아카마이가 발표한 ‘2011년 3분기 인터넷 현황 보고서’에 따르면 2008년 3분기 대비 2011년 3분기 디도스 공격이 20배나 증가했다. 이 보고서에 따르면 조사대상 국가 195개 가운데 아시아 태평양과 오세아니아 지역에서 총 공격 트래픽의 49% 이상이 발견됐다. 국내는 3년 새 공격 트래픽이 전기대비 3배 이상 증가한 3.8%을 기록하며 공격 트래픽 근원 상위 10개국 중 7위를 기록했다.

아카마이 인터넷 현황 보고서는 전세계 아카마이 네트워크로부터 수집된 보고서와 정보를 활용해 매 분기 공격 트래픽, 네트워크 및 웹사이트 중단, 광대역 연결 수준 같은 전세계 주요 인터넷 관련 통계들에 대한 종합적 정보를 제시하고 있다.

이번 보고서에는 전세계 평균 접속 속도, 도시별 평균 접속 속도, 초고속 인터넷 도입률, 모바일 트래픽 데이터를 조사 결과가 담겨 있다.

전세계 평균 접속 속도는 전기대비 4.5% 증가한 2.7Mbps다. 한국은 평균 접속 속도 16.7Mbps로 전기대비 17%의 성장폭을 보이며 1위를 기록했다. 도시별로 대구와 대전은 각각 평균 접속 속도21.5Mbps와 20.1Mbp를 기록하며 인터넷 평균 접속 속도가 가장 빠른 도시 1,2위를 차지했다.

이번 분기에 5Mbps 이상의 초고속 인터넷 도입은 전세계적으로 전기 대비 4.3% 증가했다. 초고속 인터넷 도입 상위 10개국은 대부분 지난 분기 대비 성장세를 이어갔으며, 특히 한국의 도입률은 전기 대비 37% 증가한 79%를 기록하며 도입률 1위를 차지했다.

그 배경으로 아카마이는 한국의 강력한 국내 브로드밴드 개발 전략에 대한 정부의 지원을 꼽았다. 한국이 오랫동안 세계에서 가장 향상된 초고속 인터넷 시장을 형성하게 된 배경에는 2005년부터 시작한 초고속정보통신망 구축계획 KII(Korea Information Infrastructure)가 자리잡고 있다는 것이다. 이 계획을 통해 정부는 국내 가정의 84%는 1Mbps 이상의 브로드밴드 서비스에 연결될 수 있게 지원했다.

아카마이는 에릭슨과 함께 전세계 180개국의 고객 기반과 1천개 이상의 2G, 3G, 4G 네트워크 모바일 트래픽 데이터도 조사했다. 그 결과에 따르면, 2011년 3분기 9개 공급자로부터 모바일 서비스를 제공받는 사용자가 아카마이 플랫폼 상에서 한 달 평균 1G 이상의 콘텐츠를 소비한 것으로 나타났다. 모바일 데이터 트래픽은 전기 대비 18% 상승했으며, 전년 분기 대비 200% 성장했다.

동영상바로가기

“점입가경.”

이 말이 가장 잘 어울리는 듯 합니다. 지난 2011년 10월 26일 있었던 중앙선관위를 겨냥한 분산서비스거부(DDoS) 공격의 범죄자들이 잡히면서 벌이지고 있는 상황입니다.

지난 2011년 10월 26일은 재‧보궐선거일이었습니다. 그런데 이날 오전 선관위 홈페이지에 분산서비스거부(DDoS) 공격이 있었습니다. 박원순 서울시장 후보의 홈페이지도 마찬가지였죠.

경찰청 사이버테러대응센터는 지난 12월 9일 이번 사건에 대한 수사 결과를 밝혔습니다. 아주 충격적인 내용이었죠. 집권 여당인 한나라당 최구식 의윈 비서인 공모씨 등 5명이 이번 사건에 연관돼 있다는 것이었습니다.  유권자들이 선관위 홈페이지에서 투표소 위치를 찾지 못하도록 선관위 홈페이지를 다운시키면 서울시장 보궐선거에서 나경원 후보에게 유리할 것이라고 생각했다는 것이죠.

자해공갈단 이야길 들어보긴 했지만 이런 자해 공갈단은 처음들어 봅니다.

피해자인 선관위도 입장을 표명했습니다. 선관위는 “투표소 찾기, 후보자 정보, 투표 및 개표현황 등 각종 선거정보를 유권자에게 제공하는 선관위의 홈페이지에 대해 DDOS 공격을 감행해 서비스에 장애를 초래하게 한 것은 단순히 공무집행을 방해하는 수준을 넘어 공정한 선거관리를 위협하고 대한민국의 민주적 기본질서에 대한 중대한 도전으로서 엄중히 처벌되어야 한다”고 했습니다. 그런데 선관위는 발표는 여기서 끝나지 않습니다.

선관위가 피해자가 아니라 뭔가를 숨기기 위해 꼼수를 부리고 있다는 지적에 대해서 “또한, 일부에서 합리적 근거 없이 선관위의 공정성에 대한 의혹을 제기하여 국민의 신뢰를 훼손시킨 것은 대단히 유감스러운 일로써 차후 이와 같은 행위는 자제되어야 한다”는 것이죠.

왜 이런 오해에 피해자인 선관위가 휘말린 것일까요? DDoS 공격 당일 선관위 홈페이지는 아무런 문제 없이 접속이 가능했고 투표소 찾기만 다운됐다는 일부 주장이 있었습니다. 즉 DDoS 공격을 하면 해당 사이트 전체가 다운돼야 하는데 그렇지 않았다는 것이죠. 이를 해결할 방법으로 ‘로그’를 공개하면 원인이 무엇인 지 바로 알 수 있다는 문제제기가 나온 이유입니다. 그렇지만 선관위는 이런 문제제기를 묵살합니다. 공개되면 선관위 사이트 구조가 공개되고 향후 어떤 공격이 벌어질 지 모른다는 것이었죠. 근데 선관위가 걱정한게 정말 저것이었을까요? 그것은 아직 아무도 모릅니다.

다만 2009년 있었던 7.7 DDoS 공격, 2011년 3월 4일 있었던 DDoS 공격의 원인과 관련한 기술 문제에 대해서는 1주일 안에 대략적인 윤관이 나왔었다는 사실에 비추어 보면 선관위가 얼마나 일처리를 늦게 했는지 알 수 있습니다. 민주적 기본질서에 대한 중대한 도전이라는 말이 무색할 정도지요.

전문가들도 일단 말을 아낍니다. 한 업계 전문가는 “로그를 전문가들에게 공개하면 바로 문제가 무엇이었는지 알 수 있었는데도 그러지 않았죠. 초기 대응에 문제가 있었다는 것은 모두가 다 아는 사실 아니냐”고 오히려 피해자로 억울하다는 선관위의 입장에 박수를 보내지 않더군요.

여하튼 이 사건은 아직 진행중입니다. 사건 발생과 수사, 수사결과에 대해 청와대 개입설들도 나온 상태입니다. 검찰이 본격적으로 수사를 한다고 하니 지켜보자는 견해들도 나옵니다. 얼굴이 꽉찬 방송에서 이에 대한 이야기들을 나눠봤습니다.

그리고 이런 사이버 공격의 증가가 기업과 정부기관들 재정 부문에 새로운 재앙으로 다가오고 있는 것으로 드러났다.

HP는 8월2일(현지기준) 보도자료를 내고 “미국 기업들이 사이버범죄 예방과 피해 관련해 지출하는 금액이 매년 590만 달러에 달하는 것으로 밝혀졌다”며 데이터보안 리서치업체인 포네몬 연구소 결과를 인용해 전했다.

포네몬 연구소는 “기업들이 매년 지출하는 사이버범죄 관련 비용이 지난해와 비교해 56% 증가했다”며 “해커들의 기업 전산망 침입 시도가 증가하면서, 기업들이 이를 감지하고 복구하는 기술에 상당히 신경 쓰면서 비용이 불어났다”고 분석했다.

이미지 설명 : 포네몬 연구소 2010년 사이버범죄 발표

이어 연구소는 “사이버 공격이 거의 일상적으로 일어나고 있다”며 “조사 대상 기업들의 90% 이상이 악성코드, 서비스 거부, 도난 장치 등 웹 기반 공격을 평균적으로 4주 동안 72번 받았다”고 덧붙였다.

이런 해커들의 사이버 공격은 신속하게 해결하지 않을 경우 기업에게는 치명타가 될 수 있다.

포네몬 연구소 회장 겸 설립자인 래리 포네몬 박사는 “사이버 공격의 증가는 기업에게 있어 경제적 문제로 다가올 것”이라며 “최근 해커들은 신용카드 번호 같은 단순 개인정보 뿐만 아니라 기업이 보유한 지식재산을 훔치고 있으며, 이를 팔아넘기기까지 하기 때문에 매우 위험하다”고 경고했다.

그는 또 “그렇기 때문에 효율적인 비용으로 최고의 보안을 유지하는 것이 기업에게 있어 중요해지는 시대가 올 것”이라고 덧붙였다.

이번 조사에 대해 톰 라일리 HP 엔터프라이즈 보안부문 부사장은 “사이버 범죄가 기업 조직 재정에 잠재적인 영향을 주는 사실이 분명해졌다“며 ”산업 조직은 앞으로 적절한 보안 솔루션을 사용해 기업 내 보안 관련 비용을 체계적으로 세워야 할 필요가 있다“고 말했다.

앞서 2009년 7월7일, 우리나라 주요 정부기관과 금융권 등의 사이트들을 목표로 한 분산 서비스 거부(Distributed Denial of Service, 이하 디도스) 공격이 있었다. 이 공격으로 당시 청와대, 국회, 국방부, 외교통상부, 국가정보원 등 정부 사이트와 몇몇 금융권 사이트 접속이 안되는 일이 벌어졌었다.

이 보안 공격 이후인 2010년 11월 23일, 한선교 한나라당 의원은 좀비 PC 방지법이라고 알려진 ‘악성프로그램 확산 방지 등에 관한 법률안’을 대표 발의했다. 그리고 지난 6월15일, 이와 관련한 공청회가 문화체육관광방송통신위원회 주관으로 열렸다.

악성프로그램 확산 방지 등에 관한 법률안은 방송통신위원회(이하 방통위)가 ▲이용자 컴퓨터에 백신 등 보안 프로그램 설치와 이용을 유도하고, ▲디도스 감염 컴퓨터의 인터넷 접속 주소 변경 제한과 악성 도메인 차단 등의 긴급조치를 내릴 수 있으며, ▲대규모 디도스 공격 발생 시, 이를 치료하기 위한 컴퓨터보안프로그램을 이용자에게 긴급 배포 할 수 있다는 내용을 주로 담고 있다.

그런데 이 법률안을 놓고 찬반이 팽팽하다.

논쟁이 일고 있는 부분은 방통위의 ‘디도스 감염 컴퓨터의 인터넷 접속 차단 권한’과 ‘악성프로그램 확산 방지를 위한 컴퓨터 보안프로그램 설치 책무’다. 여당은 ‘거세지는 디도스 공격을 대비하기 위해서라도 접속 차단과 보안 프로그램을 배포해야 한다’고 목소리를 높이고 있는 반면, 야당은 ‘좀비컴퓨터 법률안을 가장한 인터넷 여론 통제다’라며 맞서고 있다.

한선교 의원실 진성오 비서관은 “법률안의 목표가 좀비 컴퓨터 생산과 확산 방지인 만큼, 국민들의 기본권 침해 등 인권 침해가 실제로 이뤄진다고 하면 이를 수정할 생각이 있다”며 “다만 이 법률안 자체가 필요 없다는 야당의 주장은 말도 안된다고 생각한다”고 밝혔다.

지난 15일 공청회에 참석한 염흥렬 순천향대 정보보호학과 교수는 블로터닷넷과 통화에서 “국내에서 사용자 컴퓨터의 악성프로그램 감염을 막기 위해 무료 백신 프로그램 보급 등 다각적인 노력을 기울여왔음에도 불구하고, 2010년 10월 마이크로소프트가 발표한 자료에 의하면 한국 봇넷(Botnet : 스팸메일이나 악성코드 등을 전파하도록 하는 악성코드 네트워크) 감염률이 천대 당 14.6대로 세계 최고수준”이라며 “지난번 디도스 공격 대란 이후 많은 사용자들이 백신 프로그램을 설치했다고 하지만, 앞선 수치가 우리나라의 보안 취약성을 설명해 주고 있다”고 이번 법률안 제정 필요성을 주장했다.

염 교수는 “이미 인터넷 진흥원이 일부 디도스 공격 시도에 대해 예방하고, 보호나라 사이트를 통해 감염 여부를 개인이 확인할 수 있게 하는 등 노력을 하고 있지만, 이는 디도스 공격 유형 중 극히 일부에만 적용된다”며 “디도스 공격에는 이상 트래픽 발생뿐만 아니라 스팸 등으로 개인 정보는 뺴가는 경우도 있기에, 좀 더 포괄적이고, 근본적인 치료를 위해서는 이번 법률안 개정이 꼭 필요하다”고 덧붙였다.

반면 민주당 안정상 수석전문위원은 이에 대해 반박 보도자료를 배포하고 “이 법안이 통과되면 방통위는 심각한 디도스 공격 발생시 인터넷서비스제공업체 등을 통한 인터넷주소 차단, 정보통신망 접속 제한 등의 조치에 대한 모든 권한을 갖게 된다”며 “정부가 국가 안보라는 추상적인 개념을 내세워 개인의 권리 뿐만 아니라 나아가 기업의 권리도 침해하고 있다”고 법률안 제정을 반대했다.

염흥렬 교수와 함께 지난 15일 공청회에 참석한 김기창 고려대 법대 교수 역시 안정상 수석전문위원과 같은 생각이다.

김기창 교수는 블로터닷넷과 통화에서 “디도스 공격 구조(사진)를 알면, 이 법안이 왜 말도 안되는지 알 수 있다”며 “디도스는 감염된 개인 컴퓨터가 지정된 서버를 공격하게 조종하는 것으로, 현재 서버는 이상 트래픽에 대해서 차단하는 기능을 가지고 있기 때문에 이를 해결하려고 굳이 법을 만들 필요가 없다”고 설명했다.

