3.4 디도스 현장에서의 3박 4일

CEO 칼럼 2011.03.07 10:37
설마 또다른 DDoS 사태로 다시 블로그를 올리게 되리라고는 전혀 생각하지 않았다. 악성코드는 계속 진화해 왔지만, 설사 보안 사고가 나더라도 이번에는 DDoS가 아닌 다른 형태가 되리라고 예상했다. 우리가 두 번 당할 정도로 허술한 대비를 세웠으리라고 생각하지 않는게 공격자(Attacker)의 상식이기 때문이다.

그러나, 2011년 3월 4일 DDoS 사태는 다시 벌어졌다. 주말을 끼고 숨가쁘게 며칠을 보내고 나서 일요일 저녁 이 전쟁에 참여했던 인력들과 회의실에 모였다. 다음 날은 새로운 한 주가 시작된다. 업무 시작하기 전에, 우리 고객들이 출근하기 전에, 우리가 겪었던 일을 정리하고 대책을 미리 마련해야 한다. 더 이상 미룰 수가 없었기에 마음은 아프지만 연구원들을 깨웠고, 그들은 졸린 눈으로 하나 둘 회의장으로 들어왔다. 현장에서 그들이 경험한 얘기를 생생하게 들으면서, 또다른 역사의 한 장면을 보냈다는 생각이 들었다.

7.7 디도스 대란 VS 3.4 디도스 대공습

이번 공격은 여러모로 7.7 DDoS와 유사한 점이 많았다. 주요 정부기관과 금융기관, 포털 등을 동시 다발적으로 타겟했고 특정 시간에 동작하도록 했다는 점은 거의 같다. 선정된 대상도 일부 다르지만, 대체로 7.7과 성격은 유사했다. 보안 기업은 이번에는 우리 회사만 리스트에 있었다.

어느 대기업 임원은 "왜 우리는 빠졌지?" 라며 다소 불만섞인(?) 소리도 했다. 어느 기관에서는 자신들의 이름이 잘못 표기되었다며 정정해 주기를 요청하기도 했다. "악당들이 만든 리스트에 신경을 써야 하는가?" 하는 씁쓸한 생각마저 들었다.
헤드라인 뉴스에 등장한 3.4 디도스 안랩 DDoS 장비의 모니터링 화면

공격 형태는 다소 차이가 있다. 7.7의 경우 24시간 단위로 공격 리스트가 이동(shift)한데 비해, 3.4는 일단 공격이 시작하면 종료 시점이 없다. 결국 좀비 PC를 줄이지 않는 한 공격 트래픽은 계속된다는 얘기다. 또한 공격 도중에 원격에서 공격 대상과 시간을 수시로 조종했다.

특정 시간이 지나면 하드 디스크(HDD)를 파괴시키는 수법은 동일하다. 몇 개의 공격 시나리오로 구성되어 있어서 분석하는 과정에 가장 이견이 많았던 부분이다. 결국 각자의 관점 모두 맞다는 판명이 났지만.. 또한 특이하게도 이번 공격에서는 파괴 시점이 유동적이었으며 분석가를 속이기 위한 알고리즘으로 구성되어 있어 분석의 초점을 흐리게 하려는 노력이 역력했다.

결국 DDoS 공격이 실패로 드러나자 3월 5일 토요일 밤, 원격에서 감염시킨 PC를 바로 완전삭제하는 '지령'을 내려 보냈다. 이 공격은 7.7 에는 없었던 새로운 형태다. 증거인멸과 피해를 극대화하기 위한 치밀한 행동이었다.
토요일 저녁 "이제 끝났다 보다"하고 좀 쉬려는 연구원의 모니터링에 걸려든 마지막 악성코드는 3일째 밤 사투를 벌이게 한 최종 공격 명령이었다.

3.4 DDoS는 경미한 사건이었나?

3.3 DDoS 사건을 두고 7.7 DDoS와는 상대가 안 될 정도로 경미한 사고라고 평가절하 하는 의견도 있다. 그러나 과연 그럴까? 

악성코드 자체는 더욱 교묘하게 설계되어 있었다. 또한 배포 경위나 조종 역량에 있어서는 단순 모방이라고 보기에는 전문가의 냄새가 많이 난다. 과연 누구의 소행일까? 한 가지 이상한게 제1금융권이 아닌 '제일저축은행'이 들어가 있다는 점이다. 'SC제일은행'을 대상으로 해야 다른 명단과 어울린다. 개인적 추측이기는 하지만 혹시 한국을 알기는 한데 뭔가 부족한 인물은 아니지 않을까?

공격 기법은 최근에 유행하는 정교한 기법에 비해 떨어졌다. 악성코드의 제작과 배포기법에 비해 네트워크 공격 자체는 전문성이 덜했다는 것이다. 만일 네트워크 공격이 최신의 공격 방식을 채택했다면? 생각만 해도 끔찍하다.

이번에 좀비화된 PC는 5만대 정도로 7.7 디도스 때 보다 상대적으로 적다. 그러나, 그러한 결과는 배포지를 미리 차단한 '예방' 조치가 그 만큼 잘 되었다는 점을 의미한다. 만일 7.7 디도스처럼 배포지를 미리 파악하지 못했다면 충분히 그 당시 수준으로 확산되었을 수 있다.

또한 악성코드의 조기 확보와 진단, 사이트에 대한 예고, 각 사이트의 준비 노력 등이 과소평가 되고 있다. 국민은행의 경우 이번 공격의 주타겟이었다. 가장 높은 트래픽으로 오랜 시간 힘든 상황이 지속되었음에도 완벽하게 방어했다. 이는 DDoS 구축은 물론 매달 모의훈련을 하면서 프로세스와 조직 역량을 배가한 결과로서 귀감이 될 만하다.

