본문 바로가기

현장속으로/세미나

보안전문가 4인이 말하는 3.4 디도스 뒷얘기

3 4일 한반도 전역을 뒤흔들어 놓은 디도스(DDoS) 폭풍이 열흘이 조금 지난 뒤인 같은 달 15일자로 해제되었다. 물론 나를 비롯한 수많은 이가 '혹시 내 컴퓨터가?'하는 걱정에 노심초사했겠지만, 각 기업의 정보보안을 책임지는 담당자들은 현장에서 24시간 정신없이 디도스에 시달려야 했다. 이제야 디도스로부터 자유의 몸이 된, 아니 앞으로 더 큰 임무를 맡게 된 이들만의 3.4 디도스 뒷풀이 자리에 다녀왔다.

이른 아침부터 각 기업의 보안 업체 관계자가 한 자리에 모인 이 곳은 '기업 정보보호 이슈 전망 세미나(Security Forecast 2011)'. 매년 초에 열리는 보안 세미나로 보안 전문가들을 한 자리에서 만날 수 있고 또 안철수연구소를 비롯한 여러 보안 업체의 부스도 둘러볼 수 있는 자리이다.

역시 최고의 화두는 '3.4 디도스'였는데, 최근 이슈를 반영해 긴급하게 '[패널토의] 긴급진단 3.4 디도스 공격 분석과 향후 대응 방안'이 첫 순서였다. 비전공자인 나에게도 흥미로웠던 점은 방송통신위원회, 안철수연구소 등 각 기관과 기업에서 전문가가 나와 '디도스'라는 같은 주제를 각자 다른 관점과 입장에서 토의해 나간다는 점이었다.

내 컴퓨터가 다 파괴되어 버릴 위험 앞에서도 여느 때처럼 편안히 안방에서 컴퓨터를 쓸 수 있었던 것은 눈에 안 보이는 곳에서도 전쟁 같은 순간을 잘 대처해준 이들이 있었기에 가능했을 것이다. 아마 대부분의 사람에게는 지금도 일어나는 수많은 사건사고 속에서 디도스는 한때 유행처럼 금방 잊혀졌는지도 모르겠다. 하지만 모든 전문가가 이번 디도스는 기업과 정부 기관의 적극적이고 신속한 대처, 언론의 홍보, 국민들의 실천 때문에 7.7 때보다 훨씬 수월하게 넘어갔다고 입을 모았다. 앞으로도 미래에 또 어떤 악성코드들이 우리를 위협할지도 모른다. 그러니 지속적인 관심과 꾸준한 투자가 필요할 것이다. 패널 토의의 주요 내용을 정리해 소개한다. 
 

지피지기면 백전불태, 적을 알기가 어려워 승산이 낮은 싸움이었다.
(방송통신위원회 박철순 과장)

 

7만 대의 좀비 컴퓨터가 동원된 이번 3.4 디도스 공격은 3 3일 처음으로 소규모 공격이 탐지된 이후 안철수연구소와 한국인터넷진흥원 등 민간업체와 정부기관에서 악성코드 분석 후 공격 대상 기관에 상황을 통보했다. 그 후 전용 백신을 개발하고 대국민 홍보와 백신 보급을 한 뒤 좀비 PC의 수를 최소화했다. 3 4일 오전 10시에 첫 공격이 발생했고 이에 정부는 '주의' 경보 발령을 내리고 장비와 사이버 치료 체계로 발빠르게 대처했다.

 

3.4 공격이 7.7 공격과 비슷한 규모였음에도 심각한 서비스 장애나 손상된 이용자 PC의 수가 적었던 것은 정부가 '국가 사이버 위기 종합 대책'을 수립하여 국가적으로 대응 체계를 구축했고 국정원, 방통위, KISA, 안철수연구소 등이 악성코드를 조기에 탐지, 분석하여 결과를 공유하고 신속히 백신을 개발 및 보급했기 때문이다. 전체적으로 7.7 디도스 대란의 학습 효과로 대응체계가 개선되고 사람들의 인식이 많이 향상된 것이다. 각 보안업체의 노고에 감사하며 앞으로 대응체계 강화를 위한 투자와 모니터링를 지속하고 컴퓨터 보안을 위한 법안을 꼭 마련하겠다. 

