사이트를 마비시키는 DDoS
DDoS(Distribute Denial of Service attack/분산 서비스 거부) 공격은 여러 대의 PC가 한 번에 특정 사이트에 접속하는 해킹 방식의 하나다. 트래픽이 사이트가 감당할 수 있는 양보다 많아지면 과부하가 걸려 사이트가 마비된다. 인기 공연이나 명절 기차표를 예매할 때 사람들이 몰려 사이트가 정상적으로 운영되지 못하는 것과 마찬가지다. 반대로 동시에 접속했던 사람들이 빠져나가면 다시 제대로 운영이 된다는 말이기도 하다. 상황만을 놓고 본다면 DDoS 공격은 내부의 정보를 빼내기 위함이 아니라 단지 다른 사람들이 이용하지 못하도록 방해하는 방법이다. 좀비 PC 하나에서 발생하는 총 트래픽은 54.2kbps(초당 데이터)로 해당 PC에 무리를 주지는 않는 수준이라 해커가 마음대로 조종을 할 수 있다.
7월 7일에서 9일, 3차례에 걸쳐 국내에서 발생한 DDoS는 국내 주요 공공기관과 이용자 방문이 많은 포털 사이트, 금융 사이트 등 총 26곳을 공격해 페이지를 열 수 없게 만들었다. 국가정보원은 “정부문서가 유출되거나 업무가 마비되는 등의 피해는 전혀 없었다”고 밝혀 의도에 대한 궁금증을 더욱 증폭시켰다. 안철수연구소는 동시 다발적으로 주요 사이트를 공격했다는 것과 국내 사이트에 대해 24시간 단위로 공격 목표를 바꿨다는 점을 들어 국내 사이트에 대한 정보가 풍부하고 치밀한 사전준비가 있을 것이라고 분석했다. 주요 사이트가 소화할 수 있는 트래픽의 양을 정확히 예측했기 때문이다.
1차 공격 이후 국가정보원은 악성 프로그램 샘플을 분석한 결과 공격할 대상 26개 기관의 IP를 발견했다. 또 과도한 트래픽을 유발하는 특징이 있었으며 국내 주요사이트의 접속 장애 현상이 발생하는 등 심각성을 감안해 사이버 위기경보 단계를 ‘주의’로 단계를 올렸다. 1, 2차 공격을 받았던 기업들은 트래픽을 분산시키기 위해 서버와 회선을 늘리고, 공격 목표가 된 인터넷 주소를 살짝 바꾸는 편법까지 동원해 피해를 최소화하려고 노력했다. 3차례 계속 공격당한 옥션은 금전적 손실도 만만치 않다. 직접적 피해를 입지 않은 인터넷 업체에도 비상체제에 들어간 것은 마찬가지다.
일자 국내 주요 사고현황
2008. 12 日 해커 추정 사이버 민간 외교사절단 반크 홈페이지 등을 공격, 오랜 시간 서비스 마비.
2008. 7 인터넷 포털 일부 카페가 중국산 해킹 프로그램을 이용한 DDoS 공격을 받아 수차례 접속 지연.
2008. 6 촛불시위 당시 한나라당, 뉴라이트 전국연합 홈페이지를 공격, 서비스 마비.
2008. 3 모 증권사 홈페이지 공격, 7시간 동안 웹사이트 마비, 금품 요구.
2007. 11 게임아이템 거래 사이트에서 DDoS 공격, 금품 요구.
2003. 1 슬래머 웜바이러스 감염 PC에 의한 대량 트래픽으로 국가인터넷 8시간 동안 마비.
꽁꽁 숨어있는 공격자
DDoS 공격을 빌미로 업체에게 돈을 요구하는 일은 업계의 공공연한 비밀이다. 예전에는 해커들이 자신의 실력을 뽐내려고 공격도구를 만들어 배포하는 것이 대부분이었으나 2006년 이후 인터넷증권이나 쇼핑몰, 게임업체 등 온라인으로 현금을 거래하는 사이트를 대상으로 사이버 위협을 시도한 뒤 금품을 요구하는 ‘사이버조폭’ 형태로 발전했다.
하지만 이번 공격은 의도가 분명치가 않다. 1차 공격 때 청와대를 비롯한 언론사를 공격했기 때문에 돈을 요구하는 것이 아닌가라는 추측이 있었지만 2, 3차 공격에 포털 메일 사이트, 금융기관, 백신업체, 인터넷 쇼핑몰 등 다양한 공격 대상을 보아 다른 이유가 있을 것으로 추측하고 있다. 경찰청 사이버테러대응센터는 좀비 PC를 분석한 결과 악성코드가 스파이웨어 기능을 가지고 있어 “좀비 PC의 파일목록 일부가 59개국 416개 시스템으로 유출되었지만 파일 목록만 유출해서는 정보로서 가치가 크지 않다는 점에서 공격자의 의도를 짐작할 수 없다”고 밝혔다.