ASD(AhnLab Smart Defense)의 위력 발휘

우리 회사는 2008년부터 급증하는 악성코드를 어떻게 처리해야 하느냐 고심끝에 클라우드 기반의 종합위협 분석시스템, ACCESS를 개발했다. 그 결과 7.7 DDoS 당시 클라우드 엔진은 구축되어 시운전이 되고 있었지만, PC에 에이전트(agent) 배포가 막 시작했던 시점이라 사전 대응에 충분히 작동할 수 없었다. 그러나, 그 후 V3 Lite 무료백신, V3 365 클리닉 개인 사용자에게 적용되고, ASD(AhnLab Smart Defense) 시스템이 구축되면서 악성코드의 분석력과 추적 역량은 획기적으로 발전했다.



ASD는 3.4  DDoS 사태에서 진가를 발휘했다. 실시간으로 전국에서 돌아다니는 악성코드를 찾아 내어 그 행동 분석에 들어가기 때문에 샘플의 조기 발견에 결정적으로 기여했다. 특히 악성코드의 배포지인 P2P 사이트를 정확하게 알아내어 조기에 배포를 차단했다. 이러한 조기 발견과 차단이 긴박하게 돌아가는 해커와의 싸움에서 기선을 제압할 수 있었던 비결이었다.

또한 악성코드의 조기 분석을 통해 어떠한 종류의 네트워크 공격 유형인지 미리 예측했다. 따라서, 공격 시간은 물론 공격에 관한 제반 정보를 CERT팀과 관제 인력과 공유하고, 또한 우리 DDoS 장비에 업데이트했다. "복합적인 공격에는 복합적으로 맞방어를 해야 한다"는 단순한 원칙을 이번에 실질적으로 실행했던 셈이다.

우리 회사의 특징은 악성코드 분석센터(ASEC)와 침해사고에 대응하는 보안관제서비스(CERT) 조직이 바로 옆에 붙어있다. 네트워크 장비에 들어갈 시그너처 분석도 모두 한 조직이다. 결국 10미터 반경 이내에서 악성코드 배포 현황과 네트워크 공격 상황을 실시간으로 볼 수 있을 뿐더러, 각 분야의 모든 의사 결정자가 바로 그 사이버전쟁의 현장에 있기에 이런 위기 상황에 신속하게 대처할 수 있었다.
CERT (관제 센터) ASEC 모니터

사실 ASD를 구축하고 엔드포인트(PC)와 네트워크 장비의 통합적 운영, 악성코드 분석(ASEC)과 CERT의 시너지를 얘기해도 외부의 많은 전문가들이 반신반의 했지만, 이번에는 이 모두가 정확하게 작동했다. 몇 년 간의 집중적 R&D 투자와 수십억에 달하는 막대한 인프라 투자가 빛을 발해서 보람도 느꼈다. 무엇보다 우리의 방향이 맞았다는 것을 확신하게 된게 가장 큰 수확이다.

물론 아직 부족한 점이 많다. 이번에 보강해야 할 부문을 다시 점검해서 더욱 강화해 나갈 것이다. 앞으로 스마트폰과 SNS와 같은 다양한 서비스가 다양화되면서 이에 대비하기 위한 R&D 투자에 더욱 박차를 가하리라 마음 속으로 다짐했다. '입체적이고 치밀한 공격'과 '지능화되고 종합적인 방어 시스템'의 전쟁은 이제 시작일 뿐이다.

감사드려야 할 분들에게

3박 4일 동안 밤잠을 못 이루고 노력한 우리 연구원, 대응 인력, 관제 요원, 현지 지원 인력, 고객 센터, 그 외에도 주말을 반납한 수많은 직원들의 헌신적인 노력에 진심으로 고맙게 생각한다. 여러분들의 열정적인 노력이 많은 분들을 큰 불편에 빠지지 않도록 도와드리게 되었다. 항상 사건이 마무리되고 나면 사후 지원과 각종 문의 때문에 고객 센터가 바쁘기 마련인데, 역시 지금 전화통에 불이 나 있다.

끝으로 이번 대응 과정에서 머리를 맞대고 밤을 지새운 방송통신위원회 직원들과 국정원, 한국인터넷진흥원(KISA) 연구원들의 노고를 높이 치하한다. 때로는 의견차도 있었지만 그것은 모두가 해결을 하기 위한 의지가 그만큼 강했기 때문이다. 같이 일해 본 사람만이 그 노력을 알아볼 수 있다. 우리 모두가 한 마음으로 노력했기에  조기 퇴치에 성공할 수 있었다.

앞으로도 더욱 정진할 것을 다짐하면서 3박 4일의 소감을 마친다.

 


신고

7.7 DDoS 대란 1주년에 생각해 보는 3가지 이슈

보안 이야기 2010.07.07 13:49

7.7 DDoS 대란이 난 지 어느덧 1년이 되었다. ‘벌써라는 기분이 들 정도로 바삐 지나간 한 해였다. 사실 그 동안 사회 곳곳에서 이에 대비한 준비도 많이 이루어졌다. ‘디도스’, ‘좀비 PC’와 같은 전문 용어들이 일상 뉴스에 등장할 정도로 인식도 바뀌었고, 기업이나 기관의 최고 경영층도 관심을 기울이기 시작했다. 실질적인 투자와 준비 태세를 잘 마련한 곳도 있다. 허나 아직도 겉치레적인 준비에 머무르거나 아직 지체되어 있는 곳도 적지 않다.

 

게다가, 사이버 공격의 진원지인 악성코드나 위협의 강도도 세진 것이 현실이다. 다음 단계로 진화하고 있는 악성코드를 볼 때에 고민의 무게는 더해진다. 사회공학적 기법은 기본이고, 전문가도 속아 넘어갈 정도로 악성코드의 유형은 교묘해지고 배포 방식은 다각화하고 있다.

