안철수연구소 CEO가 바라본 DDoS 대란 (2) : DDoS 공격의 성격

보안 이야기 2009.07.16 11:54

“DDoS를 완전히 막을 수는 없는 것인가?” 이런 질문을 많이 받는다. 혹은 “DDoS는 일시적으로 트래픽이 폭주할 뿐인데 왜 그렇게 호들갑인가?” “DDoS는 기술적으로 단순한 원시적 공격일 뿐이다라는 얘기도 들린다. 문제의 본질적 요소에 대해 공감대가 없다 보니 이런 대화가 오고 가는 것 같다.

 

DDoS 성격에 대한 논란

 

잘 알다시피 DDoS공격이라는 것은 악성코드에 감염된 컴퓨터들이 특정 시간대에 특정 웹사이트나 서버로 수많은 접속을 시도하도록 해서, 해당 웹사이트나 서버가 정상적인 서비스를 하지 못하도록 하는 것을 말한다. 그러면, 일반적으로 웹사이트가 트래픽 폭주로 마비되는 것과 차이는 무엇인가?

 

KBS 긴급 좌담회에 나가서 다음과 같은 예로 설명해 보았다. “DDoS의 현상만 보면 추석 연휴의 기차표를 인터넷으로 예매하기 위해 예매 게시 시간에 많은 사람들이 한꺼번에 접속을 해서 예매 사이트가 마비되는 것과 같다. 그런데, 차이라면 사람들이 직접 사이트를 접속하는 것이 아니라 악성코드에 감염된 컴퓨터들이 스스로 또는 원격 조정에 의해 접속한다는 것이다.”

 



우리가 어떤 연예인 홈페이지에 폭주하면, 그냥 즐거운 비명이나 한 때의 해프닝 정도로 생각한다. 그래서 혹 홈페이지가 다운되거나 느려지더라도 사회적 문제로 생각하지 않는다. 그러나, 원격에서 조정되어 악의적 의도를 가지고 이런 행위를 하면 범죄가 된다. 그러니, 트래픽 폭주의 현상만 보면 위의 두 가지 경우가 같은 것으로 보이고 그래서 괜히 난리라는 생각을 가질 수 있다. 그렇지만, 그 원인을 규명해 보면 DDoS 공격은 명백한 사이버 테러 행위다.
 
 

사실 금전 탈취를 위한 DDoS 공격은 이미 오래 전부터 빈번히 발생했다. 너무나도 극성을 부려서 밤 근무를 하는 우리 회사의 관제센터 요원들은 야참을 먹지 못할 정도다. 일반적으로 DDoS 공격은 내부를 해킹하는 행위에 비해 기술적 난이도가 낮다고 간주한다. 구태여 힘들이면서 내부로 침투하기 위해 애를 쓸 필요가 없이, 밖에서 서버를 다운시켜 돈을 달라고 협박하는게 공격 측면에서는 아주 효율적이다. 그래서, DDoS 공격은 원시적 공격이라고 평가절하하는 것이다.

 

그러나, 이번 공격의 형태는 좀 특이하다. 그런 점에서 기존의 특정 사이트를 상대로 한 DDoS 공격과 같은 부류로 보는 것은 적합하지 않다. 그 특징은 다음과 같이 요약된다.


1. 동시 다발적으로 잘 알려진 여러 사이트를 공격했다.

2. 한국 사이트에 대해 24시간 단위로 공격 목표를 바꾸어 갔다.
(외국 사이트 공격은 시간 단위가 여러 행태로 다르다)

3. 공격을 마친 후에는 어떤 조건이 맞아 떨어지게 될 경우, 예를 들어 특정 파일을 다운로드 받고 일정 시간이 되면, 스스로 자폭하는 구조를 가지고 있다.

