'방송통신위원회'에 해당되는 글 2

  1. 2011.03.07 3.4 디도스 현장에서의 3박 4일 (27)
  2. 2009.07.15 안철수연구소 CEO가 바라 본 DDoS 대란 (1) (31)

3.4 디도스 현장에서의 3박 4일

CEO 칼럼 2011.03.07 10:37
설마 또다른 DDoS 사태로 다시 블로그를 올리게 되리라고는 전혀 생각하지 않았다. 악성코드는 계속 진화해 왔지만, 설사 보안 사고가 나더라도 이번에는 DDoS가 아닌 다른 형태가 되리라고 예상했다. 우리가 두 번 당할 정도로 허술한 대비를 세웠으리라고 생각하지 않는게 공격자(Attacker)의 상식이기 때문이다.

그러나, 2011년 3월 4일 DDoS 사태는 다시 벌어졌다. 주말을 끼고 숨가쁘게 며칠을 보내고 나서 일요일 저녁 이 전쟁에 참여했던 인력들과 회의실에 모였다. 다음 날은 새로운 한 주가 시작된다. 업무 시작하기 전에, 우리 고객들이 출근하기 전에, 우리가 겪었던 일을 정리하고 대책을 미리 마련해야 한다. 더 이상 미룰 수가 없었기에 마음은 아프지만 연구원들을 깨웠고, 그들은 졸린 눈으로 하나 둘 회의장으로 들어왔다. 현장에서 그들이 경험한 얘기를 생생하게 들으면서, 또다른 역사의 한 장면을 보냈다는 생각이 들었다.

7.7 디도스 대란 VS 3.4 디도스 대공습

이번 공격은 여러모로 7.7 DDoS와 유사한 점이 많았다. 주요 정부기관과 금융기관, 포털 등을 동시 다발적으로 타겟했고 특정 시간에 동작하도록 했다는 점은 거의 같다. 선정된 대상도 일부 다르지만, 대체로 7.7과 성격은 유사했다. 보안 기업은 이번에는 우리 회사만 리스트에 있었다.

어느 대기업 임원은 "왜 우리는 빠졌지?" 라며 다소 불만섞인(?) 소리도 했다. 어느 기관에서는 자신들의 이름이 잘못 표기되었다며 정정해 주기를 요청하기도 했다. "악당들이 만든 리스트에 신경을 써야 하는가?" 하는 씁쓸한 생각마저 들었다.
헤드라인 뉴스에 등장한 3.4 디도스 안랩 DDoS 장비의 모니터링 화면

공격 형태는 다소 차이가 있다. 7.7의 경우 24시간 단위로 공격 리스트가 이동(shift)한데 비해, 3.4는 일단 공격이 시작하면 종료 시점이 없다. 결국 좀비 PC를 줄이지 않는 한 공격 트래픽은 계속된다는 얘기다. 또한 공격 도중에 원격에서 공격 대상과 시간을 수시로 조종했다.

특정 시간이 지나면 하드 디스크(HDD)를 파괴시키는 수법은 동일하다. 몇 개의 공격 시나리오로 구성되어 있어서 분석하는 과정에 가장 이견이 많았던 부분이다. 결국 각자의 관점 모두 맞다는 판명이 났지만.. 또한 특이하게도 이번 공격에서는 파괴 시점이 유동적이었으며 분석가를 속이기 위한 알고리즘으로 구성되어 있어 분석의 초점을 흐리게 하려는 노력이 역력했다.

결국 DDoS 공격이 실패로 드러나자 3월 5일 토요일 밤, 원격에서 감염시킨 PC를 바로 완전삭제하는 '지령'을 내려 보냈다. 이 공격은 7.7 에는 없었던 새로운 형태다. 증거인멸과 피해를 극대화하기 위한 치밀한 행동이었다.
토요일 저녁 "이제 끝났다 보다"하고 좀 쉬려는 연구원의 모니터링에 걸려든 마지막 악성코드는 3일째 밤 사투를 벌이게 한 최종 공격 명령이었다.

