일단 중앙에서 명령을 내리는 C&C가 없다는것
이미 예전에 이런 공격이 있을꺼라 예상은 했지만 이렇게 막상 닥쳐오니 정신이 하나도 없다
(아주 공교롭게도 내가 예전에 생각해놓은 공격 시나리오대로 공격 형태 및 대상이 선정되어 난감하다 -_-;;)
현재 공격대상이 된 곳은 포털 사이트 및 국가기관 홈페이지들
국정원에서는 북한이 개입된 공격이라 추정하는데...과연 그럴까?
만약 내가 공격자라면?
가령 예를 들어 NHN이 마음에 안들어서 공격 대상으로 삼고 싶다
이때 NHN만 공격대상으로 삼게 되면 수사대상이 좁혀지게 될 것이다
(물론 대한민국 국민중에 NHN을 마음에 들어하지 않는 사람을 추려내는것이 가능한 일은 아니겠지만)
이때 몇몇 사이트를 양념으로 추가하게 된다면?
"내가 원하는 사이트 : 양념사이트" 의 비율을 적절히 조합한다면, 수사하는 입장에서도 혼선이 생길 것이다
만약 내가 북한의 추종세력의 공격자라면?
단순하게 홈페이지 다운시키는 공격을 할까?
솔직히 Defacement 공격이나 DoS, DDoS공격은 악의적인 목적을 갖고 공격한다기보다 2차적인 목적이나 의미를 갖고 공격하는 것에 의의를 둔다
북한 또는 북한 추정세력이 단순히 홈페이지 접속 못하게 하고 만족할까?
아마도 보안관리자가 눈치채지 못하도록 은밀하게 접근하여 서버의 Admin권한을 획득한다거나 정보취득에 주안점을 두지는 않을까 생각해본다
북한이나 북한 추종세력이라기보다 현정권에 대해 비판의식을 갖고 있는 사람들이 아닐까 생각해본다
공격자는 누구인가?
앞에서 이야기 했듯이 국정원은 북한 또는 북한 추종세력이라 했는데...
과연 그 사람들은 (북한이던 북한 추종세력이던) 우리나라 사람일까? 아니면 이전의 DoS 공격처럼 중국의 Hacker들일까?
내 개인적인 생각으로는 아마도 우리나라 사람들이 포함된 공격자일 것이다라는 것이다
대략 2~4명정도의 인원으로 구성이 되어 있고 100% 우리나라 사람이거나, 적어도 2명정도 이상이 포함된 조직일 것이다
공격 대상들이 우리나라 포털사이트 및 은행권 사이트들이 포함되어 있고, 한나라당 홈페이지도 포함되어 있다
뭐...청와대나 대통령 홈페이지야 외국에서도 종종 타켓으로 삼기때문에 이는 연막일테고, 아무리 네이버가 대형 포털이라고는 하지만 외국에서도 관심있는 사람들만이 알정도의 규모이고, 한나라당 또한 우리나라에 지극적인 관심을 갖고 있는 사람이 아니고서는 알 리가 없다
그럼 왜 공격대상(1차)에 미국 관련 정부기관들이 포함되어 있을까?
이 역시 양념이아닐까 생각된다
===============================================================================
어제 동료들과 여담으로 주고 받은것이 2차 공격이 있을것이다라는 것이다
(물론 이것도 예전에 예상했던 시나리오였고...)
공격형태가 C&C를 통해 이루어지는 것이 아니기때문에, 누군가 공격코드 샘플을 입수한다면, 그리고 약간의 (중학생 정도의 수준?) Reversing기술만 갖고 있다면, 대상지를 바꾼 2차 공격은 충분히 가능할 것이다
이렇게 생각한다면 3차 공격도 충분히 가능하다는것?
그러나 과연 3차 공격은 이루어질것인가?
내 개인적인 소견으로 본다면 3차 공격은 당분간 이루어지지 않을 것이다
이 당분간이라는 기간은 공격자의 잔머리수준에 따라 달라질 것인데..
다시 내가 공격자라면?
현재 2차 공격까지 진행되고 있고, 이제 우리나라의 모든 수사기관들이 눈에 불을 켜고 찾고 있다
이 상황에서 3차 공격을 감행한다면, 어느정도 코드분석이 이루어진 상태에서 공격코드 발원지를 찾는 것은 이전보다 쉬워진 상태
어느정도 이런 공격에 대해 사전에 생각을 하고 진행을 하는 공격자라면, 이쯤에서 한템포 쉬어가며 공격형태를 바꿀것이다
아마 이쯤에서 나올만한 공격형태는 이전처럼 공격코드 내에 대상지를 하드코딩 시킨 상태에서 나름 대상지를 바꾸기 위한 업데이트 형태를 갖추지 않을까 생각된다
(여기서부터는 나의 시나리오에 포함되어 있지 않기때문에 이제부터 나도 머리 싸매고 고민해봐야 할 부분이다)
댓글 없음:
댓글 쓰기