1차 공격 이후 국가정보원은 “금번 공격이 개인차원의 단순한 사건이 아니라 특정조직 또는 국가 차원에서 치밀하게 준비, 실행한 것으로 보인다”며 조종하는 사람이 북한이라는 추측을 내놔 ‘사이버북풍’론이 거세게 일기도 했다. 7월 10일 국가정보원은 한나라당 정보위원회 소속위원들과 당 지도부와 가진 비공개 간담회에서 북한 인민군 산하 해커조직인 110호 연구소의 문건을 입수했다는 사실을 밝혔다. 또한 북한에서 입수된 문건과 최근의 사이버 해킹 수법이 유사하는 분석을 내놓기도 했다. 하지만 국정원의 주장과는 달리 경찰청 수사팀은 정확한 기술적 증거를 확보하지 못한 상태다.
이에 따라 노 전 대통령의 49재와 시국선언 등에 따른 사회 분위기를 덮으려는 과대 보도라는 루머도 있었다. 하지만 7월 9일 3차 공격 이후 보안업체와 해커들의 분석으로 유럽을 경유하는 미국에서 IP 주소가 발견되고, 수사는 다시 미궁에 빠져버렸다. 7월 11일 국정원은 “이번 7.7 사이버공격의 배후가 북한이라는 여러 가지 증거를 가지고 정밀 추적과 조사가 진행 중인 상황이며, 아직 북한의 소행임을 최종 확인한 것은 아니다”라고 밝혔다. 15일에는 방통통신위원회 네트워크팀 황철증 국장이 “우리나라와 미국 일부 사이트에 DDoS 공격 명령을 내린 PC의 소재지가 영국이라는 분석 자료가 나왔다”고 밝혀 진원지에 대한 궁금증은 더욱 커져가고 있다.
DDoS 공격은 어렵지 않은 공격이지만 방어는 매우 까다롭다. 단순히 접속자가 많아 홈페이지가 마비되는 것은 100% 막을 수 없다. 특히 이번 사이버 테러는 장군이 앞장서서 ‘나를 따르라’는 공격이 아니라 철저히 전술을 짠 뒤 뒤에서 좀비 PC를 시켜 ‘공격하라’는 명령을 내린 것이라 그 배후를 더욱 찾기가 어렵다.
방송통신위원회는 13일 하드디스크 손상에 대한 신고건수가 1075건을 기록했다고 밝혔다. 말 잘 듣는 졸병인 좀비 PC의 하드디스크 파일을 파괴해 못 쓰게 하는 것으로 보아 사이버 대란을 준비하면서 우리나라를 테스트 지역으로 삼았을 것이란 분석도 있다.
좀비 PC가 되는 건 누구의 탓도 아니다
1차 공격이 끝난 직후 국가정보원이 집계한 조사에 따르면 아무런 이해관계가 없는 국내 PC 1만2000여 대와 해외 PC 8000여 대가 이번 공격에 이용 당했다. 악성코드는 이메일 첨부 파일이나 출처가 분명치 않은 액티브X, USB 드라이브 등에 침투해 이용자들에게 접근했다. 파일이 받아진 뒤에는 윈도 서비스 형태로 등록되어 PC 시작과 함께 자동으로 실행되고, 악성코드를 제어하는 서버에 접속하지 않고 악성코드가 공격 목표 목록을 찾아 자동으로 공격한다. 이후 일정한 시간에 좀비 PC가 특정 사이트에 한 번에 접속해 사이트를 마비시킨다.
내 PC가 사이버 무기가 될 수 있다는 생각에 국민들도 혼란에 빠졌다. 예방책과 대응책을 찾느라 보안 업계는 ‘특수’를 누렸다. 하지만 그것도 잠시뿐. 안철수연구소 자료에 따르면 공격이 있었던 7월 10일에는 180만 명이 백신을 내려 받았지만 일주일이 채 지나지 않은 16일에는 그 수가 1만3000여 명으로 뚝 떨어졌다.
KISA가 발표한 ‘6월 인터넷 침해사고 동향 및 분석월보’에 따르면 6월 해킹사고를 기관별로 분류한 결과 개인이 차지하는 비율이 79.1%로 가장 높았고, 이어 기업이 17.1%, 대학이 2.5% 순으로 나타났다. 기업이나 학교는 방화벽 구축 등 보안시스템이 잘 갖춰진 반면 개인 이용자는 윈도 업데이트나 백신 업데이트 등의 보안 조치를 제대로 하지 않은 탓으로 보인다. 불법 소프트웨어 이용률이 높은 현실을 단적으로 보여주는 실례라는 의견도 많다. 
불법 소프트웨어를 내려 받을 때 악성코드가 쉽게 뚫고 들어온다.
DDoS 공격에 당한 국내 사이트들. 정보 유출의 피해는 없었지만 잠깐동안 사이트가 마비되었다.
DDoS 공격에 대한 우리의 자세
DDoS 폭풍이 지나간 뒤 보안의식에 대한 각성을 요구하는 목소리가 높아졌다. 근본적인 원인을 해결하지 않으면 같은 일이 또 다시 벌어졌을 때 또 속수무책으로 당하고 만다. 이번 공격 무기의 성능을 재보려는 전초전이라는 분석이 나오면서 사람들은 불안에 떨고 있다. 그 대상이 우리나라일지 아닐지는 아무도 모르는 것이다.
