“임원진과 전직원이 고객의 개인정보보호에 집중하고 있다”

최근 이슈가 되고 있는 것이 바로 DDos 공격이다. 자칫하면 제2의 1.25 대란이 일어날 수도 있다고 전문가들은 말하고 있다. 그래서 국내 대표적인 포털사인 다음(Daum)의 박나룡 정보보호 과장에게 포털사의 DDos 공격에 대한 방어 전략과 대응방법 등에 대해 들어봤다. 또한 다음의 최근 보안 동향에 대해서도 대화를 나누었다.

Interview

박나룡 Daum 인프라본부 정보보호 과장

근래 발생하는 DDoS의 추세는 대부분이 ‘금전적 이익’을 노린 공격입니다. 제 작년부터 발생하였던 중국발 iframe 삽입 공격에서 보듯 해킹은 점점 대담해지고 금전적 이익을 위해 이루어지고 있음을 볼 수 있습니다. 국내 주요 온라인 기업들이 점차 보안에 대한 인식이 재고되고 웹 페이지에 대한 보안을 강화하여 점점 웹 해킹을 통한 공격이 어려워지고 있습니다. 그러자 이제는 서비스 자체를 마비시키는 DDoS 공격을 통하여 금전적 요구를 하며 협박을 하고 있습니다.

포털들도 DDos 공격을 받고 있는 것으로 알고 있는데 다음은 어떤가?

최근 온라인게임 아이템거래 사이트 등에 대한 공격이 있었던 것으로 알고 있습니다. 사실 다음의 경우에도 올 초부터 몇몇 서비스에 관련 이슈가 있었으나 서비스에 지장을 받은 적은 없습니다. 그 이후에도 간헐적인 DDoS 공격이 발생하였지만, 실제 서비스에 영향을 미칠 만큼의 피해는 없었습니다.

다음은  DDos 공격을 막기 위해 어떤 준비를 하고 있나?

방화벽, IPS, 웹방화벽등의 솔루션으로는 DDoS 공격을 효과적으로 방어하기는 힘듭니다. 비정상 패킷을 걸러내고 트래픽의 패턴을 학습·분석할 수 있으려면 Application Level에서 패킷을 처리해야 합니다. 그래서 L7스위치들에 DDoS 방어 기능이 있지만, 포털사이트에서 적용 가능할 정도의 고성능 장비는 아직 부족하다고 보고 있습니다. TCP/IP 환경에서는 DDos에 대한 원천적인 해결방안을 찾기는 매우 어려운 문제가 아닐까요? 이에 대해 속시원하고 명쾌한 답변을 해줄 수 있는 곳이 있다면 찾아가서 열심히 배우겠습니다. 저희는 나름대로 최선이라고 할 수 있는 방법들을 선택해서 적용하고 있습니다. 서버단, 어플리케이션단, 네트워크단에에 대해 DDos 방어를 위한 여러 환경설정과 솔루션 도입을 하고 있습니다. 특히 네트워크단에는 별도의 DDoS 전용솔루션을 도입하여 활용하고 있습니다.

또한 주요 서비스에 대한 대응력을 높이기 위해 적절한 수준의 대역폭과 서버를 확보하고 있습니다. 추가적으로, DDos공격 자체가 우리만 잘한다고 해결되는 문제가 아니기때문에 IDC, 보안전문업체, ISP등과 협력관계를 유지하여 즉각적인 대응을 할 수 있는 준비를 해놓고 있습니다.

타 기업에 도움이 될 수 있는 조언이 있다면?

실제 1Gbps 이상 DDoS 트래픽을 견딜수 있는 업체는 많지 않다고 생각됩니다. 울며 겨자먹기 식으로 공격자의 요구를 들어줄 수밖에 없다고 하소연 하는 사람도 있구요. 하지만 한번 금전적 요구를 들어주면 더욱 많은 요구를 하게 되며 심지어 ‘보안비’ 명목으로 매달 수익의 일정 부분을 내놓으라고 협박까지 하기도 하는 사례가 발생하고 있는 만큼, 기업에서는 DDoS공격을 단순한 기술적 보안 이슈로 보고 판단하지 말고, 기업의 BCP관점에서 경영적 Risk로 보고 대응을 해나가야 할 부분임을 인식하는게 가장 중요하다고 할 수 있습니다.

추가적으로 가능한 대역폭을 많이 확보하고 서버 OS나 네트웍 장비등에서 지원하는 DDos 방어용 옵션을 적절하게 활용하는 것도 좋은 방법이고, 적극적으로 DDos방어가 필요할 경우 DDoS 방어 솔루션 도입을 적극 고려할 필요가 있다고 봅니다.

국내 디도스 공격을 막을 수 있는 솔루션이 나와 있나?

