[보안뉴스 문가용] 1990년대 후반 요한 울리히(Johannes Ullrich) 씨는 물리학자였다. 분야는 좀 다르지만 아무튼 과학자답게 집에 새로운 케이블 모뎀을 들여놨다. 당시 리눅스를 사용하고 있었는데, 그때의 리눅스 서버들이 다 그랬듯이 누구에게나 이메일을 포워딩하는 오픈 이메일 릴레이가 가능했다. 곧 스패머들이 단물 발견한 벌레처럼 꼬이기 시작했고 울리히의 야심찬 모뎀은 점점 느려지더니 연휴 마지막날 귀성길처럼 정체됐다.

“무려 케이블 모뎀이었다고요. 당시 기준으로 광속 인터넷을 할 수 있어야 했죠. 그런데 갑자기 전화 모뎀보다 더 느려지는 거예요. 그래서 네트워크를 조사했는데 스팸 메일이 제 트래픽을 점령하고 있더군요.” 아직도 그때의 기억에 흥분을 감추지 못하는 울리히 씨는 현재 국제보안전문기관인 SANS 인터넷스톰센터(SANS Internet Storm Center, 이하 SANS ISC)의 센터장이면서 SANS의 선임강사다.

그렇게 사이버보안이란 개념과 처음 조우한 울리히 씨는 당시 엑스레이광학 전문가로서 애플리케이션 개발에 박차를 가하고 있었다. “그 모뎀 사건 때문에 ‘보안’이란 것에 관심이 가기 시작했습니다. 그런데 보안전문가들 대부분 이런 식으로 직접 당해본 다음에 보안업계에 발을 들였을 걸요? 당하기 전엔 이 분야가 있는지도 모르죠, 대부분은.”

올해 만으로 45세가 된 울리히 씨는 당시 스팸 메일을 발견하고 나서 방화벽을 설정했다. “실험을 하고 깨달은 사실 하나는 내 네트워크로 침입하려는 사람이 무수히 많았다는 겁니다. 아니 전 세계 사람들이 여기로 들어오지 못해 안달이 난 것처럼 보일 정도였어요. 로그파일을 보니 중국, 러시아 등 듣도 보도 못한 나라에서 제 네트워크를 스캔한 흔적이 있었어요. 제가 대단히 중요하거나 유명한 사람도 아니었는데 말이죠. 나만 이런 걸까 하는 궁금증이 생겼습니다.”

그 궁금증 때문에 툴을 하나 뚝딱 만들었는데 그것이 바로 오늘날 오픈소스 디쉴드(DShield)의 모체다. 여러 개의 방화벽 로그파일을 수집하여 위협요소나 유행하는 공격방법 등을 종합적으로 분석할 수 있게 해주는 장치다. 고향인 독일에서 물리학을 전공하고 뉴욕에서 물리학 박사학위까지 받은 그였지만 이 사건으로 인해 인생 경로를 미련 없이 수정했다.

현재 디쉴드는 SANS ISC의 백엔드 운영에 사용되고 있으며 이 운영의 책임자가 다름 아니라 울리히 씨다. “처음엔 디쉴드를 취미처럼 운영했어요. 그 취미 때문에 SANS와 연결될 줄은 몰랐죠. 요즘 방화벽 관련 기관들은 대부분 사용자들의 로그를 수집하던데, 그 아이디어 자체가 디쉴드에서 나온 것입니다.”

현재 SANS ISC는 새로운 위협을 감지하고 추적하는 등 인터넷 세상에서 보안의 심장과 같은 역할을 하고 있다. 울리히 씨는 30명의 ‘자원봉사자’들을 이끌고 24시간 SANS의 감시 및 추적 업무를 운영하고 있다. 이 팀에게 잠이란 사치다.

“재미있는 건 ISC는 사실 어디에도 실제로 존재하지 않는다는 겁니다. 영화에 나오는 것처럼 대형 관제화면 앞에 수십 명의 사람들이 모여서 긴박하게 상황을 주시하고 각자 임무를 수행하는 광경은 한 번도 없었어요. 각자 집에서 할 일을 조용하게 합니다. 그게 다예요.” 재택 근무하는 건 울리히 씨의 팀뿐만이 아니다. 디쉴드의 데이터베이스 서버 다섯 개와 애플리케이션 서버 두 개도 전부 여기에 있다. “인프라가 꽤나 간결합니다.”

울리히 씨는 근무시간 중 60%를 ISC와 관련된 업무에 할당하고 있고 나머지는 SANS 강사로서 활동한다. “강사 활동도 사실은 ISC 운영의 일부라고 볼 수 있습니다. 침투 위협을 감시하려면 사람들을 실제로 만나야 하거든요. 실제 사용자들을 만나면서 컴퓨터 앞에서 얻을 수 없는 정보를 얻습니다.”