사진출처 : 보호나라

이어 김 교수는 “악성코드를 유포하는 서버나 개인 컴퓨터에 대한 대처는 현행 법을 통해 이미 이뤄지고 있다”며 “감염 컴퓨터나, 서버에 대해 강제로 악성코드를 제거하고 백신 프로그램을 의무로 설치하게 하는 것은 정부의 과도한 개입”이라고 주장하고 “법률안에 ‘사용의무/악성코드 삭제의무를 위반한 혐의가 있다고 판단됐을 경우 방통위가 해당 사업장에 출입해 관계 물품이나 서류 등을 검사할 수 있다’는 조항이 있는데, 대체 이 법이 디도스 공격 방지와 무슨 관련이 있는지 모르겠다”며 “이 말이 ‘방통위가 검찰처럼 압수, 수색 권한을 영장 없이 행사한다는 것’과 다른 점이 없다”고 법률안에 대해 의문을 표했다.

김 교수의 반박은 계속됐다. 김 교수는 법률안 ‘제13조 제3항 결함 있는 백신 프로그램의 판매/제공 금지 명령권’과 관련해 “진단이나 치료를 제대로 못하는 가짜 백신이 사회적으로 문제가 되고 있긴 하지만, 이를 방통위가 직접 나서서 해결하게 되면 보안과 백신 프로그램 시장이 방통위 결정에 좌지우지 되는 위험천만한 상황이 올 것”이라며 “이미 우리나라 방통위는 무소불위의 권한을 가지고 있는데, 이 이상 권한을 가지면 백신과 통신 사업체가 무너질지도 모른다”고 경고했다.

정부는 현재 정보통신기반 보호법을 통해 국가안전보장·행정·국방·치안·금융·통신·운송·에너지 등의 업무와 관련된 ‘정보통신기반시설’에 대하여 국가 위급 상황시 규제하고 명령할 수 있는 권한을 가지고 있다.

한편 익명을 요구한 방통위 관계자는 이번 법률안의 국회 심의 통과 가능성을 점치며 “과거 디도스 공격 당시, 주요 문제로 거론된 악성코드 감염 PC 관련 정보를 수집하지 못해 분석에 애로사항이 많았다. 공기업을 향한 디도스 공격이 점점 지능화 되고 다양해진 만큼 이를 적발하기가 쉽지 않다. 비록 일거리는 늘어나겠지만, 악의적인 해커의 공격을 막기 위해서라도 이번 법률안이 통과돼 국민들이 안전하게 컴퓨터 생활을 누릴 수 있게 됐으면 좋겠다”고 말했다.

이 법률안은 현재 다음 달 정기국회에서 논의될 예정이지만, 찬성 의견과 마찬가지로 반대 의견도 상당 부분 설득력을 얻어가고 있어, 법률안 처리 과정에 진통이 예상된다.

농협 해킹이 북한의 사이버테러라는 서울중앙지검 첨단범죄수사2부(김영대 부장검사)의 잠정 발표를 바다 건너에서 본 한 미국 교포의 입에서 나온 말이다. 잠시 미국 새너제이에 출장을 온 나도 그 말에 딱히 반박해줄 수 없었다.

2007년 7월7일과 올해 3월4일에 있었던 분산서비스거부(DDoS)와 관련해 만난 보안업계의 한 전문가는 이렇게 말했다. “정부는 자꾸 북한으로 몰아가는 데 뚜렷한 증거가 없습니다. 문제를 제기해도 아니라는 증거도 없지 않느냐고 합니다. 뭐 그럼 할 말이 없죠.”

이번 검찰의 수사 발표에 고개를 갸우뚱하게 하는 이유다. 검찰은 이번 공격 수법이 지난 번 7.7 DDoS 때와 유사해 보인다고 밝혔다. 이미 정부에서 계속해서 북한발 소행이라고 이야기했던 그 공격에 대해 정부 당국의 수사 주체를 제외하고 많은 보안 전문가들은 기자들의 질문에 답하길 애써 참는다. 괜히 이야기 해봐야 정부 눈 밖에 나기 때문에 몸을 사린다.

이런 보안 전문가가 한두 사람이라면 무시할 수도 있을 것이다. 그렇지만 상당수 보안 전문가들이 그런 말을 한다.

또 농협 사태를 본 많은 IT 전문가들은 내부 시스템을 훤히 꿰뚫어보고 있는 사람이 아니라면 불가능하다고 이야기한다. 검찰은 이 부분에 대해서 조사를 했는데 악의는 가진 사람은 없는 걸로 드러났다고 밝혔다. 이게 끝이 아니다. 통일부는 대변인 논평을 통해 “우리 시회에 대한 도발이며 규탄받아 마땅하다”고 목소리를 높였다.

이런 상황에서 문제제기라도 할라치면 ‘색깔 공격’ 받을까 겁난다.

근데 입이 근질거린다. 정부에 묻고 싶다. 안보를 그렇게 강조하는 이 정부에서만 왜 그렇게 속수무책으로 북한에 당하는 지. 2009년 7.7 DDoS 공격이 일어난 후 정부 정보 관계자들은 북한이 중국에서 어떻게 활동하고 어디서 생활하는 지 다 알고 있다는 식의 정보를 언론에 흘렸었다. 그 기사를 보고 나서 묻지 않을 수 없었다.

“알고도 또 당했냐?”

첫 단추를 잘못꿴 정부의 발표가 발단이 되어 이번 사태의 결과까지 이어지고 있다. 혹시 이번 공격은 ET가 한 게 아닐까? 북한을 ET가 조정했을 수도 있지 않을까? 아니라는 증거가 없잖아. 교포분에게 이 말을 해줬더니 즐겁게 웃었다.

심각한 상황에서 즐거운 상상을 할 수 있게 해 준 정부 당국의 발표에 감사하지만 씁쓸함은 지울 수 없다.

네트워크 정보보안 전문기업 윈스테크넷은 21일 자사 사무실이 위치한 성남지역의 초등학생을 대상으로 ‘윈스테크넷 어린이 보안교실’을 운영한다고 밝혔다.

윈스테크넷 어린이 보안교실은 ‘안전한 네트워크 세상, 우리 함께 만들어가요!’를 주제로 인터넷과 컴퓨터 사용이 많은 초등학생의 눈높이에 맞춰 최신 보안위협과 인터넷 및 컴퓨터 사용시 주의해야 할 보안수칙을 알기 쉽게 설명해 경각심을 심어주고 보안사고를 예방하기 위한 취지다.

교육은 보안교실 개설 시기별 최신 보안이슈를 중심으로 한 윈스테크넷 보안전문가의 강의와 보안관제센터 견학으로 이뤄진다.

김대연 윈스테크넷 대표는 “지난 3.4 DDoS 사태를 계기로 DDoS 공격에 이용되는 좀비PC감염을 줄이기 위한 노력으로 성남지역 초등학교와 협력해 주말 보안교실을 개설하게 되었다”며, “앞으로 우리 회사가 함께하는 지역사회에서 정보보안 경각심 고취와 보안사고 예방을 위한 공헌활동을 확대해나갈 계획”이라고 말했다.

윈스테크넷은 지난 19일 윈스테크넷 세미나실과 보안관제센터에서 경기도 성남 소재의 산운초등학교 컴퓨터교실 어린이 34명과 담당교사 1명이 참석한 가운데 제1기 어린이 보안교실을 열었다.

이날 교육내용은 3.4 DDoS 사태를 돌아보며 DDoS공격과 좀비PC가 무엇이고 누가 어떤 목적으로 일으키고 어떻게 예방하고 방어할 수 있는지와 인터넷과 컴퓨터 사용시 주의사항과 좀비PC 예방과 치료방법 등이다.

기옥도 산운초등학교 교장은 “이번 보안학교를 통해 컴퓨터교실 학생들의 보안의식을 높이는 계기가 되었으며 학생들이 정보보안 전문기업과 보안관제센터를 직접 둘러볼 수 있는 견학 프로그램으로 정보보안 전문가로서의 직업체험 효과까지 있어 학생들과 학부모의 만족도가 높았다”며, “이 같은 산학 협력 프로그램이 다양하게 확대되기를 바란다”고 말했다.

안철수연구소는 어제 밤 11시경 발생한 V3 엔진 업데이트 장애로 당시 PC를 사용중이던 V3 개인 사용자들에게 응용프로그램삭제 등 일부 PC 오류가 나타나, 12시경 즉각 긴급 수정 엔진을 배포했다.

PC 오류가 발생한 고객층은 무료백신 V3 Lite와 유료백신 V3 365 클리닉을 사용하는 개인 사용자이며, 기업이나 기관은 해당되지 않는다.

해당 증상은 V3 Lite와 V3 365 클리닉이 해당 PC에서 Trojan/Win32.OnlineGameHack라는 진단명으로 다수의 실행파일들을 진단하며 발생했다. 안철수연구소는 V3 수정 엔진을 배포해 당시 PC를 사용중이던 사용자들의 PC 오류를 정상화했다.

안철수연구소는 어제 밤 엔진 장애 발생 직후 트위터를 통해 즉시 장애 사실을 알리고 조치방법을 안내하는 동시에, 홈페이지에 장애 사실과 대처방법을 공지했다. 또한 전사 비상체제를 가동해 장애가 발생하는 사용자들의 전화상담(02-2186-6000, 유료 제품 사용자 고객은 02-2186-3000) 및 고객지원 등 각종 조치를 취하고 있다.

오류엔진 업데이트 시점인 10일 오후 10시 50분부터 11시 50분까지 PC를 사용하지 않았거나 V3 업데이트를 받지 않은 사용자는 문제없이 평상시대로 PC를 이용할 수 있다. 또한 실시간 검사창에 뜨는 악성코드 치료 버튼을 누르지 않은 사용자도 안전하다.

또한, 이전에 V3 Lite 혹은 V3 365로 PC 정밀검사와 빠른검사를 실행한 경우, 주요 실행파일들을 보호하는 화이트리스트 기능이 작동해 부팅 등 PC의 주요기능이 일반적으로 손상되지 않는다. 안철수연구소는 이 기술이 V3에 탑재돼 있어 부팅장애 등 주요기능 장애를 겪는 고객은 많지 않을 것이라고 밝혔다. 다만 전에 검사를 하지 않은 새로 생성된 파일일 경우 등 특수한 PC환경에서는 문제가 생길 수 있다.

안철수연구소는 사용자의 문서, 사진 등 자료는 PC 내부에 남아 있으니 부팅 장애가 발생한 고객은 컴퓨터를 포맷 하지 말고 안철수연구소(02-2186-6000, 유료 제품 사용자 고객은 02-2186-3000)로 연락할 것을 당부했다.

안철수연구소는 “엔진장애로 인해 PC이용에 불편을 드린 점 머리숙여 사과드립니다”라며 거듭 사과했다.

또한, 만약 PC가 켜진 상태에서 윈도가 정상화되지 않은 경우는 다음과 같이 조치하도록 안내했다.

<PC가 켜진 경우 오류 발생시 조치방법>
1. V3 실시간감시를 OFF 한다.
2. 윈도에서 제공하는 ‘시스템복원’ 기능을 통해 시스템복원을 한다.
3. V3를 최신버전(2011.03.11.02)으로 업데이트 한다.

그렇지만, 어제 밤 V3 오작동시 PC를 꺼버린 경우 재부팅시에는 일부 PC가 윈도가 정상적으로 동작하지 않을 수 있다.

<PC를 끈 후 켰을 때 PC 오류 발생시 조치방법>
1. 윈도를 안전모드로 부팅한다.
2. 윈도에서 제공하는 ‘시스템복원’ 기능을 통해 시스템복원을 한다.
3. V3를 최신버전(2011.03.11.02)으로 업데이트 한다.

안연구소는 이번 공격이 지난 2009년 7월 7일~9일까지 국내 17개 웹사이트를 겨냥한 것과 유사한 방식이지만, 공격 패턴이 변해 분석과 대응에 많은 시간과 노력이 더 들었다고 하오. 실력이 일취월장, 일신우일신하시니 참 좋으시겠소. 2년 동안 공부 많이 하신 모양이오. 다행히 우리나라에도 안철수연구소와 국정원이 제대로 대응했다오. 국정원은 요즘 호텔에서 당한 망신을 그나마 이 건으로 조금 만회하는 듯 하오.

그나 저나, 정말 불만이요.

3월 4일은 금요일이었소. 봄바람 살랑대는 3월의 첫 토요일을 기대하고 있다가 기습 공격을 받았고, 꿈 같은 주말이 날라갔소. 그 심정을 좀 아시오. 이건 아니지 싶소. 긴장이 풀린 시간을 노린 듯 한데 이러면 안되오. 최소한의 상도는 있기 마련이란 말이오.

공격 대상 40군데 중 국내 양대 포털이 들어가 있었소. 게다가 금융권에 상거래 사이트까지. 뭐 정부 사이트야 원래 별로 들어가 보는 사람도 얼마 없으니 그려려니 하지만 먹고 살기 힘들어서 한푼이라도 아껴보려고 인터넷뱅킹하는 서민들, 스트레스를 ‘지름신’ 섬김으로 풀거나 ‘맞고’로 푸는 이들까지 괴롭히는 건 좀 너무했소.

무엇보다 화가 나는 건 야근을 밥먹듯 하는 개발자들과 하루종일 모니터를 쳐다보면 모니터링을 해야 하는 IT관리자들을 괴롭힌 죄요. IT 개발자와 관리자들 신세가 어제 오늘 이렇게 된 건 아니지만 그래도 주말을 기대하면서 일주일 야근을 버텨냈는데 그 시간을 그렇게 뺏어버리는 게 어딨소. 당장 나와보시오. 광화문 앞에서 돌 맞아 죽을거요. 세종대왕 할아버지도 의자에서 벌떡 일어나 하이킥을 날리고 이순신 장군 할아버지도 칼집에서 칼을 꺼내 단칼에 그댈 쳤을 거요. 현빈의 해병대 입대 광경을 보려고 귀한 시간을 내 그 현장에 찾아가 눈물을 흘리던 팬들도 분개해 서울에 올라와 “이게 최선입니까? 확실해요?”라고 말했을 거요. 현빈이 귀신잡는 해병대에 들어갔다오. 귀신도 잡는데 당신을 못잡을 것 같소. 7주간 훈련 받고 나온다고 하오. 난 6주간 훈련 받아서 귀신 못잡지만, 해병대는 6주 후 나머지 1주에 귀신 잡는 거 가르친다오. 경찰관 아저씨 손 쏙잡고 감옥들어가는 게 목숨을 부지하는 덴 유리할거요. 몸은 망가지겠지만.

