지난해 7.7 DDoS 대란을 겪은지 이제 1년이 지났다. 이 사건은 지난 1.25 인터넷 대란 이후 최대 규모의 사이버 대란으로 우리에게 많은 것들을 다시 생각하게 한 사건이었다. 특히 1.25 인터넷 대란이 7.7 DDoS 대란보다 국내 인터넷 망 뿐 아니라 규모면에서도 전 세계적인 네트워크를 흔들어 놓은 아주 강력했던 공격임에도 불구하고 7.7 DDoS 공격에 더 관심을 가져야하는 이유는 정치적 목적을 가진 의도적인 해커의 공격이라는 점이다.

약 1년 전 2009년 7월 7일 청와대 등 정부 주요기관 및 미국을 대상으로 한 DDoS(Distributed Denial of Service : 분산서비스거부공격) 사건이 발생했다.

이는 2003년 1.25 인터넷 대란 이후 최대 규모로서 그동안 잠잠했던 사이버 테러에 대한 경각심을 다시 한번 일깨워 준 사건이었다. 표와 같이 작년의 7.7 DDoS 공격은 기존 DDoS 공격사례와 비교해볼 때 동일한 DDoS 공격이긴 하지만 일정부분 성격을 달리한다.

해커의 유형은 크게 3가지로 자기의 실력을 뽐내는 유형,  금품에 목적이 있는 유형, 정치적 성격을 가진 유형으로 구분할 수 있는데 1.25 인터넷 대란의 경우에는 해커가 MS SQL 취약성을 보유한 모든 PC 및 전 세계를 대상으로 공격을 한 사례로서 목표를 무작위로 잡은 것으로 볼 때 자기의 실력을 과시하는 유형으로 분류할 수 있다. 둘째, 금품에 목적이 있는 유형은 2~3년 전 IDC나 인터넷 게임업체를 대상으로 나타났던 경우로서 금품을 제공하지 않으면 서비스 거부를 통해 인터넷 접속을 방해하겠다는 협박을 하여 경제적 목적을 달성한 한 경우이다.

마지막으로 7.7 DDoS 공격의 경우에는 청와대, 전자민원G4C, 국방부, 외교통상부, 국가사이버안전센터 등 민감한 특정 사이트를 노린 공격으로서 정치적인 의도가 개입된 경우로 볼 수 있다. 더욱이 이런 공격대상이 명령제어서버(C&C : Command & Control)를 이용하여 원격으로 통제하지 않고 프로그램 제작 시부터 공격 코드 내에 내재되어 있음을 볼 때 그 목적은 더욱 자명해진다.

사실 1.25 인터넷 대란이 7.7 DDoS 공격에 비해 국내 인터넷 망 뿐 아니라 규모면에서 전 세계적인 네트워크를 흔들어 놓은 더 강한 공격임에도 불구하고 7.7 DDoS 공격에 더 관심을 가져야 하는 이유는 정치적 목적을 가진 의도적인 해커의 공격이라는 점이다.

과거 러시아와 그루지야 전쟁 등 전시에 상대 국가의 주요 사이트를 무력화한 경우는 종종 있어 왔으나 전시가 아닌 평시에 정치적인 목적을 두고 공격한 경우가 흔하지 않고 경보단계가 ‘주의’ 단계로 확대된 일이 처음이라 그 느낌의 강도는 더 크게 다가왔다고 볼 수 있다.

적은 노력으로 큰 파급효과

해커가 DDoS를 선택하는 가장 큰 이유는 바로 ‘적은 노력으로 큰 파급효과’를 누릴 수 있기 때문이다. 즉 DDoS는 공격 즉시 그 효과가 눈에 띄게 드러나므로 공격의 입장에서 경제적인 또는 정치적인 소기의 목적을 달성하기가 쉬운 것이다.

단순 서비스 거부공격인 DoS는 공격의 역사에서 볼 때 가장 먼저 나타난 공격 수단인 동시에 가장 오래된 공격수단이다.

더구나 공격방법 측면에서 아주 손쉽고 다양하게 구성할 수 있으나 대처방법은 상대적으로 어려우며 약 30여종 이상의 다양한 방법이 알려져 있어 아주 초보적인 해커도 쉽게 공격 코드를 획득할 수 있다.

