7·7 DDoS 공격

"오늘의AI위키"는 AI 기술로 일관성 있고 체계적인 최신 지식을 제공하는 혁신 플랫폼입니다.
"오늘의AI위키"의 AI를 통해 더욱 풍부하고 폭넓은 지식 경험을 누리세요.

1. 개요
2. 공격 발생 및 전개
3. 공격의 영향 및 피해
4. 공격 주체
5. 대응 및 사후 조치
참조

1. 개요

7·7 DDoS 공격은 2009년 7월 4일부터 9일까지 대한민국과 미국을 대상으로 여러 차례 발생한 분산 서비스 거부(DDoS) 공격을 의미한다. 공격은 미국과 대한민국 주요 웹사이트를 마비시키거나 접속 지연을 발생시켰으며, 일부 웜은 하드 디스크를 파괴하는 코드를 포함하기도 했다. 대한민국 국가정보원은 북한의 110호 연구소를 공격 배후로 추정했으나, 10대 네티즌의 자작극으로 밝혀지기도 했다. 공격 발생 이후, 백신 개발 및 DDoS 대응 체계 구축 등의 조치가 이루어졌다.

더 읽어볼만한 페이지

서비스 거부 공격 - 2011년 재보궐선거 사이버테러 사건
2011년 재보궐선거 사이버테러 사건은 2011년 10월 26일 재보궐선거 당일 중앙선거관리위원회와 박원순 서울시장 후보 웹사이트에 발생한 분산 서비스 거부 공격 사건으로, 한나라당 최구식 의원의 비서 공현민이 공격을 주도하여 관련자들이 처벌받았으며, 정치적 파장을 일으켜 최구식 의원의 사퇴와 한나라당의 쇄신으로 이어졌다.
서비스 거부 공격 - 슬래시닷 효과
슬래시닷 효과는 인기 웹사이트의 언급으로 인해 특정 웹사이트에 갑자기 많은 사용자가 몰려 접속 불능 상태가 되는 현상을 의미하며, 이는 대역폭 초과나 서버 과부하로 발생하고, 콘텐츠 미러링 등의 방법으로 완화한다.
2009년 미국 - 레슬매니아 XXV
레슬매니아 XXV는 2009년 텍사스주 휴스턴에서 열린 WWE의 연례 페이퍼뷰 이벤트로, 25주년을 기념하며 CM 펑크, 크리스 제리코, 언더테이커, 존 시나, 트리플 H 등이 경기를 펼쳤다.
2009년 미국 - 2009년 CONCACAF 골드컵
2009년 CONCACAF 골드컵은 북중미카리브 축구 연맹이 주최하여 2009년 7월에 미국에서 개최되었으며, 멕시코가 미국을 꺾고 우승했고 미겔 사바가 최다 득점, 히오바니 도스 산토스가 최우수 선수, 케일러 나바스가 최우수 골키퍼상을 받았다.
2010년대 해킹 - 스턱스넷
스턱스넷은 산업 제어 시스템을 표적으로 설계된 악성 소프트웨어로, 윈도우 제로 데이 공격을 활용하여 확산되었으며 이란의 핵 시설을 공격한 것으로 알려져 있고 국가적 차원의 개발이 추정되며 이스라엘과 미국이 배후로 지목되고 있다.
2010년대 해킹 - 라자루스 그룹
라자루스 그룹은 북한과 연관된 사이버 범죄 조직으로 추정되며, 한국과 미국을 포함한 전 세계를 대상으로 사이버 공격, 해킹, 랜섬웨어 공격 등 다양한 범죄 활동을 통해 외화 획득을 시도하고 국제 금융 제재를 회피하려는 것으로 분석된다.