방송통신위원회는 하반기부터 개인 이용자가 PC 백신 등 보안솔루션을 설치하지 않으면 NHN 등 대형 포털이나 온라인게임처럼 방문자가 많은 홈페이지 접속을 차단하는 방안 등을 검토 중인 것으로 확인됐다. 기획재정부는 “현재 각 부처별로 필요한 장비 규모를 대략 파악했지만, 구체적인 예산 규모를 파악하려면 좀 더 시간이 걸린다”며 “올해 안에 200억 원 규모의 공공기관 DDoS 공격 방어 장비 구축 예산을 집행하기로 결정했다.”고 밝혔다.
내 PC보호를 위해 안철수연구소는 보안 수칙 10계명을 내놓았다. ‘윈도 운영체계는 최신 보안 패치를 모두 적용’ ‘인터넷 로그인 계정의 패스워드를 자주 변경’ ‘이메일 확인 시 발신인이 불분명하거나 수상한 첨부 파일이 있는 것은 모두 삭제’ ‘정품 소프트웨어 이용’ 등의 내용이 담겨있다. 예방 수칙은 어려운 것이 아니라 기존에 모두 나왔던 내용들이다. DDoS 방어라는 꼬리표를 달고 나오는 백신 제품들은 공격 자체를 막는 것이 아니다. 여러 사람이 말했듯 여러 사람이 한 번에 웹사이트에 접속하는 트래픽 과부하를 100% 막기는 힘들다. PC가 좀비가 되는 것을 막아주는 것이다. 소 잃고 외양간 고치지 않으려면 불법 소프트웨어를 멀리하고, 보안 패치를 꾸준하게 받는 것이 좋다.
‘인터넷대란’ ‘사이버테러’로 불리며 국내 인터넷을 마비시킨 이번 공격은 7월 9일 이후 별다른 움직임이 없고, 7월 15일 국가정보원이 경보발령을 ‘주의’에서 ‘관심’으로 하향조정하면서 일단락되었다. 정보기관과 보안업체, 전문가들이 조사를 벌이고 있지만 아직 원인과 배후에 대해 정확하게 밝혀진 것은 없다. 해커는 왜 우리나라를 공격대상으로 삼았으며 얻으려고 했던 것은 무엇이었을까. DDoS 공격은 명백한 사이버 테러 행위다. 뚜렷한 목적을 가지고 치밀하게 계획된 것으로 보인다. 그런 점에서 인터넷 웜이 서버의 취약점에 의해 급격하게 퍼진 1.25 인터넷 대란과는 전혀 성격이 다르다. 오히려 2000년 초에 CNN, 야후 등 글로벌 포털 사업자들을 상대로 했던 해커들의 DDoS 공격과 성격이 비슷하다.
보안전문가의 DDoS 분석
DDoS 공격사건 분석
하우리 기술연구소 선행기술팀 / 장상근 연구원
DDoS 공격! 그 사건의 역사
DDoS 공격은 7월 4일, 미국 독립 기념일을 겨냥한 악성코드에서 출발했다. 공격에 쓰인 악성코드의 정보 중 ‘2009/07/04 02:50:16 UTC’란 시간 정보, 제1차 공격 대상 사이트가 주요 미국 주요 기관이었던 점, 스팸으로 발송된 이메일이나 디스크 파괴할 때 흔적에 남은 Independence Day라는 문자열이 악성코드가 미국 독립 기념일을 겨냥해 만들었다는 근거다. 하지만 7월 7~8일 사이에 발생된 제2차 공격 대상에는 한국 사이트가 포함되어, 국내 주요 기관들이 피해를 입기 시작하였으며, 미국은 한국으로부터 유입되는 트래픽을 차단시키는 상황이었다.
이에 하우리를 포함한 국내 민간 보안 업체들도 발 빠르게 대응에 착수해 악성코드가 공격하려는 대상사이트와 공격 시간 정보를 분석했다. 변종을 포함한 전용백신도 배포했다. 악성코드는 7월 8~9일 공격 대상 사이트들을 바꿔 3차 공격을 시작했고, 또 다시 공격 대상 사이트가 바뀐 상태로 7월 9~10일 4차 공격이 있었다. 마지막으로 공격에 이용된 좀비 PC들을 파괴시키는 5차 공격을 끝(?)으로 이번에 발생된 DDoS 공격은 소강상태에 들어섰다.
(국제 기준 4차, 국내에 악성코드 발생기준으로 는 공격은 3차가 된다.)
DDoS 공격 명령. 
시간대 별 DDoS 공격대상 사이트 변경 사항.
주요 악성코드별 관계도.
DDoS 공격에 쓰인 악성코드의 특징은?
이번 악성코드는 과거 DDoS 공격 사례에 비추어 보았을 때 좀비 PC를 제어하는 명령 서버 없이 자체적으로 공격 사이트와 공격 시간 정보가 담긴 스케줄링 정보 파일(uregvs.nls)을 통해 DDoS 공격들이 진행되었다는 점이 가장 큰 특징이라고 할 수 있다. 좀비 PC의 중요 데이터(.xl, .doc, .ppt 등)의 손상과 더불어 하드디스크를 손상시키는 파괴 기능이 포함되어 있는 점은 기존 봇(Bot)*과는 또 다른 공격의 형태였다. 이 외에도 어느 특정 사이트만을 노린 것이 아니라 여러 사이트를 동시에 공격하는 점, 여러 파일의 형태로 기능이 나뉘어져 있다는 점이 독특한 행위라고 할 수 있었다.