 

7.7 DDoS로 인해 언론 출연, 국정감사 증인 출석, CNN의 라이브 인터뷰 등, 기업인으로서는 색다른 경험도 많이 했다. 그러한 활동으로 인해 부러움과 시샘(?)의 눈초리를 받기도 했다. 여러 곳에 불려 다니는 것을 보면 충분히 그런 생각을 할 수 있다. 그러나, 수 차례 외침이 허공 속에서 사라지는 것을 보았을 때의 허탈함은 결코 즐거운 경험이 아니었다.



보안 전문 인력에 대한 논의가 빠지면 소용 없어 


과거부터 보안 사고가 피상적인 문제점만 노출된 채 넘어간 경우를 숱하게 보아 왔다
. 특히 보안에 대한 대비책을 세우고, 모의 훈련을 하고, 새로운 법과 정책을 만들어야 한다는 논의가 활발한 가운데, 정작 이러한 프로그램의 가장 중요한 요소가 빠져 있었다. 바로 보안 전문 인력 부족 문제다. 실제로 일을 할 인력이 없다면 백방의 대책이 무슨 소용이 있겠는가?

 

어떤 IT 기업 임원이 보안 업체들은 괜히 겁 주어서 돈 벌려고 하는 것 아니야?”라고 하자, 그 옆에서 어떤 분은 사고가 나야 보안 업체들이 좋잖아?”라고 맞장구 친다. 그런 광경을 보게 되면 15년을 정보보안에 종사한 이로서 자괴감마저 느낀다.

 

지금 이 순간에도 우리 회사 24시간 관제 센터에서는 분, 초 단위로 침해 위협의 가능성이 있는 이벤트가 티켓 형태로 끊임없이 올라온다. 10년 경력의 악성코드 분석가가 더욱 정교화되어 가는 악성코드에 난감해 하는 모습을 보면 안타깝다. 하도 답답해서 글로벌 기업의 CEO나 경영진도 만나 봤다. 어느 누구도 이제 보안 기술은 어느 정도 안정화되었다라고 하는 이들은 없다. 악성코드에 대비하는 기술과 아키텍처를 위해 끊임없이 투자하고 연구하는 이유가 여기에 있다.

 


7.7 DDoS 1주년을 맞이해서 키워드가 될만한 3가지를 생각해 보았다.

첫째, 보안 위협은 진행형이다. 이미 사이버 위협은 범죄 행위의 영역으로 들어갔다. 테러, 공격, 협박, 사기, 도둑질 - 모두가 범죄 용어 아닌가? 역사적으로 어느 누구도 범죄 행위의 발생 자체를 막을 수는 없었다. 범죄를 줄이기 위한 법과 제도, 교육은 가능해도 범죄는 인류 역사상 영원히 같이 가야 할 숙제다. 오히려 기술이 발달하고 복잡다단한 사회가 될수록 더욱 지능화되고 조직적 형태를 띄는 것이 범죄의 속성이다. 따라서, ‘이제 디도스는 해결되었다라는 표현은 적절치 않다. 아무도 그런 단언을 할 수는 없다. 기술, 프로세스, 사람의 측면에서 항상 준비하는 자세가 필요하다.

 

둘째, 사이버 공간에서도 일반 사회 생활과 같은 인식이 필요하다. 우리가 살고 있는 사회에는 우범지역도 있고 소매치기도 있다. 법과 제도도 중요하지만 시민 의식이 받쳐주어야 한다. 소매치기로부터 자신의 지갑이나 가방을 지키는 심정으로 사이버 위협으로부터 자신의 PC를 다루면 안 될까? 우범지역을 피하듯이 검증되지 않은 사이트나 콘텐츠를 피하면 안 되는가? 자동차를 가지고 일반 도로에 나오는 마음가짐으로 PC를 통해 인터넷에 들어가면 안 될까? 이미 인터넷은 일반인에게 보편화된 지 오랜 세월이 흘렀고 그 가운데 사이버 위협은 우리 생활 속의 한 요소다. 이를 백분 인정하고 스스로를 지키는 시민 의식이 아쉽다.

 

셋째, 보안 전문가가 인정 받아야 한다. 현재 발생하는 악성코드는 10-20년 전 컴퓨터 바이러스 잡던 시대와는 양적으로나 질적으로 차원이 다르다. 돈을 벌기 위해 혈안이 된 프로 해커들이 악성코드를 만들고 있다. 신형 악성 도구를 유통시키고 청부 공격도 자행한다. 가짜 백신은 웬만한 소프트웨어보다 더 많은 다국어 버전으로 제작되고 있다. 그만큼 암시장이 형성되어 있다는 얘기다. 프로의 상대는 프로일 수 밖에 없다. 그래서 보안에서 스페셜리스트의 역할과 존재가 아주 절실하다. 우수한 보안 전문가를 얼마나 보유하고 있는가가 우리 사회의 사이버 안전도의 척도다.

 


안타깝게도 보안 인력이 되고자 하는 이들은 계속 줄고 있고, 기존 인력들마저 보안 전문가의 길을 떠나고 있다. 아주 심각한 상황이다. 내가 어느 회의에 가든지 한 가지만 얘기하라면 서슴지 않고 보안 전문가의 부족 사태를 꺼낸다. 보안의 중요성을 외치는 수많은 추상적 논의보다 1명의 스페셜리스트가 더 소중하다. DDoS 1년이 지나는 시점에 여전히 아쉬운 부분이다.

