Asia-Pacific Region Intelligence Center
112는 범죄신고, 118은? 본문
112, 114, 119 등은 위급한 상황에서 국번 없이 거는 신고전화다. 이런 신고전화의 목록에 또 하나의 번호가 추가됐다. 118은 인터넷 침해사고대응지원센터의 전화번호다. 인터넷 보안이 이제는 불이나 도둑 등과 함께 촌각을 다투는 위기상황으로 인식된 셈이다. 사실 인터넷 보안은 이제 개인이나 기업의 문제를 넘어서 국가적으로도 중요한 이슈가 됐다. 실제로 구글에서 디도스(DDoS)를 한번 검색해 보자. 무려 700만 가지의 문서가 검색된다. 최근 주목받고 있는 트위터(Twitter)는 900만 가지, 신종플루가 950만 가지인 것과 비교해 보면 디도스가 인터넷에서 얼마나 많이 회자되는 말인지 알 수 있다. 디도스(DDoS)는 영문 ‘Distributed Denial of Service attack’의 약자다. 각 단어들이 분산, 거부, 서비스, 공격이라는 뜻이므로 분산 공격에 의해 서비스에 장애가 일어난다는 뜻이다. 컴퓨터 바이러스가 파일 삭제나 시스템 파괴 등을 목적으로 한다면, 디도스는 웹 사이트가 정당한 서비스를 못하도록 막는 변종 공격이다. 서비스 거부란 무슨 뜻일까? 이는 비정상적 방법으로 CPU나 네트워크 등 시스템 자원을 독점함으로써 시스템이 더 이상 정상적인 기능을 하지 못하도록 막는다는 뜻이다. 즉 디도스는 일정한 시간동안 대량의 데이터를 전송시키거나 서버에서 대량의 데이터를 처리하게 해서 시스템에 과부하를 일으킨다. 자연히 정상적인 서비스가 불가능해진다. CPU의 성능이나 네트워크의 대역폭에는 물리적인 한계가 있어서 지나치게 부하가 걸리면 정상적인 기능을 할 수 없게 된다. 첫눈이 내린 날, 사람들이 동시에 휴대전화를 걸면 휴대전화 네트워크 용량이 초과돼 전화가 불통되는 것과 비슷한 원리다. 디도스는 바로 이러한 방식으로 공격한다. 디도스의 공격자는 웜과 같은 악성코드를 이용하여 개인 PC나 서버에 봇(bot)이라는 프로그램을 몰래 심어놓는다. 봇은 컴퓨터 바이러스나 웜 등과 구분되는 용어로 로봇(robot)에서 따온 용어다. 일단 봇에 감염된 PC는 해커가 마음대로 조종할 수 있다. 이런 PC를 좀비 PC라고 부른다. 좀비 PC는 계정 정보 유출, 특정 홈페이지 공격, 스팸메일 발송과 같은 불법 행위에 이용되는데, 더 무서운 사실은 적잖은 유저들이 자신의 PC가 좀비 PC로 사용되고 있다는 점을 모른다는 것이다. 디도스는 특정 사이트를 공격하기 위한 도구를 사전에 여러 좀비 PC에 분산해서 심어놓았다가 계획된 시간이 되면 목표 사이트에 대한 공격을 일제히 개시한다. 다시 말하면 여러 대의 좀비 PC들이 힘을 합해서 하나의 서버를 집중적으로 공격하는 것이다. 보통의 사이트에서 처리할 수 없을 만큼 엄청난 양의 네트워크 트래픽을 발생하기 때문에 시스템의 성능이 크게 떨어지고, 심하면 시스템 전체가 마비되는 경우도 있다. 1대의 봇 서버에 1000대 이상의 좀비 PC가 연결될 수 있으므로, 피해는 기하급수적으로 증가한다. 이러한 디도스의 공격은 흔히 사이버 조폭이라는 애교 섞인 이름으로 불리기도 하지만, 그 피해는 실제 조폭의 공격 수준을 능가한다. 초기의 디도스 공격은 해커들이 자신의 능력을 자랑하는 수준에 머물렀다. 그러나 요즘 들어서는 금전적 이익을 목표로 하거나, 중요한 기밀 정보 빼내기, 보복성 공격, 경쟁사에 대한 청부 공격 등으로 나날이 다양해지면서 조직적이고 위험한 사이버 범죄로 진화하고 있다. 공격 대상 업체에 몸값을 요구하기도 하고, 마음대로 조종할 수 있는 좀비 PC들을 은밀히 거래하는 경우도 있다. 디도스 공격은 은행이나 증권사와 같은 금융기관, 온라인 쇼핑몰, 포털 사이트, 정부 관련 사이트 등 인터넷으로 연결되는 모든 곳이 대상이다. 지난 7월 7일 디도스가 공격한 대상에는 청와대, 국회, 한나라당, 국방부, 네이버, 미 백악관, 뉴욕 증권거래소 등이 포함되어 있었다. 공격을 당한 곳은 이미지 실추는 물론 보안이 취약한 중소업체는 회사의 사활이 좌우될 수도 있다. 초기에는 서버에서 좀비 PC를 조정했기 때문에 방어가 비교적 쉬웠다. 그러나 디도스도 진화했다. 최근에는 각각의 좀비 PC들이 직접 다른 좀비 PC들을 조종하는 수준까지 발전했다. 이 때문에 디도스를 조종하는 해커를 추적하거나 디도스를 방어하기가 더 힘들어졌다.