3.4 DDoS는 경미한 사건이었나?

3.3 DDoS 사건을 두고 7.7 DDoS와는 상대가 안 될 정도로 경미한 사고라고 평가절하 하는 의견도 있다. 그러나 과연 그럴까? 

악성코드 자체는 더욱 교묘하게 설계되어 있었다. 또한 배포 경위나 조종 역량에 있어서는 단순 모방이라고 보기에는 전문가의 냄새가 많이 난다. 과연 누구의 소행일까? 한 가지 이상한게 제1금융권이 아닌 '제일저축은행'이 들어가 있다는 점이다. 'SC제일은행'을 대상으로 해야 다른 명단과 어울린다. 개인적 추측이기는 하지만 혹시 한국을 알기는 한데 뭔가 부족한 인물은 아니지 않을까?

공격 기법은 최근에 유행하는 정교한 기법에 비해 떨어졌다. 악성코드의 제작과 배포기법에 비해 네트워크 공격 자체는 전문성이 덜했다는 것이다. 만일 네트워크 공격이 최신의 공격 방식을 채택했다면? 생각만 해도 끔찍하다.

이번에 좀비화된 PC는 5만대 정도로 7.7 디도스 때 보다 상대적으로 적다. 그러나, 그러한 결과는 배포지를 미리 차단한 '예방' 조치가 그 만큼 잘 되었다는 점을 의미한다. 만일 7.7 디도스처럼 배포지를 미리 파악하지 못했다면 충분히 그 당시 수준으로 확산되었을 수 있다.

또한 악성코드의 조기 확보와 진단, 사이트에 대한 예고, 각 사이트의 준비 노력 등이 과소평가 되고 있다. 국민은행의 경우 이번 공격의 주타겟이었다. 가장 높은 트래픽으로 오랜 시간 힘든 상황이 지속되었음에도 완벽하게 방어했다. 이는 DDoS 구축은 물론 매달 모의훈련을 하면서 프로세스와 조직 역량을 배가한 결과로서 귀감이 될 만하다.

ASD(AhnLab Smart Defense)의 위력 발휘

우리 회사는 2008년부터 급증하는 악성코드를 어떻게 처리해야 하느냐 고심끝에 클라우드 기반의 종합위협 분석시스템, ACCESS를 개발했다. 그 결과 7.7 DDoS 당시 클라우드 엔진은 구축되어 시운전이 되고 있었지만, PC에 에이전트(agent) 배포가 막 시작했던 시점이라 사전 대응에 충분히 작동할 수 없었다. 그러나, 그 후 V3 Lite 무료백신, V3 365 클리닉 개인 사용자에게 적용되고, ASD(AhnLab Smart Defense) 시스템이 구축되면서 악성코드의 분석력과 추적 역량은 획기적으로 발전했다.



ASD는 3.4  DDoS 사태에서 진가를 발휘했다. 실시간으로 전국에서 돌아다니는 악성코드를 찾아 내어 그 행동 분석에 들어가기 때문에 샘플의 조기 발견에 결정적으로 기여했다. 특히 악성코드의 배포지인 P2P 사이트를 정확하게 알아내어 조기에 배포를 차단했다. 이러한 조기 발견과 차단이 긴박하게 돌아가는 해커와의 싸움에서 기선을 제압할 수 있었던 비결이었다.

또한 악성코드의 조기 분석을 통해 어떠한 종류의 네트워크 공격 유형인지 미리 예측했다. 따라서, 공격 시간은 물론 공격에 관한 제반 정보를 CERT팀과 관제 인력과 공유하고, 또한 우리 DDoS 장비에 업데이트했다. "복합적인 공격에는 복합적으로 맞방어를 해야 한다"는 단순한 원칙을 이번에 실질적으로 실행했던 셈이다.