IT는 이제 스마트폰, 컨버전스, 클라우드, 소셜네트워크로 지축이 바뀌는 패러다임 변화를 겪고 있다. 그럴수록 인터넷을 중심으로 한 개방형 환경은 사회적 인프라가 될 것이다. 보안은 그 속에서 신뢰와 안전이라는 틀을 지키는 핵심 요소다. 그런 점에서 실력을 갖춘 보안 전문가는 이 사회에 여러 형태로 공헌한다고 확신한다. 가장 큰 투자는 사람에 대한 투자임을 다시 한번 진지하게 호소한다. Ahn


신고

3D 업무에 한숨짓는 보안인력의 현실 : 안철수연구소 CEO가 바라본 DDoS 대란 (3)

CEO 칼럼 2009.07.17 11:28

매번 보안 사고가 터질 때 마다 여러 가지 대책이 논의된다. 각 기관은 대책을 마련하고, 위원회를 만들고, 보안이 중요하다고 구호를 외친다. 언론사들은 경쟁적으로 세미나를 주최하고, 새로운 포럼과 협의회가 생겨 난다. 이번에도 예외는 아닐 것이다.

 

업계는 어떠할까? 혹시 특수는 있지 않을까, 이 기회에 어떻게 돈을 벌까 혈안이 될 것임은 불 보듯 뻔하다. 무늬만 보안인 업체들이 나올 것이고, DDoS 전용 장비라고 그럴듯하게 포장을 한 제품들이 봇물을 이룰 것이다. 물론 이익을 추구하는 기업의 속성상 이해할 수 있다. 그러나, 공격을 제대로 막지 못하고 안전을 지킬 수 없는 허위 제품도 많이 보아 왔다.


오늘 투자 설명회(IR)에 갔더니 "공익적인 일을 많이 한 반면, 돈은 엉뚱한 이들이 벌어가는 것 아닙니까?"하고 애널리스트들이 걱정을 한다. 보안 업체들이 무료로 봉사하는 공공재처럼 일하는 것에 대한 투자가의 우려이기도 하다.
 

그렇다면, 보안 사고를 막기 위한 근본 대책은 무엇일까? 정보보호산업을 지원해야 한다, IT 보안의 투자를 늘려야 한다, 처벌할 규제를 강화해서 의무화해야 한다, 등등. 그러나, 이러한 백화점식 처방을 나열한다고 해서 문제가 해결되는 것은 아니다. 오히려 문제의 본질은 단순할 수 있고, 이를 정확히 짚어야 한다.

보안을 구축해야 하는 기업과 기관 측면에서 생각해 보면, 나는 보안 산업에 뛰어든 초창기부터 문제의 핵심은 보안 전문 인력의 태부족이라고 생각해 왔다. 우수한 전문 인력만 충분하면 정보 보안 문제는 해결이 된다. 제품, 솔루션, 정책 실행 모두가 전문 인력에 달려 있다. 보안의 중요성을 외치는 것은 누구나 할 수 있다. 문제는 누가 그 일을 수행하는 해결사인가 하는 것이다. 그것은 바로 기술적 기반이 탄탄한 보안 전문 인력이다.

 

물론 보안 인력 양성10년 전부터 모든 정책 프로그램과 보안 이벤트의 인사말에서 빠지지 않고 등장했다. 그러나, 의지를 가지고 실행하지 못했기에 오히려 후퇴하고 있다. 오늘날 보안 인력, 크게 보아 소프트웨어 인력의 이탈과 사기 저하는 아주 심각하다. 심하게 말해서 하드웨어적 사고와 기업 문화 속에서 정보화 사회의 기반인 소프트웨어는 급격하게 허물어지고 있다. 소프트웨어가 무너지는데 보안이 논의될 수는 없다. 이런 상황에 대한 진지한 성찰이 없이 문제의 해결은 요원하다.

 


왜 보안 전문 인력이 부족한가?

 

왜 보안 인력이 부족한가? 왜 보안 인력이 되려고 하지 않는가? 한 마디로 비전이 없고 힘들기 때문이다. 업무의 난이도와 양에 비해 보수도 적고 사회에서 인정도 받지 못한다. 그러다 보니, 이제는 정말 보안이 좋아서 하는 사람이나 사명감을 갖고 보안전문가의 길을 걷는 사람을 제외하고는, 오래 몸담고 싶은 마음이 적다. 이러한 근원적 요소를 해결하지 않으면, 전문 인력이 태부족인 상황에서 사이버 테러는 계속 발생할 수 밖에 없다. 그 원인을 몇 가지 생각해 본다.

첫째, 우리 나라에서 소프트웨어 인력과 기업은 수직적 가치 사슬에서 가장 밑바닥에 있다.의 절대적 파워 속에 의 업무 범위는 한정되어 있지 않다. 대형 IT 서비스 업체는 고객에게 시달리고, 중소기업은 IT 서비스 업체에 시달린다. 보안은 소프트웨어 중에서도 보이지 않는 부분을 다루는 밑바닥 일이기 때문에 더욱 시달리게 된다. 문제는 그러한 지적 노동이 제대로 가치를 인정받지 못한다는 것이다.

 

미국에서는 보안 소프트웨어를 판매할 때 제품만 제공한다. 만일 설치를 원하면 출장비에 추가 설치료가 부과되기 때문에, 대부분 고객들이 직접 설치한다. 그런데, 우리 상황은 어떠한가? 한밤중에 잠도 못 자고 설치를 하고 나오지만, 그 비용을 별도로 받겠다는 것은 언감생심(焉敢生心)이다.

 

실제로 우리가 멕시코의 어떤 은행에 소프트웨어를 팔고 지원을 하는데, 국내에 비해 몇배 더 받는다. 원격 지원으로 한계를 느낀 고객사는 기술자의 항공편을 비즈니스 클래스로 보내왔다. 물론 서비스 비용은 별도다. 한국에서 고객이 부르면 한 밤중에도 들어가곤 했던 담당 기술자는 어리둥절해 했다. 우리보다 못하다고 생각하는 멕시코가 그렇다.

