안랩은 이번 디도스 공격을 유발한 악성코드가 25일 0시부터 배포됐으며 오전 10시에 디도스 공격을 수행하도록 서버로부터 명령을 받은 것으로 확인했다고 발표했다.
또 지난 2011년의 3·4 디도스 공격 때와 마찬가지로 웹하드를 통해 악성코드가 배포된 것으로 분석했다.
안랩은 "공격자가 웹하드의 업데이트 기능을 이용해 개인사용자의 PC를 악성코드로 감염시킨 다음 좀비PC를 만들었다"며 "이들 좀비PC를 이용해 다량의 트래픽(전송량)을 정부기관의 도메인네임서버에 일시에 보내 기관 홈페이지 접속을 방해했다"고 밝혔다.
이와 관련해 정보보안 기업 잉카인터넷은 공격용으로 사용된 악성파일이 국내 웹하드 사이트 2곳의 설치프로그램으로 변조돼서 유포된 것임을 확인한 것으로 알려졌다.
잉카인터넷에 따르면 웹하드 설치프로그램으로 위장해있던 악성파일이 실행되면 국내 특정 온라인 모임 공간에 숨겨진 악성파일도 함께 실행된다.
이 악성파일은 정상적인 웹하드 파일처럼 위장해서 악성파일을 개인 컴퓨터내에 퍼뜨리는 것으로 분석됐다.
잉카인터넷 관계자는 "이런 공격수법은 2009년과 2011년 북한이 벌인 디도스 공격과 유사해 이번 공격의 주최가 북한일 가능성이 크다"고 말했다.
안랩은 해킹에 이용된 악성코드의 샘플과 유포지 정보를 관계기관과 공유했다고 설명했다.
안랩은 이날 문제가 된 악성코드 일부는 기존 V3 제품을 통해 진단할 수 있었던 것들이며 나머지 추가 발견된 악성코드도 V3 엔진에 긴급 반영했다고 말했다.
이어 "만약 상당히 많은 좀비PC가 사용됐을 경우 서버 다운 등 추가 피해가 있을 수 있어 주의가 요구된다"며 "디도스 공격을 유발하는 좀비PC와 악성코드 유포지를 차단하는 것이 시급하다"고 당부했다.
안랩은 PC사용자들은 반드시 백신을 최신으로 업데이트 해 PC를 정밀검사해야 한다고 강조했다.
안랩은 확보한 디도스 유발 악성코드 샘플을 상세 분석 중이며 추가적은 사항은 공유할 예정이다.