[구윤희기자] 자라보고 놀란 가슴, 솥뚜껑 보고 놀란다고 했던가.
한달 전 일어난 3·4 디도스 공격은 공격 타깃 기업과 관련부처 및 업계를 긴장하게 만들었다. 2009년 7·7 디도스 대란의 악몽이 되살아났기 때문이다.
언론에서는 시시각각 디도스 피해현황과 좀비PC 감염 수치 등을 보도했고 한국인터넷진흥원과 방송통신위원회, 보안 기업들도 대책 마련에 착수했다. 요란한(?) 대응 덕에 3·4 디도스가 큰 피해를 남기지 못했다는 분석이 다수다.
최근 '악성코드, 그리고 분석가들'을 출간하며 악성코드 대응 현장을 그려낸 안철수연구소(대표 김홍선)의 이상철 팀장은 아이뉴스24와의 인터뷰에서 "3월 3일 밤부터 이상 징후가 포착됐다"고 한달 전을 회상했다.
3월 3일 밤, 안철수연구소의 라이트 DB 실시간 모니터링에 디도스 증후로 보이는 정보들이 관찰되기 시작했다. 다음날 새벽, 대응센터에서 악성코드 샘플을 수집해 분석에 들어갔고 결과는 디도스 공격을 위한 악성코드였다.
이상철 팀장은 "공격자 입장에서는 당황할 속도였다. 2009년처럼 1주일 정도는 파악을 못할 것이라고 가정하고 개인PC 파괴 시점도 1주일 정도로 잡은 것"이라며 "대응 속도가 최소 5배 이상 빨랐다"고 설명했다.
이 팀장은 "2009년에는 DB의 모든 정보를 모니터링하는 형식이 아니었기 때문에 파악하는 시간이 오래 걸렸지만 지금은 의심가는 파일은 바로 수집해 변종인지 확인할 수 있어 바로 V3 엔진에 반영한다"고 말했다. 그는 "취약하다고 판단된 사이트 8~9개를 동시에 모니터링하니까 공격자들이 당황했을 것"이라고 덧붙였다.
하지만 공격자들도 가만히 있지 않았다. 이 팀장은 "당시 눈에 띄는 첫 공격으로 알려진 4일 오전 10시 공격은 실제로는 두번째 공격이었다. 처음 발견된 악성코드의 공격 시점은 4일 오후 6시반이었기 때문"이라고 말했다. 오후 6시반 공격을 파악당한 공격자들이 급히 명령어를 바꿔 오전 10시 공격을 감행한 것이다.
그는 "보통 디도스 공격 시간대는 예측 가능한 것이 일반적인데 갑자기 그 앞 단으로 공격 시간대가 바뀌었다. 시나리오가 바뀐 것을 파악했기 때문에 우리도 더 많이 샘플을 수집하고 끊임 없이 분석을 하게 됐다"며 당시의 '속도전'을 전했다.
결국 공격자들은 타깃 웹사이트에서 이렇다할 성과(?)를 내지 못했고 본인들이 감염시킨 좀비PC들을 서둘러 파괴하는 등 일주일 가량 개인 PC를 괴롭히다 사라져 갔다.
◆3·4 디도스 밤새워 막아낸 '보안 전문가들'
큰 피해가 없었다는 데는 이견이 없지만 디도스 방어 솔루션이나 트래픽 분산 등 기기의 힘만은 아니었다. '속도전'에 밀리지 않았던 배경에는 밤을 새워 악성코드 동향을 분석한 보안 전문가들이 있었다.
3·4 디도스 '방어 전선'을 구축했던 이상철 팀장은 "거의 일주일 정도 뜬 눈으로 밤을 새웠다. 프로정신이 있기 때문에 가능한 일"이라면서 "사용자들이 악성코드로 인해 피해를 입고 괴로워하는 모습을 떠올리면 힘들다는 것을 고민할 겨를조차 없다"고 말했다.
이 팀장은 드러나지 않는 곳에서 애쓰는 동료들의 모습을 담은 '악성코드, 그리고 분석가들'을 출간하기도 했다. 2003년 보안전문가의 길에 들어서 8년 동안 악성코드와 벌인 사투를 담아냈다.
그는 "보안전문가를 꿈꾸는 사람들에게 나침반 역할을 할 수 있길 바라는 마음에서 책을 쓰게 됐다"면서 "보안전문가가 되려면 관련 공부도 열심히 해야 하지만 '꿈'을 잃지 않고 스스로 길을 개척해 나가는 것이 중요하다"고 말했다.
디도스 대량 공격이 발생했을 때 밤을 샐 수 있는 엔돌핀의 근원이 바로 보안전문가로서의 '꿈'과 '열정'이라고 강조했다.
이 팀장은 "꿈을 꾸면 HOW TO는 저절로 해결된다"면서 "내 주위 소중한 사람들을 악성코드로부터 지키겠다는 마음과 프로정신을 합치면 훌륭한 전문가가 될 수 있을 것"이라고 조언했다.
구윤희기자 yuni@inews24.com
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기