우리 회사의 특징은 악성코드 분석센터(ASEC)와 침해사고에 대응하는 보안관제서비스(CERT) 조직이 바로 옆에 붙어있다. 네트워크 장비에 들어갈 시그너처 분석도 모두 한 조직이다. 결국 10미터 반경 이내에서 악성코드 배포 현황과 네트워크 공격 상황을 실시간으로 볼 수 있을 뿐더러, 각 분야의 모든 의사 결정자가 바로 그 사이버전쟁의 현장에 있기에 이런 위기 상황에 신속하게 대처할 수 있었다.
CERT (관제 센터) ASEC 모니터

사실 ASD를 구축하고 엔드포인트(PC)와 네트워크 장비의 통합적 운영, 악성코드 분석(ASEC)과 CERT의 시너지를 얘기해도 외부의 많은 전문가들이 반신반의 했지만, 이번에는 이 모두가 정확하게 작동했다. 몇 년 간의 집중적 R&D 투자와 수십억에 달하는 막대한 인프라 투자가 빛을 발해서 보람도 느꼈다. 무엇보다 우리의 방향이 맞았다는 것을 확신하게 된게 가장 큰 수확이다.

물론 아직 부족한 점이 많다. 이번에 보강해야 할 부문을 다시 점검해서 더욱 강화해 나갈 것이다. 앞으로 스마트폰과 SNS와 같은 다양한 서비스가 다양화되면서 이에 대비하기 위한 R&D 투자에 더욱 박차를 가하리라 마음 속으로 다짐했다. '입체적이고 치밀한 공격'과 '지능화되고 종합적인 방어 시스템'의 전쟁은 이제 시작일 뿐이다.

감사드려야 할 분들에게

3박 4일 동안 밤잠을 못 이루고 노력한 우리 연구원, 대응 인력, 관제 요원, 현지 지원 인력, 고객 센터, 그 외에도 주말을 반납한 수많은 직원들의 헌신적인 노력에 진심으로 고맙게 생각한다. 여러분들의 열정적인 노력이 많은 분들을 큰 불편에 빠지지 않도록 도와드리게 되었다. 항상 사건이 마무리되고 나면 사후 지원과 각종 문의 때문에 고객 센터가 바쁘기 마련인데, 역시 지금 전화통에 불이 나 있다.

끝으로 이번 대응 과정에서 머리를 맞대고 밤을 지새운 방송통신위원회 직원들과 국정원, 한국인터넷진흥원(KISA) 연구원들의 노고를 높이 치하한다. 때로는 의견차도 있었지만 그것은 모두가 해결을 하기 위한 의지가 그만큼 강했기 때문이다. 같이 일해 본 사람만이 그 노력을 알아볼 수 있다. 우리 모두가 한 마음으로 노력했기에  조기 퇴치에 성공할 수 있었다.

앞으로도 더욱 정진할 것을 다짐하면서 3박 4일의 소감을 마친다.

 


안철수연구소 CEO가 바라 본 DDoS 대란 (1)

보안 이야기 2009.07.15 11:30

마치 쓰나미가 밀려왔던 것처럼 DDoS 대란은 우리를 몰아쳤다. 주말의 대응 체제를 마무리하고 나서 기자 회견과 내부적인 마무리를 하고 나니, 순간 기가 쭉 빠져 나가는 느낌이었다. 집으로 돌아오면서 운전하는데 여러 생각에 혼란스러웠다. 잠을 제대로 자지 못한 탓에 피곤함은 이루 말할 수 없었음에도 잠이 오지 않았다.

 

일본 출장 중에 이 소식을 접하게 되었고, 비행기를 타고 오는 내내 불길한 예감이 들었다. 아니나 다를까 수요일 오후에 귀국해서 회사로 돌아오는 도중 모 일간지 기자와 전화 인터뷰를 하면서 나의 DDoS 여정은 시작되었다.


신속한 정보 공유가 위기에 대응하는 핵심


국민적 관심사이다 보니 회사가 많은 언론에 노출되는 계기가 되었다
. 나는 개인적으로 TV 방송 인터뷰를 아주 싫어한다. 짧은 몇 초의 시간에 적합한 말을 찾아 표현하는 것은 스트레스 받는 일이다. 그러니, TV 인터뷰를 하고 나면 항상 찝찝하다. 게다가 피곤해서 푸석푸석한 얼굴을 TV에 내보이는 것도 유쾌하지는 않다.