7·7 DDoS 공격
개요
명칭	7·7 DDoS 공격
발생 시기	2009년 7월 7일
공격 대상	대한민국 및 미국 주요 웹사이트
공격 유형	분산 서비스 거부 공격(DDoS)
공격 목표	웹사이트 접속 불능 유발 및 시스템 장애
배경
정치적 배경	조선민주주의인민공화국의 대한민국 및 미국에 대한 적대감 사이버 전쟁의 잠재적 수단으로 활용
사회적 배경	인터넷 의존도 심화 보안 취약점 존재
공격 과정
감염 경로	악성코드 감염된 PC를 이용한 봇넷 구성
공격 방식	다수의 PC에서 동시에 특정 웹사이트에 접속 시도 웹사이트 서버 과부하 유발
공격 규모	수만 대의 PC 동원 수십 개의 웹사이트 공격
피해 현황
대한민국	정부기관 웹사이트: 청와대, 국방부, 외교통상부, 행정안전부 등 마비 언론사 웹사이트: 조선일보, 중앙일보, 동아일보, YTN 등 접속 장애 금융기관 웹사이트: 은행, 증권사 등 접속 장애 기타: 주요 포털사이트, 쇼핑몰 등 접속 장애
미국	정부기관 웹사이트: 백악관, 국방부, 국토안보부 등 공격 금융기관 웹사이트: 은행, 증권사 등 공격
원인 분석
공격 주체	초기: 조선민주주의인민공화국 지목 이후: 다양한 가능성 제기 (해커, 범죄 조직 등)
악성코드 분석	트리니티 (Trinity) 변종 악성코드 사용 감염 PC의 데이터 파괴 기능 포함
대응 및 수사
대한민국 정부	국가사이버안전센터 중심의 대응 체계 가동 악성코드 분석 및 백신 개발 감염 PC 치료 지원 공격 주체 추적 수사
미국 정부	국토안보부 중심의 대응 체계 가동 연방수사국(FBI) 수사 지원
결과 및 영향
사회적 영향	사이버 보안 의식 강화 정부 및 기업의 보안 투자 확대
법적 영향	정보통신망 이용촉진 및 정보보호 등에 관한 법률 개정 논의
국제적 영향	사이버 전쟁의 위협 인식 확산 국제 공조 필요성 증대
기타
유사 사건	2011년 3월 4일 DDoS 공격 2013년 3월 20일 사이버 공격

2. 공격 발생 및 전개

공격은 여러 단계를 거쳐 진행되었다. 최초 공격은 미국 사이트를 대상으로 이루어졌으며, 미국에서는 7월 4일을 1차 공격으로, 대한민국에서는 7월 6일~7일을 1차 공격으로 명칭하고 있다.

2. 1. 1차 공격 (미국)

2009년 7월 4일 (미국 독립 기념일)에 발생한 1차 공격은 미국과 대한민국을 대상으로 했다. 백악관, 국방부, 뉴욕 증권 거래소, 워싱턴 포스트, 나스닥, 아마존 등 미국의 주요 기관 및 기업 웹사이트가 공격 대상이었다.^[1]^[11]

2. 2. 2차 공격 (대한민국)

2009년 7월 7일에 발생한 2차 공격은 대한민국을 대상으로 했다. 청와대, 대한민국 국방부, 행정안전부, 국가정보원, 대한민국 국회 등이 공격 대상 웹사이트였다.^[6]^[12]^[11] 보안 연구원 크리스 쿠베카는 여러 유럽 연합 및 영국 회사들이 의도치 않게 W32.Dozer 감염, 즉 공격의 일부에 사용된 멀웨어로 인해 대한민국 공격을 도왔다는 증거를 제시했다. 공격에 사용된 일부 회사는 여러 정부가 부분적으로 소유하고 있어 책임 소재를 더욱 복잡하게 만들었다.^[13]

2. 3. 3차 공격 (대한민국)

2009년 7월 9일 18시에 시작된 3차 공격으로 국가정보원과 일부 금융기관 홈페이지가 장애를 빚었지만^[33]^[34] 약 3시간 만에 정상화되었다. 3차 공격은 국정원을 비롯해 국내 최대 은행 중 하나와 주요 뉴스 통신사를 포함한 여러 대한민국 웹사이트를 대상으로 했다.^[1]^[14]

3. 공격의 영향 및 피해

공격에 사용된 웜 중 일부에서 감염된 컴퓨터의 하드 디스크를 파괴하는 코드가 발견되었으며 실제 피해 사례도 나타났다.^[35] 이 코드는 2009년 7월 10일을 기점으로 작동하며, 피해를 입을 경우 하드 디스크의 마스터 부트 레코드가 손상되어 부팅이 불가능하게 될 수도 있다.

