5월에 있었던 핫스케줄스 디도스 공격, 모두가 합심한 사흘

고객에겐 끊임없는 서비스 제공, 보안팀은 실제 문제 해결 동시 진행

[보안뉴스 문가용] 지난 5월 17일, 우리 회사인 핫스케줄스(HotSchedules)에 강력한 디도스 공격이 들어왔다. 핫스케줄스는 클라우드에 기반을 서비스로 식당, 병원, 소매 산업에 있는 2백만 명의 종사자들의 일정을 관리해주는데, 하필이면 가장 바쁜 일요일 저녁부터 화요일 오후에 이 일이 벌어졌다. 이들이 왜 우리를 공격했는지 그 동기에 대해서는 아직도 밝혀진 바가 없다.

핫스테줄스의 CEO로서 어찌 보면 수치일 수도 있는 이 사건에 대해 기고하기로 마음을 먹은 건 오히려 강한 자부심에 근거한다. 지난 16년 동안 단 한 번도 서비스 중단 없이 이런 공격을 막아왔던 전력 때문이다. 이번 공격 한 번으로 우리의 보안 체계가 엉망이라는 게 드러난 것이 아니라 오히려 이번 공격이 그만큼 강력했던 것이라고 판단했고, 우리가 당했을 정도의 공격이라면 최소한의 정보를 나눠 다른 기업들이 입을 수 있는 추가 피해를 줄일 수 있다고 생각한다.

헐리웃의 이미지메이킹 덕분에 사이버 공격이라고 하면 굉장히 고차원의 기술로 이루어진 빗발치는 공방을 떠올리는데, 현실은 사뭇 다르다. 알아보기 힘든 문자들로 채워진 화면 앞에 앉아서 키보드를 두들기는 몇 사람에 의해 진행되는 것도 아니다. 현실 속에서 사이버 전쟁은 단체 혹은 조직 내에 속한 모든 사람들이 참여하는 것이다. 기업이나 조직의 문화, 평소 팀워크, 회사의 사업방향에 대한 개개인의 참여도가 다름 아닌 사이버 공격에 의해 가늠될 수 있다는 뜻이다. 우리가 여러 공격을 방어해오며 느끼는 건, 어지간한 공격에 대한 기술적인 대처는 항상 가능하다는 것이다. 다만 그 기술적인 대처를 적시적소에 대입해 적용해야 하는 사람이 늘 약점이었다. 그리고 그 사람은 이런 문화나 팀워크 등에 강력하게 매여 있다.

인간이라는 요소, 인간적 요소

각설하고, 일요일 저녁 디도스 공격이 있었다는 소식이 들어왔다. 핫스케줄스 전직원이 비상근무에 돌입했다. 아무도 서로에게 연락하거나 나오라고 명령하지 않았다. 자연스럽게 모여든 것이다. 이는 지난 16년 동안 있어왔던 사이버 공격이 우리 회사에 선물처럼 놓고 간 성과라고 볼 수 있다.

서비스업에 있어서 가장 중요한 건 고객들에게 서비스를 멈추지 않고 제공하는 것이다. 그날 회사에 도착해보니 다행히 데이터베이스에 접근하는 건 가능했다. 엔지니어들이 그 데이터를 건져 올려 서비스 팀으로 넘겼다. 서비스 팀에 실행 팀, 고객 매니저, 마케터, 인사담당자 등 기술직이 아닌 거의 모든 직원들이 달라붙었다. 스케줄을 다운로드 받고 각 고객에게 이메일을 발송했다. 그 후 48시간 동안 직원들은 잠도 거의 자지 않고 전화를 걸고, 이메일을 발송하고, SNS를 보냈다. 당연히 전화 응대도 했다.

그 다음으로 중요한 건 투명성이다. 디도스 사건이 발생했다는 걸 알아차린 즉시 핫스케줄스에서는 고객들에게 이메일을 보냈다. “그 어떤 대화도 내일로 미루지 말라”는 것이 우리 회사의 기조다. 또한 웹 사이트에 공고를 올려놓고 꾸준히 업데이트도 했다. 뿐만 아니라 회사 페이스북, 트위터, 직접 통화도 해가며 고객들의 궁금함을 최대한 충족시키는 데 주력했다. 이는 일요일 밤부터 다음날 아침까지 그대로 이어졌다.