 

둘째, 정보 보안을 누군가가 담당해 주기를 바라는 귀찮은 존재로 인식한다. 사업 계획을 짤 때는 보안 투자 비용을 삭감하면서 정작 문제가 터지면 사고가 나도록 뭐하고 있었느냐?”고 담당자에게 불호령을 내리는 최고책임자의 후진적 사고는 여전히 많이 발견된다. 어떤 IT 보안 담당자는 매일 아침 일찍 보안 상황을 보고서로 만들어 보고할 때마다 항상 조마조마 하다고 한다. 두려움이 있으면 숨기게 마련이고, 숨기면 사실 공유가 되지 않고, 정확한 정보 공유가 이루어지지 않으면 대처가 늦어져서 보안 사고를 키운다.

 

또한 자신들이 일을 시키기 위해 보안 업체들의 현장 지원을 요구하는 경우도 많다. 말이 파견이지 보안에 관련된 귀찮고 힘든 업무를 던지는 것이다보안 기업 CEO들이 모이면 이런 형태를 노예 계약이나 다름없다고 한탄하면서 술잔을 기울인다. 부르면 언제라도 달려갈 수 있어야 그나마 생존할 수 있는 열악한 상황이 오늘날 IT 강국의 단면이다. 어떤 보안업체 기술자는 정신적 스테레스가 심해서 병원에 입원했다고 한다. 문제는 더 이상 이런 3D 업무를 하려는 인력이 없다는 현실이다. 하긴 이런 상황에서 누가 보안 전문 인력을 하려고 하겠는가? 보안은 밑바닥부터 실행(execution)하는 것이지 우아하게 앉아서 시키는(order) 것이 아니다. 

 

예전에 대책회의를 갔을 때 정책 담당자가 이런저런 조치를 취해야 한다고 방대한 계획을 발표하는 것을 들었다. 하도 답답해서 그런데 그런 일을 누가 하지요? 보안 인력은 절대적으로 부족한데. 정작 필요한 기술자는 없이 정책만 있으면 어떡합니까?”라고 업계의 현실을 토로한 적이 있다. 법이나 규제를 만드는 것은 어렵지 않다. 그러나, 그것을 지킬 수 있는 체제는 기술 전문가 없이는 불가능하다. 기술을 모르는 논의는 탁상공론일 뿐이다.

 

셋째, 소프트웨어가 제 값을 받지 못한다. 하드웨어 장비를 사는 것은 투자로 인정받지만, 소프트웨어를 사거나 개발을 맡기는 것은 값을 쳐 주기 아깝다는 인식이 여전하다. 조직의 상사들도 눈에 보이는 제품을 사야 마음이 든든하다. 그러다 보니, 해커의 공격은 눈에 보이지 않고 역동적으로 변화하는 소프트웨어인데, 수비는 하드웨어 장비와 마인드에 머무른다. 그 결과는 뻔하다.

 

이를테면, 단일 DDoS 전용 장비 만으로 공격을 막겠다는 것은 지극히 하드웨어적 발상이다. 물론 DDoS 전용 장비는 필요하다. 그러나, DDoS는 장비만으로 막을 수 없다는 것은 엄연한 기술적 사실(fact)이다. 가장 중요한 것은 네트워크 환경을 24시간 운용할 수 있는 체제와 전문 인력이다. 다단계 네트워크 방어 계층 구축, 서버의 유연한 분산 능력, 악성코드 동향의 실시간 모니터링과 신속하게 대처하는 운용 능력이 결합되어야 실질적인 대책이 된다.


보안을 하면 돈을 벌 수 있다는 확신을 줄 수 있어야 한다


국내 보안산업을, 더 나아가 소프트웨어 산업을 키워야 한다. 기업들이 돈을 못 벌면 직원들에게 희망이 생길 리 없다
. 결국 보안 소프트웨어의 공정한 거래가 이루어지고, 서비스가 공정히 대가를 받아야 한다. 밤새 일에 시달려도 존중 받지 못하고 야단만 맞는 현실에서 우수한 인력들이 올 리가 만무하다.

보안 전문성이 높은 가치로 인정되지 않는 한 보안은 또다시 헛구호가 될 뿐이다
. 우수한 인력이 자조의 웃음을 지으며 편한 직장으로 옮기는 것을 계속 보아 온 필자의 마음은 너무나도 아프다. 
 그나마 포털이나 게임사로 가는 것은 전공을 살린다고 할 수 있다. 그렇지만 왜 일류 보안 인력들이 한의사로, 치과 의사로, 보험회사 직원으로, 금융 담당 직원으로 옮기는 지에 대한 진지한 반성이 필요하다. 고생하는 만큼 기술자가 대우를 받지 못한다는 현실을 젊은이들은 너무나도 잘 알고 있다.

 

전세계적으로도 보안 인력은 절대적으로 부족하다. 그러나, 공급이 부족하면 당연히 값이 오르는게 원리다. 그런데, 우리는 실제 보안을 할 수 있는 인력은 점점 줄어드는 현실임에도 불구하고, 여전히 전문 기술에 대한 가치는 제대로 인정받지 못한다.

 

국가적으로 아주 심각한 상황임을 모두가 인지해야 한다. 이를 반전하는 열쇠를 찾는 것에 향후 우리 사이버 공간의 안전성 여부가 달려있다. 국가적으로 필요한 것은 보안 기술 인력이다.

신고

안철수연구소 CEO가 바라본 DDoS 대란 (2) : DDoS 공격의 성격

보안 이야기 2009.07.16 11:54

“DDoS를 완전히 막을 수는 없는 것인가?” 이런 질문을 많이 받는다. 혹은 “DDoS는 일시적으로 트래픽이 폭주할 뿐인데 왜 그렇게 호들갑인가?” “DDoS는 기술적으로 단순한 원시적 공격일 뿐이다라는 얘기도 들린다. 문제의 본질적 요소에 대해 공감대가 없다 보니 이런 대화가 오고 가는 것 같다.

