DDoS 공격명령을 내릴 수 있는 트위터 봇에 대한 주의필요

1. 개 요

최근 DDoS 공격명령 전달 등이 가능한 트위터 봇을 생성하는 툴킷이 보고되면서 사용자들의 각별한 주의가 요구되고 있다. 이러한 툴킷은 악성파일 제작 전문가가 아니더라도 해당 툴을 이용해 DDoS 공격명령 전달 등이 가능한 악성파일을 손쉽게 제작할 수 있어 많은 주의가 필요하며, 관련한 대책 마련이 시급한 상황이다.

[참고 : 백신 못 잡는 ‘트위터 좀비PC’, 누구든 완전범죄 공격자로 ]

http://www.boannews.com/media/view.asp?idx=24702&kind=1

2. 감염 경로 및 증상

해당 트위터 봇 생성 툴킷은 Google 등 검색 포털 사이트를 통해 쉽게 접할 수 있으며, 악성파일 제작자가 아니더라도 해당 생성 툴킷을 이용해 손쉽게 악성파일을 제작할 수 있다.

검색 포털 사이트 등을 통해 아래의 그림과 같은 툴킷을 다운로드할 수 있다.

해당 파일은 닷넷프레임워크 4.0 이상 버전이 설치되어 있어야 정상적인 실행이 가능하며, 설치되지 않았을 때에는 아래의 그림과 같은 오류 창을 보여줄 수 있다.

닷넷프레임워크 4.0 이상 버전 설치 후 다운로드된 툴킷 파일을 실행하면 아래와 같은 메인화면이 출력된다.

◆ 인터페이스

- Twitter Username : 사용자의 트위터 계정을 입력한다.
- File Name : 원하는 파일명을 입력한다. "파일명.exe" 형식으로 입력해야 한다.
  (참고로 툴킷의 메뉴얼에는 "Winlogon.exe"와 같은 정상파일명과 흡사한 파일명 사용을 권하고 있다.)
- Internal : 초 단위로 입력되며, 트위터 페이지에 대한 체크 주기를 설정할 수 있다.
- Build TweBot Server : 트위터 봇을 생성한다.

위 인터페이스와 같이 설정을 완료한 후 "Build TweBot Server" 버튼을 클릭하면 하기의 그림과 같이 트위터 봇 파일이 생성된다.

이러한 트위터 봇에 감염되면 해당 PC는 좀비 PC가 되며, 공격자가 트위터에 DDoS 공격명령 코드를 입력해 악의적 기능을 수행할 수 있게 하는 것으로 알려졌다. 트위터를 통해 공격명령을 전달하는 것은 이전의 DDoS 공격명령 전달과는 다른 방법으로, 공격자는 트위터의 특성을 악용해 자신에 대한 추적을 어렵게 한 것으로 추정된다.

3. 예방 조치 방법

트위터는 수많은 사람들이 글을 게재하고 읽어보며 정보를 획득한다. 공격자가 이러한 특성을 가지는 트위터에 공격명령 코드를 실시간으로 게재하게 되면 찾아내기 어려울 뿐만 아니라 3G나 와이파이(WiFi) 등의 무선 환경을 이용할 경우 공격자의 IP 등을 추적하기란 사실상 불가능할 수도 있다.

이러한 툴킷은 Google 등 검색 포털 사이트를 이용해 쉽게 접할 수 있어 악성파일에 대한 범법의식이 미약한 사용자들을 통해 악용이 가능할 것이다. 지속적인 변종이 출현하면 백신에서는 이러한 변종에 대해 사후예방이 가능하지만, 먼저 악성파일이 유포된 후 처리되는 이런 방식에는 그에 따른 사전피해가 있을 수 있고 지속적인 변종출현으로 인해 엄청나게 소모적인 진행방식 또한 따르게 된다. 이러한 종류의 악성파일에 대비하기 위한 가장 좋은 방법은 트위터에서 해당 악성파일에 의한 네트워크 통신 및 공격명령을 사전에 탐지하여 차단하는 방법, 또는 단축주소와 같은 변형주소를 사용하는 출처가 불분명한 링크 등을 사전탐지 하여 접근을 제한하는 방법 등이 있을 수 있으나 현재로선 해당 방법들에 한계가 있는 것이 사실이다.

이러한 악성파일로부터 안전하기 위해서는 사용자들 스스로의 관심이 필요하며, ▶윈도우와 같은 OS 및 각종 응용 프로그램에 대한 최신 보안패치의 생활화, ▶신뢰할 수 있는 보안업체에서 제공하는 백신을 최신 엔진 및 패턴 버전으로 업데이트해 실시간 감시 기능을 "ON" 상태로 유지해 사용, 또한 ▶출처가 불분명한 이메일에 대한 열람 자제 및 확인되지 않은 링크 등은 접근에 주의하는 등의 노력이 필요하다.

잉카인터넷 대응팀에서는 이번 설 연휴는 물론 매일 24시간 이러한 악성파일을 포함해 모든 보안위협에 대한 대응체계를 유지하고 있다.