 

그럼에도 불구하고 정보를 정확히 알리고 추가 피해를 막는 것이, 더 나아가 보안 인식이 개선되도록 알리는게 보안업체 CEO인 나의 소임이라고 항상 생각해 왔기에 나름대로 최선을 다했다. 이런 위기일수록 침착하고 명확한 커뮤니케이션이 이루어져야 한다는 게 여러 번의 사고로 얻은 교훈이다. 모든 위기 대응의 기본이 신속한 정보 공유가 핵심이라는 것은 역시 진리에 가깝다.

 

이번 DDoS 공격에 대응하느라 연구원들을 비롯한 전직원들이 잠도 못자고 밥도 제대로 먹을 시간이 없었다. 게다가 밀려드는 국내외 언론들의 취재 요청을 소화하기도 힘들었다. 이번 대란 기간 내내 수많은 취재 요청으로 회사가 북새통이었으나 언론의 사명도 이해하기에 가능한 언론 요청에 응대를 했다. 한번은 방송통신위원회에 회의를 하러 갔다가 기자 브리핑 룸에 끌려 내려가기도 했다. 그 곳에서 기자들의 질문에 몇 가지 답했던 장면이 9 TV 뉴스에 톱으로 나왔다는 사실을 듣고 적지 않게 당황했다. 어쨌든 내 생애에 그렇게 짧은 시간에 가장 많은 언론 인터뷰를 한 적은 없었다.

 



연일 역시 안철수연구소라는 칭찬 일색이었다. 물론 안철수연구소의 직원들은 자기 희생을 무릅쓰고 열심히 했다. 어떤 직원이 우리가 마지막 공격을 예측한 것을 보고 우리 스스로의 실력에 뿌듯했다고 하는데, 나도 같은 기분이었다. CNN 인터뷰에서 앵커가 그렇게 빨리 해독한 것에 대해 가장 신기해 했다. 누가 시키지도 않았는데 스스로 일을 찾아 일사불란하게 움직이는 직원들을 보면서, 이들과 같이 일한다는데 무한한 자부심을 느낀다.
 
 

정부의 전문가들에 대한 인색한 평가

 

그러나, 한편으로 마음이 무거웠다. 실제로 정부 기관에 있는 전문가들, 특히 국정원과 한국정보보호진흥원의 직원들도 밤새 우리처럼 열정을 바쳤음에도 정반대의 평가, 오히려 지탄을 받는데 대해 안타까움을 금할 수 없었다. 악성코드가 마지막으로 파일을 파괴한다는 것을 밝힌 것은 우리였지만, 그것이 12시일 수 있다는 단서를 제공한 것은 국가사이버안전센터였다. 그럼에도 불구하고 상대적으로 정부 기관이 비판을 받는 것은 아마 세금을 받는 국가 공무원들에 대한 잣대가 민간기업과는 다름을 인식할 수 있다. 어쨌든 주어진 상황에서 음지에서 최선을 다했던 정부 기관의 보안 담당 전문가들에게도 격려의 박수를 보낸다. 적어도 우리는 그들의 수고를 안다. 이번 사태로 나타난 조직 구성과 프로세스와 같은 구조적 문제점에 집중해야 우리가 진정한 해결책을 얻을 수 있다.

 

사실 일반 사용자의 PC가 해커의 무기로서 사용된다는 것은 어제 오늘의 일이 아니다. 이런 형태의 DDoS 공격과 금전을 목적으로 한 사이버 범죄는 IT 현장에서 비일비재로 발생하곤 한다. 보안전문가에게는 매일 매시간이 전쟁 그 자체다. 몇 년 전부터 현장에서 이를 피부로 느끼기에 현재의 위협과 공격 양상은 너무나도 심각하다고 수차 경고해 왔다. 정보 보안 분야에 종사한지 꽤 오래되었지만, 지금처럼 위험한 불구덩이 가운데 산 적은 없었다.