 

DDoS 성격에 대한 논란

 

잘 알다시피 DDoS공격이라는 것은 악성코드에 감염된 컴퓨터들이 특정 시간대에 특정 웹사이트나 서버로 수많은 접속을 시도하도록 해서, 해당 웹사이트나 서버가 정상적인 서비스를 하지 못하도록 하는 것을 말한다. 그러면, 일반적으로 웹사이트가 트래픽 폭주로 마비되는 것과 차이는 무엇인가?

 

KBS 긴급 좌담회에 나가서 다음과 같은 예로 설명해 보았다. “DDoS의 현상만 보면 추석 연휴의 기차표를 인터넷으로 예매하기 위해 예매 게시 시간에 많은 사람들이 한꺼번에 접속을 해서 예매 사이트가 마비되는 것과 같다. 그런데, 차이라면 사람들이 직접 사이트를 접속하는 것이 아니라 악성코드에 감염된 컴퓨터들이 스스로 또는 원격 조정에 의해 접속한다는 것이다.”

 



우리가 어떤 연예인 홈페이지에 폭주하면, 그냥 즐거운 비명이나 한 때의 해프닝 정도로 생각한다. 그래서 혹 홈페이지가 다운되거나 느려지더라도 사회적 문제로 생각하지 않는다. 그러나, 원격에서 조정되어 악의적 의도를 가지고 이런 행위를 하면 범죄가 된다. 그러니, 트래픽 폭주의 현상만 보면 위의 두 가지 경우가 같은 것으로 보이고 그래서 괜히 난리라는 생각을 가질 수 있다. 그렇지만, 그 원인을 규명해 보면 DDoS 공격은 명백한 사이버 테러 행위다.
 
 

사실 금전 탈취를 위한 DDoS 공격은 이미 오래 전부터 빈번히 발생했다. 너무나도 극성을 부려서 밤 근무를 하는 우리 회사의 관제센터 요원들은 야참을 먹지 못할 정도다. 일반적으로 DDoS 공격은 내부를 해킹하는 행위에 비해 기술적 난이도가 낮다고 간주한다. 구태여 힘들이면서 내부로 침투하기 위해 애를 쓸 필요가 없이, 밖에서 서버를 다운시켜 돈을 달라고 협박하는게 공격 측면에서는 아주 효율적이다. 그래서, DDoS 공격은 원시적 공격이라고 평가절하하는 것이다.

 

그러나, 이번 공격의 형태는 좀 특이하다. 그런 점에서 기존의 특정 사이트를 상대로 한 DDoS 공격과 같은 부류로 보는 것은 적합하지 않다. 그 특징은 다음과 같이 요약된다.


1. 동시 다발적으로 잘 알려진 여러 사이트를 공격했다.

2. 한국 사이트에 대해 24시간 단위로 공격 목표를 바꾸어 갔다.
(외국 사이트 공격은 시간 단위가 여러 행태로 다르다)

3. 공격을 마친 후에는 어떤 조건이 맞아 떨어지게 될 경우, 예를 들어 특정 파일을 다운로드 받고 일정 시간이 되면, 스스로 자폭하는 구조를 가지고 있다.

4. 공격자의 의도가 알려지지 않고 있다


의도를 몰라서 더욱 두렵다

 

영화에서 보면 테러범들이 일부러 자신의 의도를 숨기곤 한다. ‘다이하드 3’에서 주인공 맥클레인(브루스 윌리스 역)형사에게 사감(私感)이 있는 것처럼 퀴즈를 내서 테러범은 경찰을 우롱한다. 그러면서 지하철을 폭파하기도 하고, 엉뚱한 곳에 폭탄을 숨겨 놓은 것처럼 흘려서 경찰을 뉴욕 각처로 분산시킨다. 정작 목표는 방어가 허술해진 월스트리트에서 금괴를 훔치는 것이었다. 이와 같이 테러범의 의도를 모를 때 우왕좌왕하게 된다. 이번 사태가 당혹스러운 이유는 범죄자의 의도를 모른다는 것이다.

 

방송통신위원회에서 기자회견을 마치고 나오는데 어떤 기자가 쫓아 나와서 혹시 안철수연구소의 보안 전문 분석 요원들을 여기에 전념하게 해서, 주의를 다른 곳으로 돌리는 것 아닙니까? 엉뚱한 곳에서 사고를 일으킬 목적으로..”라는 질문을 받았다. 나도 거기까지는 생각하지 못했었다. 그러나, 다행히 우리 ASEC(안랩시큐리티대응센터; 안철수연구소의 악성코드 분석대응 조직) 직원들은 기존 업무를 병행하면서 했고, 그렇기 때문에 더욱 밤샘작업이 많을 수 밖에 없었다. 앞으로 이런 점도 고려해야 한다는 인식을 하게 되어, 그 기자에게 감사한 마음이 들었다. 우리뿐만 아니라 전국적인 보안 전문 인력은 여유 인력까지 충분히 갖추어야 한다는 생각이다.


악성코드의 성격과 공격 주체에 대한 논의  


이번 사태는 명백한 범죄 행위고, 뚜렷한 목적을 가지고 치밀하게 계획되었다. 그런 점에서 인터넷 웜이 서버의 취약점에 의해 급격하게 퍼진 1.25 인터넷 대란과는 전혀 성격이 다르다. 오히려 2000년 초에 CNN, Yahoo 등 글로벌 포털 사업자들을 상대로 했던 해커들의 DDoS 공격과 성격이 비슷하다.

