[보안뉴스] 국방부·법원 마비시킨 친러 핵티비스트 그룹의 무기 ‘디도시아’ 분석해보니

기사 원문

국방부·법원 마비시킨 친러 핵티비스트 그룹의 무기 ‘디도시아’ 분석해보니

---

친러시아 핵티비스트 디도스 공격 도구 ‘디도시아’... 탐지 회피 등 기술 고도화
핵티비스트 활동 홍보, 소셜 미디어로 활동 유도하고 암호화폐로 보상
기관·기업, 홈페이지와 주요 시스템 보안 강화하고 이메일·백업·SW업데이트 관리 필요

[보안뉴스 박은주 기자] 2024년 11월 친러시아 성향의 해킹그룹이 국방부·서울중앙지방법원 및 법원 대다수 사이트 등 국내 주요 정부기관 웹사이트를 대상으로 디도스 공격을 시도했다. 우리나라의 우크라이나 무기 지원 발언 등을 빌미로 사이버공격이 감행된 것이다.

▲디도시아 공격 흐름도[자료=ASEC]

안랩 시큐리티 인텔리전스 센터(이하 ASEC)의 분석에 따르면 해당 핵티비스트들 활동의 특징은 자동화된 디도스(DDoS) 봇을 활용한다는 점이다. 디도시아(DDoSia)와 같은 봇을 통해 개인 사용자도 공격에 참여할 수 있도록 장려하고 있다. 공격자가 운영하는 텔레그램 채널은 수만 명의 구독자를 보유하고 있다. 소셜 미디어를 적극적으로 활용해 핵티비스트 활동을 홍보하고 공격 목표와 진행 상황을 실시간으로 공유한다. 이 외에도 참여자는 공격 성공 시 암호화폐로 보상받는 구조를 이루고 있어 더 많은 사람이 공격에 동참하고 있다.

▲인증 과정의 패킷[자료=ASEC]

ASEC은 디도시아가 텔레그램 채널에서 내려받은 ‘client_id.txt’를 동일 경로에 두고 실행하는 방식으로 동작한다고 분석했다. 바이너리 내부에 포함된 명령제어(C&C) 서버 주소가 사용되고, C&C 서버 주소는 지속해서 바뀌어 접속이 불가능할 경우 텔레그램에서 공격자에게 새로운 IP 주소를 받아야 한다.

디도시아가 실행되면 먼저 인증 단계를 거쳐야 한다. client_id.txt 파일을 기반으로 시스템의 기본 정보를 수집한 후 공격자에게 전송한다. 이때 URL은 ‘/client/login’이 사용되며 시스템 정보는 암호화돼 있다. 이후 C&C 서버로부터 타임스탬프(Timestamp)를 받고, 이를 기반으로 다시 C&C 서버에 접속해 공격 대상 목록을 받는다. 이때 사용되는 URL은 ‘/client/get_targets’이다. 마지막으로 공격 현황도 ‘/set_attack_count’ URL을 통해 주기적으로 C&C 서버에 전송한다.

▲복호화된 공격 대상 목록[자료=ASEC]

디도시아 공격 도구는 C&C 서버로부터 HTTP, HTTP/2, TCP, nginx_loris 방식의 명령을 전달받는다. 최신 Go 언어 버전에서는 HTTP와 HTTP/2만 지원하며 TCP와 nginx_loris는 제외된다. 과거 파이썬(Python)으로 개발된 버전에서 TCP SYN Flood 기법을 지원했던 점을 고려하면, 다른 버전에서는 이를 다시 지원할 가능성이 있다. 또한, 보안 제품의 탐지를 우회하기 위해 HTTP 요청 시 User-Agent를 랜덤하게 설정해 전송하는 방식도 특징으로 꼽힌다. 디도시아가 점점 더 정교하고 탐지 회피 능력을 갖춘 공격 도구로 발전하고 있는 셈이다.

친러시아 해킹그룹 등 국제정세 불안정에 따라 우리나라에 대한 사이버 위협이 증가하고 있다. 정치적 메시지를 담은 사이버 공격으로 서비스를 방해해 사회적 혼란을 일으키고, 군사적 충돌 상황에서 사이버 공간 제어를 통해 큰 피해를 입힐 수 있다.

이렇듯 우리나라를 타깃으로 한 사이버 위협이 증가하고 있어 기관과 기업의 철저한 보안 강화가 요구되고 있다. 외부 접속 관리 및 백업 관리를 철저히 하고 자사 홈페이지와 주요 시스템에 대한 모니터링 강화 및 자동 업데이트를 통해 운영체제 및 SW를 최신 상태로 유지해야 한다.
[박은주 기자(boan5@boannews.com)]