분석가 측면에서 해당 악성코드를 평가하자면, 악성코드는 잘 알려진 MS Visual Studio로 컴파일된 형태로 존재하였으며, 상세 분석 결과 각각의 악성코드들은 한 사람이 모두 작성을 한 형태가 아닌 몇 명이 더 악성코드 제작에 개입했다는 것을 각각의 악성코드 작성 스타일을 통해 확인할 수 있었다. 또한, 악성코드의 내부는 과거 Mydoom이란 악성코드에서 쓰였던 일부 코드가 확인되었고, 보통 수준의 프로그램 작성 능력을 통해 악성코드가 제작되었다. 하지만 공격 사이트와 공격 시간 계산 과정, 다른 악성 파일들과의 관계가 치밀하게 계산되어졌음을 확인했을 때 놀라움을 느꼈다.
봇(Bot) 봇은 말 그대로 로봇의 봇이다. 이용자 PC에 몰래 숨어들었다가, 공격자가 중앙제어서버 프로그램으로 봇(로봇)들에게 명령을 내리면 수많은 PC가 해당 서버로 접속을 시도 하거나 악성 트래픽을 유발하는 패킷(통신의 작은 한단위로 데이터를 캡슐화 한 것)을 발생시켜 전송하게 되면 서버가 마비되는 것) 
내 컴퓨터가 좀비 PC인지 아닌지 확인하는 방법
좀비 PC를 확인하는 방법에는 여러가지 방법이 있겠지만, MS 윈도에 포함된 명령어를 통해 간단히 알아보는 방법에 대해 알아보자. 
시작 → 실행 → cmd를 넣어, 콘솔 창 모드를 띄운다. 
Netstat -b 명령을 실행한다. (연결 된 프로세스와 네트워크 관계 확인) 
명령어가 수행 중에 잠시 화면이 멈추는 증상이 발생되거나, 실제 접속하지 않았는데 접속한 것이 보인다는 등 이상 행동을 확인해 본다.
위와 같이 윈도 명령어를 통해 알아 볼 수 있는 방법도 있겠지만, 숨겨져 있는 악성코드들도 존재할 수 있으므로, 주기적으로 신뢰할 수 있는 백신을 통해 정밀 검사를 해보는 것이 좋다. 참고로 이번 공격에 이용된 악성코드들은 전용 백신으로 차단이 가능하다.
해커와의 대담
‘7·7 인터넷 대란’에 대한 3가지 의혹
쉬프트웍스&와우해커 홍민표 대표
‘7·7 인터넷 대란’이라고 불리며 우리나라를 들썩이게 만든 대대적인 DDoS 공격은 단지 전초전에 불과하다. ‘범인이 누구인지 확실하게 밝혀지지는 않았지만 더 큰 공격을 위해 시험 삼아 자신의 능력을 테스트했다’는 것이 17년차 베테랑 해커 홍민표의 생각이다. DDoS는 3차 공격을 끝으로 잠시 소강상태에 들어갔지만 이번 사이버 테러에 관한 궁금증은 여전히 남아있다. 
인기 가수의 홈페이지나 논란이 되는 웹사이트에 들어가면 접속자가 한꺼번에 몰려 사이트가 다운될 때가 종종 있다. DDoS(Distributed DoS Attack/분산형 서비스 거부 공격)는 이와 비슷한 것이다. 해커들은 특정 사이트에 트래픽을 집중시키도록 다른 사람의 PC를 이용한다. 다른 PC를 조종하기 위해 보내는 악성코드에 감염되면 본체는 눈앞에 있지만 조작 능력은 빼앗긴 ‘좀비 PC’가 되는 것이다.
하드디스크안에 있는 파일을 손상시키는 악성코드.
의혹 1 하드디스크 파일을 파괴하는 이유
DDoS는 1차로 7월 7일 오후 6시쯤. 청와대, 국방부 등 국내 12개 사이트와 미국 14개 사이트를 마비시켰다. 2차 공격은 7월 8일. 안철수연구소, 이스트소프트 등 16곳을 멈추게 했고, 7월 9일 조선닷컴, 네이버 등을 끝으로 국내주요 정부기관과 언론사 등 26군데가 공격을 당했다.
“우리나라는 글로벌 IT업체들도 시장조사지로 삼을 만큼 인프라가 좋은 편이라 시험무대로 삼았을 가능성이 높다. 먹이 하나만 던져놓으면 순식간에 퍼져 반응이 즉각 오기 때문이다”
다시 접속해서 결과를 볼 필요 없이 가만히 앉아서 진행상황을 볼 수 있을 만큼 논란이 클 만한 사이트를 노렸다는 것이 홍민표의 분석이다. 좀비 PC가 늘어가면서 사람들이 불안에 떨었지만 홍민표는 “이번 공격은 맛배기”에 불과하다며 “시나리오를 종합적으로 분석해보면 사이버 무기의 효력을 시험해 보기 위한 테스트용”으로 정의했다.