차라리 지난 2009년 7월 7일부터 9일까지의 공격이 그나마 나았소. 어차피 야근하는 화수목이었잖소. 그 땐 그래도 참았소. 물론 당시는 지금과 달리 무방비로 당해 충격이 크긴 했지만 그래도 평일 공격은 참을 수 있소. 다 이해하오. 그러나 이번처럼 주말 직전은 절대 안된단 말이오. 우리도 좀 사람답게 살아봅시다.

어차피 월화수목금금금 일하는 데 뭐가 어떠냐고. 아니 그것도 알고 있소? 쩝. 뭐 이 정도 패턴으로 공격하는 걸 보니 우리나라 상황을 손바닥 보듯이 알고 있겠구나 생각은 했지만 그것까지 알고 있을줄이야. 감추고 싶은 치부라고나 할까. 괜히 내가 다 얼굴이 빨개지오. 그렇소. 그렇게 일하오. 그래서 더 열받소. 그래도 주말에 일하라고 부른 인간도 최소한 미안해 한단 말이오. 조금 일찍 집에 보내주는 경우도 있소. 상황 뻔히 알면서 했다니 더 열받소.

IT쟁이들 그만 좀 괴롭히시오. 말도 안되는 ‘갑’들의 뒤치닥거리도 미칠 지경인데, 이런 일까지 처리하라면 어쩌란 거요. 상황 봐가면서 코너에 몰아야지 않겠소. 당신도 개발자 아닌가 말이요.

하드디스크는 왜 또 파괴하는 거요. 소중한 가족들의 추억들이 그곳에 저장돼 있는 건 모르시오. 뭐요? 유클라우드와 엔드라이브 때문에 괜찮다고. 아니 그런 거 알 정도의 사용자면 애초에 뉴스보고 안티바이러스 신형 엔진으로 업데이트하거나 전용 백신 다운받아서 대응했소. 가뜩이나 살림도 쪼들리는데 자꾸 그러지 맙시다. 물가도 엄청 올라서 허리가 휘고 있소. MB 물가가 전체 소비자물가보다 2배 높다는 경실련의 발표도 못봤소. 그게 뭐냐고? 우리나라 사정 뻔히 알면서 모른 척 하기는. 경제엔 관심없다고? 이런 된장!

정 공격하고 싶으면 국민들에게 총질하는 카다피에게 하시요. 탱크나 로켓포 작동 못하게 하면 전세계 영웅될 것 같은데 말이오. 네트워크 연결이 안돼 탱크는 어렵다고? 이런, 그럼 내년 칠순 잔치 준비로 정신없는 저 윗쪽 김 할아버지와 그 추종 세력들도 있잖소. 적어도 대한민국아빠엄마연합회 같은데서 무등 태우고 난리날거요. 공격하고 박수받고 얼마나 좋소. 별 관심 없다고? 길 잘 닦이고 빈틈 많은 나라 좋아한다고?

이제 며칠 있으면 막바지 추위도 물러간다고 합디다. 그렇다고 추위가 찾아올 때 다시 오란 소린 아니오. 긴 겨울을 이겨내고 새로운 삶을 시작하려는 이 찬란하고 위대한 3월. 이 생명의 달에 생명들을 괴롭히지 마셨으면 좋겠소. 우리도 봄날 따사로운 햇살 아래 맘 편히 쉬고 싶소이다. 특히 주말은 정말 피해주시오. 다시 온다고 해도 그날만은 절대 안된단 말이오. 꼭 오고 싶어도 금요일 낀 주말은 피해주시오.

우리네 고단한 삶, 그때가 유일한 휴식이란 말이요.

안철수연구소의 진단이다.

안연구소는 지난 4일 오전 10시와 오후 6시 30분에 국내 40개 웹사이트를 대상으로 발생한 디도스 공격과 2009년 7월 7일 디도스 공격의 차이점과 유사점을 발표했다. 또한 4일 오후 6시 30분에 디도스 공격을 한 악성코드들의 파일 관계도를 공개했다.

이번 공격의 가장 큰 특징은 7.7 디도스 대란과 유사했지만 더욱 업그레이드된 공격을 했다는 것이다. 우선, 7.7 때는 마지막 디도스 공격 날인 10일 자정에 하드 디스크와 파일이 손상됐다. 당시 백신을 설치하지 않은 PC에서는 날짜를 변경하도록 안내했다.

그런데 이번에는 날짜를 이전으로 바꾸거나, 감염 시점을 기록한 noise03.dat 파일을 삭제할 경우에 하드 디스크와 파일이 손상된다. 그러나 공격자는 명령을 파일을 다운로드시켜서 즉시 손상되는 것으로 변경했다. 또한 손상시키는 운영체제도 7.7 때는 닷넷 프레임웍 기반인 윈도우 2000/XP/2003에 국한됐으나, 이번에는 모든 윈도우 운영체제가 해당된다.

아울러 7.7 때는 같은 파일 구성으로 여러 차례 공격했으나, 이번에는 공격 때마다 파일 구성이 달라지고 새로운 파일이 추가 제작돼 분석 및 대응에 시간과 노력이 더 들었다. 대응을 할 때마다 공격자가 실시간으로 작전을 변경한 셈이다. 공격 종료 시점이 명확했던 것과 달리 이번에는 종료 시점이 기록되지 않았다는 것도 차이점이다. 또한 호스트 파일 변조로 백신 업데이트를 방해해 치료하지 못 하게 하는 기능도 새로 추가된 것이다.

또한 이번 공격과 7.7 때의 유사점은 개인 사용자 PC가 디도스 공격자이고, 배포지로 P2P 사이트가 활용됐으며, 외부 서버로부터 명령을 받으며, 사전 계획대로 공격이 이루어졌다는 점이다. 또한 공격 형태와 대상이 유사하고, 공격 목적이 불명확하다는 점, 좀비 PC의 하드 디스크 및 파일이 손상되는 것으로 악성코드의 수명이 끝난다는 점이다.

안연구소가 분석한, 4일 오후 6시 30분에 디도스 공격을 유발한 악성코드들의 파일 관계도에 따르면 각기 역할이 다른 10여 개의 파일이 유기적으로 작동한다. SBUpdate.exe이 처음 설치된 후 해외의 특정 C&C 서버에 접속하는 동시에 ntcm63.dll, ntds50.dll 파일을 생성한다. 이 두 파일은 다시 7개의 파일을 생성해 실행한다. 이 7개의 파일은 역할이 각기 다르다.

즉, mopxsvc.dll 파일은 faultrep.dat(C&C서버 주소를 저장함) 파일을 참조해 C&C 서버에 접속해 명령을 받아온다. watcsvc.dll 파일은 tlntwye.dat 파일(디도스 공격 시각 정보를 담음), tljoqgv.dat 파일(공격 대상 웹사이트 40개의 정보를 담음)을 참조해 디도스 공격을 수행한다. 또한 soetsvc.dll 파일은 noise03.dat(최초 감염 시각을 저장함) 파일을 참조해 하드 디스크 및 파일을 손상시킨다. 4일 오전 10시에 발생한 공격 또한 이와 같은 방식으로 이루어진다. 한편, 5일 밤에는 해외의 특정 C&C 서버에서 clijproc.dll 파일이 새로 다운로드됐다. 이 파일이 다운로드되는 즉시 하드 디스크 및 파일이 손상됐다.

3월 7일 오전 10시 현재 하드 디스크 손상 신고 건수는 30여 건이다. 월요일 기업/기관의 업무 시작을 맞아 안철수연구소 웹사이트 접속이 폭주하고 있는데, 모든 V3 사용자는 실시간 사용 중이면 안심해도 되며, 여타 사용자만 전용백신을 내려받아 검사하면 된다.

한편, 안철수연구소는 현재까지 발견된 악성코드에서는 추가 디도스 공격에 대한 정보는 확인되지 않았으나, 변종 제작 등 유사한 사태가 벌어질 가능성에 대비해야 한다고 강조했다. 즉, 디도스 공격의 발원지인 PC에서 악성코드를 깨끗이 치료하는 것이 근원적인 해법이다. 또한 인터넷 서비스 제공자는 웹사이트가 디도스 공격을 받더라도 서비스 장애가 발생하지 않도록 전문 장비를 구축하고 네트워크 트래픽을 상시 모니터링하는 보안관제 서비스를 이용하는 등 전방위 보안 대책이 필요하다.

안철수연구소는 이번 디도스 공격이 7.7 때보다 교묘해졌음에도 피해가 적었던 것은 자사가 2009년부터 2년여에 걸쳐 투자와 연구한 클라우드 컴퓨팅(Cloud Computing) 개념 보안 전략인 액세스(ACCESS)와 ‘스마트 디펜스’ 기술이 제대로 효과를 발휘했기 때문이라고 평가했다.

즉, 그 동안의 적용 결과를 기반으로 한 자동화 시스템을 통해 악성코드 유포지를 조기에 발견했으며, 악성코드의 행위와 파일 DNA, 파일 관계 등을 신속히 분석했다. 이에 따라 전용백신 및 V3 엔진 업데이트를 신속히 할 수 있었다. ASEC(시큐리티대응센터)의 악성코드 수집과 분석 능력과 CERT(침해사고대응팀)의 위협 모니터링 및 대응 서비스가 유기적으로 작동한 것도 큰 역할을 했다. 아울러 정부 기관인 방통위, 한국인터넷진흥원(KISA), 국정원과 공조 등이 신속히 이루어진 것도 주효했다.

김홍선 안철수연구소 대표는 “보안을 단순히 제품으로 볼 것이 아니라 프로세스로 접근해야 한다. 이번 일을 계기로 각 기업과 기관은 날로 지능화하는 보안 위협에 대응할 수 있도록 글로벌 기준에 맞는 대응 프로세스를 구축해야 한다”라고 강조했다.

정부는 우선 KISA를 통해 악성코드에 감염된 좀비PC가 전용백신 사이트에 접속하지 못하게 될 경우에는 우회해서 접속할 수 있도록 조치했다. 방통위는 악성코드에 감염돼 하드디스크가 즉시 파괴되는 피해를 최소화하기 위해 오늘 새벽 국가사이버안전센터(NCSC)로부터 악성코드 유포와 명령 사이트로 추정되는 584개 IP를 확보해 KISA와 ISP를 통해 긴급 차단했다.(누적 차단 IP수는 총729개)

이제는 악성코드에 감염되면 백신치료도 쉽지 않고 하드디스크가 즉시 파괴될 수 있기 때문에 PC이용자는 우선 악성코드에 감염되지 않도록 주의해야 한다. 따라서 악성코드 유포지로 활용되는 정보공유사이트에는 당분간 접속을 자제하는 것이 좋다. 정보공유사이트 관리자도 웹서버해킹 탐지도구인 휘슬(WHISTL – KISA에 요청)을 사용해 악성코드를 탐지하고 삭제하는 것이 필요하다.

이번 하드디스크 파괴 증상은 명령서버로부터 명령을 받고 일정 기간이 지난 후에 동작했던 2009년 7.7 디도스때와는 달리, 명령을 받는 즉시 동작하도록 설정이 돼 있다. 하드디스크 파괴 명령이 하달되면 먼저 A~Z까지 모든 드라이브를 검색하여 zip, c, h, cpp, java, jsp, aspx, asp, php, rar, gho, alz, pst, eml, kwp, gul, hna, hwp, pdf, pptx, ppt, mdb, xlsx, xls, wri, wpx, wpd, docm, docx, doc 파일들을 복구할 수 없도록 손상시킨다. 그리고, A~Z까지 모든 고정 드라이브를 검색해 시작부터 일정 크기만큼을 0으로 채워 하드디스크를 손상시켜 아예 컴퓨터 작동이 되지 않게 된다.

이에 따라 꺼져있는 PC를 다시 켤 때는 반드시 안전모드로 부팅해 디도스 전용백신을 다운로드받아 안전한 상태에서 PC를 사용해야 한다. PC 이용자는 다음과 같은 조치를 취하면 된다.

<긴급 PC 안전 부팅 수칙>
1) 네트워크 연결선(LAN선)을 뽑는다.
2) PC를 재시작한 후 F8을 눌러 (네트워크 가능한)안전모드를 선택하여 부팅한다.
3) 네트워크를 재연결한 후 보호나라(www.bohonara.or.kr) 또는 안철수연구소(www.ahnlab.com)에 접속하여 디도스 전용백신 다운로드
※ PC가 이미 켜져 있는 경우에는 전용백신 곧 바로 다운로드
4) 디도스 전용백신으로 악성코드 치료후 PC 재부팅

PC 안전수칙 상세 가이드

1.  네트워크 연결선(LAN선)을 뽑고 PC를 안전모드(네트워킹 사용)로 부팅.
안전모드 부팅하는 방법은 PC 부팅한 후 키를 연속적으로(0.5초 간격으로 탁!탁!탁! 누름) 누르시면 아래 그림과 같이 “화면으로 넘어가게 됩니다.

A.  윈도 2000 의 경우 – 안전모드(네트워크 드라이버 사용) 선택

B. 윈도 XP (Vista,Win 7,2003,2008서버 공통)의 경우 – 안전모드(네트워킹 사용) 선택

2.  최신 전용백신 다운로드 및 실행

A.  보호나라 홈페이지 (http://www.bohonara.or.kr)접속
i. 메인 팝업창에서 ‘안철수연구소 전용백신 다운로드’ 클릭

B.  안철수연구소 홈페이지(http://www.ahnlab.com)접속
i. 메인 팝업창에서 ‘전용백신 다운로드 받기’ 클릭

3.  전용백신 실행 후 ‘검사’ 클릭

보호나라 홈페이지 안철수연구소 전용백신

안철수연구소 홈페이지 전용백신

4.  악성코드 발견시 치료 수행 (미 발견시 5번항목으로 이동)

A.  보호나라 홈페이지 안철수연구소 전용백신
i. 악성코드 발견

ii. 악성코드 치료

B.  안철수연구소 홈페이지 전용백신
i. 악성코드 발견

ii. 전체치료 클릭

iii. ‘재부팅 하시겠습니까’ 예(Y) 선택시 치료와 동시에 재부팅 진행

5.  검사 완료되면 ‘종료’ 클릭 후 PC 재부팅

그는 “보안을 단순히 제품으로 보는 시각이 바뀌지 않고 있다. 보안은 프로세스다. 위협에 대응할 수 있는 체계를 만드는 것이다. 단순히 IT에만 국한된 내용이 아니다. 지금 사회 문제가 되고 있는 구제역도 이런 대응 프로세스가 제대로 마련돼 있지 않기 때문 아니냐?”고 목소리를 높였다.

