콘텐츠로 건너뛰기
Home » 20090708 :: DDOS 공격에 대한 국정원의 쇼

20090708 :: DDOS 공격에 대한 국정원의 쇼

푸훗 777 테러라구요?

병원에서 ‘절대 안정’이 필요하다는 진단을 받고 절대 안정을 취하며 하루 종일 잠만 자다보니 세상이 DDos 공격 때문에 시끌 시끌하다는 사실을 조금 전에야 알았습니다. 그러니까 청와대를 비롯한 몇 몇 국가 기관 사이트며 네이버, 옥션 등의 대형 사이트들이 일시에 DDos 공격을 받아 맛이 간 모양입니다. 아마 이번 공격에 동원된 좀비 PC는 만 단위의 대형 공격일 수 있겠다는 생각이 듭니다. 우선 가장 먼저 떠오르는 단어는 ActiveX입니다. 전국에서 사용되는 많은 PC들의 가장 주된 용도는 인터넷일 것이고 ‘IT 강국인 대한민국의 인터넷 환경 특성상'(그리고 이를 아무도 ‘낙후성’이라고는 말하지 않는 것이 조금 신기합니다.) ActiveX를 거부감 없이 무의식적으로 설치하는 ‘좀비’ 사용자들이 대다수인데, 그깟 DDos 클라이언트 하나 심는게 대수로운 일이겠습니까?
그런데 뭔가 좀 다르다고 합니다. 보통 DDos 공격은 돈을 목적으로 ‘돈 안 내 놓음 자꾸 쏴서 너네 서버 죽여버린다’는 협박으로 이어지는데, 이번 공격은 그런 것도 없다고 하네요. 그냥 묻지마 공격이라고 합니다. 게다가 개별 좀비 PC에 설치된 악성코드는 새로운 호스트 목록을 내려 받아서 2차 공격을 감행하는 등 거의 자동으로 작동하는 폭탄 같은 느낌입니다. 그런데 그렇다고 이걸 ‘테러’라고 명명하더니 국정원은 급기야 “사이버 테러의 배후가 북한이다”라고 의견을 내 놓은 것아 파장을 일으키고 있습니다.
그런데,

다만 국정원은 배후에 북한 내지는 종북세력이 있다는 판단 근거를 제시하지는 않았다.

라고 하는군요.
테러는 이미 전세계적으로 ‘범죄’로 규정되어 있으며, 어떠한 형태든지 저지르는 주체의 이익을 대변하는 것으로 보여집니다. 911 테러 당시에도 그렇게 의혹을 많이 샀던 부분은 테러가 발생했음에도 ‘우리가 했다. 너네 우리 요구를 안 들어주면 좀 더 각오해야 할거야’라고 나서서 주장하는 곳이 한 군데도 없었다는 점입니다.
그런데 국정원은 이런 사이버테러에 북한 내지는 종북 세력이 배후에 있다라고 ‘근거도 없이’ 주장해서 사회적 혼란을 야기하고 있습니다. 인터넷 사이트는 사실 공공 기관을 제외하면 거의 대부분이 특정 서비스에 대한 대체 서비스가 있습니다. 이메일을 보내려는데 네이버가 죽었다면 다음 메일, 야후 메일, 파란 메일….등등을 쓰면 됩니다. 공공 기관 홈페이지에서 뭔가 확인하고 싶은데 서비스가 죽었다면 네이버 지식인이나 다른 검색 서비스를 통하면 왠만한 정보는 찾을 수 있을 겁니다. 이번 공격이 공공 기관 대상을 중심으로 한 성격이라서 실제적으로 불편을 겪은 사람은 좀 많이 있을지 모르지만 치명적인 손실을 입은 곳은 옥션을 제외하고는 별로 없을 거라고 보여집니다. 사실, 공공 기관 홈페이지들 거의 방치된채로 걸려있는 곳은 또 얼마나 많았습니까?
그럼에도 국정원은 북한을 거들먹 거리면서 이것은 사이버 테러다는 식으로 여론을 호도하고 있습니다. 이러한 상황에서 테러법 등의 법안 통과를 위한 언론 플레이가 아니냐는 지적도 많이 나오고 있으며, 상황이 이렇게 흘러간다면 이러한 ‘사이버테러’ 사태로 가장 큰 정치적 이익을 보는 것은 국정원과 정부가 아닐까요? 만약 북한에서 사이버 테러를 한다고 하면 이런 ‘곁가지’ 혹은 ‘껍데기’를 공격하지는 않을 듯 합니다. 제대로 기간망을 건드려서 전자적으로 관리되는 사회 인프라를 무력화 시켜 버리거나 아니면 조용히 침투하여 군사 기밀 같은 걸 빼내간다면 모를까요. 차라리 이번 공격의 주체는 제가 보기에는 반한 감정 충만한 중국 해커나 일본 해커가 아닐까 하는 생각도 있으며, 좀 극단적으로는 국정원이 벌인 자작극이 아닐까하는 생각도 듭니다.

