보안 이슈 분석

[정보]외산 DDoS 공격 프로그램 한글화 판매 시도 중

1. 개요

 

공공연하게 불법적 해킹용 도구를 개발하여 몰래 판매하는 사례가 해외에서는 다소 있는 편이었는데, 근래에 한글로 된 웹 사이트 등을 이용하여 다양한 악성 프로그램을 한글화하여 판매 또는 대행하는 사이트가 발견되었다. 해당 사이트에서는 종류별로 고가의 금액으로 다양한 악성프로그램을 판매하고 있으며, 국산 네이트온 메신저 등을 통해서 실시간 구입 상담까지 진행하고 있어 주의가 필요하다. 또한, 체험판 다운로드 등을 통해서 사용자들에게 악의적인 해킹 프로그램을 무분별하게 배포하고 있어 문제시되고 있다.

  

2. 관련 정보

일반적으로 악의적 기능의 원격 제어 프로그램이나 DDoS(분산서비스거부) 공격용 프로그램을 판매하는 경우는 모두 불법적 요소에 해당하며, 현재 해당 사이트를 통해서 판매를 시도하고 있는 대부분의 파일들은 기존에 이미 널리 알려져 있는 중국산 악성 프로그램으로 분류되고 있는 형태로 파악되었다. 중국산 악성 프로그램을 메뉴나 문구 등을 한글화하여 한국인을 상태로 재판매를 하고 있다고 볼 수 있는 경우이다.

보통 이러한 경우는 중국내 사이트나 블로그 등에 한글 버전을 별도로 게시하고 판매하는 경우가 종종 있었는데, 웹 사이트 자체를 한글로 만들고 한국에서 널리 사용하는 메신저로 상담까지 해 주는 경우는 이례적인 사례이다.


참고 : 중국 블로그에 한국어 버전의 해킹 도구 내용이 올려져 있는 내용


금번 발견된 웹 사이트는 다음과 같이 한글로 된 웹 페이지와 한국어 버전의 악성 프로그램을 판매하고 있는 것이 특징이고, 버전별로 판매 금액이 표시되어 있다.


그외에도 Hack Tool 종류로 악성 파일을 손쉽게 제작할 수 있는 생성기용 도구와 플래시 플레이어 취약점(Exploit) 공격용 악성파일 제작 도구 등도 함께 안내하고 있는 중이며, DDoS 공격용 프로그램의 경우 판매금액이 다른 버전별의 기능을 비교한 표까지 올려두고 있다. 특히, 기술 지원도 가능하다고 표기되어 있는데, 인스턴트 메신저 등을 통해서 원격 지원을 해주는 것으로 추정된다.


해당 사이트는 대부분 한글 문구로 표현이 되어 있지만, 일부 띄어쓰기가 부적절하거나 한국어 표현이 다소 어눌한 부분이 있는 것으로 보아 외국에서 운영되는것으로 추정된다. 하지만 사용 고객과의 상담용으로 사용하고 있는 네이트온 메신저는 현재 한국인의 명의로 등록되어 있는 것으로 확인되었는데, 개인정보나 사용자 명의를 도용하였거나 중간에서 협조하고 있는 한국계 또는 한국인 브로커일 가능성도 배제할 수 없다.

 


체험판 다운로드 메뉴에서는 2개의 종류를 무료로 제공하고 있으며, Anti-Virus 프로그램에서 진단하고 있다는 내용을 안내하고 있다.


다운로드한 프로그램을 실행하면 다음과 같이 일부 한글화된 악성파일 생성 도구나 DDoS 공격용 프로그램인 것을 확인할 수 있다.



2011년 10월 말 경 해당 사이트에서는 악성 Exploit Code 등을 실제로 별도의 하위 경로에 등록해 두었던 기록도 일부 확인된 상태이지만, 현재는 모두 제거된 것으로 보여진다. 아마도 테스트용으로 등록해 두었던 것이 아니었을까 추정된다.


3. 마무리

불법적으로 악성 프로그램을 판매(대행)하는 사이트로 한국인터넷진흥원(KISA)에 웹 사이트 차단 보호조치에 대한 공식 협조를 요청한 상태이며, 배포 중인 악성파일은 nProtect Anti-Virus 제품을 통해서 치료가 가능하도록 조치되었다.


댓글

댓글쓰기

보안 이슈 분석 관련된 글

관련글 더보기