분산서비스거부(DDoS)와 관련해서도 그는 할말이 많았다. 단순히 온라인에 국한된 문제가 아니라는 설명이다.

김홍선 사장은 “디도스도 사라지지 않았다. 지금은 네트워크 사회다. 길이 잘 뚫려 있다. 물리적인 사회도 마찬가지다. 그만큼 위협이 확산되는 속도가 빠르다. 당연히 이런 위협에 대응할 수 있는 시나리오들을 만들어 놓고 대응해야 한다. 그렇지 않다. 매번 문제가 터지면 책임만 서로 미룬다”면서 “대응 체계 프로세스가 글로벌 기준에 맞아야 한다. 그런데 프로세스가 안돼 있다. 공격 기법이 매우 교묘해졌다”고 강조했다.

그는 “하루 하루 전쟁터에서 일하는 관제센터에 와서 보라고 해도 사건이 터진 때 뿐이다.네트워크 사회는 비단 온라인만 해당되는 게 아니다. 이번 구제역 확산을 보라. 워낙 이동이 잦고 네트워크로 잘 엮여져 있다보니 초동 대응에 실패하니까 전국으로 확산됐고, 그 피해는 이루 말할 수 없지 않은가? 사회적으로 보안에 대한 인식을 재고해야 될 때”라고 덧붙였다.

그는 프로세스 못지않게 사람의 중요성을 강조했다. 바로 인재들이다. IT 업계는 최근 몇년간 좋은 사람을 구하는 데 무척 힘겨운 시간을 보내고 있고, 이런 상황은 앞으로 더하면 더했지 덜하지 않을 것으로 내다보고 있다. 소프트웨어에 대한 가치를 아무리 강조해도 사회는 여전히 눈에 보이는 하드웨어의 가치에만 집중한다.

김홍선 사장은 “이런 인식이 빨리 안바뀌는 것 같다. 당연히 사회적인 인식이 변하지 않고 대우도 그러니 인재들이 관련 분야에 들어오겠느냐? 소프트웨어 가치를 인정해야 서비스에 대한 가치도 덩달아 올라간다. 그래야 새로운 부가가치를 창출해 낼 수 있다”고 걱정했다.

안철수연구소가 대학들을 돌면서 캠퍼스 투어를 하는 이유다. 직접 찾아나서지 않고 기다릴 상황이 아니라는 것.

그는 “소프트웨어에 학벌은 필요없다. 학점 잘 받고 이론만 갖춘 것과 직접 하는 건 다르다”면서 “또 최근 새로운 일자리는 IT 분야밖에 없지 않은가?”고 말했다.

정 안되면 해외 유수 인재도 있지 않으냐고 물었다.

김홍선 사장은 “소프트웨어 개발에는 의사소통이 절대적인 역할을 한다. 눈에 확 보이는 하드웨어의 스팩과는 다르다. 서로 어떤 것이 문제고 어떤 걸 개선하고 추가할 지, 뺄 것은 무엇인 지 알아야 한다. 당연히 언어에 민감하다. 이런 상황을 과소평가해서 무조건 해외 인재를 영입해 풀 수 있다고 보면 안된다”면서 “미국에서 소프트웨어 개발을 해본 경험이 있는데 상당히 힘들었다. 그리고 인재의 수준을 파악하기도 쉽지 않다. 아주 잘 하는 인력들은 IBM, 구글, 마이크로소프트 가지 국내 기업에 오겠느냐?”고 반문했다.

오히려 기술을 내재화하면서 순차적으로 해외 시장을 두드리면서 핵심 인재들을 영입하는 것이 현실적이라는 것.

기업 경영에 관련해서도 물었다. 안연구소는 지난해 움추렸다가 올해 도약을 선언했다.

김홍선 사장은 “지난해는 준비를 많이 하는 기간이었다. 신사업들도 많이 준비했다. 네트워크 보안 제품들이 시장에 확고한 기반을 만드는 데 주력할 것이다”라면서 “해외 시장 진출도 시장에 대한 통찰력을 갖는데 주력했고 가트너와 같은 기관들과도 협력하면서 하나씩 준비를 해 나가고 있다. 글로벌 사업은 콘텐츠도 만들고, 세일즈 킷도 만들어 내면서 나갈 것”이라고 밝혔다.

그와 만난 건 2월 중순이었다. 인터뷰를 정리하는 가운데 공교롭게도 청와대를 비롯해 40여 국내 사이트가 분산 서비스 거부 공격(DDoS)를 받고 있다는 소식을 안철수연구소가 알려왔다.

당시 인터뷰에서 했던 말이 갑자기 떠올랐다.

“DDoS 사건 같은 것이 터져도 그 때 뿐이다. 하루 정도 시끌벅적하다가 연예인들의 신변잡기 기사들이 이를 뒤덮는다. 뭐 그려려니 하지만 씁쓸하다.”

국내 보안 업체들이 대부분 이런 방패의 입장에서 제품과 솔루션을 제공한다. 그런데 여기, 조금은 다른 시각을 가지고 시장에 뛰어든 곳이 있다. 주인공은 씨큐비스타라는 회사다. 씨큐비스타는 분산서비스거부(DDoS) 공격을 막아내는 제품들에 대한 방어력을 테스트해볼 수 있는 제품을 출시하면서 시장에 출사표를 던졌다.

전덕조 씨큐비스타 대표는 “많은 기업들과 공공 기관, 연구소 등이 DDoS 공격을 방어하는 장비들을 도입할 때 네트워크 계측 업체들의 장비를 통해 테스트를 진행해 왔죠”라고 전하고 “이 때문에 제대로 된 방어 능력을 검증할 수 없었죠. 방패도 중요하지만 그 창도 중요합니다”라고 밝혔다.

그는 “모의 훈련들을 하는 곳들이 있지만 정작 제대로 된 테스트들을 안하다보니 문제가 생기면 항상 당하기 일쑤죠”라고 현재의 상황에 대해서도 일침을 가했다.

전 대표는 이번에 선보인 넷스피어(NetSpear) v2.0에 대해 DDoS 인프라 구축을 위해 실제 DDoS 공격과 동일한 모든 종류의 DDoS 공격을 수행하고, 각종 DDoS 공격의 종류와 강도에 따라 각종 네트워크와 보안 장비들의 영향도 평가가 가능하다고 설명했다. 현재 1Gbps와 4Gbps 제품 2종이 발표됐으며 향후 10Gbps 제품도 출시할 계획이다.

모두가 DDoS 공격 방어에 나서고 있을 때 왜 이런 장비를 만들었을까? 과연 시장은 있을까? 유사 제품이 별로 등장하지 않은 걸 보면 시장이 없는 것은 아니었을까?

전덕조 대표는 이 제품 개발 배경과 관련해서 “90년대 중반부터 보안 분야에 몸을 담갔고, 이 분야와 관련해 논문을 내면서 DDoS 공격을 막는 장비를 개발하다가 인트루가드코리아에서 장비를 판매했었죠. 관련 분야 세미나에도 많이 참석해 봤지만 DDoS에 대해 많은 이들이 실체를 잘 모르는 것 같았습니다. 장비를 도입할 때도 네트워크 계측 장비를 통해 테스트를 하는 수준이었거든요”라고 전하고 “이번에 나온 2.0 버전의 경우 5만대 정도의 봇을 통해 시뮬레이션 할 수 있게 해 실제 공격 상황에 대비할 수 있게 됐죠. 한 2년 6개월 걸린 것 같습니다”라고 밝혔다.

그는 시장 규모가 너무 작은 곳에 뛰어든 것 아니냐는 지적에 대해 “물론 그런 지적이 있을 수 있겠지만 우리나라에만 필요한 제품은 아니죠”라면서 “미 국방부도 사이버공격을 위한 봇을 개발해 놓고 있죠. 증거인멸과 자동 소멸 기능들이 들어 있는 것이죠. DDoS 공격은 점차 국경없는 사이버전쟁에 적용되는 형태로 흘러가고 있습니다. 이 때문에 제대로 된 테스트 장비도 필요하죠”라고 덧붙였다.

전덕조 대표는 테스트를 통해 고객들이 도입한 다양한 보안 장비와 네트워크 장비들 중 보강이 필요한 분야를 고객들이 파악하고 DDoS 공격 위력과 대응 준비 방안을 세밀하게 다듬어 주는 것만으로도 이번 제품 출시 의미가 있다고 강조했다.

이스트소프트는 기존부터 계속적으로 발생하고 있는 개인정보 유출사고와 사회공학적 기법을 활용한 가짜백신 유포 외에 스마트폰 보급을 통한 모바일 악성코드의 위협 증가와 새로운 방식의 분산 서비스 거부(DDoS) 공격 발생 등이 주목할 만한 특징으로 꼽았다.

1. 새로운 형식의 DDoS 공격 형태 발생
기존의 DDoS 공격 방식은 2009년의 7.7 DDoS 공격과 같이 악성코드에 감염된 좀비PC그룹을 활용해 목표를 공격하는 형태였다. 그러나, 2010년 6.16 성전이라고 불렸던 중국발 DDoS 공격의 경우에는 공격자들 스스로 온라인커뮤니티나 메신저 채팅 서비스 등을 통해 공격인원을 모으고 DDoS 공격툴을 배포해 카운트다운 방식을 통해 동시에 특정목표를 공격하는 새로운 형태로 나타났다.

이러한 방식은 좀비PC그룹을 이용한 기존 DDoS 공격방식과 달리 아직까지는 많은 트래픽을 발생시키지 못하기 때문에 주로 규모가 작은 사이트를 타켓으로 공격을 진행하고 있지만, 향후 더 많은 인원을 규합하거나 좀비PC를 보유한 해킹그룹의 지원을 받게 된다면 피해규모가 커질 수 있으므로 주의를 기울일 필요가 있다.

2. 스마트폰 사용자를 위협하는 보안위협요소 등장
기존에 국내에 보급되던 휴대폰(피쳐폰)은 위피( WIPI) 탑재되면서 모바일 악성코드의 위협으로부터 상대적으로 자유로웠으나, 아이폰의 국내 출시 이후 안드로이드폰 등 스마트폰의 급속한 보급으로 인해 모바일 악성코드의 위협이 점차 증가하고 있다. 한국전자통신연구원(ETRI)이 구분한 모바일 악성코드의 주요 형태로는 단말기에 저장된 사용자의 정보를 외부로 유출시키는 ‘정보유출형’, 스마트폰등의 단말기를 통해 PC를 감염시키는 ‘크로스 플랫폼형’, 기기사용을 불가능하게 하거나 장애를 일으키는 ‘단말기 장애 유발형’, 단말기의 메시징 서비스나 전화통화를 시도하여 과금을 발생시키는 ‘통신요금 발생형’ 등이 있다. 안전한 스마트폰 이용을 위해서는 항상 검증된 애플리케이션과 콘텐츠를 사용하고, 신뢰할 수 없는 사이트 혹은 메시지/메일 등을 열어보지 않아야 한다.

3. 사회적 이슈를 활용한 가짜백신 유포
2010년 벤쿠버 올림픽 때 김연아 선수 트위터를 사칭하거나 2010 남아공 월드컵 티켓 할인/무료제공을 사칭하는 등 사용자들이 관심을 가질만한 이슈를 활용하는 사회공학적 기법으로 가짜백신을 유포하고 결제를 유도하는 행태가 계속되고 있다. 이러한 가짜백신은 사용자들이 특정 웹사이트를 방문했을 때 ‘사용자PC가 바이러스에 감염됐다’는 알림창을 띄우고 자동으로 PC를 검사해주는 듯한 애니메이션을 보여줘 설치를 유도하는 자연스러운 방식으로 사용자에게 접근하는 것이 특징이며, 한번 설치된 가짜백신은 사용자가 수동으로 삭제하기가 쉽지 않으므로 주의해야 한다.

4. 많이 사용되는 SW의 보안취약점을 노리는 해커들
기존에 해커들은 주로 PC운영체제(OS)의 보안취약점을 노린 공격을 시도해왔으나, 최근에는 많은 사용자들이 설치해 사용하고 있는 SW제품의 보안취약점을 통해 악성코드를 유포하는 시도가 급증하고 있다. 지난 6월초에도 어도비의 플래쉬 플레이어와 리더(Adobe Flash Player/Adobe Reader)와 같이 많은 사람들이 사용하는 SW에서 원격코드 실행이 가능한 취약점이 발견돼 제작사측에서 긴급패치를 배포한 적이 있었다. 이제는 OS 뿐만 아니라, 자주 사용하는 SW에 대한 보안패치도 항상 최신버전으로 업데이트할 필요가 있다.

5. 계속되는 개인정보 유출 사고
지난 3월 역대 최대규모인 2천만명의 개인정보 유출사고가 발생해 사용자들에게 충격을 안겨주었고, 최근에는 ‘주민등록번호의 대안’이라고 알려진 아이핀(i-PIN)이 대량으로 부정 발급돼 판매되는 사건이 발생하는 등 개인정보보호를 위해 보완할 부분이 많이 남아 있다. 개인정보 유출을 방지하기 위해서는 개개인의 정보보호 노력도 중요하지만, 개인의 정보를 보관하고 있는 기업들도 개인정보 관리에 각별한 노력을 기울여야 하겠다.

정부가 정책을 마련할 때 시장 주체들의 입장을 듣는 것은 너무나 당연한 일이다. 의견을 수렴한 경우에도 막상 정책이 시행될 때 예기치 않은 문제가 발생하는 경우도 다반사다. 그럼 소통을 안했을 때는? 정부가 마련하는 정책이 모두를 만족시킬 수는 없겠지만 최소한 해당 이해 당사자들의 말에는 귀를 기울여야 되지 않겠냐고 김병철 한국호스팅도메인협회장(스마일서브 사장)은 말한다. 그는 어떤 부분에서 정부의 보안 정책에 유감을 표명하고 있을까? 김병철 회장이 관련 글을 보내왔다.