어떻게 이 지경이 됐을까?

그럼 수많은 좀비 PC를 양산에서 한 방에 몰아붙이는 이번 공격은 어떻게 준비되었을까 한 번 생각해 보도록 하겠습니다. 아마 첫 번째 타겟은 신문사 홈페이지가 아닐까 생각합니다. 실제로 지금도 많은 신문사/ 영화잡지사의 홈페이지는 파이어폭스나 구글 크롬으로 접근을 시도하면 악성 코드를 배포하는 곳으로 판별되어 접근이 차단됩니다. (물론 위험을 기꺼이 감수하겠다면 접근은 가능합니다.) 게다가 네이버에서도 기사를 가져오지 않고 해당 언론사의 페이지로 링크만 제공하면서 언론사의 홈페이지 트래픽은 네이버 뉴스 서비스 개편 이후 폭등 했을 것으로 생각됩니다.
이곳에 몰래 설치되는 혹은 대놓고 설치되는 악성 코드를 파일 이름만 그럴싸 하게 바꿔서 심어 놓으면 안 그래도 ‘무조건 설치’에 길들여진 사용자들은 ‘믿을만한 언론사가 제공하는’ 프로그램이라 생각하고 냅따 설치했을 겁니다. 배포를 쉽게 하기 위해서는 그냥 보안 취약점을 통해서 몰래 설치되는 방법도 있겠지요. 전체 PC 사용자의 절반 이상이 ‘윈도우즈 업데이트’가 뭔지 모를 것은 제 개인적인 생각이지만 거의 확실하다고 믿으므로 그냥 그렇다고 하겠습니다. 그럼 ‘해당 언론사’ (이렇게 썼다고 해서 꼭 그 조선 일보를 말하는 건 절대로 아닙니다) 에서 퍼진 악성코드는 매우 손쉽게 좀비 PC들을 양산해 내기 시작합니다. 솔직히 네이버 메인에서 링크되는 페이지의 일일 페이지뷰는 엄청난 수준이므로 (저는 네이버 메인에 걸린 오픈 캐스트에서 2차로 링크된 적이 있었는데 그날 트래픽 폭탄을 맞았더랬습니다.) 그 중 20%만 감염된다 하더라도 단 일주일이면 수 만대 감염시키는 건 문제도 아니겠지요. 더군다나 언론사 홈페이지들 보안 허술한 건 어제 오늘의 일도 아니니까요.
여기까지 왔으면 그 이후는 정말 ‘누구도 막을 수 없는’ 상황이 되는 겁니다.

그럼 예방할 수는 있나?

네 예방할 수는 있습니다. 이러한 공공의 위협을 획기적으로 줄일 수 있는 방법은 분명히 존재합니다. 문제가 무엇인지 파악만한다면 왜 못 막겠습니까? 이번 공격에서 가장 큰 보안의 구멍은 바로 ‘사람’입니다. 어찌되었든 악성코드에 감염된다면 그 1차적인 책임은 사용자에게 있으니까요. 그런데 그게 꼭 사용자만 탓할 수는 없습니다. 그저 개발 편의를 위해서 ActiveX를 강제해 온 이 땅의 인터넷 관련 기업 모두가 책임을 느껴야 합니다. 그래서 이러한 문제를 바로잡기 위해서는 사람들의 인식을 바꾸어야 하고 그만큼 비용과 시간이 많이 깨질 것도 각오는 해야 합니다. 하지만 우리의 삶에서 점점 더 ‘네트워크’에 대한 의존도가 커지는 지금의 추세에 비추어 볼 때, 이러한 조치는 반드시 필요하며 더 이상 미루어서도 안된다고 생각합니다. 그래서 아래에 몇 가지 방법을 제시하고자 합니다.