공격이 주요 공공 및 민간 부문 웹사이트를 대상으로 했음에도 불구하고, 대한민국 대통령실은 데이터 탈취보다는 혼란을 야기할 목적으로 공격이 수행되었다고 시사했다.^[16] 그러나 미국의 한 네트워크 보안 회사 매니저인 호세 나자리오는 공격으로 초당 23 메가비트의 데이터만 생성되었으며, 이는 심각한 혼란을 야기하기에는 충분하지 않다고 주장했다.^[5] 그럼에도 불구하고, 웹사이트들은 공격 이후 며칠 동안 서비스 중단을 보고했다.^[7]

이후, 공격을 야기한 악성 코드인 트로이 목마 도저(Trojan.Dozer)와 그 드로퍼인 W32.Dozer가 감염된 컴퓨터의 데이터를 파괴하고 컴퓨터 재부팅을 막도록 프로그래밍되었다는 사실이 밝혀졌다.^[3] 이 메커니즘이 실제로 활성화되었는지는 불분명하다. 보안 전문가들은 공격이 컴퓨터 간 감염 확산을 위해 마이둠 웜의 코드를 재사용했다고 말했다.^[3]^[17] 전문가들은 또한 이 공격에 사용된 멀웨어가 "백신 소프트웨어 탐지를 피하기 위한 정교한 기술을 사용하지 않았으며, 멀웨어를 코딩하는 데 경험이 있는 사람이 작성한 것으로 보이지 않는다"고 덧붙였다.^[17]

웹사이트 중단으로 인해 사람들이 거래를 수행하거나, 물건을 구매하거나, 사업을 수행하는 데 지장이 생겨 관련 경제적 손실이 클 것으로 예상되었다.^[18]

4. 공격 주체

국가정보원은 2009년 7월 9일 공격 발생 진원지가 조선민주주의인민공화국 110호 연구소로 추정된다고 발표했고,^[23]^[24] 10월 말에는 진원지가 조선민주주의인민공화국 체신청이라는 공식 조사 결과를 발표했다.^[27] 원세훈 국가정보원장은 조선민주주의인민공화국 우편통신성이 "[중국으로부터] 임대하여 사용하고 있는" IP 주소를 통해 공격과 조선민주주의인민공화국 간의 연관성을 발견했다고 밝혔다.^[22] 11월 17일 미국의 보안업체 맥아피는 조선민주주의인민공화국이 디도스 공격을 감행했다면 주한미군과 본토 지휘부 사이의 통신을 마비시키기 위한 전략일 수 있다고 보고했고, CNN 등이 이를 인용하여 보도했다. 다만, 실제 배후가 조선민주주의인민공화국인지는 밝히지 않았다.^[28] 12월 8일 중앙일보는 사설에서, 국정원이 디도스 공격을 조선민주주의인민공화국의 소행으로 단정했지만 구체적 조사 결과를 공개하지 않고 있음을 지적했다.^[29]

공격 시점(2009년 7월 4일)이 조선민주주의인민공화국의 단거리 탄도 미사일 발사일과 동일하고, 유엔 안보리 결의안 1874 통과 한 달도 채 되지 않아 발생했다는 점 때문에 일부 분석가들은 조선민주주의인민공화국을 의심했다. 대한민국 경찰은 봇넷에 사용된 컴퓨터 샘플 분석 결과, 조선민주주의인민공화국 또는 "친북 세력" 연루에 대한 "다양한 증거"가 있다고 밝혔지만, 범인을 찾지 못할 수도 있다고 말했다.^[21]^[18]

반면, 보안 업체에서는 미국과 대한민국을 포함한 여러 국가의 IP에서 공격이 시작된 것으로 추정하였다.^[25]^[26] 대한민국 국가정보원은 공격 근원지를 추적하여 악성 코드를 포함한 5개의 호스트 사이트와 해당 코드를 다운로드한 86개의 웹사이트에 대한 접근을 차단했는데, 이 사이트들은 미국, 과테말라, 일본, 중화인민공화국을 포함한 16개국에 위치해 있었지만, 조선민주주의인민공화국은 포함되지 않았다.^[20]