기업은 열심히 뛰어 국가 경제에 이바지 하는게 당연한 도리이고, 그러다 보면 정부 정책에 대해서는 특별한 일이 없는 한 무관심 할 수밖에 없는 것은 당연한 이치가 아닐까? 그러나 요즘은 지속적으로 상당한 관심을 유발시키는 정부 정책들이 줄줄이 입안되고 있는 듯한 느낌이다. 현 정부가 출범하면서 내놓은 주요 과제 중 하나가 규제 철폐로 알고 있다. 정부 출범 이후 다른 부분은 잘 모르겠지만 방송 통신분야의 규제에 대한 체감은 오히려 커지면 커졌지 규제가 줄어든다는 느낌은 들지 않는 것은 어인 일일까?

얼마 전 개인의 아이패드 수입 문제가 전자파 인증때문에 불거졌다. 몇 년 전만 하더라도 샘플로 수입하는 부품에 대해서 전자파 인증은 그리 큰 문제가 되지 않았다.  그러나 올해 우리 회사에서 20만원짜리 샘플 부품 두 개를 수입해서 테스트 하는데, 물품 수입 단가보다 전자파 인증에 소요되는 비용이 거의 열배 정도였다. 전자파라는 것이 오남용으로 인하여 독극물 혹은 향 정신성 의약품만큼의 폐해를 주는 정도는 아닐 터인데 그렇게 까다로운 규정을 만든 이유는 아무래도 이해가 가지 않는다.

자칭 정보통신 강국이라는 대한민국에서 일어나고 있는 현상이다. 보통 회사들 중 상당수가 해외 경쟁사의 제품들을 샘플로 수입해서 테스트 해보고 벤치 마킹도 해보고 그러는 과정속에서 좀 더 나은 상품을 개발할 수 있는데, 과연 이런 규제가 국가 경쟁력에 얼마나 도움이 되는지 심히 우려스럽다.

정부의 인터넷 보안 정책에서도 그러한 일들이 손쉽게 눈에 띈다. 보안은 불편을 감수해야 하는 규제를 수반한다. 그래서 보안 수준의 유지는 실질적이고 실효적이어야 하며 정책을 수립할 때 실효성에 대한 충분한 검토를 필요로 하고, 정책을 실행하면서도 그 정책의 유효성에 대한 검증 작업을 필수적으로 수반해야 한다.

한국인터넷진흥원(NIDA)와 한국정보보호진 흥원(KISA)가 통합해서 한국인터넷진흥원(KISA)으로 출범한 지 몇 개월이 되었다. 출범 당시 보안과 진흥 이라는 두가지 상충되는 과제를 잘 조율하는 기관으로 출범할 것이라 기대해 마지 않았다. 그러나 요즘 추진되는 정책을 보면 보안과 관련한 규제만 있을 뿐 보안 위협으로부터 인터넷 진흥을 하겠다는 구체적인 대안은 거의 보이지 않는다는 점이 매우 아쉬울 뿐이다.

중국의 호스팅 도메인 정책과 한국의 호스팅 도메인 정책

구글이 중국에서 철수했다는 것은 언론보도로 누구나 아는 사실이고 최근에는 미국계 도메인 업체 고대디도 더 이상 CN 도메인을 등록 않기로 했다고 한다.  데이타 센터에 대한 정부 조사도 강화되고 홈페이지나 서버 운영자에 대한 정보 조회가 심화되고 있는 관계로 요즘 심심치 않게 중국 홈페이지들이 한국으로 이전해 오는 현상이 발생하고 있다. 한마디로 중국에서는 더 이상 개인이 홈페이지를 운영할 수 없는 국가가 되어가고 있다.

한국을 중국과 비교하는 것은 무의미 하다고 생각하는 사람이 많을 것이다. 한국에서는 중국같은 노골적인 인터넷 통제 정책은 시행하지 않는다. 그러나 한국에서는 홈페이지 운영에 들어가는 부대 비용이 개인이 감당할 수 없는 수준으로 오를 예정이라 더 이상 개인의 홈페이지 운영은 불가능해지는 시기가 곳 도래할 것이다.

과거에는 개인이 홈페이지를 운영하는데 호스팅 비용과 도 메인 비용을 합해서 1년에 2만원 정도가 소요되었다. 그러나 지금은 보안서버 도입이 점점 의무사항으로 정착되어 가면서 년 10만원 정도의 보안서버 비용이 추가로 소요되고, 앞으로 인터넷 실명제와 개인정보보호를 앞세운 아이핀(i-PIN) 정책으로 인하여 이 제도가 완전히 정착된다면 현재 가격 기준으로 1년에 60만원정도의 비용이 추가로 소요될 예정이다.

한국은 중국의 경우처럼 개인이 제도적으로 홈페이지를 갖지 못하게 강요하는 국가는 아니지만, 비용 문제로 인하여 극히 일부의 개인을 제외하고는 자신의 홈페이지 보유를 포기하는 상황이 아마도 몇 년 내에 도래할 것으로 예측되어 진다. 그러나 아직까지 이에 대한 눈에 띄는 대안은 보이지 않고 있다.

빈대 잡겠다고 초가 삼 간 불 사르는 스팸 메일 정책

한국이 세계 3위의 스팸메일 발송 국가라는 모 보안 솔루션 회사의 자료가 발표되었다고 한다. 이 때문에 정부에서 무언가 대응을 해야 하겠다고 정책이 나왔다.  우리나라 가정용 인터넷에서는 메일 발송을 표준 포트로는 보내지 못하게 하겠다고 한다. 현업에서 일하고 있는 나로서는 빈대 잡겠다고 초가삼간에 불지르는 행위로 밖에 보이지 않는 정책이다.

담당자들의 논지는 일본과 호주 등에서 그러한 정책이 있는 데 우리나라도 도입하면 효과가 있을 것이라고 한다. 그러나 우리 협회 회원사 중 일본에 호스팅 사업을 진출한 회사의 경우도 기술적인 혼선으로 인하여 초반기 시도했다 실패했다고 전하고 있다. 다시 말해 일본의 경우도 흐지 부지가 된 사업을 대통령에게 올 해 사업 계획으로 보고했기 때문에 한국에서는 꼭 해야 한다는 논리가 이해가 안된다. 담당자들은 외국계 보안 회사의 막연한 리포트에만 의존하지 말고, 이 정책을 수립하면서 과연 대한민국에 이 정책을 적용했을 때 어느 정도 효과가 있고, 어느 정도 피해 사례가 있을 지에 대한 검토가 있었는지에 대해 묻고 싶다.

인터넷 표준과 동떨어진 액티브엑스(Active-X) 문제가 언젠가는 소멸할 것이라는 예측이 나오듯이, 표준을 거스를 경우 혼돈과 혼란이 따르고 결국은 원위치 되 고 말 것임은 자명한 이야기이다. 인터넷 메일은 표준을 따라야 하고 표준은 언제 어디서나 동일해야 함에도 불구하고, 국제화 시대에 한국에 와 있는 외국 회사나 외국 출장자들이 본국으로 메일을 보내지 못하는 문제점이나, 스마트폰 시대에 사람은 모바일 기기를 들고 지속적으로 이동할 수 밖에 없는데 와이파이망에서 설정이 다르고,  3G 망의 설정이 제 각각 달라지는 문제점 등 표준을 따르지 않기 때문에 엄청난 불편과 혼란 그리고 국제적인 위신 추락등이 따를 것이 분명한데, 이에 대한 아무런 대비책이 없다면 그 문제점에 대해선 과연 누가 책임질 것인가?

굳이 이 정책을 시행하지 않더라도 동일한 효과를 누릴 수 있다면 굳이 표준을 거슬러 가면서 혼돈을 초례할 일은 없다고 생각한다. 표준을 무효화 하는 정책을 무조건 시행하려 하지 말고 그 이전에 다른 대안을 먼저 찾아 보기를 바랄 따름이다.

한발 늦은 DDOS 긴급 대피 서비스

한국인터넷진흥원이 분산서비스거부(DDOS) 긴급 대피 서비스를 제공하기 위해, 시스템 구축을 위한 입찰을 진행한다는 공고가 얼마 전에 나왔다고 한다. DDOS 대응 체계를 구축해서 국민들에게 서비스를 하겠다는 취지에는 어느 정도 공감을 하는 바이다. 그러나 이미 인터넷 회선 사업자와 호스팅 업체 그리고 보안 서비스 업체들이 이미 상당한 비용을 발 빠르게 투자하여 긴급 대피 서비스를 운영중에 있고 경쟁을 통해서 서비스 이용 비용이 충분히 낮아졌다는 판단이 든다. 따라서 민간의 비용투자가 이미 이루어지고 서비스가 제공되고 있는 상태라면 현재 시점에서 국민의 세금이 투입되어 동일한 서비스를 시행해야 할 정책적 의미가 많이 퇴색되었다고 할 수밖에 없다.

민간이 하는 서비스에 정부가 참여해서 잘 되었던 사례 도 있겠지만, 세금을 낭비한 사례도 많이 있다. 우리 업계와 밀접한 사업으로는 지자체와 정부기관의 무료 홈페이지 보급사업이나 무료 메일 계정 서비스였다. 서비스는 유료일 때 고객은 비용에 맞는 요구사항을 지속적으로 발생시키고, 서비스는 그래서 계속 진일보 하는 것이 자명한 일이다. 그러나 무료서비스인 정부 기관의 서비스가 기술력이나 경쟁력에서 계속 뒤쳐질 수밖에 없었고, 몇 년이 흐른 지금 정부 세금만 낭비한 대표적인 사례 중 하나가 되었다.

DDOS 긴급 대피 서비스를 정부에서 꼭 필요한 정책이라 판단되어 시행해야 할 충분한 이유가 있다면, 지속적인 기술 발전을 통해서 앞으로의 보안 위협에 충분히 대응할 수 있어야 하고, 일회성 서비스 제공보다는 서비스 이용 대상자가 사업을 영 위함에 있어서 정말로 안정적인 대피처가 될 수 있도록 했으면 하는 바램이다.

그리고 한가지 더 한 바램은 민간 사업이 이미 존재하고 있는 만큼, 투입된 혈세에 상응하는 최소한의 원가라도 산출하여 서비스 이용자에게 청구하는 것이, 서비스 이용자들이 지출한 비용에 대한 합당한 개선 사항을 지속적으로 요구하게 되어 정부 기관의 서비스 수준도 올라가게 될 것이고, 이에 상응하는 경쟁을 통해 민간 사업자도 더욱 더 좋은 서비스를 제공할 수 있을 것으로 판단이 된다.

보안 장비에만 의존할 경우 언젠가는 당할 수밖에 없다

인터넷 보안 위협은 가히 상상을 초월한다. 보안 헛점이 발표 될 때마다 몇 일이면 그 방법이 공격자들 사이에 순식간에 퍼져서 공격을 하고 있는 것을 종종 목격하게 된다. 공격자는 사람이고 공격 방법은 늘 진화한다. 한 번의 공격이 실패할 경우 그들은 능동적으로 새로운 공격 방법을 모색해서 공격을 한다.

2009년 7.7 DDOS 때 얼마나 대단한 공격이었나를 짚어 보자. 그 당시에 현장에서 원래 DDOS 공격은 막지 못한다는 손쉬운 변명을 이곳 저곳에서 정말 많 이 들을 수 있었다. 그러나 동시 다발적 공격이라 실제 공격 받은 웹사이트에서 받은 공격량은 네트워크가 버티지 못할 만큼 많지 않았다. 보안 장비의 원리는 공격 패턴에 대해서 대응하다 보니, 지금까지의 공격 패턴과 다른 경우에는 효과적으로 대응할 수가 없다는 문제점을 내포하고 있다. 다시 말해 장비에 의한 방어 체계는 아무리 비싼 보안 장비라 해도 보안 장비회사에서 패턴을 분석해서 새로운 방어 룰을 적시에 만들어 주지 못하면 무용지물일 수 밖에 없는 문제점을 늘 내포한다. 그것이 동시 다발적인 DDOS 공격으로부터 대한민국 전체가 백기를 들 수 밖에 없었던 가장 큰 원인이었다. 다시 말해 공격자는 늘 진화하고 늘 능동적이지만 방어자가 수동적인 구조에서는 언젠가는 당할 수 밖에 없게 된다.

오픈 소스 보안 솔루션이 대한민국 인터넷을 튼튼하게 한다.

악의적인 공격자로부터 서버를 보호하기는 기술적으로 어렵고 또한 장비에 의존할 경우 엄청난 비용이 소요된다. 사이트의 운영 비용은 10이라 하면 보안 비용은 100이 드는게 현실이다. 이러한 고 비용 구조에서는 인터넷 사이트의 부익부 빈익빈 구조는 필연적으로 발생할 수 밖에 없고, 결국 영세 사이트 운영자의 서버는 비용 문제로 인해 무방비로 보안 헛점에 노출될 수 밖에 없는 구조가 되고, 그래서 영세 인터넷 사이트에서 침해 사고가 지속적으로 일어날 수 밖에 없게 된다.

그러나 지금까지의 인터넷 보안 정책 중 하나인 보안 솔루션 업체의 육성과 발전이라는 과제만으로는 보안의 고비용의 문제를 쉽게 해결할 수가 없고, 영세 인터넷 사이트는 그러한 정책으로부터 아무런 도움을 받을 수 없다. 따라서 정부 정책의 핵심 포인트 중 하나를 영세 인터넷 사이트의 보안 비용을 어떻게 하면 줄일 수 있도록 하는 지에 도움을 주도록 맞추어야 할 것이다.

중점적으로 추진해야 할 과제가 오픈소스 솔루션의 제작 배포와 노하우의 공유다. 물론 한국인터넷진 흥원이 오픈소스 솔루션의 배포를 안하는 것은 아니다. 기억나는 정책 중의 하나가 공개 웹방화벽 배포가 아닌가 한다. 그러나 이 정책은 1회성 배포만으로 끝난 아쉬움이 남는다. 오히려 이 웹방화벽을 설치했던 서버 담당자들의 경우 설치 해놓고 보니 오작동 문제가 발생하거나 공격자의 봇(bot) 공격에 결국 뚫리고, 결국은 공개 웹방화벽에 불신만 쌓이는 경우가 되었다. 그러나 지속적인 스터디와 노하우 축적을 통해 이 웹방화벽을 이용해서 보안 서비스를 제공하는 업체도 있고 적절한 방어 시스템을 구축하는 사례도 있다.

다시 말해 단순한 배포가 아니라 지속적인 업그레이드와 룰셋의 튜닝 노하우 그리고 하드웨어 튜닝 기술 등의 노하우 공유가 지속적으로 이루어지지 않는다면 1회성 배포는 현업에서 그리 우대 받지 못한다는 사실이다.

