3.4 디도스 현장에서의 3박 4일

CEO 칼럼 2011.03.07 10:37
설마 또다른 DDoS 사태로 다시 블로그를 올리게 되리라고는 전혀 생각하지 않았다. 악성코드는 계속 진화해 왔지만, 설사 보안 사고가 나더라도 이번에는 DDoS가 아닌 다른 형태가 되리라고 예상했다. 우리가 두 번 당할 정도로 허술한 대비를 세웠으리라고 생각하지 않는게 공격자(Attacker)의 상식이기 때문이다.

그러나, 2011년 3월 4일 DDoS 사태는 다시 벌어졌다. 주말을 끼고 숨가쁘게 며칠을 보내고 나서 일요일 저녁 이 전쟁에 참여했던 인력들과 회의실에 모였다. 다음 날은 새로운 한 주가 시작된다. 업무 시작하기 전에, 우리 고객들이 출근하기 전에, 우리가 겪었던 일을 정리하고 대책을 미리 마련해야 한다. 더 이상 미룰 수가 없었기에 마음은 아프지만 연구원들을 깨웠고, 그들은 졸린 눈으로 하나 둘 회의장으로 들어왔다. 현장에서 그들이 경험한 얘기를 생생하게 들으면서, 또다른 역사의 한 장면을 보냈다는 생각이 들었다.

7.7 디도스 대란 VS 3.4 디도스 대공습

이번 공격은 여러모로 7.7 DDoS와 유사한 점이 많았다. 주요 정부기관과 금융기관, 포털 등을 동시 다발적으로 타겟했고 특정 시간에 동작하도록 했다는 점은 거의 같다. 선정된 대상도 일부 다르지만, 대체로 7.7과 성격은 유사했다. 보안 기업은 이번에는 우리 회사만 리스트에 있었다.

어느 대기업 임원은 "왜 우리는 빠졌지?" 라며 다소 불만섞인(?) 소리도 했다. 어느 기관에서는 자신들의 이름이 잘못 표기되었다며 정정해 주기를 요청하기도 했다. "악당들이 만든 리스트에 신경을 써야 하는가?" 하는 씁쓸한 생각마저 들었다.
헤드라인 뉴스에 등장한 3.4 디도스 안랩 DDoS 장비의 모니터링 화면

공격 형태는 다소 차이가 있다. 7.7의 경우 24시간 단위로 공격 리스트가 이동(shift)한데 비해, 3.4는 일단 공격이 시작하면 종료 시점이 없다. 결국 좀비 PC를 줄이지 않는 한 공격 트래픽은 계속된다는 얘기다. 또한 공격 도중에 원격에서 공격 대상과 시간을 수시로 조종했다.

특정 시간이 지나면 하드 디스크(HDD)를 파괴시키는 수법은 동일하다. 몇 개의 공격 시나리오로 구성되어 있어서 분석하는 과정에 가장 이견이 많았던 부분이다. 결국 각자의 관점 모두 맞다는 판명이 났지만.. 또한 특이하게도 이번 공격에서는 파괴 시점이 유동적이었으며 분석가를 속이기 위한 알고리즘으로 구성되어 있어 분석의 초점을 흐리게 하려는 노력이 역력했다.

결국 DDoS 공격이 실패로 드러나자 3월 5일 토요일 밤, 원격에서 감염시킨 PC를 바로 완전삭제하는 '지령'을 내려 보냈다. 이 공격은 7.7 에는 없었던 새로운 형태다. 증거인멸과 피해를 극대화하기 위한 치밀한 행동이었다.
토요일 저녁 "이제 끝났다 보다"하고 좀 쉬려는 연구원의 모니터링에 걸려든 마지막 악성코드는 3일째 밤 사투를 벌이게 한 최종 공격 명령이었다.

3.4 DDoS는 경미한 사건이었나?

3.3 DDoS 사건을 두고 7.7 DDoS와는 상대가 안 될 정도로 경미한 사고라고 평가절하 하는 의견도 있다. 그러나 과연 그럴까? 

악성코드 자체는 더욱 교묘하게 설계되어 있었다. 또한 배포 경위나 조종 역량에 있어서는 단순 모방이라고 보기에는 전문가의 냄새가 많이 난다. 과연 누구의 소행일까? 한 가지 이상한게 제1금융권이 아닌 '제일저축은행'이 들어가 있다는 점이다. 'SC제일은행'을 대상으로 해야 다른 명단과 어울린다. 개인적 추측이기는 하지만 혹시 한국을 알기는 한데 뭔가 부족한 인물은 아니지 않을까?

공격 기법은 최근에 유행하는 정교한 기법에 비해 떨어졌다. 악성코드의 제작과 배포기법에 비해 네트워크 공격 자체는 전문성이 덜했다는 것이다. 만일 네트워크 공격이 최신의 공격 방식을 채택했다면? 생각만 해도 끔찍하다.

이번에 좀비화된 PC는 5만대 정도로 7.7 디도스 때 보다 상대적으로 적다. 그러나, 그러한 결과는 배포지를 미리 차단한 '예방' 조치가 그 만큼 잘 되었다는 점을 의미한다. 만일 7.7 디도스처럼 배포지를 미리 파악하지 못했다면 충분히 그 당시 수준으로 확산되었을 수 있다.

