• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

사이버 공중보건의 첫 ‘민방위 훈련’을 이끈 고제우스 2014.07.18

사회 각계각층의 협조로 일단락 지었던 역사적 사건

미래 사이버 전염병의 효과적인 대처를 위한 초석이 되어야


[보안뉴스 문가용] 공중보건에 대한 논의는 수백 년 동안 계속되어 왔다. 건강에 관한 정보나 전염병이 터졌을 때 어느 시점에 어떤 식으로 대중에게 알려야 하는가? 패닉을 일으키지 않고 사람들을 올바른 방향으로 이끌려면 어떻게 해야 하는가? 이런 질문들은 아직도 미스터리처럼 풀리지 않은 채 남아있다.


공중보건에 비해 탄생한지 얼마 되지도 않은 분야인 ‘사이버보건’에서도 공중보건과 비슷한 골머리를 앓고 있다. 그리고 지난 6월초에 있었던 대단위 고제우스 소탕작전은 사이버보건 분야에 있어 최초로 거행됐었던 ‘사람들에게 전염병에 대해 알린 후 박멸시키기’라고 볼 수 있다.


6월 2일 미국사법부는 고제우스와 크립토락커를 퇴치하고자 글로벌한 단위의 작전을 수행했다. 하지만 이미 수천만 명이 이 ‘병균’에 감염된 상태였고 미국에서만 이 병균으로 인한 손해가 10억 달러를 넘어서고 있던 시점이었다. 사법부는 경고 메시지를 사용자들에게 날려 감염된 컴퓨터를 2주 안에 ‘깨끗이 하라’고 촉구했다. 2주는 이 병이 다시 재발할 수 있는 기간이다.


광범위하게 퍼진 사이버 전염병을 다룬다는 건 까다로운 일이다. 이 전염병을 퍼트리는 사람들은 대부분 금전적인 배경도 출중하고 재빠르며 적응력이 뛰어나다. 또한 취약점 찾기 명수이기도 하면서 굉장한 노력파이기도 하다. 그렇기 때문에 위에서 말한 작전을 수행하기 위해 ‘착한 편’에서는 사법부, 도메인 관리자, 보안전문가, 화이트해커, 감염자 등이 전부 협조해야 했다.


이 사례는 사이버 공중보건이 나아가야 할 방향을 제시했다고 볼 수 있다. 좀 더 자세히 설명해본다.


1. 감염된 사용자들에게 치료를 촉구

과거 여러 차례 증명되었지만 대단위 감염에 대한 사용자들의 인식은 그리 오래가지 않는다. 그러므로 백신 툴 등의 ‘치료 방법 및 솔루션’이 꼭 함께 주어져야 한다. 비상사태 시 주요 멀웨어에 대해 알릴 뿐 아니라 그걸 해결할 수 있는 툴을 개발하고 판매하는 회사와 손을 잡고 사람들이 오프라인 매장에서도 툴을 구할 수 있도록 한다. 또한 정부의 관련 부처 사이트에서도 긴급 배포를 하는 것도 중요하다.


2. 멀웨어가 가지고 있는 DGA 요소를 블로킹하거나 싱크홀 처리

국제 인터넷주소 관리기구(ICANN)는 악성 도메인 레지스트리를 정책 차원에서 블로킹하는 것을 지지한다는 입장을 발표했다. 멀웨어가 가장 빈번히 사용하는 도메인은 .com, .net, .biz, .info, .co.uk와 .ru이다. 위 사건 때 .co.uk와 .ru 도메인은 싱크홀 처리 되었으며 나머지는 전부 블로킹 조치되었다.


3. 완전소탕보다는 관리대상으로서의 치료

지난 코드레드(Code Red)나 콘피커(Conficker)의 경우에서 봤듯이 모든 바이러스나 멀웨어의 흔적을 깨끗하게 지워내는 건 불가능하다. 아직도 인터넷엔 코드레드와 콘피커의 흔적이 도처에 깔려있다. 물론 멀웨어의 종류나 크기에 따라 영구 블로킹 및 영구 싱크홀 처리가 불가피할 수도 있다. 요는, 봇넷은 대규모 전염병을 관리하듯 다뤄야 하고 그 치료는 사용자 혹은 감염자 개개인의 참여(옵트인)로 이뤄져야 한다는 것.


4. 멀웨어 인프라의 P2P 요소 공략

P2P 네트워크의 치료라는 주제는 학계에서도 여러 차례 다뤄진 것이다. 이번 고제우스의 경우가 특이한 건 과거의 그 어떤 연구 사례보다 규모가 컸기 때문이다. 그럼에도 이 절차를 수행해냄으로써 전염병을 일차적으로 막을 수 있었다.


고제우스 소탕작전이 얼마나 효과가 있었느냐는 별개의 문제다. 이 작전을 수행하면서 세계 여러 곳, 여러 기관의 협조를 어떻게 이끌어내야 하는지 우리는 한 번 연습해보았고, 또한 사법부, 도메인 관리자, 보통 사용자, 네트워크 사업자, 학계 등 사회의 여러 분야와 여러 사람이 어떤 식으로 협조해야 하는지도 겪어봤다는 것이 중요하다. 완전무결하지는 않았지만 다음엔 이 경험을 바탕으로 더 긴밀하게 움직여 효과적인 대처를 할 수 있을 것으로 보인다. 누군가 이런 종류의 작전을 총괄하는 법에 대해 이미 고민하고 있을지도 모른다.

ⓒDARKReading

[국제부 문가용 기자(globoan@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>