10.26 서울시장 재보궐선거 당일 발생했던 중앙선거관리위원회 홈페이지를 대상으로 한 분산서비스거부(DDoS) 공격 후폭풍이 갈수록 커지고 있습니다.

선관위 홈페이지에 DDoS 공격을 벌인 주범으로 최구식 한나라당 의원의 수행비서 공씨 등 4명이 지난 2일 경찰에 검거, 구속되면서 한나라당의 조직적 개입 의혹이 커지고 있기 때문인데요.

쟁점 중 하나는 공씨가 과연 단독으로 범행을 계획했을 것이냐는 의문입니다. 팟캐스트 ‘나는 꼼수다’에서는 선거 직후부터 이번 공격이 박원순 당시 후보 지지성향이 강했던 20~40대 투표율을 낮추기 위한 의도로 일을 벌였고, 이를 은폐하기 위해 DDoS 공격을 벌였다는 의혹을 제기해 왔습니다.

선거 당일 선관위 홈페이지 접속 장애가 DDoS로 인한 서비스 자체의 접속 장애 원인이 아니라 내부 DB(데이터베이스)의 연동이 끊어져 투표소 검색을 막았다는 것입니다. 선관위 개입 가능성까지 제기하면서 선관위를 대상으로 “로그파일을 공개하면 의혹이 풀릴 것”이라고 압박하고 있습니다.

경찰 발표 이후 민주당에서도 사건의 성격과 규모, 소요되는 막대한 자금을 감안할 때선거에 유리하게 작용하기 위해 조직적으로 벌인 것 아니냐는 의혹을 제기하고 있습니다.

이날 경찰은 최 의원의 9급 비서관인 공씨가 주범으로, 평소 잘 알고 지내던 같은 고향 출신 후배인 강씨에게 공격을 지시했고, 강씨는 자신이 운영 중인 홈페이지 제작업체 직원 김씨와 황씨와 함께 공격을 수행한 것으로 파악했다고 밝혔습니다. <관련기사 10·26 선관위 홈페이지 DDoS 공격 주범은 한나라당 의원실 직원>

공씨가 저지른 단독 범행인지, 정치적 의도를 가진 계획적 범죄인지 여부는 알 수 없지만 의혹이 갈수록 중폭되고 있는 것은 사실입니다. 

경찰에 따르면, 이들은 지난달 26일 오전 보궐선거일 당일에 200여대의 좀비PC를 동원해 초당 263MB 용량의 트래픽 공격을 가했습니다.

선관위 홈페이지는 지난달 26일 오전 6시15분부터 8시32분까지 2시간이 넘게 공격을 당해 마비되자, KT의 사이버대피소로 옮겨 서비스를 정상화했습니다.

주말 사이에 선관위 홈페이지를 공격한 좀비PC 수가 당초 알려진 200여대가 아닌 1500여대라는 언론 보도가 나오면서 이젠 ‘경찰 말바꾸기’ 논란도 벌어지고 있는데요. 뭔가 숨기기 위해 말을 바꾼 것처럼 해석되고도 있는 상황입니다. 

경찰청 사이버테러대응센터측은 명백히 “오보”라며 곤혹스러워 하고 있습니다. 센터 관계자는 5일 “좀비PC 규모는 당초 발표했던 200여대가 맞다”며, “예를 들어 설명하는 과정에서 오해한 것 같다”고 말했습니다.

선관위 책임도 있습니다. 선관위에서 밝힌 DDoS 공격 규모와 KT에서 집계한 규모가 다르다는 점 때문인데요.

사용자 삽입 이미지

KT 관계자는 “이번 DDoS는 대역폭 공격”이라며, “선관위에서 밝힌 공격 트래픽 규모는 전체 트래픽 규모이며, 실제 공격 트래픽은 2Gbps 가량의 규모였다”고 설명했습니다.

또한 좀비PC 규모 역시 경찰이 밝힌 200여대로 파악하고 있다고 합니다.

DDoS 방어 장비를 구축한 업체는 “350Mbps 정도의 용량을 사용했던 KT 회선에 트래픽이 260M 이상이 넘어가면서 과부하가 발생하자, 이를 KT 우회서비스로 돌린 것”이라며, “DDoS 방어 장비는 1G급이 설치돼 있어 전혀 문제가 없었다”고 말했습니다.

선관위는 KT 2회선, LG유플러스 1회선을 사용하고 있습니다.

이들 말대로라면 직접적으로 선관위 홈페이지에서 나타난 접속 장애는 인터넷 회선 용량 초과가 핵심 원인이라고 볼 수 있습니다. 홈페이지에서 사용했던 회선이 트래픽을 수용할 수 없었기 때문에 서비스가 원활하지 못했던 것입니다.  