오픈소스 보안 프로젝트는 전 세계 인터넷 보안 분야 모든 영역에서 광범위하게 이루어지고 있다. 중요한 것은 그것을 현업에서 이용하기 위해서는 광범위한 테스트와 그 결과에 대한 노하우 공유를 필요로 하게 된다. 쉬운 일례로 DDOS SYNFLOOD 공격에 대해서 일반적인 매뉴얼로는 초당 1만번의 공격을 막기 힘들다. 그러나 우리 협회 회원사중 하나는 별도의 전용 보안 장비없이 초당 20만번 이상의 공격을 막아 낸다고 한다. 그러한 수준까지 가능하게 하려면 전담팀에 의한 연구와 지속적인 테스트와 튜닝 그리고 그 결과에 대한 오픈된 노하우 공개를 통해서 가능할 것이다. 그러한 일을 수행해야 할 주체는 개인이나 기업이 아니라 정부의 몫이 아닐까 한다. <김병철 한국호스팅도메인협회장>

L2 스위치는 일반 가입자망에 제공되는 스위치로 그동안 ‘연결’이외의 기능은 제공하지 않았지만 다양한 보안 위협이 가입자 단에서 발생하고 있어 속도 저하없이 보안 기능을 탑재한 스위치에 대한 요구가 있어 왔다.

국산 L4/7 스위치와 웹방화벽 장비로 외산 업체 중심의 네트워크 장비 시장에서 좋은 평가를 받아왔던 파이오링크가 보안기능을 강화한 L2 스위치 ‘티프론트(TiFRONT)’로 L2 스위치 시장에 진출한다.

파이오링크는 8일 서울 강남구 그랜드 인터컨티넨탈 호텔에서 열린 기자간담회에서 네트워크 엑세스 레벨 보안을 위한 L2 스위치 ‘티프론트’를 공개했다.

조영철 파이오링크 대표는 “기존에 시스코나 알카텔-루슨트 등 다른 L2 스위치 장비에도 보안기능이 있었지만 고객들의 활용도가 낮았다”며, “보안 성능이 떨어지거나 기능이 국내 환경에 잘 맞지 않았기 때문”이라고 분석했다.

그는 “명목만 있는 보안 기능이 아니라 제대로 된 보안 기능을 제공해 네트워크 인프라의 보안성을 높일 수 있도록 하자는 취지에서 티프론트를 개발하게 됐다”고 설명했다.

파이오링크 측은 국내 네트워크 인프라에서 엑세스 레벨 보안이 상대적으로 취약하다며, 기존의 네트워크 액세스 접근제어( NAC)나 PC보안 솔루션으로 부족했던 부분을 보안 L2 스위치 ‘티프론트’를 통해 메울 수 있을 것이라고 전했다. 또한 티프론트를 사용하면 웜, 봇에 의한 내부 감염과 서비스 거부(DoS)와 분산 서비스 거부(DDoS) 공격의 근원인 좀비 PC가 되는 것을 막아주고, 웹캠 ,VoIP(Voice over IP) 사용 증가에 따른 사생활 침해 사고를 막아줄 수 있다고 설명했다.

티프론트는 위험도 분석과 예측력을 높이기 위해 자체 개발한 전용 보안 엔진인 ‘티매트릭스(TiMatrix)를 탑재해 실시간 패킷 분석을 통해 위협 탐지율을 개선시켰으며, 유해 트래픽만을 자동 선별하면서도 최대 회선속도(WireSpeed)를 유지한다고 전했다.

또한 전용 장비 관리 시템인 ‘티매니저(TiManager)’로 장비별/그룹별 보안 정책 설정이 가능하다. 업계 최초로 보안로그를 보관할 수 있는 1기가비트 대용량 플래쉬 메모리를 탑재해, 공격 이후 사후 분석까지 가능한 블랙박스 역할을 한다. 동시에 전력 사용량이 타사대비 22% 절감됐으며 해외시장 진출을 위해 유해물질차단지침(RoHS)을 준수하고 있다고 설명했다.

티프론트는 2개의 기가포트와 24개의 패스트 이더넷 포트가 장착된 티프론트-F26시리즈, 24개 기가 포트로 구성된 티프론트-G24시리즈 등 총 2개의 시리즈, 4개 모델로 출시된다. 각 시리즈는 UTP 통신 케이블을 이용해 데이터와 전원을 동시 전송할 수 있는 PoE 모델이 있으며, 듀얼 파워도 옵션으로 선택할 수 있다. 시장 가격은 최하위 모델의 경우 300만원이고 24 기가포트에 듀얼파워, 파워오브이더넷(PoE)의 경우 1천만원이다.

이와 관련해 파이오링크측은 “시장 가격이 고객에게 전달되는 실제 가격은 아니다. 프로젝트 규모나 물량에 따라 가격은 변동된다”고 밝혔다.

현재 국내 기업과 공공기관 등의 보안 투자는 대부분 코어 망에만 이루어져 외부 침입 공격을 차단하는데 집중되고 있는 상황이다. 그러나 최근 보안 위협은 외부 뿐만 아니라 내부에서도 발생하는 경우가 늘어나고 있다. 2009년 7.7 DDoS 사건 당시 수많은 PC가 악성 봇에 감염된 일명 ‘좀비 PC’가 되어 외부의 특정 사이트를 공격하는데 동원되기도 했다.

이러한 상황에서 국내 보안 L2 스위치 시장은 꾸준히 증가하는 추세다. 2008년 기준으로 국내 L2/3 스위치 시장 규모가 5천억원을 웃도는 것으로 조사된 가운데(IDC 발표), 파이오링크는 자체 시장조사를 통해 올해 보안 L2 스위치 시장이 250억에서 300억원에 이를 것으로 내다봤다.

국내 L2 스위치 시장은 시스코가 절반이 넘는 시장 점유율을 기록하는 가운데, 쓰리콤, 알카텔-루슨트 등 전통적인 외산 네트워크 강자들이 석권하고 있다. 최근 보안 L2 스위치 시장이 새롭게 각광을 받으면서 2007년 LG-노텔, 2009년에는 삼성전자가 보안 L2 스위치 시장에 뛰어들은 바 있다. LG-노텔과 삼성전자는 국산 벤처 기업인 한드림넷에 ODM 형태로 장비를 공급받고 있다.

파이오링크가 타깃을 외산 네트워크 장비 업체로 잡았지만 우선 경쟁은 LG-노텔과 삼성전자의 제품이 될 것으로 보인다.

이번에 L4/7 스위치 시장에서 국산 업체의 역량을 보여줬던 파이오링크가 새롭게 보안 L2 스위치 시장에 합류하면서, L2 스위치 시장 경쟁은 더욱 치열해질 전망이다.

파이오링크는 티프론트를 통해 이통사 등 대형 고객 뿐만 아니라 기업, 공공기관 등 일반 고객을 대상으로 한 영업도 강화하겠다는 계획이다. 기업에서 수많은 L2 스위치를 사용하는 만큼 일괄적으로 L2 스위치를 보안 L2 스위치로 교체하는 방식 뿐만 아니라, 내부 보안이 중요한 부서부터 일부 교체하도록 유도하거나 기존 L2 스위치 앞단에 보안 스위치를 추가하는 방식으로 기업 내부의 보안성을 높일 수 있도록 영업하겠다는 방침이다.

조영철 대표는 “파이오링크는 이미 애플리케이션 스위치로 L4/7 레벨을 다루어 봤고, 웹방화벽으로 보안 기술을 축적하고 있다”며, “보안과 네트워크를 동시에 아우르는 보안 L2 스위치, 티프론트로 시너지 효과를 기대하고 있다”고 말했다.

한편, 한드림넷 측은 블로터닷넷과 전화 통화에서 “행위 기반 분석 부분에서 경쟁력을 발휘하고 있고, 대기업 고객이 판매하고 있어 별 영향은 없을 것”이라고 전하고 “일본 시장의 경우 독자적인 브랜드로 수출하고 있는데 시장 반응이 좋다”고 밝혔다.

시만텍은 현재 전세계 약 650만대의 컴퓨터가 컨피커 웜에 감염돼 있으며, 아직까지도 새로운 변종이 지속적으로 등장다고 경고했다.

역대 최악의 웜 바이러스 중 하나로 꼽히는 컨피커 웜은 일단 감염되면 컴퓨터가 실행될 때 윈도우 자동 업데이트, 윈도우 보안 센터, 윈도우 디펜더, 윈도우 오류 보고와 같은 시스템 서비스를 비활성화시킨다. 이후 서버에 연결해 추가로 전파할 명령을 받고, 개인 정보를 전송하고, 컴퓨터에 악성코드를 설치한다.

이렇게 악성코드에 감염된 숙주 컴퓨터는 봇넷(좀비PC)으로 변해 원격 서버의 명령에 따라 사용자 몰래 스팸 메일이나 악성 프로그램을 발송하는데 악용된다. 특히 불법 복제 시스템의 경우 대개 마이크로소프트 업데이트와 패치를 받을 수 없으므로 마이크로소프트 윈도 정품을 설치하지 않은 사용자가 가장 위험하다. 자신의 컴퓨터 속도가 현저히 저하되거나 주요 보안 관련 사이트에 접속이 되지 않는다면 이 악성코드의 감염을 의심해 볼 수 있다.

시만텍은 현재 전세계적으로 약 650만대의 컴퓨터가 컨피커 웜에 감염되어 있으며, 컨피커 웜의 배후 범죄세력이 여전히 감염된 컴퓨터에 대한 키를 보유하고 있기 때문에, 이를분산서비스거부(DDoS)와 같은 사이버 공격에 동원할 경우 피해가 걷잡을 수 없이 커질 수 있다고 경고하고 있다.

실제 가장 규모가 큰 봇넷 중 하나인 마리포사 봇넷(Mariposa Botnet)은 활동기간 동안 1천 100만여 대의 컴퓨터를 감염시켰으며, 포춘지가 선정한 세계 천대기업을 포함한 전세계 기업을 대상으로 감염된 시스템으로부터 기업 정보와 개인 정보 유출하거나, 온라인 뱅킹 정보를 도용하는 공격을 감행하기도 했다. 또한 모든 스팸의 32.8%를 발송하는 것으로 잘 알려진 러스톡 봇넷(Rustock Botnet)은 160~240만 대의 컴퓨터에 잠복하고 있는 것으로 추산된다. 이 같은 사례에 비추어 볼 때 컨피커 웜에 감염된 약 650만대의 컴퓨터들은 언제 터질 지 모르는 시한폭탄과 같다는 게 시만텍의 지적이다.

시만텍은 컨피커 웜으로부터 시스템을 안전하게 보호하기 위해 다음과 같은 사용자 지침을 발표했다.

• 시스템에 최신 패치를 설치해 최신 상태로 유지한다.
• 여러 웹 사이트에서 팝업되는 “무료” 보안 검사를 이용하지 않는다.
• 메모리 스틱 및 기타 USB 장치에서 발견된 프로그램을 자동 실행하는 “자동 실행” 기능을 실행 중지해 둔다.
• 암호를 잘 관리한다.(주기적인 암호 변경과 복잡한 조합 사용 등)
• 중요한 개인 정보를 포함하거나 은행 계좌 또는 신용 카드에 액세스하는 사이트마다 별도의 긴 암호를 사용한다.
• 여러 보안 계층으로 구성된 우수한 보안소프트웨어 스위트 제품을 설치한다.

거기에 운도 따랐다. 2009년 7월 7일 발생했던 분산 서비스거부(DDoS) 공격은 라드웨어코리아에게 또 다른 호재가 됐다. 꿩먹고 알먹고, 도랑치고 가재잡고란 말이 따로 없을 정도의 한 해였지 않았을까?

김도건 사장은 “사정이 좋아진 것은 사실이죠”라고 말하고 “알테온 장비가 가장 많이 팔렸던 때가 2002년으로 기억하고 있는데요. 지난해 판매 성과도 그 때와 비슷하지 않았나 생각됩니다. 고객들의 요구에 제대로 제품을 공급하지 못할 정도로 시장의 반응은 뜨거웠습니다”라고 달라진 위상을 이야기 했다.

그는 또 DDoS 공격으로 매출이 오르긴 했지만 고객들이 이번 기회에 보안에 대해 다시금 생각할 수 있는 기회가 되기를 희망했다.

김 사장은 “보안은 기술이 아닌 경험입니다. 수많은 경험을 통해 얻어진 노하우를 가지고 자산을 제대로 보호할 수 있는 방안들을 찾아 내야 합니다. 저희가 방패를 잘 만들기 위해 노력은 하고 있습니다만 정말 창이 좋습니다. 저희의 기술력과 고객들의 다년간의 경험이 함께 어우러져야 만일의 사태에 대비할 수 있습니다”고 덧붙였다.

행복한 고민이다. 남들은 경제 위기로 고객들이 지갑을 꽁꽁 닫아 실적 맞추기가 쉽지 않았는데 말이다.

L4/7 장비는 여러 서버 앞에 위치해 서버에 몰리는 네트워크 트래픽을 적절히 분산해 주는 장비다. 근래 들어서는 단순한 트래픽 분산에만 머물지 않고 어떤 트래픽들인지 좀더 세부적으로 파악하는 기능들이 탑재되고 있다. 보안 기능을 비롯해 클라우드 컴퓨팅 시장이 활성화되면서 가상화 기술들과의 융합, 멀티미디어 콘텐츠 처리, 인터넷전화(VoIP)에 대한 지원 등 장비가 점차 지능화되고 있다는 설명이다.

물론 위기가 없는 것도 아니다. 최근 클라우드 컴퓨팅(Cloud computing) 인프라를 구축하면서 고객들은 아주 저렴한 x86 서버들을 병렬로 연결해 대규모 서버와 스트로지 ‘풀(PooL)’을 만들고 있다. 기업들이 대형 서버 한 두대로 고가용성(HA) 구성을 하는 방식과는 전혀 다른 형태다. 100대의 서버 중 10대가 고장이 나더라도 90대가 동일한 콘텐츠를 보유하면서 고객들의 요구에 응대하고 있다. L4의 역할은 점차 줄어들고 있는 것이다. 또 고성능의 저렴한 하이엔드 서버가 속속 출시되면서 서버 통합 바람도 불고 있다. 그만큼 L4/7 장비도 줄어 들고 있다.

가상화와 보안, 애플리케이션에 대한 이해 등 제품 기능에 대한 투자를 계속 늘어나야 하는데 장비 구매 수요는 점차 줄어들고 있는 상황이 도래하고 있다.