만약 그들이 이번 공격을 통해 계속적으로 무언가를 얻고자 했다면 좀비 PC의 하드디스크 파일까지 건드릴 이유가 없다. 1회성으로 쓰고 버릴 PC기 때문에 상관없이 악성코드를 뿌려댄 것이다. 하드디스크의 다른 파일이 손상 여부는 이용자의 치료 여부에 따라 다르다. 감염된 코드 가운데 하드디스크 파일을 파괴하는 특정 바이러스를 지웠기 때문에 다른 자료는 보호할 수 있는 것이다.
“여러가지 정황상 이번 DDoS 공격은 더 큰일을 위한 준비다. 다음 공격은 단순한 트래픽 초과 수준은 아닐 것이다. 그 공격대상은 우리나라가 될 수도 그렇지 않을 수도 있다. 그건 해커의 마음이니 지켜볼 수밖에”
의혹 2 도대체 배후는 누구일까
과연 누가 어떤 목적으로 사이버 테러를 일으켰을까.
“디도스 공격은 해커가 곧바로 특정 서버를 공격하는 것이 아니라 좀비 PC를 이용하기 때문에 조종자를 찾기가 힘들다. 게다가 이번공격은 해커가 직접 참여한 것이 아니라 특정 시간에 특정 대상을 공격하도록 시나리오를 짜놓고 연결을 끊었기 때문에 역추적이 더 힘들다.”
홍민표는 지난 7월 9일 악성코드를 역추적하는 리버스 엔지니어링 기술을 이용해 지난 두 차례의 DDoS 공격에 쓰인 악성코드 파일 중 msiexec1.exe, perfvwr.dll, wmiconf.dll, msiexe2.exe 등 4개를 입수해 본격적인 분석을 시작했다. 분석한 결과 좀비 PC의 IP를 분석하다가 미국과 유럽 등지에 거처가 있다는 것을 밝혀냈다. 동료 연구원과 14시간을 집중한 덕분에 이뤄낸 성과다.
“악성코드의 파일 안에는 ‘독립기념일을 기리며’(Memory of the Independence Day)라는 문구가 담겨 있었다. 악성코드는 감염사이트나 Memory of the Independence Day라는 제목의 영문 이메일을 열어볼 때 등 PC에 깔렸을 것이다.”
공격의 진원지에 대한 정보가 부족했을 때라 홍민표는 결과를 재빨리 신문사에 제보했다. 하지만 이때는 국정원에서 북한 배후설에 대한 의견을 내놓았을 때였다. 그는 야당과 여당을 구분하지 못할 정도로 정치에 관심없지만 뜻하지않게 정치적 소용돌이에 휘말리기도 했다. 블로그와 게시판에는 국정원과 쉬프트웍스 편 가르기식의 글들이 올라왔고 관련된 문의도 수없이 받았다.
“단지 분석 결과를 말했을 뿐인데 정치적 행동을 물어보는 의견을 많이 받았다. 아직까지 개인이 한 것인지 집단으로 한 것인지, 공격의 진원지가 어딘지 명확하게 밝혀진 상태가 아니다. 앞으로도 다른 일에 신경쓰지 않고 분석에 열중할 생각이다.”
의혹 3 보안 의식을 높이기 위한 언론플레이?
이번 사건으로 언론에 많이 오르내린 것은 보안업체다. 그들이 빠르게 공격을 분석하고 대응해 더 큰 손실을 막아준 것은 사실이다. 하지만 이 같은 특수에 너도나도 DDoS 관련한 자극적인 제목과 분석을 내놓으며 몸값 올리기에 주력하고 있는 것은 아닐까.
“솔직히 그런 면이 없지는 않다. 개발자들은 순수한 마음으로 이번 사건을 풀어나가지만 경영자의 입장에서는 회사를 알릴 수 있는 좋은 기회기 때문이다.”
실제로 많은 업체들이 DDoS 차단에 관한 기술을 담은 새로운 백신이나 업데이트 제품을 내놓고 있다.
“DDoS는 어려운 공격은 아니지만 100% 차단할 수는 없다. 그냥 PC의 전원을 끄고 그들이 나가기를 기다리는 것이 좋다. 새로운 백신 제품들은 트래픽을 자체를 막는게 아니라 일반 PC가 좀비가 되는 것을 막아주는 것이다.”
이번에 DDoS를 막을 수 있는 방책이라며 내놓는 신제품은 획기적인 기술이 아니라는 말이다. 기존의 기술에 양념을 조금 더한 것뿐이다.
“보안 의식이 높아진 것은 기쁜 일이다. 우리나라는 공짜 소프트웨어를 당연하게 생각한다. 어둠의 경로로 받은 프로그램들의 악성코드가 쉽게 뚫고 들어올 수 있다. 보안패치가 있는 정품 소프트웨어를 쓰는 것이 좋다. 실시간 검사가 되는 백신을 쓰고 시기에 어울리는 보안 서비스를 받는 것이 좋다.”