SecureWorks 연구원 조 스튜어트는 공격 프로그램에 의해 생성된 데이터가 한국어 브라우저를 기반으로 하는 것으로 보인다고 언급했다.^[5] 그러나 다양한 보안 전문가들은 공격이 조선민주주의인민공화국에서 시작되었다는 주장에 의문을 제기했다. 한 분석가는 공격이 영국에서 왔을 가능성이 높다고 생각하며, 기술 분석가 롭 엔더리는 "과도하게 활동적인 학생들"이 원인일 수 있다고 추측했다.^[4]^[18]

12월 28일 노컷뉴스는 검찰 수사결과를 소개하면서, 국내 디도스 공격에 관여한 이들이 20명의 중고등학생이라고 밝혔다. 검찰은 이들이 대부분 전과가 없는 학생이라는 점을 이유로 입건을 유예했다.^[30] 2011년 1월 6일에도 유사한 사건이 발생했는데, 같은 달 28일 경찰은 수사를 통해 '남북한 사이버 전쟁'을 촉발시킨 분산서비스거부(DDos) 공격이 네티즌의 관심을 끌려는 10대의 '1인 자작극'이었음을 밝혔다. 경찰은 문모군(19)을 불구속 입건했다.^[31]

결론적으로, 공격 배후는 명확하게 밝혀지지 않았다.^[8]^[5]^[19]

5. 대응 및 사후 조치

안철수연구소는 1차 공격 직후 바로 전용 백신을 공급하였고, 이어서 여러 백신 기업이 전용 백신을 출시하였다. 특히 안철수 연구소는 하드디스크 파괴 및 2, 3차 공격까지 정확히 파악하여 여러 언론에 알렸다. 공격을 받은 포털들도 신속하게 대응했다. 예를 들어 네이버의 메일 서비스 홈페이지 서버(http://mail.naver.com) 가 공격을 받은 경우 즉시 서버를 바꿔(http://mail2.naver.com) 서비스를 제공했다.

5개 분야 범정부 DDoS 대응체계 구축 사업과 함께 DDoS 대응장비를 별도 지정하였다.^[36] 국가정보원장 주재로 국가사이버안전전략회의가 개최되어 외국발 사이버공격으로부터 대응 역량을 강화하기 위해 '국가 사이버위기 종합대책'을 수립, 시행하였다.

11월 29일, 국방부는 2010년 1월에 사이버방호사령부를 신설하기로 결정하였다.^[37]