이후 선관위는 사용하는 인터넷 회선 용량을 1G 이상으로 늘렸다고 하는데요. DDoS 공격이 벌어졌던 것 외에도 선관위의 선거 당일 트래픽 예측이 어긋났던 것도 문제의 원인이 될 수 있다고 보입니다.

IT 보안의 관점에서 보자면, 이번 사건은 얼마든지 취약한 PC를 악성코드에 감염시키고, 감염시켜 조종할 수 있는 좀비PC를 확보해 DDoS 공격을 벌일 수 있는 현실을 보여줍니다. 마음을 먹고 돈만 있다면 얼마든지 사이버범죄를 저지를 수 있는 환경이 됐습니다.

그 이유로 보안 전문가들은 ‘악성프로그램 확산 방지 등에 관한 법률(일명 좀비PC방지법)’ 제정의 필요성을 다시 지적하고 있습니다. 또 정부기관의 DDoS 등 위협 대응체계가 실질적으로 작동될 수 있도록 구축돼 있는지도 재점검해 봐야 할 것 같습니다.

DDoS 공격이 다양하게 활용되고 있다는 점을 보여준다는 점에서도 주목됩니다. DDoS는 경쟁사 사이트의 서비스 방해나 보복성 공격, 금전을 노린 협박성 범죄뿐만 아니라 정치적인 목적을 달성하기 위해서도 얼마든지 활용될 수 있는 공격 수단입니다. 핵티비즘이라고 불리우지요.

그동안 정치적인 불만을 갖고 많은 사람들이 시간을 정해놓고 특정 홈페이지를 대상으로 한꺼번에 접속해 서비스를 중지시켰던 사례는 많이 있었습니다. 이 역시도 일종의 핵티비즘, DDoS 공격이라고 할 수 있습니다.

이번 사건은 정치적으로 아주 중대한 사안이고 반드시 한 점 의혹 없이 진실이 규명돼야 할 것입니다. 여기에 더해 한번의 보안 투자가 아니라 보안수준 향상과 국가 전반의 보안인식 강화 노력이 지속적으로 이뤄져야 한다는 점에서도 교훈을 찾을 부분이 있다고 생각됩니다.

(참고로 선관위는 지난 2009년 7.7 DDoS 공격 이후 행정안전부 주축으로 추진했던 범정부 DDoS 대응체계 구축 사업을 통해 DDoS 대응체계를 적용했습니다.)


 

2011/12/05 19:25 2011/12/05 19:25
작년에 발생한 7.7 분산서비스거부(DDoS) 공격이 원래는 미국 정부기관을 대상으로 했다가 성공을 거두지 못해 한국으로 공격대상을 바꾼 것이란 분석이 나왔습니다.

이미 공격을 겪은 이후인 지금 시점에선 크게 의미는 없지만, 색다른 분석이어서 포스팅해봅니다.


헤럴드 프로콥 아카마이 수석 엔지니어 부사장은 7일 국내 출시한 아카마이 클라우드 보안 서비스(관심있는 분은 여기로)를 소개하기 위해 가진 기자간담회에서 작년에 미국에서 발생한 7.4 DDoS 공격 분석결과와 대응과정을 소개했습니다.


그 과정에서 프로콥 부사장은 “미국 정부사이트를 대상으로 공격을 벌였지만 아카마이가 철저히 방어해 결국 포기하고, 한국으로 대상을 옮겨 공격한 것”이라고 말했습니다.


개인적으로 스스로 자사의 분산형 네트워크 구조를 기반으로 한 보안 서비스가 DDoS 공격 대응에 탁월하다는 점을 강조하려다보니 과한 분석을 내놓지 않았나 싶은데요.  


이미 다들 알고 있다시피, 작년 7월 7일 오후 6시 40분쯤에 우리나라 주요 웹사이트를 대상으로 공격이 일어나기 이전에 미국의 독립기념일인 7월 4일에 미국 정부기관 등의 사이트를 대상으로 공격이 시작된 것은 맞습니다.


아카마이 분석에 따르면, 7월 4일 오후 2시에 아카마이의 네트워크 운영센터에서 경보가 발생했고, 오후 4시에 공격자 근원지를 발견했습니다. 그 이후 급속도로 트래픽이 증가해 평상시의 598배인 124Gbps에 달했다고 하는데요.


아카마이는 앞서 두시간 진행된 공격은 테스트였다고 보고 있습니다. 


공격 트래픽은 4시간 만에 100Gbps 이상 올라갈 정도로 빠르고 규모도 컸으며, 3일 동안 방식을 바꿔가면서 공격이 이뤄졌다고 합니다.