DDoS 大亂
재발 막으려면 보안 전문가 양성 시급
김홍선 / 안철수연구소 대표이사
지난 7월. DDoS 대란이 마치 쓰나미처럼 몰아쳤다. 이 사건을 두고 많은 사람들이 ‘DDoS를 완전히 막을 수는 없는 것인가?’ ‘DDoS는 일시적으로 트래픽이 폭주할 뿐인데 왜 그렇게 호들갑인가?’ ‘DDoS는 기술적으로 단순한 원시적 공격일 뿐이다’라는 의문을 제시한다. 문제의 본질에 대해 공감대가 없다 보니 이런 대화가 오가는 것 같다.
DDoS 공격은 악성코드에 감염된 컴퓨터들이 특정 시간대에 특정 웹사이트나 서버로 수많은 접속을 시도해서, 해당 웹사이트나 서버가 정상적인 서비스를 하지 못하도록 하는 것이다. 상황만 보면 추석 연휴의 기차표를 인터넷으로 예매하려는 사람들이 한꺼번에 접속해서 예매 사이트가 마비되는 것과 같다. 때문에 홈페이지가 다운되거나 느려지더라도 사회적 문제로 생각하지 않고, 트래픽 폭주의 현상가지고 괜히 난리라는 생각을 가질 수도 있다. 하지만 사람들이 직접 사이트를 접속하는 것이 아니라 악성코드에 감염된 PC가 스스로 또는 원격 조종에 의해 접속한다는 근본적인 차이가 있다. 나쁜 의도를 가지고 이런 행위를 하면 범죄가 된다.
DDoS 공격은 명백한 사이버 테러 행위다. 뚜렷한 목적을 가지고 치밀하게 계획된 것으로 보인다. 그런 점에서 인터넷 웜이 서버의 취약점에 의해 급격하게 퍼진 1.25 인터넷 대란과는 전혀 성격이 다르다. 오히려 2000년 초에 CNN, 야후 등 글로벌 포털 사업자들을 상대로 했던 해커들의 DDoS 공격과 성격이 비슷하다.
이번 공격에 쓰인 악성코드는 최근에 많이 쓰인 다른 악성코드의 구조와 비슷하다. 몇 개의 모듈이 각각 본연의 임무를 수행하게 되어 있다. 차이점은 보통 이러한 공격은 원격에서 명령을 받는데, 이번에는 언제 누구에게 공격을 감행한다는 스케줄러와 타깃 목록이 있다는 점이다. 시시각각 원격에서 조종을 하다가 추적당하는 일이 없도록 해당 리스트를 따로 구성해 다운로드하게 하여 공격자가 원하는 목적을 이룰 수 있게 한 것이다. 때문에 해커의 기술적 능력에 대해서도 논란이 분분하다. 어떤 이들은 아주 초보적이라고 격하하기도 하고, 누구는 고도의 기술을 가진 해커라고도 한다. 하지만 앞서 설명한 공격의 특징으로 보아 단순 해커의 소행으로 보는 것은 적절치 않다.
이번 DDoS 대란으로 일반 PC가 사이버 공격의 무기로 쓰일 수 있다는 점을 온 국민이 알게 되었다. 마치 미국에서 발생한 9. 11 테러에서 아무 죄 없는 민항기를 탈취해서 공격 무기로 이용한 것처럼, 해커가 PC 소유권자의 허가 없이 PC를 탈취해서 자신의 공격을 위해 악용한 것이다. 하지만 이렇게 전 국민의 PC까지 악용되는 현실에서도 우리는 가슴앓이만 한다. 문제는 근본적인 대책의 알맹이가 빠져있기 때문이다.
DDoS 공격은 명백한 범죄
우리는 어떤 사고가 나야 비로소 들썩거린다. 1999년 CIH 바이러스 사고가 났을 때나 2003년 1.25 대란이 터졌을 때, 2008년 대규모 개인정보유출 문제가 불거졌을 때 많은 이들의 보안 인식이 바뀔 것으로 기대했다. 2000년 초에 세계를 휩쓴 DDoS 공격은 TV에서 톱뉴스에 정보 보안이 등장하는 계기였고 그 외에도 크고 작은 사고는 빈번히 발생했다. 하지만 보안 대책과 투자, 그리고 이용자의 인식은 항상 부족했고 이번에도 보기 좋게 당했다. 이런 사건이 한번 휩쓸고 나면 허탈감에 빠지곤 하는데, 이번에도 예외는 아니었다.
사고가 터지면 문제의 근본적 원인은 외면한 채, 눈앞에 보이는 현상만 보고 시끄럽다가 다시 잠잠해지곤 했다. 매번 보안 사고가 터질 때마다 여러 가지 대책이 논의된다. 각 기관은 대책을 마련하고, 위원회를 만들고, 보안이 중요하다고 구호를 외친다. 언론은 경쟁적으로 세미나를 주최하고, 새로운 포럼과 협의회가 생겨난다. 이번에도 예외는 아닐 것이다. 업계도 마찬가지다. 이 기회에 어떻게 돈을 벌까 혈안이 될 것임은 불 보듯 뻔하다. 무늬만 보안인 업체들이 나올 것이고, DDoS 전용 장비라고 그럴 듯하게 포장을 한 제품들이 봇물을 이룰 것이다. 물론 이익을 추구하는 기업의 속성상 이해할 수 있다. 하지만 공격을 제대로 막지 못하고 안전을 지킬 수 없는 허위 제품도 적지 않다.