결과적으로 전 직원이 이틀을 꼬박 샜다. 잠은커녕 긴장감을 한 순간도 늦출 수 없는 분위기였다. 우리 직원이라 이렇게 말해주는 게 아니라, 사장인 내가 봐도 ‘얘들 왜 이래’라는 생각이 들 정도였다. 일단의 서비스를 다 미치고 나자 엔지니어들을 강제로 돌아가며 재웠다. 그래봐야 데이터센터 바닥에 종이를 깔고 잠깐 눕는 정도였지만. 잠든 엔지니어들을 보며 이런 인간들과 함께 일한다는 게 축복이라고 느껴졌다. 그러면서 결국 이런 어려운 기술이 난무하는 해킹 기술도 결국 사람이 문제라는 걸 절감할 수 있었다. 평소 이런 문화를 어떻게 배양하는 게 관건이겠고, 운 좋게 우리 회사에선 나도 모르는 새 그게 잘 된 듯 했다.

진짜 전쟁

일단 사업의 측면에서 고객 응대가 계속해서 이어지는 동안 실제 일어난 디도스 공격 자체에 대한 대처 역시 진행되어야 했다. 디도스 공격 중 데이터가 유출되는 일은 발생하지 않았으나, 처음 겪어볼 정도로 악랄하고 집요하며 강력한 디도스 공격이었기에 보안 및 IT 부서를 긴장시키기엔 충분했다.

공격은 초당 10~15 기가바이트의 속도로 일어났다. 평소 일어나는 디도스보다 250배나 강력한 것이었다. 은행가와 통신산업 쪽에서 일하고 있는 전문가들과 친구들에게 전화를 걸어 조언을 구했다. 10~15기가바이트라고 하니 다들 깜짝 놀랐다. 이 정도 규모의 트래픽이면 우리보다 훨씬 더 큰 회사까지도 충분히 마비시키고도 남을 양이라는 것이었다. 이는 한두 명이 아닌 해커들이 팀을 꼼꼼하게 구성해 비싼 장비를 동원해서 하는 공격일 수밖에 없다고도 했다.

디도스 공격이 한 번 들어오기 시작하면 언제 끝날 지 예측할 수가 없다. 아니, 끝날 거라는 보장도 없는 게 사실이다. 당시 서버를 옮기고 IP 주소를 바꿔도 따라다녔다. 결국 어려운 결정이었지만 들어오는 트래픽을 전부 버리기로 했다. 그것도 공개적으로 말이다. 이는 “당신이 이겼소”라고 인정하는 것과 다름없는 조치였다. “그러나 이후로는 추가 공격이 어려울 것이오”라는 꼬리말이 붙은 것이긴 했지만.

결국 우리 보안 엔지니어들이 수 시간만에 서비스 전체를 아카마이 클라우드 보안 솔루션이 보호하는 서브넷으로 옮기는 데에 성공했다. 이 서브넷은 초당 321 기가바이트도 소화해낼 수 있었다. 그리하여 5월 19일 화요일 오후 2시 37분 서비스를 정상 재개했다.

사건 그 후

아직 FBI에서도 범인을 잡지 못한 상태다. 그러니 동기파악은 근접하지도 못했다. 협박전화가 걸려오지도 않았으며 뭔가를 주장하는 문구가 사이트에 내걸리지도 않았다. 전 세계 여러 곳 수천 개의 서버에서부터 공격이 들어왔고, 실제 공격의 60% 진짜로 외국에서부터 감행한 것이라고 보고 있다. 개인적인 생각이지만 아마 범인은 영원히 잡히지 않을 것이다.

디도스 공격을 당하는 기업이 90%에 달한다는 통계가 사실이라면, 뭐든 일단 보호할 수 있는 강구책이 있는 편이 자연스럽다. 그러나 클라우드 서버를 사용했기 때문에 이런 공격이 일어났다며 클라우드 사용을 금지시킨다면 이는 차 사고 줄이겠다고 말을 타고 다니라는 것과 똑같다. 게다가 일반 식당이나 소매업장에서 어떻게 데이터센터를 따로 운영하겠는가. 클라우드의 사용은 피할 수 없는 흐름이다. 무섭다고, 보안을 위해서라고 발전사를 다 거부할 수는 없는 노릇이다.

당시 디도스 공격은 우리 회사 역사 상 최악의 공격이었다. 하지만 그 어떤 데이터도 유실되지 않게 지켜냈으며 고객들에게 어느 정도의 서비스를 계속해서 제공할 수 있었다. 이는 고객들의 친절한 협조도 한 몫 했지만 그 지옥과 같은 무수면의 시간을 기꺼이 감내해 준 직원들의 힘이 컸다. 이런 일을 한 번 겪어보면 알겠지만, 그 어떤 기술보다 사람이 귀하다.

Copyrighted 2015. UBM-Tech. 117153:0515BC

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>