참조

_[1] 뉴스 New 'cyberattacks' hit S Korea http://news.bbc.co.u[...] 2009-07-09
_[2] 간행물 Cyber Attack Code Starts Killing Infected PCs http://www.informati[...] 2009-07-10
_[3] 뉴스 Botnet worm in DOS attacks could wipe data out on infected PCs http://news.cnet.com[...] CNET News 2009-07-12
_[4] 뉴스 UK, not North Korea, source of DDOS attacks, researcher says http://www.networkwo[...] IDG News Service 2009-07-14
_[5] 뉴스 Cyberattacks Jam Government and Commercial Web Sites in U.S. and South Korea https://www.nytimes.[...] 2009-07-09
_[6] 뉴스 Pyongyang blamed as cyberattack hits S Korea http://www.ft.com/cm[...] 2009-07-09
_[7] 뉴스 Korean, US Web sites hit by suspected cyberattack https://www.google.c[...] 2009-07-09
_[8] 뉴스 Cyberattack Aftermath https://www.reuters.[...] 2009-07-09
_[9] 간행물 The Sony Hackers Were Causing Mayhem Years Before They Hit the Company https://www.wired.co[...] 2018-12-14
_[10] 웹사이트 Tracing the Lineage of DarkSeoul https://www.sans.org[...] 2016-03-04
_[11] 뉴스 Governments hit by cyberattack http://news.bbc.co.u[...] 2009-07-09
_[12] 웹사이트 Cyber Attacks Hit Government and Commercial Websites http://www.foxreno.c[...] Foxreno.com 2009-07-09
_[13] Youtube 28c3: Security Log Visualization with a Correlation Engine https://www.youtube.[...] 2017-11-04
_[14] 뉴스 Official: S. Korea web sites under renewed attack https://www.google.c[...] 2009-07-09
_[15] 뉴스 US State Department under cyberattack for fourth day https://www.google.c[...] AFP 2009-07-10
_[16] 웹사이트 S Korea's presidential office says no damage done from hacker attacks http://news.xinhuane[...] Xinhua 2009-07-09
_[17] 간행물 Lazy Hacker and Little Worm Set Off Cyberwar Frenzy https://www.wired.co[...] 2009-07-09
_[18] 뉴스 Cyber Attack Hits Korea for Third Day http://www.koreatime[...] 2009-07-09
_[19] 뉴스 Cyberattacks against US, S. Korea signal anger – not danger http://www.csmonitor[...] 2009-07-09
_[20] 뉴스 Cyberattack rocks South Korea http://www.globalpos[...] GlobalPost 2009-07-11
_[21] 뉴스 S. Korea analyzes computers used in cyberattacks https://www.google.c[...] 2009-07-12
_[22] 뉴스 N. Korean ministry behind July cyberattacks: spy chief http://english.yonha[...] Yonhap 2009-10-30
_[23] 뉴스 보안뉴스 - 국정원, “DDoS공격 배후, 북한과 그 추종세력으로 추정” 발표 http://www.boannews.[...]
_[24] 뉴스 헤럴드 경제 - ‘北 IP라더니 美 IP 잡히네’…해커정체 혼선 가중 http://media.daum.ne[...]
_[25] 뉴스 쉬프트웍스 “디도스 공격 서버는 美 IP” http://www.fnnews.co[...] 파이낸셜뉴스 2009-07-11
_[26] 문서 IP주소는 스푸핑이 수월한뿐더러 실제 공격의 배후와, 진원지는 다른 경우가 많다.
_[27] 뉴스 DDos 테러 진원지는 북한 체신청 http://media.daum.ne[...] YTN 2009-10-30
_[28] 뉴스 "DDoS 공격, 북한이 미군 노린 것" http://www.dt.co.kr/[...] 디지털타임스 2009-12-08
_[29] 뉴스 (취재일기) 대북 정보, 손발 안 맞는 통일부·국정원·외교부 http://news.joins.co[...] 중앙일보 2009-12-08
_[30] 뉴스 디도스 유포·공격, 알고보니 대부분 중·고생 http://media.daum.ne[...] 노컷뉴스 2009-12-28
_[31] 뉴스 ‘남북 사이버전쟁’은 19세의 자작극 http://media.daum.ne[...] 경향신문 2011-01-28
_[32] 뉴스 국정원, 디도스 징후 포착 이후 늑장대응 논란 http://www.newshanku[...] 뉴스한국 2009-07-10
_[33] 뉴스 헤럴드 경제 - DDoS 3차 공격에 국정원, 국민은행 사이트 또다시 장애 http://www.heraldbiz[...]
_[34] 뉴스 3차 DDoS공격 시작..일부 접속불안 http://www.yonhapnew[...] 연합뉴스
_[35] 뉴스 DDoS 공격 PC파괴 424건 신고 http://news.khan.co.[...]
_[36] 뉴스 (취재수첩) 혼란만 키운 국정원 DDoS 대응장비 시험 http://www.ddaily.co[...] 디지털데일리 2009-11-24
_[37] 뉴스 사이버사령부, 독립부대로 별도 운영 http://news.joins.co[...] 중앙일보 2009-12-01

본 사이트는 AI가 위키백과와 뉴스 기사,정부 간행물,학술 논문등을 바탕으로 정보를 가공하여 제공하는 백과사전형 서비스입니다.
모든 문서는 AI에 의해 자동 생성되며, CC BY-SA 4.0 라이선스에 따라 이용할 수 있습니다.
하지만, 위키백과나 뉴스 기사 자체에 오류, 부정확한 정보, 또는 가짜 뉴스가 포함될 수 있으며, AI는 이러한 내용을 완벽하게 걸러내지 못할 수 있습니다.
따라서 제공되는 정보에 일부 오류나 편향이 있을 수 있으므로, 중요한 정보는 반드시 다른 출처를 통해 교차 검증하시기 바랍니다.

문의하기 : help@durumis.com