이 정도의 공격규모라면 정상 서비스를 유지하기 위해선 2500대의 백업 서버가 필요한 수준이라네요.


제대로 공격이 통하지 않자 7월 5일에는 공격 방식을 바꾸면서 트래픽이 낮아졌다고 합니다.


공격 IP의 90% 이상이 한국의 IP로 들어온 것으로 분석됐답니다. 우리나라의 많은 사용자 PC가 봇에 감염돼 공격에 악용된 좀비PC였기 때문입니다.


아카마이가 공격진원지도 분석하고 있는지를 물어봤는데요.
프로콥 부사장은 “공격근원지(IP)는 한국이지만, 그 배후에 누가 있는지는 모른다”며, “실제 공격근원이 한국에 있을 가능성은 낮은데, 한국은 고대역폭의 광대역망이 잘 갖춰져 있어 한국에 있는 PC를 이용한 것”이라고 설명했습니다.

한국의 7.7 DDoS 공격이 발생한 원인과 관련해 아카마이의 분석이 맞는지 아닌지, 아무도 모릅니다. 그럴 수도 있고, 아닐 수도 있겠죠.


한국 사이트 대상 공격 이전에 백악관 등 미국의 주요기관 사이트를 대상으로 먼저 공격이 있었다는 점에서는 개연성이 아예 없다고 볼 수는 없습니다. 


그런데 한국인터넷진흥원(KISA)과 우리 정부는 우리나라 주요사이트 22개를 대상으로 7월 7일부터 3일 간 공격이 발생하던 같은 기간에 14개 미국 사이트를 대상으로 공격이 계속 있었다고 분석하고 있는데요. 이 분석과는 배치됩니다. 


아카마이의 분석을 토대로 짧게 생각해보면, 만일 공격자가 미국을 대상으로 한 공격에서 큰 효과를 봤다면 우리나라의 7.7 DDoS 공격은 없었을 수도 있겠습니다만... 사실 이런 가정은 큰 의미는 없습니다.


혹시 그랬다 하더라도 이후 언제라도 DDoS 공격은 발생할 수 있을테니 말입니다. 


작년 7.7 DDoS 공격을 누가했는지, 왜 했는지
아직도 오리무중입니다. 

국가정보원에서는 공격진원지를 북한을 지목했는데요, 이 때문에 논란도 많았습니다. 많은 분들이 심증을 갖고 있을 지는 모르겠는데요, 우리정부나 미국정부도 아직까진 공격배후에 관해선 ‘공식적으로’ 밝힌 바는 없습니다.



2010/09/08 18:17 2010/09/08 18:17

방송통신위원회가 국민의 정보보호 인식제고를 위해 정보보호 홍보 TV방송을 시작합니다.

작년 7.7 분산서비스거부(DDoS) 공격 사태를 거치면서 이용자들의 PC보안 인식과 보안생활화가 아주 중요하게 부각된 것이 계기가 됐습니다.

이번 7월에도 작년에 치료되지 않은 좀비PC가 주요 국가기관, 은행, 포털 등의 웹사이트에 DDoS 공격을 가했었죠. 

방송통신위원회는 지상파 TV(KBS, MBC, SBS)와 보도전문채널(YTN, MBN)을 통해 평시엔 사이버침해 유형, 안전한 PC 이용방법, 악성코드 감염 방지 요령 등 정보보호 실천수칙을, 비상시에는 사이버침해 관련 상황과 대국민 행동요령을 신속히 전파한다는 계획입니다.

우선은 정보보호의 중요성을 알리기 위한 캠페인방송, 시사/교양정보 프로그램, 다큐멘터리 등의 형태로 시작될 예정입니다. 

원래는 TV 뉴스에서 제공하는 일기예보처럼 매일 국민들이 알아야 하는 정보보호 동향이나 사이버위협, 조치방안 등을 알려주는 형태로 기획이 됐었던 것으로 알고 있었습니다만, 아무래도 사회적으로 심각한 파급력을 주는 사이버공격은 예기치 않게 생겨 그런지 예보 보다는 홍보방송 형태가 되는 것 같습니다.

래도 1.25 인터넷대란이나 전자금융거래 관련 보안사고, 7.7 DDoS 공격, 대규모 개인정보유출 사고처럼 큰 사건이 나지 않는 이상, 평소에 TV방송에서 정보보호를 이슈로 집중적으로 다뤄지진 않았던 점을 생각하면 고무적입니다.

일단 시작할 방송사별 프로그램입니다.

사용자 삽입 이미지

앞으로 시청자들뿐 아니라 특히, 정보보호 전문가 등 관계자분들이 관심있게 살펴보고 방송사와 방송통신위원회, 한국인터넷진흥원에 의견을 적극적으로 개진하는 것이 중요할 것 같습니다.