4. 공격자의 의도가 알려지지 않고 있다


의도를 몰라서 더욱 두렵다

 

영화에서 보면 테러범들이 일부러 자신의 의도를 숨기곤 한다. ‘다이하드 3’에서 주인공 맥클레인(브루스 윌리스 역)형사에게 사감(私感)이 있는 것처럼 퀴즈를 내서 테러범은 경찰을 우롱한다. 그러면서 지하철을 폭파하기도 하고, 엉뚱한 곳에 폭탄을 숨겨 놓은 것처럼 흘려서 경찰을 뉴욕 각처로 분산시킨다. 정작 목표는 방어가 허술해진 월스트리트에서 금괴를 훔치는 것이었다. 이와 같이 테러범의 의도를 모를 때 우왕좌왕하게 된다. 이번 사태가 당혹스러운 이유는 범죄자의 의도를 모른다는 것이다.

 

방송통신위원회에서 기자회견을 마치고 나오는데 어떤 기자가 쫓아 나와서 혹시 안철수연구소의 보안 전문 분석 요원들을 여기에 전념하게 해서, 주의를 다른 곳으로 돌리는 것 아닙니까? 엉뚱한 곳에서 사고를 일으킬 목적으로..”라는 질문을 받았다. 나도 거기까지는 생각하지 못했었다. 그러나, 다행히 우리 ASEC(안랩시큐리티대응센터; 안철수연구소의 악성코드 분석대응 조직) 직원들은 기존 업무를 병행하면서 했고, 그렇기 때문에 더욱 밤샘작업이 많을 수 밖에 없었다. 앞으로 이런 점도 고려해야 한다는 인식을 하게 되어, 그 기자에게 감사한 마음이 들었다. 우리뿐만 아니라 전국적인 보안 전문 인력은 여유 인력까지 충분히 갖추어야 한다는 생각이다.


악성코드의 성격과 공격 주체에 대한 논의  


이번 사태는 명백한 범죄 행위고, 뚜렷한 목적을 가지고 치밀하게 계획되었다. 그런 점에서 인터넷 웜이 서버의 취약점에 의해 급격하게 퍼진 1.25 인터넷 대란과는 전혀 성격이 다르다. 오히려 2000년 초에 CNN, Yahoo 등 글로벌 포털 사업자들을 상대로 했던 해커들의 DDoS 공격과 성격이 비슷하다.

 

누가 이런 범행을 저질렀는지에 대해 가장 많은 질문을 받게 되는데, 민간업체인 안철수연구소로서는 추적할 수사권도, 법적 권한도 없다. 추적할 만한 사이트는 한국에서 원천적으로 차단된 상태였다. 이는 당연히 정부 기관의 고유 업무다.

 

또한 해커의 기술적 능력에 대해 많이 물어 온다. 어떤 이들은 아주 초보적이라고 격하시키기도 하고, 누구는 고도의 기술을 가진 해커라고도 한다. 그런데, 앞서 설명한 이번 공격의 특징만 보아도 단순 해커의 소행으로 보는 것은 적절치 않다.




이번 공격에 사용된 악성코드는 최근 공격에 사용되고 있는 다른 악성코드의 구조와 유사하다. 즉 몇 개의 모듈로 구성되어 있어 각각 본연의 임무를 수행하게 되어 있다. 단지 차이가 있다면, 보통 이러한 공격은 원격에서 명령을 받게 되어 있는데, 이번 경우는 언제 누구에게 공격을 감행한다는 스케줄러(scheduler)타겟 리스트가 있다. 시시각각 원격에서 조정해서 추적당하는 것보다 해당 리스트를 별도로 구성해 다운로드 받게 하여 공격자가 원하는 목적을 이룰 수 있게 한 것이다.


이번
DDoS 대란으로 일반 PC가 사이버 공격의 무기로 사용될 수 있다는 점을 온 국민이 알게 되었다. 마치 미국에서 발생한 9. 11 테러에서 아무 죄없는 민항기를 탈취해서 공격 무기로 사용한 것처럼, 해커가 PC의 소유권자인 사용자의 허가없이 PC를 탈취해서 자신의 공격을 위해 악용한 것이다.

이렇게 전국민의 PC까지 악용되는 현실에서도 우리는 가슴앓이만 한다. 문제는 근본적인 대책의 알맹이가 빠져있기 때문이다.

(다음 회에 계속)  



 
신고