 표적으로 한 공격과 매우 흡사하기 때문이다. “좀 더 조직된 범죄 단체나, 핵티비스트, 심지어 국가가 후원하는 해킹 단체라면 공격 목표나 동기가 뚜렷합니다. 정치적이거나 금전적인 목표를 스스로 밝히기도 하고, 밝히지 않더라도 누구나 알 수 있을 만한 정황에 맞게 공격을 합니다. 하지만 이번엔 달랐죠. 그리고 비디오 게임 회사를 공격하는 경우는 매우 드뭅니다.”
게다가 핵포럼에서 활동하는 아마추어 해커들은 일찍부터 비디오 게임 업체들을 겨냥해 디도스 공격을 해온 것으로 유명하다. “동기야 간단합니다. 그냥 심심해서 ‘트롤링’을 하는 것이거나 자신의 능력을 과시하는 것, 관심을 끄는 것 정도죠. 이번 해킹 역시 이런 맥락에서 생각하면 아직도 공격자의 뚜렷한 동기가 없다는 것도 이해가 갑니다.”
스크립트 키디(script kiddies)라고 불리는 아마추어 해커들이 정말 이 일을 저지른 것이라면 사물인터넷으로 인한 보안 악몽의 시대가 미라이 소스코드 배포로 인해 걱정했던 것보다 더 빠르게 다가왔다는 현상의 방증이 될 것이라고 플래시포인트는 설명한다.
하지만 딘이 유명 보안 블로거인 브라이언 크렙스(Brian Krebs)와 함께, 수상한 사업을 벌여온 백코넥트(BackConnect)라는 기업에 대한 조사를 벌이고 있었다는 점, 브라이언 크렙스 자신도 최근 기사에 대한 보복성 디도스 공격을 받았다는 점에서 이 두 사건의 연관성 역시 완전히 배재할 수는 없다고 일부 보안 전문가들은 주장하고 있다.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
미라이 멀웨어가 일등공신...디폴트 암호가 너무 많아
[보안뉴스 문가용 기자] DNS 공급업체인 딘(Dyn)의 10월 21일 대규모 디도스 사건에 대한 수사가 계속 진행되고 있다. 여태까지 밝혀진바 얼마 전 소스코드가 공개된 미라이(Mirai) 멀웨어가 이번 공격의 일등공신인 것으로 나타났다. 그리고 어제 딘의 부회장인 스콧 힐튼(Scott Hilton)은 블로그에 “공격자들이 53번 포트를 통해 마스킹된 TCP와 UDP 트래픽을 사용했다”고 추가로 밝혔다.
“TCP 트래픽이 사용되었다는 건 매우 흥미 있는 일입니다. 보통 용량이 엄청난 디도스 공격들은 스푸핑이 필요한 UDP 증폭 방식을 취하거든요. 결국 디폴트 암호를 가진 ‘쓰레기’들이 엄청나게 퍼져 있다는 뜻입니다.” 이는 디폴트 암호를 찾아 공격해 봇넷을 만드는 미라이 멀웨어가 일등공신 역할을 했다는 것과도 일맥상통한다.
현재 수사는 ‘누가 과연 이 공격을 감행했는가?’에 집중하고 있다. “딘은 현재 진행 중인 수사 과정에 적극 협조하여 누가 어떤 동기로 이런 공격을 실행했는지 밝혀내고자 애쓰고 있다”고 힐튼은 위에서 언급한 블로그에 덧붙이기도 했다.
이미 보안 커뮤니티에서는 러시아가 가장 큰 배후 세력으로 꼽히고 있다. 최근 러시아의 외교부 홈페이지를 디페이스 공격했다고 주장하는 더 제스터(The Jester)라는 해커가 그렇게 주장했기 때문이다. 위키리크스(WikiLeaks)는 “러시아 정부가 직접 했다기보다 러시아 정부를 지지하는 세력이 일을 저질렀을 가능성이 더 크다”고 비슷하지만 살짝 다른 견해를 내비치기도 했다. 그러면서 뉴월드해커스(New World Hacker)라는 핵티비스트 단체를 언급했다.
하지만 보안업체인 플래시포인트(FlashPoint)는 “정부가 후원하는 세력이 했을 가능성이 매우 낮다”고 반박했다. 심지어 핵티비스트나 돈을 노린 사이버 범죄자들도 아니라고 주장했다. “핵포럼(HackForums)에서 활동하는 아마추어 해커들일 가능성이 제일 높습니다.”
플래시포인트가 이렇게 주장하는 이유는 딘을 공격한 디도스 인프라가 주요 비디오 게임 업체를 표적으로 한 공격과 매우 흡사하기 때문이다. “좀 더 조직된 범죄 단체나, 핵티비스트, 심지어 국가가 후원하는 해킹 단체라면 공격 목표나 동기가 뚜렷합니다. 정치적이거나 금전적인 목표를 스스로 밝히기도 하고, 밝히지 않더라도 누구나 알 수 있을 만한 정황에 맞게 공격을 합니다. 하지만 이번엔 달랐죠. 그리고 비디오 게임 회사를 공격하는 경우는 매우 드뭅니다.”
게다가 핵포럼에서 활동하는 아마추어 해커들은 일찍부터 비디오 게임 업체들을 겨냥해 디도스 공격을 해온 것으로 유명하다. “동기야 간단합니다. 그냥 심심해서 ‘트롤링’을 하는 것이거나 자신의 능력을 과시하는 것, 관심을 끄는 것 정도죠. 이번 해킹 역시 이런 맥락에서 생각하면 아직도 공격자의 뚜렷한 동기가 없다는 것도 이해가 갑니다.”
스크립트 키디(script kiddies)라고 불리는 아마추어 해커들이 정말 이 일을 저지른 것이라면 사물인터넷으로 인한 보안 악몽의 시대가 미라이 소스코드 배포로 인해 걱정했던 것보다 더 빠르게 다가왔다는 현상의 방증이 될 것이라고 플래시포인트는 설명한다.
하지만 딘이 유명 보안 블로거인 브라이언 크렙스(Brian Krebs)와 함께, 수상한 사업을 벌여온 백코넥트(BackConnect)라는 기업에 대한 조사를 벌이고 있었다는 점, 브라이언 크렙스 자신도 최근 기사에 대한 보복성 디도스 공격을 받았다는 점에서 이 두 사건의 연관성 역시 완전히 배재할 수는 없다고 일부 보안 전문가들은 주장하고 있다.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