보안 사고를 예방하고자 ‘정보보호산업에 대한 적극적 지원’ ‘IT 보안 투자를 늘려야 한다’ ‘처벌할 규제를 강화해서 의무화해야 한다’ 등의 대안책이 나오고 있다. 이러한 백화점식 처방을 나열한다고 해서 문제가 해결되는 것은 아니다. 문제의 본질을 정확히 짚어야 한다.
보안을 구축해야 하는 기업과 기관 측면에서 보면 문제의 핵심은 보안 전문 인력의 부족이다. 우수한 전문 인력만 충분하면 정보 보안 문제는 해결이 된다. 제품, 솔루션, 정책 실행 모두가 전문 인력에 달려 있다. 보안의 중요성을 외치는 것은 누구나 할 수 있다. 문제는 그 일을 수행하는 해결사인가 누구인가 하는 것이다. 그것은 바로 기술적 기초가 탄탄한 보안 전문 인력이다.
물론 보안 인력 양성은 10년 전부터 모든 정책 프로그램과 보안 이벤트의 인사말에서 빠지지 않고 등장했다. 하지만 의지를 가지고 실행하지 못했기에 오히려 후퇴하고 있다. 오늘날 보안 인력, 크게 보안 소프트웨어 인력의 이탈과 사기 저하는 아주 심각하다. 심하게 말해서 하드웨어적 사고와 기업 문화 속에서 정보화 사회의 기반인 소프트웨어는 급격하게 허물어지고 있다. 소프트웨어가 무너지는데 보안이 논의될 수는 없다. 이런 상황에 대한 진지한 성찰 없이 문제의 해결은 요원하다.
우리는 어떤 사고가 나야 비로소 들썩거린다. 사고가 터지면 문제의 근본적 원인은 외면한 채, 눈앞에 보이는 현상만 보고 시끄럽다가 다시 잠잠해지곤 했다.
왜 보안 인력이 부족한가?
보안 인력의 부족 원인은 간단하다. 한 마디로 비전이 없고 힘들기 때문이다. 업무의 난이도와 양에 비해 보수도 적고 사회에서 인정도 받지 못한다. 그러다 보니 보안이 정말 좋아서 하는 사람이나 사명감을 갖고 보안전문가의 길을 걷는 사람을 빼고는 오래 몸담으려는 이가 없다. 이러한 근원적 요소를 해결하지 않으면, 전문 인력이 절대적으로 부족한 상황에서 사이버 테러는 계속 발생할 수밖에 없다. 그 원인을 몇 가지로 정리해보자.
첫째, 우리나라에서 소프트웨어 인력과 기업은 수직적 가치 사슬에서 가장 밑바닥에 있다. ‘갑’의 절대적 파워 속에 ‘을’의 업무 범위는 한정되어 있지 않다. 대형 IT 서비스 업체는 고객에게 시달리고, 중소기업은 IT 서비스 업체에 시달린다. 보안은 소프트웨어 중에서도 보이지 않는 부분을 다루는 밑바닥 일이기 때문에 더욱 시달린다. 문제는 그러한 지적 노동이 제대로 가치를 인정받지 못한다는 것이다. 미국에서는 보안 소프트웨어를 판매할 때 제품만 제공한다.
만일 설치를 원하면 출장비에 추가 설치료가 부과되기 때문에, 대부분 고객들이 직접 설치한다. 우리나라는 한밤중에 잠도 못 자고 설치를 하고 나오지만, 그 비용을 따로 받겠다는 것은 언감생심이다. 실제로 안철수연구소가 소프트웨어를 판매한 멕시코의 한 은행은 원격지원으로 한계를 느껴 비즈니스 클래스 항공권을 보내 기술자 현지 지원을 요청했다. 물론 서비스 비용은 별도다. 한국에서 고객이 부르면 한밤중에도 달려가곤 했던 담당 기술자는 어리둥절해 했다. 우리보다 못하다고 생각하는 멕시코가 그렇다.
둘째, 정보 보안을 누군가가 담당해주기를 바라는 귀찮은 분야로 인식한다. 사업 계획을 짤 때는 보안 투자비용을 삭감하면서 정작 문제가 터지면 “사고가 나도록 뭐하고 있었느냐?”는 불호령이 떨어지기 일쑤다. 어떤 IT 보안 담당자는 매일 아침 일찍 보안 상황을 보고서로 만들어 보고할 때마다 항상 조마조마하다고 한다. 두려움이 있으면 숨기게 마련이고, 숨기면 사실 공유가 되지 않고, 정확한 정보 공유가 이루어지지 않으면 대처가 늦어져서 보안 사고를 키운다. 또한 자신들의 일을 시키기 위해 보안 업체들의 현장 지원을 요구할 때도 있다. 말이 파견이지 보안에 관련된 귀찮고 힘든 업무를 던지는 것이다.