공격방법도 단순한 DoS 공격방법에서 좀비PC를 활용한 원격제어 방법으로 발전하였고 명령제어서버를 이용하여 동시에 많은 좀비PC를 공격에 참가시키는 DDoS로 진화되었다. 더구나 기존의 공격방법들이 네트워크 대역을 잡아먹는 양 위주의 공격을 했다면 7.7 DDoS 공격은 L7 레이어단에서 정상 사용자가 수천의 세션을 연결해서 서버를 사용하는 것과 동일한 모습을 보여 기존 DDoS 검출 메카니즘이 무력화되어 그 대응이 더욱 어려웠다.

DDoS 공격이 서버를 공격하는 형태이기 때문에 공격당한 홈페이지의 개인정보 등은 안전하다고 여기지만 공격에 사용되었던 좀비PC에 저장된 정보(공인인증서 등 개인정보)가 유출되어 2차적인 피해를 가져올 수 있을 뿐 아니라 좀비PC로 확정된 경우 서비스 가입자를 통해 접속차단 조치가 취해지므로 정상적인 인터넷 접속이 불가능한 손해를 일으킨다. 7.7 DDoS 공격의 경우에는 좀비PC내의 증거를 파손하기 위해 특정일에 하드디스크를 포맷시키는 물리적인 공격을 시도했기 때문에 공격당한 홈 페이지에 나타나는 문제 이상으로 좀비PC의 피해도 심각했다.

DDoS의 성공 여부는 좀비PC를 얼마나 많이 확보하느냐에 달렸다. 자동화가 진척되지 않은 초기에는 좀비PC를 만들기가 쉽지 않아 공격 PC 단독 또는 소규모의 좀비PC를 통해 공격했기 때문에 소규모 홈페이지나 불법 홈페이지 등을 대상으로 공격을 수행했다. 따라서 피해의 범위도 어느 정도 수준을 벗어나지 못했다.

하지만 최근에는 기술이 발달하여 자동화된 프로그램을 통해 간단한 조작만으로 공격자에 의해 제어가 가능한 좀비PC를 만들 수 있기 때문에 용량이 큰 대형 홈페이지가 공격대상이 되곤 한다. 심지어는 고등학생이 대형 포털의 카페를 대상으로 한 공격이 성공하기도 했다. DDoS가 성공하면 홈 페이지 서버가 마비되기 때문에 인터넷을 기반으로 하는 업체는 치명적 피해를 입는다. 네이버, 다음 등과 같은 실시간 서비스 포탈 업체, 옥션, G-마켓 등 전자 상거래 업체 등이 그 대상이다.

유형의 피해보다 더 큰 무형의 손실

현대경제연구원에 따르면 7.7 DDoS 공격을 금전적 피해액으로 환산할 때 363억원~544억원으로 추산하고 있으며(피해분야의 GDP×피해기관 비중×인터넷의 GDP기여도(10.9%)로 산정) 이는 ‘08년 자연재해 피해 총액이 580억 원인 것에 비하면 대단한 규모라 아니할 수 없다.

금전적 문제보다 더 심각한 것은 신뢰의 상실이다. 국민들이 포털을 믿지 못하고 상거래 업체를 믿지 못하는 상황이 왔을 때 그로 인한 가치의 상실은 환산할 수 있는 가치를 훨씬 뛰어 넘는다. 또한 DDoS에 의한 서비스 지연 또는 불통이 금융기관 홈페이지, 정부기관 홈페이지 등으로 확대될 경우에는 이는 곧 국가경제의 파탄, 국가위기로 이어질 수 있는 중대한 사안이다.

또한 인터넷 강국이라는 국가 신뢰도 하락, 국민 자부심에 남는 상처까지 고려한다면 무형의 손실은 더욱 늘어난다. 이러한 DDoS를 가장 효율적으로 회피할 수 있는 방법은 무엇인가? DDoS 공격 사이클에서 가장 효율적인 방어위치는 1단계로서 감염범위가 2단계, 3단계로 갈수록 치료 또는 대응을 위한 비용과 시간은 점차 커지기 때문에 각 사용자 PC들이 명령제어서버화 또는 유포서버화 되지 않는 것이 가장 비용효율적이다.