DDoS 전용 솔루션은 많지 않지만 1G이하의 공격에 대해 대응 가능한 장비는 몇가지가 나와있습니다. 방어 술루션중에는 Cisco 장비가 유명하지만 Citrix의 Netscaler나 F5 네트웍스의 L7스위치에서도 효과적으로 DDoS 방어를 한다고 알려져 있습니다. 다만 아직까지 포털에서 적극적으로 적용하기 어려운 부분은 적절한 대역폭을 커버해 주지 못한다는데 있습니다. 원하는 만큼의 대역을 커버하기 위해서는 그만큼의 장비와 비용이 추가되고 있는 실정입니다.

정부기관에서는 어떤 조치를 취하는 것이 적절하다고 보나?

DDoS는 민간기업의 대응으로는 쉽게 방어할 수 없기 때문에 정부가 할 수 있는 부분에 대해서는 적극 나서 줘야 한다고 생각합니다. DDoS트래픽을 분석해 보면, 많은 좀비PC들이 지역케이블인터넷, 아파트단지 및 대학교 등에서 발생합니다. 이런 곳들에 적절한 PC보안대책을 마련되어 일반 사용자가 공격자가 되는 상황을 막을 수 있도록 정부가 나서서 지원과 규제를 동시에 해야 할 것으로 봅니다.

또한 ISP·IDC사업자등에 대해서도 DDos방어에 대한 대책을 의무화 하는 방안이나, 일반 업체가 감당할 수 없는 부분에 대한 해결책을 마련해 줘야한다고 생각합니다.

Daum에서는 이미 하고 있지만, 깨끗한 인터넷 환경을 만들도록 지속적인 홍보와 교육을 병행해야 합니다. 이는 정부, 인터넷기업, 교육기관등 모든 대상을 총 망라하여 일관되고 지속적으로 추진해야 하는 만큼 이부분에 대해서도 많은 관심이 필요하다고 봅니다.

최근 Daum의 정보보호 이슈는 무엇인가?

고객 개인정보에 대한 보호입니다. 개인정보에 대한 수집에서 폐기까지 모든 과정에 걸쳐 정보보호 정책을 마련하고 있으며 이를 효과적으로 실천하기 위한 방안을 마련하고 있습니다. 다음은 초창기부터 주민번호를 받고 있지 않지만 고객에게서 나오는 모든 정보는 모두 고객 개인정보라고 생각하고 이를 보호하기 위한 대책 마련이 가장 큰 이슈입니다.

개인정보보호를 위해 어떤 준비들을 하고 있나?

우선 조직 측면에서는 내부적으로 개인정보 취급팀들 간에 실무협의회를 만들었습니다. 개인정보를 취급함에 있어 주의해야할 사항들을 수시로 체크하는 조직입니다. 또한 외부 자문단으로 구성된 정보보호자문단을 운영하고 있습니다. 우선 개인정보보호에 대한 임원들의 의지가 단호하기 때문에 모든 정책에서 우선순위가 되고 있습니다.

현재 Daum의 보안팀은 몇 명으로 구성돼 있나?

현재 보안인력은 총 4명입니다. 한 팀에서 보안에 대한 모든 기술과 정책, 지침, 보안감사 등을 실시하고 있습니다. 보안은 전사적으로 적용돼야 하기 때문에 저희 팀에서 모든 것을 총괄하고 있습니다.

최근 도입한 보안 솔루션이 있다면?

최근에는 PC보안 솔루션을 도입했습니다. Daum에는 300명 이상의 개발자가 있는데 이들의 원성에도 불구하고 PC보안 솔루션을 도입해 사용하고 있습니다. 또한 웜바이러스를 차단하기 위해 PC방화벽과 프린터 사용시 로그인 남기는 것. 그리고 키보드보안 등이 도입됐고 그룹웨어의 경우 보안USB를 도입해 전사원이 사용하고 있습니다. 그래서 그룹웨어에 접근하기 위해서는 본인의 ID/PW함께 보안USB가 필요합니다. 또한 문서보안 솔루션을 도입했습니다. 이를 통해 웹상에서 모든 문서가 만들어지고 이는 개인 PC에 저당도 안될 뿐더라 출력이나 카피가 안되기 때문에 내부 정보 유출에 상당한 효과를 보고 있습니다.

보안 교육은 어떻게 이루어지고 있나?

사내 보안 TFT를 구성해 토의를 한 결과 나온 내용이 교육을 강화하자 그리고 문서보안 솔루션을 도입하자였습니다. 그래서 교육은 저희가 제작한 온라인 교육프로그램으로 전직원이 의무적으로 교육을 받도록 하고 있습니다. 그리고 다소 소외됐던 고객센터에 대한 보안교육 강화도 실시하고 있습니다. 고객센터는 개인정보가 실제로 사용되고 있기 때문에 향후에도 지속적으로 교육을 실행해 나갈 계획입니다. 또한 제주에도 200여 명이 근무하고 있기 때문에 이곳에도 일년에 한번 보안감사를 직접 실시하고 있습니다. 

[길민권 기자(reporter21@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>