  • 이제는 ‘보안 취약점’ 이상의 의미를 가지지 못하는 ActiveX를 더 이상 서비스에서 사용하지 못하도록 권장하거나 금지하는 방안을 강구해야 합니다.
  • 굳이 그래도 써야겠다고 한다면 무조건 설치하라는 식으로 안내를 못하도록 해야합니다. 이것은 서비스 제공 업체의 기본적인 상도의입니다.
  • 은행 업무와 같이 중요 개인정보를 다룬다면 웹UI를 사용하는 서비스는 전면적으로 전용 클라이언트로 대치해야 합니다. https 등의 기술을 ‘금새 뚫린다’며 우습게 생각하시는 현업 종사사 분들이 꽤 많으심을 지난 번 오픈웹 사건에서 알 수 있었는데요, 그런 분들이 만드신 서비스에서 왜 제 통장 잔고를 확인하는 화면은 그냥 평문통신(http)으로 전송되나요? 모든 정보의 송수신이 완벽하게 암호화되는 전용 클라이언트를 만들어 설치하면 중간에 뚫릴 위험은 1/10000 수준으로 줄어듭니다.
  • 인터넷 이용시 ‘뭐가 뭔지 잘 모르는 사용자가 아무거나 설치하는 것이 얼마나 위험한지’에 대한 교육을 강화해야 합니다. 그냥 아무거나 막 설치했을 때의 결과요? 오늘 보셨잖습니까.
  • 인터넷 익스플로러 IE6의 점유율을 낮추고 다른 브라우저를 사용하도록 적극적으로 권고하는 대대적인 캠페인이 필요합니다. 인터넷 익스플로러 8 하다못해 7버전이나 파이어폭스, 구글 크롬, 사파리, 오페라와 같은 훨씬 안전한 브라우저를 사용하도록 해야 합니다. 그러면 서비스 업체, ISP 업체가 짊어져야하는 보안의 책임과 그에 따르는 비용을 획기적으로 줄일 수 있습니다. 이런 거 왜 안하는 지 모르겠습니다. 혹시 ‘보안 구멍’이 자주 출몰해야 장사가 되는 업체들 때문일까요?
  • 유료 혹은 무료로 배포되는 본격 안티 바이러스 및 개인 방화벽 소프트웨어 사용을 적극 권장하고 홍보해야 합니다.
  • 주요 포털에서도 윈도우즈 보안 업데이트를 배포하거나 다운로드 받도록 안내하고 교육하는 장치가 필요합니다.
  • 위의 이 모든 조치와 더불어 인터넷이 얼마나 악성코드와 바이러스로 점철된 위험한 공간인지 알려주는 것이 중요합니다. 윈도XP SP2 버전을 네트워크 케이블이 연결된 상태로 PC에 설치한 후 설치 이후의 인터넷 접속이나 기타 프로그램 실행등의 동작을 시연하여 상태가 어떤지, 그리고 이 때 안티 바이러스 스캔을 시행하면 ‘갓 깔린 따끈한 윈도우’가 얼마나 엉망진창이 되어 있는지에 대한 홍보 동영상이라도 하나 만들어서 뿌려본다면 교육 효과 만빵일 것 같은데요. (이런 걸 서바이벌 타임이라고 한다죠. 윈도우XP SP2의 서바이벌 타임은 15초 가량인 것으로 알고 있습니다. 즉 백신이나 별도의 방화벽이 없는 상황에서 온라인된 채로 XP를 설치하면 설치가 완료되기도 전에 바이러스 및 악성코드에 감염된다는 말입니다)