[ET단상] 민관, DDoS 테러에서 교훈을 찾자

[ET단상] 민관, DDoS 테러에서 교훈을 찾자

 청와대와 국방부 등 주요 국가기관과 은행, 포털 사이트가 DDoS 공격으로 홈페이지가 마비되는 초유의 상황이 벌어졌다. 이는 7일 하루에 끝나지 않고 8일까지 이어졌다. 앞으로 무슨 일이 일어날지 장담할 수 없는 상황에 이른 것이다.

 지금까지 DDoS 공격은 대개 돈을 목적으로 이뤄졌다. 특정 업체, 예를 들면 게임 아이템 거래업체라든지 성인용 사이트 등 공개적으로 수사를 의뢰하기 곤란한 업체를 대상으로 DDoS 공격을 가하고 돈을 요구하는 경우가 대부분이었다. 그러나 이번에 벌어진 DDoS 공격은 사회적 공공재 테러 성격을 띠고 있다.

 그 이유는 첫째, 금전적 목적을 찾아보기 어렵다. 둘째, 우리나라 최대의 포털 업체인 네이버를 공격하면서 메인 페이지가 아닌 메일을 공격했다. 이는 최대 포털인 네이버를 이용해 DDoS 공격 자체를 널리 홍보하려는 목적을 가진 것으로 보인다. 셋째, 공공기관을 공격하면서 업무가 끝난 시간인 오후 6시를 골라 공격을 개시했다. 즉, 업무 마비가 목적이라기보다는 공격을 감행했다는 사실을 널리 알리려고 했다고 해석하는 것이 옳다. 넷째, 지속적으로 공격을 감행하는 것이 아니라 일차 공격을 한 다음, 일단 중지했다가 다음 날 같은 시간대에 재차 공격을 감행했다. 이것 역시 전형적인 테러리즘의 수법이다. 다섯째, 2차 공격에서 안철수연구소, 알약 등의 보안 업체의 홈페이지를 대상에 포함시켰다. 즉, 자기 자신의 실력을 널리 알리고자 하는 해커의 자만심이 바탕에 깔려 있다. 이것 역시 테러리즘의 한 속성이다.

 DDoS 공격의 전형적인 수법은 인터넷에 연결돼 있는 다수의 PC를 악용해 공격 대상에 수천만건의 접속이 가도록 하는 것이다. 이 명령을 내리는 서버를 찾아내 작업을 중단시키면 DDoS 공격은 중단된다. 누가 이 서버를 조작했는지 밝혀내면 범인을 체포할 수도 있다.

 그러나 이번 공격은 이와는 방식이 다르다. 테러리즘에 기초한 공격은 자신이 추적당할 수 있는 흔적을 남기는 것을 극도로 꺼리기 때문에 제어 서버를 이용한 방식이 아니라 아예 바이러스 프로그램 내부에 공격 일시와 공격 대상을 프로그램해서 넣는다.

 이번 일을 계획한 해커는 특정 일시와 대상 서버에 접속하라는 비밀 명령이 담긴 악성코드를 제작했다. 국내에서 널리 사용되는 백신 프로그램이 이 악성코드를 낮아낼 수 있는지도 확인했을 것이다.

 이제 남은 과제는 효과적인 사이버테러 대책 마련이다. DDoS 공격 대책은 몇 가지가 있다. 첫째, 가상 서버를 진짜 서버 앞에 두고 외부로부터 들어오는 연결 요청을 처리하는 방법이다. 둘째, 동일 IP로부터 동시에 연결 요청이 들어올 때 무시하는 기능을 서버 앞에 두는 방법이다. 첫 번째와 두 번째 방법은 DDoS 방지 장비다.

 셋째, 감염된 PC의 IP주소 데이터베이스를 이용, 연결 요청이 들어올 때 아예 무시하거나 사용자의 확인을 거치는 방법이다. 이 방법은 비용이 적게 든다는 장점이 있지만 좀비 PC의 IP주소 데이터베이스가 완비돼 있어야 사용할 수 있다는 제약이 있다. 이런 솔루션도 시장에 출시돼 있지만 사용하는 기관이나 회사는 거의 전무한 형편이다.

 방법이 있으면 이를 적용해야 한다. 사후약방문이라도 좋으니 앞으로 같은 피해가 일어나지 않도록 민관이 힘을 모아야 할 시기다.

황건순 이월리서치 부사장 jazz@ewall.co.kr