 

누가 이런 범행을 저질렀는지에 대해 가장 많은 질문을 받게 되는데, 민간업체인 안철수연구소로서는 추적할 수사권도, 법적 권한도 없다. 추적할 만한 사이트는 한국에서 원천적으로 차단된 상태였다. 이는 당연히 정부 기관의 고유 업무다.

 

또한 해커의 기술적 능력에 대해 많이 물어 온다. 어떤 이들은 아주 초보적이라고 격하시키기도 하고, 누구는 고도의 기술을 가진 해커라고도 한다. 그런데, 앞서 설명한 이번 공격의 특징만 보아도 단순 해커의 소행으로 보는 것은 적절치 않다.




이번 공격에 사용된 악성코드는 최근 공격에 사용되고 있는 다른 악성코드의 구조와 유사하다. 즉 몇 개의 모듈로 구성되어 있어 각각 본연의 임무를 수행하게 되어 있다. 단지 차이가 있다면, 보통 이러한 공격은 원격에서 명령을 받게 되어 있는데, 이번 경우는 언제 누구에게 공격을 감행한다는 스케줄러(scheduler)타겟 리스트가 있다. 시시각각 원격에서 조정해서 추적당하는 것보다 해당 리스트를 별도로 구성해 다운로드 받게 하여 공격자가 원하는 목적을 이룰 수 있게 한 것이다.


이번
DDoS 대란으로 일반 PC가 사이버 공격의 무기로 사용될 수 있다는 점을 온 국민이 알게 되었다. 마치 미국에서 발생한 9. 11 테러에서 아무 죄없는 민항기를 탈취해서 공격 무기로 사용한 것처럼, 해커가 PC의 소유권자인 사용자의 허가없이 PC를 탈취해서 자신의 공격을 위해 악용한 것이다.

이렇게 전국민의 PC까지 악용되는 현실에서도 우리는 가슴앓이만 한다. 문제는 근본적인 대책의 알맹이가 빠져있기 때문이다.

(다음 회에 계속)  



 
신고

안철수연구소 CEO가 바라 본 DDoS 대란 (1)

보안 이야기 2009.07.15 11:30

마치 쓰나미가 밀려왔던 것처럼 DDoS 대란은 우리를 몰아쳤다. 주말의 대응 체제를 마무리하고 나서 기자 회견과 내부적인 마무리를 하고 나니, 순간 기가 쭉 빠져 나가는 느낌이었다. 집으로 돌아오면서 운전하는데 여러 생각에 혼란스러웠다. 잠을 제대로 자지 못한 탓에 피곤함은 이루 말할 수 없었음에도 잠이 오지 않았다.

 

일본 출장 중에 이 소식을 접하게 되었고, 비행기를 타고 오는 내내 불길한 예감이 들었다. 아니나 다를까 수요일 오후에 귀국해서 회사로 돌아오는 도중 모 일간지 기자와 전화 인터뷰를 하면서 나의 DDoS 여정은 시작되었다.


신속한 정보 공유가 위기에 대응하는 핵심


국민적 관심사이다 보니 회사가 많은 언론에 노출되는 계기가 되었다
. 나는 개인적으로 TV 방송 인터뷰를 아주 싫어한다. 짧은 몇 초의 시간에 적합한 말을 찾아 표현하는 것은 스트레스 받는 일이다. 그러니, TV 인터뷰를 하고 나면 항상 찝찝하다. 게다가 피곤해서 푸석푸석한 얼굴을 TV에 내보이는 것도 유쾌하지는 않다.

 

그럼에도 불구하고 정보를 정확히 알리고 추가 피해를 막는 것이, 더 나아가 보안 인식이 개선되도록 알리는게 보안업체 CEO인 나의 소임이라고 항상 생각해 왔기에 나름대로 최선을 다했다. 이런 위기일수록 침착하고 명확한 커뮤니케이션이 이루어져야 한다는 게 여러 번의 사고로 얻은 교훈이다. 모든 위기 대응의 기본이 신속한 정보 공유가 핵심이라는 것은 역시 진리에 가깝다.

 

이번 DDoS 공격에 대응하느라 연구원들을 비롯한 전직원들이 잠도 못자고 밥도 제대로 먹을 시간이 없었다. 게다가 밀려드는 국내외 언론들의 취재 요청을 소화하기도 힘들었다. 이번 대란 기간 내내 수많은 취재 요청으로 회사가 북새통이었으나 언론의 사명도 이해하기에 가능한 언론 요청에 응대를 했다. 한번은 방송통신위원회에 회의를 하러 갔다가 기자 브리핑 룸에 끌려 내려가기도 했다. 그 곳에서 기자들의 질문에 몇 가지 답했던 장면이 9 TV 뉴스에 톱으로 나왔다는 사실을 듣고 적지 않게 당황했다. 어쨌든 내 생애에 그렇게 짧은 시간에 가장 많은 언론 인터뷰를 한 적은 없었다.

 



연일 역시 안철수연구소라는 칭찬 일색이었다. 물론 안철수연구소의 직원들은 자기 희생을 무릅쓰고 열심히 했다. 어떤 직원이 우리가 마지막 공격을 예측한 것을 보고 우리 스스로의 실력에 뿌듯했다고 하는데, 나도 같은 기분이었다. CNN 인터뷰에서 앵커가 그렇게 빨리 해독한 것에 대해 가장 신기해 했다. 누가 시키지도 않았는데 스스로 일을 찾아 일사불란하게 움직이는 직원들을 보면서, 이들과 같이 일한다는데 무한한 자부심을 느낀다.
 