보안 기업 CEO들이 모이면 이런 형태를 ‘노예 계약’이나 다름없다고 한탄하면서 술잔을 기울인다. 부르면 언제라도 달려갈 수 있어야 그나마 생존할 수 있는 열악한 상황이 오늘날 IT 강국의 단면이다. 어떤 보안업체 기술자는 정신적 스트레스가 심해서 병원에 입원까지 했다. 더 큰 문제는 이제 더 이상 이런 업무를 하려는 인력이 없다는 현실이다. 이런 상황에서 누가 보안 전문 인력을 하려고 하겠는가? 보안은 밑바닥부터 실행하는 것이지 우아하게 앉아서 시키는 것이 아니다.
예전에 대책회의를 갔을 때 정책 담당자가 이런저런 조치를 취해야 한다고 방대한 계획을 발표하는 것을 들었다. 하도 답답해서 “그런데 그런 일을 누가 하지요? 보안 인력은 절대적으로 부족한데. 정작 필요한 기술자는 없이 정책만 있으면 어떡합니까?”라고 업계의 현실을 토로한 적이 있다. 법이나 규제를 만드는 것은 어렵지 않지만 그것을 지킬 수 있는 체제는 기술 전문가 없이는 불가능하다. 기술을 모르는 논의는 탁상공론일 뿐이다.
셋째, 소프트웨어가 제 값을 받지 못한다. 하드웨어 장비를 사는 것은 투자로 인정받지만, 소프트웨어를 사거나 개발을 맡기는 것은 값을 쳐주기 아깝다는 인식이 여전하다. 조직의 상사들도 눈에 보이는 제품을 사야 마음이 든든하다. 그러다 보니, 해커의 공격은 눈에 보이지 않고 역동적으로 변화하는 소프트웨어인데, 수비는 하드웨어 장비와 마인드에 머무른다. 그 결과는 뻔하다.
이를테면, 단일 DDoS 전용 장비만으로 공격을 막겠다는 것은 지극히 ‘하드웨어적’ 발상이다. 물론 DDoS 전용 장비는 필요하다. 하지만 DDoS는 장비만으로 막을 수 없다는 것은 엄연한 사실이다. 가장 중요한 것은 네트워크 환경을 24시간 운용할 수 있는 체제와 전문 인력이다. 다단계 네트워크 방어 계층 구축, 서버의 유연한 분산 능력, 악성코드 동향의 실시간 모니터링과 신속하게 대처하는 운용 능력이 결합되어야 실질적인 대책이 된다.
이런 문제를 해결하려면 국내 보안 산업을, 더 나아가 소프트웨어 산업을 키워야 한다. 기업들이 돈을 못 벌면 직원들에게 희망이 생길 리 없다. 결국 보안 소프트웨어의 공정한 거래가 이루어지고, 서비스가 공정한 대가를 받아야 한다. 밤새 일에 시달려도 존중 받지 못하고 야단만 맞는 현실에서 우수한 인력들이 올 리가 만무하다.
보안전문성의 가치인식이 열쇠
보안 전문성이 높은 가치로 인정되지 않는 한 보안은 또다시 헛구호가 될 뿐이다. 우수한 인력이 자조의 웃음을 지으며 편한 직장으로 옮기는 것을 보는 필자의 마음은 너무 아프다. 그나마 포털이나 게임사로 가는 것은 전공을 살린다고 할 수 있다.
그렇지만 왜 일류 보안 인력들이 한의원, 치과, 보험회사, 금융 직원으로 옮기는지에 대한 진지한 반성이 필요하다. 고생하는 만큼 기술자가 대우를 받지 못한다는 현실을 젊은이들은 너무나도 잘 알고 있다. 세계적으로도 보안 인력은 절대적으로 부족하다. 공급이 부족하면 당연히 값이 오르는게 원리다. 우리는 실제 보안을 할 수 있는 인력은 점점 줄어드는 현실임에도 불구하고, 여전히 전문 기술에 대한 가치는 제대로 인정받지 못한다. 국가적으로 심각한 상황임을 모두가 인지해야 한다. 이를 반전시킬 열쇠를 찾는 것에 향후 우리 사이버 공간의 안전성 여부가 달려있다. 국가적으로 필요한 것은 보안 기술 인력이다.
정보 보안 업계에 오래 있었던 사람은 기회 있을 때마다 정보 보안에서 무엇이 중요하고 왜 사고가 나는지를 강조한다. 안타깝게도 그 말은 우리 사회와 문화 속으로 깊숙이 스며드는 것이 아니라, 일부만 씨를 뿌리고 대부분은 연기처럼 날아갔다. 결국 문제의 본질을 정확하게 파악해서 중심을 가지고 실행해야 하는데 항상 논의 과정에서 수그러들었다. 과거의 경험에 비추어 아마 이번에도 크게 다르지도 않을 것이라고 생각한다. 이미 너도나도 소리 높이던 분위기가 한풀 꺾이는 것을 감지할 수 있다. 제발 이제는 악순환의 고리가 끊어졌으면 한다. 
DDoS 대란의 재발을 막으려면 국내 보안 산업을, 더 나아가 소프트웨어 산업을 키워야 한다.
저작권자 © 스마트PC사랑 무단전재 및 재배포 금지