 

클라우드 기반 악성코드 수집과 분석 시스템으로 신속한 대처가 가능했다.
(안철수연구소 이호웅 실장)

 

이번 3.4 디도스 공격에서 안철수연구소가 두드러진 활약을 할 수 있었던 것은 ACCESS(AhnLab Cloud Computing E-Security Service)가 있었기 때문이다. ACCESS는 안철수연구소 ASEC(시큐리티대응센터)의 악성코드 수집 및 분석 능력과 CERT(침해사고대응센터)의 위협 모니터링 및 대응 서비스를 지능적으로 받쳐주는 기술이다. 이 기술로 하루 전인 3일에 이미 해당 악성코드로 인한 디도스 공격 정황을 포착했고 곧바로 전용 백신 개발에 착수했다.

실제 공격이 발생한 직후, 안연구소 홈페이지뿐만 아니라 트위터, 블로그 등을 이용해 언론보다 빠르게 디도스 공격에 대한 주의를 환기했고 하드디스크 손상과 조치에 관한 내용을 신속하게 전달했다. , 일반 PC 사용자와 기업 고객을 대상으로 무료로 백신 배포에 앞장섰다.

 

퇴근 시각을 노려 4일 오후 6 30분에 2차 공격을 가할 정도로 공격자의 치밀함이 보였지만, 이 역시 발빠른 대처 앞에는 무용지물이었다. 악성코드는 P2P 사이트를 통해 SBUpdate.exe라는 파일이 다운로드되고, 이 파일이 해외 특정 C&C(명령 및 제어) 서버에 접속하면서 디도스 공격 및 하드디스크 손상을 수행하는 파일을 생성한다. 특히 이들 악성코드는 V3 엔진 업데이트를 제공하는 인터넷 주소의 호스트를 변조해 업데이트를 방해하는 기능도 가지고 있었다.

 

2009 7.7 디도스 대란 때는 제대로 준비되지 않은 상태에서 혼란과 피해가 컸지만 이번에는 민간 기업과 정부의 협력이 피해를 최소화했다고 할 수 있다. 앞으로 이런 사태를 대비해 더 꾸준한 협력과 지속적인 투자가 필요하다. 

디도스는 한때의 유행이 아니다.
 (씨엔네트워크 홍석범 차장)

 

이번 3.4 디도스가 7.7 때보다 약하게 느껴진 이유는 첫째, '나는 공격이야'라고 눈으로 보이는 어긋난 헤더값을 제시해 차단하기가 수월했고 둘째, 하루 전에 공격을 사전통보 했으며 셋째, 동일한 URL 패턴을 사용하여 7.7 때와 공격 방법이 전혀 달라지지 않았고 넷째, 좀비 IP의 분별이 쉬웠기 때문이다. 문자 필터링과 반복적인 URL을 요청하거나 일정 시간당 지정된 횟수 이상으로 많은 접속을 하는 IP를 차단함으로써 디도스에 대응했다.

 

하지만 이러한 대응도 디도스 공격과 좀비 PC의 진화로는 방어가 불가능할 것이며 앞으로의 대책이 필요하다. 정보 공유의 장이 절대적으로 부족하므로 기관과 기업 사이의 적극적인 정보 교환의 장이 필요하다. 그리고설마 나는 아니겠지라는 생각으로 문제가 발생하기 전까지는 움직이지 않는 보안 의식도 제고가 필요하다. 제대로 준비하면 확실히 방어할 수 있다는 점, 디도스는 한때의 유행이 아니라 언제든 나타날 수 있다는 점을 기억해야 한다. 이번 공격이 무난했다고 하여 예산 삭감을 하기보다는 이후를 대비한 꾸준한 투자가 필요하다.

 

포털의 사회적 역할과 책임을 다하겠다.
(다음커뮤니케이션즈 구자민 팀장)

 

이번 디도스 공격은 사전에 준비된 노트가 있어서 각 유형별 대응 체계가 존재했고, 공격 패턴이 매우 단순해 대응이 수월했다7.7 이후나 3.4 이후의 공격은 없었지만 7.7 이전 6개월 간의 공격으로 인해 대응체계가 이미 잘 갖춰져 있었다.

이용자가 많은 대표 포털로서 까페 및 블로그 등의 전 게시물을 실시간 감시하고 악성코드 감염 여부 확인 후 삭제하는 프로세스가 이미 구축되어 있다. 악성코드 게시물을 최저 수준으로 유지하고, 좀비 PC에 효과적으로 대응하는 한편, 디도스 등의 문제가 발생했을 때 이용자에게 사전 통보해 사이트 이용 시의 불편을 최소화하는 등 사회적인 역할과 책임을 다해나가겠다.
 Ahn

대학생기자 변정미 / 세종대 식품공학과