 

정부의 전문가들에 대한 인색한 평가

 

그러나, 한편으로 마음이 무거웠다. 실제로 정부 기관에 있는 전문가들, 특히 국정원과 한국정보보호진흥원의 직원들도 밤새 우리처럼 열정을 바쳤음에도 정반대의 평가, 오히려 지탄을 받는데 대해 안타까움을 금할 수 없었다. 악성코드가 마지막으로 파일을 파괴한다는 것을 밝힌 것은 우리였지만, 그것이 12시일 수 있다는 단서를 제공한 것은 국가사이버안전센터였다. 그럼에도 불구하고 상대적으로 정부 기관이 비판을 받는 것은 아마 세금을 받는 국가 공무원들에 대한 잣대가 민간기업과는 다름을 인식할 수 있다. 어쨌든 주어진 상황에서 음지에서 최선을 다했던 정부 기관의 보안 담당 전문가들에게도 격려의 박수를 보낸다. 적어도 우리는 그들의 수고를 안다. 이번 사태로 나타난 조직 구성과 프로세스와 같은 구조적 문제점에 집중해야 우리가 진정한 해결책을 얻을 수 있다.

 

사실 일반 사용자의 PC가 해커의 무기로서 사용된다는 것은 어제 오늘의 일이 아니다. 이런 형태의 DDoS 공격과 금전을 목적으로 한 사이버 범죄는 IT 현장에서 비일비재로 발생하곤 한다. 보안전문가에게는 매일 매시간이 전쟁 그 자체다. 몇 년 전부터 현장에서 이를 피부로 느끼기에 현재의 위협과 공격 양상은 너무나도 심각하다고 수차 경고해 왔다. 정보 보안 분야에 종사한지 꽤 오래되었지만, 지금처럼 위험한 불구덩이 가운데 산 적은 없었다.

 


우리는 어떤 사고가 터지면 들썩거리곤 한다. CIH 바이러스 사고가 났을 때, 1.25 대란이 터졌을 때, 개인정보유출 문제가 불거졌을 때 많은 이들의 보안 인식이 바뀔 것으로 기대했다. 2000년 초에 세계를 휩쓴 DDoS 공격은 TV에서 톱뉴스에 정보 보안이 등장하는 계기였고 100개가 넘는 보안 업체가 생길 정도로 거품이 심했다. 그 외에도 크고 작은 사고는 빈번히 발생했다. 그러나, 보안 대책과 투자, 그리고 사용자의 인식은 항상 크게 부족했고 이번에도 보기 좋게 당했다. 이런 사건이 한번 휩쓸고 나면 허탈감에 빠지곤 하는데, 이번도 예외는 아니었다.

사태의 본질을 인식하고 실질적 대책을 실행해야

남의 속도 모르는 이들은 "보안업체는 이런 사고가 펑펑 터져야 좋은 것 아니야?"하고 부러움의 눈길을 보낸다
. 주가도 상종가를 치고, 주문도 크게 늘것 같고, 속된 말로 언론에서도 뜨고  주가 문제는 단기적인 관심에 그칠 뿐이었고, 실제 비약적인 매출 상승을 경험한 적은 별로 없다. 만일 그랬다면 왜 보안업체들이 이렇게도 열악한 상황이며, 뛰어난 인재들이 보안 업계를 떠나겠는가? 또한 3자의 눈에는 언론에 비치는 모습만 보면 부럽게 보일 수도 있다. 솔직히 아무것도 모르던 젊은 사업가 시절 그런 기분에 우쭐하기도 했던 못난 나를 발견하게 되니까.

그러나, 정보 보안에 15년 가까이 몸담아 온, 소위 보안 1세대라고 불리우는 나에게는 이런 들썩거림이 결코 즐겁지가 않다. 여러 번 같은 말을 해도 반영이 안 되고 또다시 사건이 발생하게 되면 착잡한 기분밖에 들지 않는다. 보안의 중요성을 알리기 위해 여러 곳에서 발표를 통해 실상을 알리고, 회의도 셀 수 없을 정도로 참여하고, 직원들과 머리를 싸매고 연구해온 결과가 이렇게 나타나니 참담한 심정이다. 아무 것도 할 수 없었다는 무력감이 나의 지금의 심정을 나타내는 가장 적합한 표현이다.

 


사고가 터지면 문제의 근본적 원인은 외면한 채, 피상적인 면만 보고 시끄럽다가 잠잠해지곤 했다. 이번 사건 과정에서도 여러 사람, 특히 기자와 정부 관계자들을 만나다 보니 문득 떠오르는 장면이 있다. 나는 가만히 앉아서 같은 말을 하고 있는데, 마치 내 앞에 앉은 분들이 계속 파노라마처럼 바뀌어가는 광경이 전개되는 느낌이다. 그들은 보안 담당을 길어야 2-3년 할 뿐이다. 담당자가 바뀌어 새로운 이들이 오면 무엇이 문제인지 다시 쉽게 설명해 주어야 하고, 그들이 알만 하면 다시 떠나곤 했다.
 

정보 보안에서 무엇이 중요하고 왜 사고가 나는지에 대한 나의 견해는 크게 바뀐 적이 없다. 내가 아니라 정보 보안에 오랜 기간 종사한 분들은 대체로 비슷한 말을 할 것이다. 그러나, 그 말은 듣는 이들을 통해 깊숙이 우리 사회와 문화 속으로 스며드는 것이 아니라, 일부는 씨를 뿌리고 대부분은 연기처럼 날아갔다. 결국 문제의 본질을 정확하게 파악해서 중심을 가지고 실행(execution)을 해야 하는데 항상 논의 과정에서 수그러들었다. 

과거의 경험에 비추어 아마 이번에도 크게 다르지도 않을 것이라고 생각한다. 이미 너도나도 소리 높이던 분위기가 한풀 꺽이는 것을 감지할 수 있다. 제발 이제는 악순환의 고리가 끊어졌으면 한다.


(다음에 이어서 하겠습니다)
신고