공동 대응 한축으로서의 산업의 역할

7.7 DDoS 공격은 국내 정보보호시장에서 의도하지 않은 시장 재편을 가져왔다. 그동안 가격경쟁력을 이용하여 국내 시장의 매출을 확대하는 외산업체에 대응하여 국내업체는 FW ⇒ IDS ⇒ IPS ⇒ PMS로 이어오면서 정보보호 산업을 지켜냈지만 최근 이에 대응하기 위한 킬러 애플리케이션의 절대적 부족 또는 새로운 개념의 정보보호시장 개척의 아이디어가 고갈된 시점에 7.7 DDoS 대란을 통해 DDoS 대응장비 시장이 새로이 열리게 된 것이다.

2년 전만 하더라도 DDoS 공격 위협이 크게 부각되지 않아 국내 투자가 한동안 이루어지지 않았고 상대적으로 시스코, 라드웨어 등 외산제품에 의해 주도되었던 DDoS 시장이 공공기관의 DDoS장비 구축사업이 잇따라 발주되면서 국내업체가 발빠른 대응을 보이고 있는 것이다. 특히 급한 도입을 위해 정부에서 CC인증과는 별도로 별도지정 트랙을 도입ㆍ운영하면서 DDoS 대응 장비공급을 원활히 할 수 있었다.

하지만 국내 업체의 대응에 아쉬운 점이 바로 이 부분이다. 상대적으로 영세하고 소규모라 연구개발에 투입할 수 있는 자본과 인력의 투입이 힘든 것은 어느 정도 이해하지만 최소한 대표기업 몇 군데는 장기적인 시장 및 근본적인 취약점을 지속 발굴겳뮨幣構?시장을 창출하는 역할을 했으면 하는 아쉬움이 있다. 아니 시장 창출보다 더한 가치 즉, 정보보호산업계가 국가적 재난 사태에 대한 공동대응의 한축으로서의 역할이 필요하다 하겠다.

모두가 같이 나서야 할 때

1년이 지난 지금 올해 6월 9일 행정안전부가 운영하는 국가대표포털(http://korea.go.kr) 사이트가 중국으로부터 DDoS 공격을 받는 등 여전히 DDoS 공격이 진행되고 있다. 공격자의 입장에서 보면 DDoS는 여전히 적은 노력으로 큰 파급효과를 낼 수 있는 매력적인 공격 수단인 것이다.

7.7 DDoS 공격은 기존의 공격방식이 점차 진화 된다는 것을 보여주었다. 즉, 좀비PC가 명령제어서버로부터 실시간 명령을 받지 않음으로서 명령제어서버 차단으로는 DDoS 공격차단이 불가능했고 사전에 정해진 공격 리스트에 따라 공격하도록 제작되어 감염된 좀비PC 전체에 대한 조치가 있어야만 공격을 멈출 수 있었다. 또한 특정시간에 좀비PC의 하드디스크를 손상시킴으로써 네트워크 레벨에서의 조치만으로는 한계가 있음을 보여준 사건이었다.

이러한 위협이 가시지 않는 상황에서 정보보호는 기존의 역할을 뛰어넘어 사용자, 정보보호업체, 한국인터넷진흥원, 정부 등이 동시에 대응해야만 그 효과를 극대화 할 수 있다. 자기 PC가 명령제어서버, 악성코드유포서버, 좀비PC 등 DDoS 공격 구성요소로 동작하지 않도록 사용자 스스로가 인식을 높인다든가 PC의 보안을 강화하는데 힘쓰고 정보보호업체는 장기적 연구개발에 투자하여 새로운 대응체계를 구축할 수 있도록 앞서야 한다.

한국인터넷진흥원은 예방대책으로서 DNS 서비스의 안전성을 강화한다든지 싱크홀을 활용한 탐지기능을 강화하고 중소기업 등 정보보호 취약계층에게 신속한 DDoS 대응지원 서비스 사업 등을 통해 피해를 최소화하는 노력을 기울이고 있다.

정부는 이러한 대응이 효율적으로 이루어지도록 신속한 좀비PC 분석을 위한 시스템접근요청권 확보, 지속적으로 악성코드를 은닉ㆍ유포하는 사이트에 대한 삭제요청권 및 처벌조항 신설로 실효성을 확보한다던지 국가차원의 DDoS 대응활동으로 인해 발생한 피해에 대한 면책권을 명문화 하는 등 관련법 제정 등을 통해 법ㆍ제도 정비를 서둘러야 할 것이다. 또 다른 7.7 인터넷 대란을 되풀이하지 않기 위해서…

<글 : 노병규 한국인터넷진흥원 전문위원실장·공학박사(nono@kisa.or.kr)>

[월간 정보보호21c 통권 제119호(info@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>