올해 발생한 큰 사건으로 링크시스 가정용 라우터 웜을 꼽는 울리히 씨는 “링크시스 가정용 라우터 중 특정 모델에서 이상한 패턴이 자꾸만 발생한다는 소식이 소규모 인터넷 공급 업체들로부터 들어왔습니다. 얼른 조사 및 대응 방법을 세워 일에 착수했습니다”라고 당시를 회상했다.

사실 디쉴드를 사용해서 방화벽 로그파일을 수집한다는 게 쉬운 일은 아니다. 가져오려면 사용자의 동의가 있어야 하기 때문이다. “아무리 보안관련 사고가 크게 터져도 허락하지 않을 사람은 어지간해서는 요지부동입니다.” 그래서 울리히 씨는 사람들을 직접 만나는 것에 더 적극적이다.

“보통은 개인 관계를 더 신뢰하는 편이고, 기업이나 단체와의 관계는 크게 신뢰하지 않습니다. 그래서 개인적으로 만나서 관계를 구축해야 합니다. 또한 저희가 로그파일을 철저히 보호하며 그 어떤 개인정보를 유출하지 않는다는 것도 보장해 주어야 합니다. 화면 밖에서 사람들과의 관계 구축이 정보 공유에 있어서 얼마나 중요한지 새삼 깨닫게 되었습니다.”

그러다가 4월에 하트블리드가 터졌다. ISC에겐 최악의 타이밍이었다. “하트블리드라... 하필이면 SANS가 굉장히 큰 컨퍼런스를 진행하고 있을 때 사건이 터졌죠. 행사 진행 때문에 시간이 도저히 나지 않았어요. 중간 중간 쉬는 시간을 이용하는 수밖에 없었습니다. 그런데 저희 시스템이 자원봉사자들과 함께 일하는 거라고 아까 설명 드렸잖아요? 다행히 대형 커뮤니티 등에서 필요한 인력을 모집할 수 있었어요. 그래서 하트블리드에 대한 분석을 꽤나 정확하고 빠르게 할 수 있었습니다.”

재미있는 건 울리히 씨와 ISC 팀원들도 얼마든지 공격대상이 될 수 있다는 것이다. 수년 전 울리히 씨의 전화번호가 멀웨어를 타고 퍼진 적이 있다. 그런데 평소 이런 저런 공격들을 하도 접해서 그런지 별로 놀라울 것도 없었다고. “저희를 공격하는 사람들도 사실 저희 팀원이라고 생각합니다. SANS가 말만 번지르르한 단체가 아니라는 걸 매일 입증해주는 거니까요.”

간단한 1문 1답

월드컵 우승 예상팀 : 당연히 제 고향팀인 독일이죠. 독일이 결승에서 브라질하고 붙었으면 좋겠어요. 그래도 독일이 이길 거 같지만요.

최악의 날 : 디쉴드 데이터베이스 초창기 시절이었는데 제가 직접 서버를 만들어서 사용했어요. 값싼 동네 인터넷 업체에 직접 가서 설치했고요. 서버가 처음엔 잘 돌아갔는데 갑자기 사이트 주소가 사람들 사이에 퍼지면서 데이터 서브미션이 폭발적으로 늘었어요. 서버가 감당하지 못하더니 인터넷 업체에서 전화가 오더라고요. 서버에서 연기가 난다고. 백업된 자료도 없었고 복구할 방법이 전무한 상태였는데 말이죠. 그런데 다행히 그냥 연기만 나고 끝났습니다. 서버는 얼마동안 멀쩡했어요. 기적이었죠. 그렇게 서버가 살아있는 동안 얼른 데이터를 백업해서 피해를 막을 수 있었습니다.

보안에서 꼭 필요한 것 : 긍정의 힘? 전 사실 어지간해서는 놀라거나 패닉에 빠지지 않습니다. 사건이 일어날 때마다 놀라고 진땀을 빼면 이 계통에서 살아남을 수가 없지요.

가족 : 보안사항이라 다 밝힐 순 없고, 개 한 마리와 고양이 두 마리를 키우고 있습니다.

근무시간 : 재택 근무하는 사람에게 무슨 그런 질문을...

취미 : 개와 산책하는 거요. 동네가 좋아서 걸어 다니기 참 좋거든요. 경치도 좋고 사람도 좋습니다. 게다가 뭔가 일이 끊임없이 일어나서 지겹지도 않고요.
ⓒDARKReading

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>