이런 상황에 대해 김도건 라드웨어코리아 사장은 “그래서 저희가 3년전부터 레이어 8를 이야기 하고 있습니다”라고 입을 떼었다. 네트워크 장비는 레이어 1~레이어 7이 끝이다. 그런데 레이어 8라니 좀 당황스러웠다.

김도건 사장은 “네트워크 장비들은 기본적으로 패킷을 어떻게 처리하고 분배해 줄지 고민해 왔죠. 네트워크 인프라를 어떻게 효율적으로로 다룰지에 집중해 온 것이죠”라면서 “비즈니스 이벤트 로그를 분석해서 고객들의 비즈니스 지향성을 파악하고 대응해야 됩니다. 제조업체와 서비스 업체간에도 차별화되는 요소가 있기 마련이지요. 장비가 지능화되고 있는 이유입니다”라고 말했다.

네트워크 업체들은 갈수록 자신들의 역할이 더욱 커지고 있다고 입을 모으고 있고, 김 사장 또한 마찬가지 입장을 전했다. 광대역 유무선 네트워크 망이 구축된 후 다양한 애플리케이션과 콘텐츠들이 이 위에서 안전하고 빠르게 전세계를 넘나들고 있다. 기업용 애플리케이션 업체들과 네트워크 업체들의 협력이 늘어나고 있고, 네트워크 장비 업체들이 소프트웨어 개발 툴 킷들을 제공하면서 밀접한 통합을 외치고 있는 이유도 바로 이런 이유 때문이다.

그와의 대화가 즐거운 이유는 ‘후식’이 더 맛있기 때문이다. 그는 IT 분야에 입문한 지 이미 15년이 넘었다. 자신이 몸담고 있는 시장의 변화 못지않게 ‘세상’의 ‘흐름’을 보는 눈이 멋지다. 라드웨어가 갈 길이 여전히 멀다는 김도건 사장과의 인터뷰가 끝나갈 즈음 문뜩 궁금해졌다.

국내 사업과 관련된 내용이 아니라 클라우드라는 거대한 물결이 정말 밀려오고 있는 것인지, IT 벤더들이 만들어 내고 있는 단순한 마케팅 용어인지 말이다. 또 스마트폰 시장의 급부상이 또 다른 변화의 바람을 몰고 오고 있는지 말이다.

가장 앞에서 이를 지켜본 김도건 사장의 식견이 궁금했다.

그는 “클라우드는 정말 대세가 되고 있습니다”라고 전하고 “데이터센터를 놓고 큰 싸움이 벌어지고 있는 것이죠. 라드웨어도 이런 기회를 보고 많은 투자를 단행하고 있습니다”라고 말했다. 데이터센터에 대한 답변은 의외로 짧았다.

하지만 최근의 변화에 대해서는 조금 길게 말했다. 역시 만나길 잘했다.

김도건 사장은 “지금 일고 있는 변화의 핵심은 정보기술들이 각 개인에 맞게 일인화되고 있다는 겁니다. 개인들이 기업처럼 네트워크 트래픽의 한 피어(Peer)가 되는 것이죠. 10년 전 꿈꿔왔던 것들이 현실이 되고 있습니다. 아이폰을 선보인 스티브 잡스가 가능성을 보여줬죠”라고 전하고 “이런 변화를 빨리 수용하고 대응하기 위해서는 아프더라도 더 많이 개방해야 됩니다”라고 강조했다.

그는 “해외 출장을 다녀본 이들은 다들 느끼고 있을 겁니다. 우리가 노트북을 들고 해외 출장을 다닐 때 그들의 손에는 노트북 대신 블랙베리가 들려져 있었습니다. 좋은 인프라를 마련해 놨지만 그 위에 세계를 감탄시킬 만한 콘텐츠나 기기를 만들어 내지 못했습니다”라고 안타까움을 표했다.

그만큼 각 부분에서 경쟁에 뒤쳐져 있다는 것이다. 이어 그는 “이제 모든 개인들은 정보를 직접 생산해 내면서 바로 소통을 합니다. 포털이라는 게이트키퍼를 두지 않고도 소통할 도구들이 하나씩 등장했습니다. 스마트폰으로 대변되는 모바일 분야의 바람이 이를 가능케 하고 있습니다. 정보의 길목에서 힘을 발휘해 왔던 국내 포털들이 앞으로 5년 후에도 지금과 같은 힘을 발휘할 수 있을까요? 저는 아니라고 봅니다. 가장 따끈따끈한 실시간 정보는 이제 SNS(소셜 네트워크 서비스)안에서 얻고 있습니다”라고 목소리를 높였다.

‘손 안에 PC’를 들고 전세계 어디를 가던지 네트워크와 연결된 이들이 쏟아낼 새로운 ‘소통’의 기술과 방식에 주목해야 한다는 그의 말이 귓가를 떠나지 않았다.

2010년에는 ▶분산서비스거부(DDoS) 공격용 좀비 PC 확보 기법 지능화 ▶스마트폰 공격 위협 본격화 ▶클라우드 및 가상화 기술 악용한 보안 위협 증가 ▶웹사이트와 스팸 메일이 결합한 위협 증가 ▶소셜네트워크서비스(SNS)를 이용한 공격 확산 ▶VoIP(Voice over IP) 보안 위협 등장 ▶메신저 피싱 급증 ▶악성코드의 자기 보호 기법 지능화 ▶윈도우7 취약점 공격 증가 ▶사회 공학 기법의 정교화 ▶가짜 백신 확산 ▶온라인 게임 해킹 증가 등의 위험이 예상된다.

조시행 안철수연구소 ASEC(시큐리티대응센터) 상무는 “스마트폰, 클라우드, 가상화, SNS 등 새로운 IT 환경의 등장은 사용자에게 편의성을 제공하지만, 악의적 해커에게는 더욱 손쉬운 방법으로 악성코드 유포, 해킹을 할 수 있는 토대가 된다. 사용 편의성과 함께 보안 측면을 함께 고려해 유의할 필요가 있다”라고 강조했다.

1. DDoS 공격용 좀비 PC 확보 기법 지능화

지난해 7.7 DDoS 대란 때처럼 대량의 좀비 PC를 확보해 악의적 공격을 하는 사건이 올해도 지속될 것으로 전망된다. 공격자는 다수의 좀비 PC를 이용해 금전적 대가를 노린 악의적 DDoS 공격을 하거나 확보한 좀비 PC 자체를 가지고 협박해 금전을 갈취할 수 있다. 이를 위해 진단되지 않고 지속적으로 작동할 수 있는 악성코드를 원하기 때문에 최근 중앙명령(C&C; Command & Control) 서버와의 통신 채널, 셀프(Self) 업데이트, 공격을 위한 정보 능동적 생성 등 지능적인 기법이 등장하고 있다. 2010년에도 이런 양상은 계속될 것으로 예상된다.

2. 스마트폰 공격 위협 본격화

국내에도 본격적인 스마트폰 시대가 열려 PC에서 했던 일을 언제 어디서든 할 수 있게 됐다. 이는 기존 PC에서 발생한 보안 문제가 스마트폰에서도 발생할 수 있음을 의미한다. 스마트폰의 종류와 플랫폼이 다양하므로 악성코드도 다양한 형태로 나타날 것으로 예상되며, 이미 해킹(Jail Break)된 아이폰의 개인 정보를 탈취하는 악성코드가 발생했다. 스마트폰을 대상으로 한 악성코드는 통화 기록이나 전화번호, 사진 등의 개인 정보를 탈취할 뿐 아니라, 스마트폰을 좀비 클라이언트로 만들어 DDoS 공격에 악용할 수도 있다. 비정상 트래픽을 유발해 비정상적인 과금을 유도하거나 불필요하게 배터리를 소진할 가능성도 있다.

3. 클라우드와 가상화 기술 악용한 보안 위협 증가

IT 자원 활용의 효율화 때문에 주목 받는 클라우드 기술과 가상화 기술이 사이버 공격에 악용될 것으로 예측된다. 이를테면 클라우드 컴퓨팅을 이용해 여러 대의 C&C 서버를 준비해두고, 좀비 PC 안의 악성코드가 이 중 서비스가 가능한 C&C 서버로 찾아가는 방식이다. 이때 여러 대의 C&C 서버를 구축하기 위해 공격자는 가상사설서버(Virtual Private Server)를 이용한다. 이것을 이용하면 물리적으로는 1대이지만 가상으로 여러 대의 서버를 구축함으로써 봇넷(네트워크로 연결된 대량의 좀비 PC)을 효율적으로 관리할 수 있다. 이러한 클라우드, 가상화 기술은 ‘그린 IT’의 기반이기 때문에, ‘그린 IT’까지도 위협 대상이 될 것으로 예상된다.

4. 웹사이트와 스팸 메일이 결합한 위협 증가

새해에도 역시 웹사이트가 악성코드 전파의 주요 경로로 이용될 것으로 전망된다. 여전히 SQL 인젝션, XSS(크로스 사이트 스크립트), 사이트 취약점을 이용한 악성코드 삽입 등이 주로 사용될 것으로 보인다. 2009년 하반기에 스팸 메일과 웹사이트가 결합된 보안 위협이 처음 발견됐는데, 2010년에는 이 형태가 증가할 것으로 예측된다. 공격자는 최초 이메일로 악의적인 웹사이트 주소를 보내 접속을 유도한다. 사용자가 접속하면 웹브라우저 취약점 공격, 악성코드 설치, 취약점을 가진 문서 파일(PDF, Office 파일 등) 다운로드 등의 공격을 한다. 현재 우리나라는 보안에 취약한 다수의 웹 서버가 별다른 방어책 없이 인터넷에 연결돼 있는 상태여서 피해는 올해도 증가할 것으로 보인다.

5. SNS(소셜 네트워크 서비스)를 이용한 공격 확산

2010년에는 트위터, 페이스북 같은 SNS(Social Network Service)를 대상으로 한 해킹이 증가할 것으로 예상된다. 지난해 이미 트위터(twitter)에 짧은 주소 서비스를 통해 악성코드를 유포한 사례가 있었다. 스마트폰의 급속한 보급과 함께 다양한 SNS 애플리케이션이 등장함에 따라 개인 정보를 노린 해킹이 발생할 것으로 우려된다. 본인 확인이 어려운 점을 악용해 유명인을 사칭하거나 유명인의 SNS 계정을 탈취할 수도 있다. 또한, SNS 업체를 직접 겨냥한 해킹도 발생할 것으로 보인다.

6. VoIP 보안 위협 등장

인터넷 전화인 VoIP(Voice over Internet Protocol)의 보급이 늘어남에 따라 그에 따른 보안 위협도 커져가고 있다. 특정 VoIP 서비스의 통화 내용을 유출하는 악성코드가 이미 발견됐다. 앞으로는 이 같은 도감청의 위협이 더욱 광범위해져 사생활을 침해하거나 기업 활동에 악영향을 줄 수 있다. 부정 사용으로 금전적 피해를 주거나, 무선 인터넷 공유기의 ID와 비밀번호를 가로채 악성코드 설치 및 개인정보 유출 등의 피해를 주는 일이 발생할 수도 있다. 또한 VoIP 서비스 업체를 DDoS 공격해 서비스 중단, 서비스의 데이터 위변조 등을 일으킬 가능성도 있다.

7. 메신저 피싱 급증

지난해 메신저 프로그램을 이용한 악성코드 유포 및 금전 요구 사기가 적지 않았고 편의성 때문에 올해도 지속적으로 확산될 것으로 보인다. 인스턴트 메신저의 계정 정보는 악성코드를 이용해 쉽게 탈취할 수 있고, 메신저와 포털, SNS까지 동일한 계정을 쓸 경우 2차 피해로 이어질 가능성도 높다.

8. 악성코드의 자기 보호 기법 지능화

보안 소프트웨어가 접근하지 않는 영역에서 작동하거나 은폐 및 자기 보호 기법을 보유한 악성코드가 급증할 것으로 전망된다. 지난해 많은 피해를 낳은 콘피커(Conficker), 브레도랩(Bredolab), 팔레보(Palevo), 다오놀(Daonol) 등은 V3를 제외한 일부 백신을 비롯해 일반 응용 프로그램이 접근하지 않는 특정 메모리 영역에서 동작한다. 따라서 감염된 파일을 삭제하는 것만으로는 치료가 끝나지 않는다. 갈수록 악성코드가 감염시키는 대상 파일은 다양해지고 동작하는 위치는 컴퓨터 구조의 더 깊숙한 곳으로 내려가는 추세이다. 따라서 진단/치료 기술은 더 복잡해지고 더 많은 시간과 노력이 투입될 것으로 전망된다.

9. 윈도우7 취약점 공격 증가

윈도우7이 작년 10월 발표된 직후 보안 취약점이 발견됐다. 윈도우7의 보안을 뚫기 위해 악성코드 제작자들은 새로운 기술로 공격할 것으로 보인다. 이는 기존 주요 응용 프로그램인 MS 오피스, 어도비 PDF 등의 애플리케이션 취약점을 이용하는 악성코드 증가와 맥을 같이할 것으로 예상된다.

10. 사회 공학 기법의 정교화

마이클 잭슨 사망과 같은 사회적 이슈가 발생하면 소위 ‘사회 공학 기법’에 기반한 악성코드가 등장한다. 앞으로는 페이스북과 트위터 등 SNS로 유포 경로가 다양해지고, 사용자가 악의적 목적을 인지하지 못하게 정밀해질 것으로 예측된다. 특히 최근 등장한, 인터넷 검색 최적화 기술인 SEO(Search Engine Optimization)를 악용해 검색 결과를 인위적으로 조작하는 기법이 많이 활용될 것으로 보인다.

11. 가짜 백신 확산

악성코드에 감염되었다는 허위 문구를 띄워 비용 결제를 요구하는 가짜 백신이 올해도 확산될 것으로 보인다. 현재 무료 백신이 개인 시장에 대량 제공되고 있지만, 일부 고객들은 이러한 가짜 백신에 현혹되어 허위 진단에 금전적인 비용을 지불하는 문제가 발생할 수 있다.

12. 온라인 게임 해킹 증가

올해도 온라인 게임 해킹이 꾸준히 증가하고, 특히 메모리 해킹과 오토플레이가 급증할 것으로 예상된다. RPG(역할 수행 게임)와 캐주얼 게임, 기능성 게임 등 온라인 게임 종류가 다양해짐에 따라 이를 겨냥한 해킹이 급증할 것으로 보인다.