또한 악성코드의 조기 확보와 진단, 사이트에 대한 예고, 각 사이트의 준비 노력 등이 과소평가 되고 있다. 국민은행의 경우 이번 공격의 주타겟이었다. 가장 높은 트래픽으로 오랜 시간 힘든 상황이 지속되었음에도 완벽하게 방어했다. 이는 DDoS 구축은 물론 매달 모의훈련을 하면서 프로세스와 조직 역량을 배가한 결과로서 귀감이 될 만하다.

ASD(AhnLab Smart Defense)의 위력 발휘

우리 회사는 2008년부터 급증하는 악성코드를 어떻게 처리해야 하느냐 고심끝에 클라우드 기반의 종합위협 분석시스템, ACCESS를 개발했다. 그 결과 7.7 DDoS 당시 클라우드 엔진은 구축되어 시운전이 되고 있었지만, PC에 에이전트(agent) 배포가 막 시작했던 시점이라 사전 대응에 충분히 작동할 수 없었다. 그러나, 그 후 V3 Lite 무료백신, V3 365 클리닉 개인 사용자에게 적용되고, ASD(AhnLab Smart Defense) 시스템이 구축되면서 악성코드의 분석력과 추적 역량은 획기적으로 발전했다.



ASD는 3.4  DDoS 사태에서 진가를 발휘했다. 실시간으로 전국에서 돌아다니는 악성코드를 찾아 내어 그 행동 분석에 들어가기 때문에 샘플의 조기 발견에 결정적으로 기여했다. 특히 악성코드의 배포지인 P2P 사이트를 정확하게 알아내어 조기에 배포를 차단했다. 이러한 조기 발견과 차단이 긴박하게 돌아가는 해커와의 싸움에서 기선을 제압할 수 있었던 비결이었다.

또한 악성코드의 조기 분석을 통해 어떠한 종류의 네트워크 공격 유형인지 미리 예측했다. 따라서, 공격 시간은 물론 공격에 관한 제반 정보를 CERT팀과 관제 인력과 공유하고, 또한 우리 DDoS 장비에 업데이트했다. "복합적인 공격에는 복합적으로 맞방어를 해야 한다"는 단순한 원칙을 이번에 실질적으로 실행했던 셈이다.

우리 회사의 특징은 악성코드 분석센터(ASEC)와 침해사고에 대응하는 보안관제서비스(CERT) 조직이 바로 옆에 붙어있다. 네트워크 장비에 들어갈 시그너처 분석도 모두 한 조직이다. 결국 10미터 반경 이내에서 악성코드 배포 현황과 네트워크 공격 상황을 실시간으로 볼 수 있을 뿐더러, 각 분야의 모든 의사 결정자가 바로 그 사이버전쟁의 현장에 있기에 이런 위기 상황에 신속하게 대처할 수 있었다.
CERT (관제 센터) ASEC 모니터

사실 ASD를 구축하고 엔드포인트(PC)와 네트워크 장비의 통합적 운영, 악성코드 분석(ASEC)과 CERT의 시너지를 얘기해도 외부의 많은 전문가들이 반신반의 했지만, 이번에는 이 모두가 정확하게 작동했다. 몇 년 간의 집중적 R&D 투자와 수십억에 달하는 막대한 인프라 투자가 빛을 발해서 보람도 느꼈다. 무엇보다 우리의 방향이 맞았다는 것을 확신하게 된게 가장 큰 수확이다.

물론 아직 부족한 점이 많다. 이번에 보강해야 할 부문을 다시 점검해서 더욱 강화해 나갈 것이다. 앞으로 스마트폰과 SNS와 같은 다양한 서비스가 다양화되면서 이에 대비하기 위한 R&D 투자에 더욱 박차를 가하리라 마음 속으로 다짐했다. '입체적이고 치밀한 공격'과 '지능화되고 종합적인 방어 시스템'의 전쟁은 이제 시작일 뿐이다.

감사드려야 할 분들에게

3박 4일 동안 밤잠을 못 이루고 노력한 우리 연구원, 대응 인력, 관제 요원, 현지 지원 인력, 고객 센터, 그 외에도 주말을 반납한 수많은 직원들의 헌신적인 노력에 진심으로 고맙게 생각한다. 여러분들의 열정적인 노력이 많은 분들을 큰 불편에 빠지지 않도록 도와드리게 되었다. 항상 사건이 마무리되고 나면 사후 지원과 각종 문의 때문에 고객 센터가 바쁘기 마련인데, 역시 지금 전화통에 불이 나 있다.

끝으로 이번 대응 과정에서 머리를 맞대고 밤을 지새운 방송통신위원회 직원들과 국정원, 한국인터넷진흥원(KISA) 연구원들의 노고를 높이 치하한다. 때로는 의견차도 있었지만 그것은 모두가 해결을 하기 위한 의지가 그만큼 강했기 때문이다. 같이 일해 본 사람만이 그 노력을 알아볼 수 있다. 우리 모두가 한 마음으로 노력했기에  조기 퇴치에 성공할 수 있었다.

앞으로도 더욱 정진할 것을 다짐하면서 3박 4일의 소감을 마친다.

 


신고


티스토리 툴바