디도스란 용어는 최근에 많이 회자되고 있지만, 이런 방식의 공격은 처음이 아니다. 이미 2003년에도 비슷한 방식으로 국내 네트워크가 마비된 적이 있다. 흔히 ‘1.25 인터넷 대란’으로 불리는 사건으로 사파이어 혹은 슬래머라 불리는 웜에 감염된 PC들이 대량의 데이터를 한국통신 혜화전화국의 DNS 서버에 보내면서 시작되었다. 이때 국내 네트워크가 완전히 마비되면서 큰 혼란이 빚어졌다. 그렇다면 이런 디도스 공격을 막을 길은 없는 것일까? 가장 효과적인 방어책은 개인 PC 사용자들이 사전에 봇에 감염되는 일을 막는 것이다. 개인 사용자들은 자동 보안패치, 백신, 개인 방화벽을 설치하고, 패스워드는 자주 변경해야 한다. 또 믿을 수 없는 사이트에서 제공하는 엑티브엑스(ActiveX)를 설치하지 않아야 하며 공인인증서 관리를 철저히 해야 한다. 이같은 기본적인 정보보호 수칙을 잘 지키는 것만으로도 봇 감염을 대부분 막을 수 있다. 특히 중요한 일은 전용 백신을 다운로드하여 PC를 틈틈이 점검해야만 한다. 이밖에 의외로 많은 사용자가 당하는 부분이 수상한 이메일을 열거나 프로그램 설치과정에서 다음 버튼을 기계적으로 클릭하는 등의 실수들이다. 정기적으로 보안 업데이트와 액티브엑스의 삭제를 하는 것도 중요하다. 자신의 PC가 뚜렷한 이유 없이 성능저하를 보이는 경우에는 봇에 감염되었을 가능성을 염두에 두고 꼼꼼하게 확인할 필요가 있다. 한국인터넷진흥원에서 운영하는 보호나라 사이트(http://www.boho.or.kr)를 이용하면 자신의 PC가 좀비 PC로 이용되고 있는지 쉽게 확인할 수 있다. 별다른 프로그램 설치 없이 인터넷에 접속하는 것만으로도 간단히 진단이 가능할 뿐 아니라 유용한 무료 백신정보도 얻을 수 있다. 지난 7월 7일 대대적인 디도스 공격 이후로 보호나라 사이트를 방문하는 접속자가 꾸준히 늘고 있다고 한다. 좀비 PC가 하드디스크를 손상시킬 수 있다는 보도가 나온 10일 하루에만 38만 5000여 명이 보호나라 사이트에 접속했다. 이는 평소 접속자 수의 200배를 넘는 수치이다. 역설적으로 평소보다 지나치게 많은 접속이 보호나라의 서비스에 부담을 줄 수도 있기 때문에 보호나라 측에서는 네트워크 대역폭을 10배로 확대하고 웹 가속기를 설치했다고 한다. 한국인터넷진흥원에서는 악성 봇에 감염된 PC가 해커와 연결을 시도할 때 자동적으로 해커대신 한국인터넷진흥원 홈페이지로 연결해주는 DNS 싱크홀 서비스도 운영하고 있다. 현재 디도스 공격은 진정 국면에 들어간 것처럼 보이지만 안심하기는 아직 이르다. 디도스는 단순한 서비스 거절 뿐 아니라 파일 삭제와 같은 악의적인 공격도 할 수 있기 때문이다. 보안업체들이 디도스 공격에 대비한 다양한 방법을 강구하고 있지만, 디도스 역시 이에 대응해서 악성코드를 계속 바꾸며 진화하고 있다. 터미네이터와 같은 공상과학 또는 액션 영화를 보면 컴퓨터나 악당들이 네트워크나 시스템 공격을 통해 지구를 지배하려고 시도하는 장면이 심심찮게 나온다. 디도스의 전방위적이고 지능적인 공격 수법을 보면, 이같은 일이 단순히 영화 속에서만 벌어지는 일만은 아니라는 생각이 든다. 해커를 100퍼센트 차단하는 완벽한 방어기술은 없기 때문에 뚫으려는 자와 막는 자 간의 인터넷 전쟁은 오늘도 계속되고 있다.
글 : 이식 한국과학기술정보연구원 책임연구원 |
'국가정보원 안보모니터' 카테고리의 다른 글
‘한국 사이버 공격, 미국 사이버 안보 논의에 시사점 제공’ (0) | 2009.10.31 |
---|---|
국정원, ‘사이버 공격 진원지는 북한’ (0) | 2009.10.31 |
‘북한, 정권 생존 위해 미국의 적대 정책 주장’ (0) | 2009.10.12 |
한국 군부측, 조선 수위상승으로 방류했다고 표시 (0) | 2009.09.18 |
한국, "조선 방수 사건 해석 받아들일수 없어"(중국 국제방송) (0) | 2009.09.08 |