 


우리는 어떤 사고가 터지면 들썩거리곤 한다. CIH 바이러스 사고가 났을 때, 1.25 대란이 터졌을 때, 개인정보유출 문제가 불거졌을 때 많은 이들의 보안 인식이 바뀔 것으로 기대했다. 2000년 초에 세계를 휩쓴 DDoS 공격은 TV에서 톱뉴스에 정보 보안이 등장하는 계기였고 100개가 넘는 보안 업체가 생길 정도로 거품이 심했다. 그 외에도 크고 작은 사고는 빈번히 발생했다. 그러나, 보안 대책과 투자, 그리고 사용자의 인식은 항상 크게 부족했고 이번에도 보기 좋게 당했다. 이런 사건이 한번 휩쓸고 나면 허탈감에 빠지곤 하는데, 이번도 예외는 아니었다.

사태의 본질을 인식하고 실질적 대책을 실행해야

남의 속도 모르는 이들은 "보안업체는 이런 사고가 펑펑 터져야 좋은 것 아니야?"하고 부러움의 눈길을 보낸다
. 주가도 상종가를 치고, 주문도 크게 늘것 같고, 속된 말로 언론에서도 뜨고  주가 문제는 단기적인 관심에 그칠 뿐이었고, 실제 비약적인 매출 상승을 경험한 적은 별로 없다. 만일 그랬다면 왜 보안업체들이 이렇게도 열악한 상황이며, 뛰어난 인재들이 보안 업계를 떠나겠는가? 또한 3자의 눈에는 언론에 비치는 모습만 보면 부럽게 보일 수도 있다. 솔직히 아무것도 모르던 젊은 사업가 시절 그런 기분에 우쭐하기도 했던 못난 나를 발견하게 되니까.

그러나, 정보 보안에 15년 가까이 몸담아 온, 소위 보안 1세대라고 불리우는 나에게는 이런 들썩거림이 결코 즐겁지가 않다. 여러 번 같은 말을 해도 반영이 안 되고 또다시 사건이 발생하게 되면 착잡한 기분밖에 들지 않는다. 보안의 중요성을 알리기 위해 여러 곳에서 발표를 통해 실상을 알리고, 회의도 셀 수 없을 정도로 참여하고, 직원들과 머리를 싸매고 연구해온 결과가 이렇게 나타나니 참담한 심정이다. 아무 것도 할 수 없었다는 무력감이 나의 지금의 심정을 나타내는 가장 적합한 표현이다.

 


사고가 터지면 문제의 근본적 원인은 외면한 채, 피상적인 면만 보고 시끄럽다가 잠잠해지곤 했다. 이번 사건 과정에서도 여러 사람, 특히 기자와 정부 관계자들을 만나다 보니 문득 떠오르는 장면이 있다. 나는 가만히 앉아서 같은 말을 하고 있는데, 마치 내 앞에 앉은 분들이 계속 파노라마처럼 바뀌어가는 광경이 전개되는 느낌이다. 그들은 보안 담당을 길어야 2-3년 할 뿐이다. 담당자가 바뀌어 새로운 이들이 오면 무엇이 문제인지 다시 쉽게 설명해 주어야 하고, 그들이 알만 하면 다시 떠나곤 했다.
 

정보 보안에서 무엇이 중요하고 왜 사고가 나는지에 대한 나의 견해는 크게 바뀐 적이 없다. 내가 아니라 정보 보안에 오랜 기간 종사한 분들은 대체로 비슷한 말을 할 것이다. 그러나, 그 말은 듣는 이들을 통해 깊숙이 우리 사회와 문화 속으로 스며드는 것이 아니라, 일부는 씨를 뿌리고 대부분은 연기처럼 날아갔다. 결국 문제의 본질을 정확하게 파악해서 중심을 가지고 실행(execution)을 해야 하는데 항상 논의 과정에서 수그러들었다. 

과거의 경험에 비추어 아마 이번에도 크게 다르지도 않을 것이라고 생각한다. 이미 너도나도 소리 높이던 분위기가 한풀 꺽이는 것을 감지할 수 있다. 제발 이제는 악순환의 고리가 끊어졌으면 한다.


(다음에 이어서 하겠습니다)


티스토리 툴바