• 2010년 보안 주요 이슈 10

• 휴대폰도 바이러스 걸린다…모바일 보안 시장 ‘움틀’

• 윈도우7과 스마트폰이 주 공격 대상

지난 ‘2010년 네트워크 주요 이슈 5’에 이어, 이번에는 ‘2010년 보안 주요 이슈 10’을 주제로 다뤄보고자 합니다.

다가오는 2010년 IT 업계, 특히 보안 시장에 있어서는  새로운 변화가 진행되는 한 해가 되지 않을까라고 조심스럽게 전망합니다. 클라우드 컴퓨팅(Cloud Computing), 소셜 미디어, 가상화 기술 등 보안과 네트워크 경계는 계속 허물 것으로 전망되는 반면에, PC 사용자의 동영상 파일들을 감춘 뒤 이를 보고 싶으면 돈을 결제하라고 하는 랜섬웨어(Ransomware)와 CaaS(crime-as-a-service, 서비스로서의 범죄)와 같은 신종 사이버범죄 행위가 기업과 사용자들을 위협할 것으로 예상됩니다.

따라서 보안의 역할은 물리적 위치가 데이터에 얽매이는 컨테이너 중심의 접근 방식에서 데이터와 정보 중심의 지능적인 보안 설계로 옮겨가는 경향이 나타날 것으로 예상됩니다. 또한 기업들은 내외부의 중요한 정보를 보호하기 위해 네트워크 계층보다는, 네트워크 내부적으로 이중화된 보안 포인트를 제공하는 보다 계층화된 중앙집중식 보안 솔루션이 많이 도입되지 않을까 싶습니다.

기업들이  보다 포괄적이고 보다 계층화된 보안  전략을 구축할 수 있도록 포티넷코리아와 함께 <2010년 보안 주요 이슈 10>을 알아봤습니다.

1. 보안  가상화: 가상화 장비  간에서 유입되는 바이러스 감염을 예방하는 것은 서버 가상화에 있어서 필수 불가결한 요소이다.

가상화 환경을 안전하게 보호하는 것은 물리적 경계를 보호하는 것 뿐만 아니라, 가상화 장비 간의 상호작용까지 보장해야 합니다. 새로운 가상화 장비를 통해 보안위협에 노출될 수 있기에 기업들은 기존 가상화 환경에 영향을 미치지 않도록 사전에 전략적인 정책을 수립해야만 합니다. 즉, 보안 정책은 서버 가상화 이동에 따라 움직일 필요가 있습니다.

2. 정보  중심의 보안 정책  수립: 컨테이너 중심의 보안 방식보다는 정보 중심 보안 방식으로 토털 네트워크 인프라를 보호해야 한다.

“네트워크” 개념은 전통적인 LAN을 넘어 분산된 네트워크, 클라우드 기반 네트워크, 소셜 미디어 네트워크, 무선 네트워크, 가상화 네트워크 등을 총 망라하는 개념으로 변하고 있습니다. 이에 데이터는 네트워킹 인프라를 통한 자체적인 보호가 필요하며, 이는 경계보다는 내부 네트워크 혹은 모든 데이터 터치 포인트에 대한 보안 컨트롤에 위치해야 합니다. 따라서 정보중심 보안은 세부화 되고, 지능적인 멀티 계층 보안 접근 방식으로 가장 취약한 포인트를 통해 전체 네트워크를 침해하는 것을 보호해야 합니다.

3. 인텔리전스  클라우드 보안: 클라우드 기반 서비스 도입은 많은 비즈니스 혜택을 주는 반면에 정보 보호에 대한 취약성을 갖고 있다.

클라우드를 안전하게 하는 것은 2010년에 더욱 이슈화 될 것이며, 특히 스토리지 대여, SaaS(software as a service), 가상화와 애플리케이션 호스팅과 같은 서비스를 도입한 기업의 경우는 더욱 그러합니다. 클라우드에 있는 데이터는 잠금 상태로 보호되며, 권한 없는 액세스를 예방하는 주요 방법입니다. 감염된 데이터는 클라우드에서 반드시 제거될 필요는 없지만 이동 시 네트워크로 다시 전달될 수 있다는 것을 명심해야 합니다.

4. 애플리케이션 계층 보안

기업은 점점 직원들이 소셜 미디어 애플리케이션을 더 많이 활용하는 업무 환경을 인식해야 합니다. 이러한 애플리케이션은 항상 수익성을 갖고 있는 게 아니고, 때론 위협요소를 내포하고 있습니다. 최근 소셜네트워크서비스(SNS)인 페이스북과 마이스페이스에 큰 혼란을 유발시켰던 쿱페이스(Koobface)가 대표적인 사례라 할 수 있겠죠. 또한 애플리케이션에 대한 위협은 주요 비즈니스 애플리케이션을 목표로 하고 있으며, 기업은 보다 정교화되고 타깃화 된 공격에 대한 대응책을 마련해야 합니다.

5. 보안과 네트워크 서비스의 통합: 네트워크 장비 통합에 있어 자연스러운 진화는 보안 장비에 네트워크 기능을 통합하는 것이다.

우리는 통합보안시스템(UTM) 장비에서 다중 보안 기능과 네트워크 서비스의 성공적인 통합을 경험한 바 있습니다. 보안 성능이 진화함에 따라, 고객들은 동일한 플랫폼에서 네트워크와 보안 서비스의 컨버전스 혜택을 더 많이 경험했으며, 특히 금융위기 때 이러한 통합 혜택은 더욱 빛을 발했습니다. 나아가 광대역네트워크(WAN) 가속화, 스위칭, VoIP(Voice over IP) 등 다양한 네트워크 서비스 등이 보안 장비에 통합되어 제공될 것으로 기대합니다.

6. CaaS(crime-as-a-service) vs. SaaS(security-as-a-service): 사이버범죄자들은 새로운 SaaS(서비스로서의 보안) 비즈니스 모델을 CaaS(서비스로서의 범죄)로 활용하여 범죄 환경을 조성할 것이다.

대부분의 사람들이 서비스로서의 보안(Security as a Service)에 대해 들어보았을 것입니다. 즉, 기업이 제3의 서비스 제공업체에 아웃소싱해 복잡한 보안 환경 업무로부터 부담을 덜어내는 것입니다. 이러한 접근 방식은 2010년에도 비용 효율성 이슈에 의해 꾸준히 증가할 겁니다. 하지만 사이버 범죄자들은 범죄 시도를 높이고, 정체성을 혼란스럽게 하는 “서비스로서의 범죄 CaaS(서비스로서의 범죄)” 접근이 증가할 것으로 예상됩니다.

7. 스캐어웨어의 새로운 국면: 고객들이 스캐어웨어에 있어 더 현명해짐에 따라 사이버범죄자들은 2010년에 고객들의 디지털 자산을 볼모로 더 늘어날 것으로 예상된다.

가짜 보안 소프트웨어, 혹은 스캐어웨어((scareware)의 높은 수익은 2010년 새로운 보안 트렌드로 자리잡을 겁니다. 스캐어웨어는 제휴 프로그램이 많이 있기 때문에 랜섬웨어(Ransomware)와 같은 도구를 찾기 시작할 것이고, 랜섬웨어는 가치 있는 데이터를 파괴적으로 암호화해 희생자의 장비에 파일화합니다. 최근 공격은 이미 수신자의 편의를 위해 해독법을 보내주고자 멀티미디어메시징시스템(MMS)와 같은 서비스를 활용하는 랜섬웨어의 발달 과정을 나타내고 있습니다.

8. 머니 뮬(돈 옮기는 도구)의 급증: 부주의한 고객은 자기 스스로를 범죄에 쉽게 노출된다.

많은  돈 세탁 도구가 디지털 어둠의 세계에서 현찰을 이동시킬 수 있도록 만들어지고 있습니다. 머니 뮬(Mules)은 때론 결백한 사람들의 커미션을 위해 부패한 돈을 이동시키는데 사용될 수도 있으며, 이런 것이 바로 돈 세탁 도구의 일반적인 예입니다. 사실 사이버 범죄들이 이런 뮬들을 더 많이 사용하고 있기에 주의가 필요합니다.

9. 크로스헤어(Crosshair)의 다중 플랫폼: 새로운 플랫폼 사용자의 증가로 사이버범죄자들은 MS 윈도우를 뛰어넘는 공격을 할 것이다.

보안  위협의 대부분은 아마도 MS 플랫폼에 목적을 두고 있다고 해도 과언이 아닙니다. 이 거대한 사용자 기반의 취약적인 소프트웨어는 최근 윈도우7 출시로 더 큰 공격 기회를 제공하게 됐습니다. 가령, 블랙햇(black hat, 부적절한 방법을 통해서 검색엔진이나 사용자들을 현혹하는 방식) 해커는 이러한 플랫폼에 더욱 집중할 것입니다. 아이폰의 MMS메시지와 같은 모바일 플랫폼과 구성요소에 많은 취약성들이 발견되고 있는 것과 이미 올해 심비안OS와 같은 모바일 플랫폼에 유입된 정교한 악성 코드를 목격한 바 있습니다. 이는 2010년에 분명 다른 보안 위협의 진화 기회로 이어질 것으로 예상됩니다.

10. 합법화로 위장한 봇넷

봇넷이  탐지를 피하기 위해 악의적으로 장비의 혼란을 준 것과 같이, 혼합된 보안 위협은 사이버 범죄자들이 장비에 효과적으로 침투하고 보안 조치를 피하기 위한 매운 효과적인 모델로 증명되어 왔습니다. 2010년에도 봇넷이 진화된 보안 장비의 탐지를 피하기 위한 시도는 계속될 것이며, 이는 합법화된 프로토콜, 커뮤니케이션 암호화, 인증 및 혼란에 대한 피기배킹(piggybacking) 형태로 출현할 것으로 보입니다. 이미 우리는 트위터와 구글에서 봇넷 커뮤니케이션을 경험했듯이, 앞으로 이 범위는 더욱 확대될 것이며 더 나아가 명령을 위장하고 서버 통제까지 할 것으로 전망됩니다.

정보 인프라가 발달되고 수많은 디바이스들이 이런 네트워크에 접속되면서 보안 위협은 갈수록 더욱 커지고 있습니다. 정보의 바다에 몸을 던지는 순간 이에 대한 대비는 필수불가결한 요소가 되고 있습니다. 미리 미리 예방하는 길이 최선의 방법이라는 말을 다시 한번 할 수밖에 없네요.

리버스 엔지니어링은 장치 또는 시스템의 기술적인 원리를 그 구조분석을 통해 발견하는 과정을 칭하며, 소프트웨어의 취약점 분석이나 악성코드 분석 등에 사용된다.

‘해커스 드림 2009′는 국제 해킹/보안 컨퍼런스인 ‘POC(Power of Community) 2009′의 가장 큰 행사 중 하나로, 기존 공격과 방어로 이루어지는 해킹대회와는 달리 바이러스와 스파이웨어 등 악성코드의 분석에 필요한 윈도우 바이너리 분석 능력과 리눅스 바이너리 분석 능력을 겨루는 것이 특징이다. 안연구소는 각 분야의 전문가들로 조직위원회를 구성해 문제 출제에서부터 심사까지 대회를 진행한다.

정보보안에 관심있는 누구나 개인과 팀으로 참여할 수 있으며, 팀원의 제한은 없다. 대회 웹사이트(http://www.powerofcommunity.net/event.html)에서 문제를 다운로드 받아 분석 보고서를 작성한 후, 오는 13일까지 이메일(master@ahnlab.com)으로 제출하면 된다. 결과 발표는 16일 대회 홈페이지를 통해 발표될 예정이다.

특히, 이번 대회는 지난 7.7 분산서비스거부(DDoS) 공격에서 나타났듯 짧은 시간 내 정확한 분석을 통해 신속한 대응책을 마련하는 것이 중요해졌기 때문에, 이에 대한 변별력을 높이기 위해 문제 분석시간과 보고서 제출 시한을 축소했다.

심사는 안연구소의 보안전문가와 POC2009 주최자로 구성된 전문 심사위원들이 분석 보고서를 기준으로 평가한다. 평가 항목은 새로운 기술 접목 또는 색다른 방식으로 문제를 푸는 창의성, 분석 능력과 분석 기술에 대한 이해도, 여러 형태의 문제를 얼마나 빨리 정확하게 많이 풀었는지에 대한 정확성, 결과 보고서의 체계성과 명료성, 표현 능력 등을 종합 평가하며, 이를 바탕으로 상위 3개 팀을 최종 선정할 예정이다.

이번 대회 우승자에게는 상장과 상패와 함께 국제 해킹/보안 컨퍼런스 ‘POC2009′에서 해당 분석 기술 발표 기회가 주어지며, 2,3위 입상자는 POC2009 참가 티켓과 만찬 참여기회가 주어진다. ‘해커스 드림 2009′는 정보보안 전문가로서 순수한 해커정신을 바탕으로 자신들의 실력을 겨루고 물질적 보상 보다는 최고 정보보안 전문가로서의 명예를 추구하고 있다.

조시행 안철수연구소 시큐리티대응센터 상무는 “이번 ‘해커스 드림’대회는 점점 지능화, 복잡화 되고 있는 악성코드 및 보안 위협에 대한 신속한 대응 능력과 정보보호 분야에서 종합적인 분석 기술력을 겨루는 대회이다. 이번 대회를 통해 순수해커들을 양지로 끌어올리고, 보안전문가로 육성할 수 있는 저변을 마련할 것으로 기대한다”고 말했다.

한편, 국제 해킹/보안 컨퍼런스인 ‘POC2009′(http://www.powerofcommunity.net/home.html)는 단순한 보안정책 토론이나 형식적인 이론 토론에서 벗어나 실전 해킹과 실전 보안을 다루는 순수 비영리 컨퍼런스이다. 11월 5 ~ 6일 이틀간 서울 양재동 서울교육문화회관에서 열리는 ‘POC2009′에는 미국, 중국, 독일, 스페인, 한국 등 전세계 내로라하는 해커들이 국내외 아직 공개되지 않은 보안 취약점들과 스마트 카드 해킹, 인공위성 해킹, 곧 출시될 Windows 7 공격법, 국내 인터넷 전화 공격법, 그리고 7.7 DDoS 공격에 사용된 공격 소스 분석과 역공격 방법에 대해 발표를 할 예정이다.