 

2010/07/14 13:35 2010/07/14 13:35

'씨큐비스타'라는 국내 보안업체가 DDoS 대응능력을 검증하는 전문 솔루션(넷스피어)을 발표했습니다.

세계 최초로 독자기술로 개발한 DDoS 전용 시험장비랍니다. (관련기사 DDoS 대응능력 검증 전문장비 등장)

제품은 실제와 유사한 각종 DDoS 공격 트래픽을 생성해 각 기업이나 기관의 네트워크 및 보안체계가 제대로 작동하는지, 대응능력을 평가할 수 있는 솔루션입니다. DDoS 공격에 특화돼 있는 전문 시험장비입니다. 

이 제품을 개발한 씨큐비스타의 전덕조 대표이사는 "7.7 DDoS 공격 이후 안티DDoS(DDoS 전용 탐지·차단) 솔루션이나 라우터 등 네트워크 장비, 방화벽, 침입방지시스템(IPS), L4스위치 등을 이용해 DDoS 대응체계를 구축하고 있지만, 실제 DDoS 공격 방어 능력 등을 검증할 방안과 도구가 부재하다"라고 지적했습니다. "DDoS 공격을 예방하기 위해선 대응능력을 효율적이고 제대로 평가, 검증할 수 있어야" 하기 때문에 DDoS 대응능력 검증 전문 솔루션을 개발하게 됐다는 설명입니다.

개발배경과 취지에 공감이 갑니다.

돈을 내고 보안 제품을 구매해 설치하는 이유는 미래에 발생할 수 있는 보안위협을 막고 혹시 있을 지 모를 손실을 최소화기 위해서입니다. 그래서 보안이 '보험'에 비유되기도 하는 거죠.

정부공공기관과 민간에서도 DDoS 대응체계를 구축한 것은 당연히 향후에 발생할 지 모르는 공격을 최대한 막아 피해를 최소화하기 위한 목적이지요.

백신이 악성코드 감염을 방지하거나 치료하기 위한 것이고, PC에 저장돼 있는 개인정보를 암호화하거나 이동식저장매체 등의 사용을 제어하는 이유는 정보유출을 막기 위한 것처럼요.

실제 공격이 현실화된 상황에서 투자된 보안 제품이 효용가치를 발휘하려면 현재 구축돼 있는 대응체계를 제대로 평가, 검증하는 것이 중요합니다. 계속되는 검증과정을 통해 미비점이 있다면 보완해야 보다 완벽한 대책을 마련할 수 있기 때문입니다.

DDoS 방어 장비를 설치하기 전에 제품 성능과 기능을 제대로 평가하는 것도 마찬가지입니다.

정부와 금융권에서 정기적으로 모의훈련을 실시하는 것도 같은 이유라고 생각합니다.

만일 DDoS 모의훈련이 잘못된 평가방식으로, 혹은 형식적으로 치우친다면 실제 상황에 하등 도움이 안될 것입니다.

또한 DDoS 공격 방어 장비를 도입할 때 장비의 성능과 기능에 대한 평가기준·방식이 올바르지 않다면 이 평가도 의미가 없을 것입니다.

그런 점에서 현재 DDoS와 관련한 각종 시험·평가방식은 사실 잘못돼 있습니다.

씨큐비스타도 그 점을 부각했습니다. 현재 국내에서 널리 이용되는 DDoS 대응능력 평가 또는 검증 방식이 잘못돼 있다는 점을 지적했습니다.

예를 들어, DDoS 보안 장비를 도입해 DDoS 대응체계를 구축할 때나 모의훈련을 할 때 주로 이용되는 시험장비는 네트워크 성능을 측정하는 계측기입니다. 익시아, 브레이킹포인트라는 네트워크계측장비가 가장 많이 활용되고 있답니다.

씨큐비스타에 따르면, 네트워크 장비의 쓰루풋과 레이턴시 등과 같은 성능 측정을 목적으로 하는 네트워크 계측장비를 DDoS 대응 시험에 쓰고 있으니 제대로 평가하는 것이 아니라는 겁니다.

전 사장은 "네트워크 계측장비를 이용해 생성한 트래픽은 실제 DDoS 공격 트래픽과는 차이가 있다. 때문에 제한적인 테스트만 가능하며, 또 정형화된 트래픽을 생성하기 때문에 예측가능하다는 단점을 갖고 있다"고 강조했습니다.

또 "현재는 DDoS 대응능력 평가나 검증을 제대로 할 수 있는 도구와 방법론이 없다. 특히 7.7 DDoS 공격에 이용됐던 대규모 봇넷 공격에 대한 평가는 할 수 있는 방법이 없다"라며, "DDoS 대응책을 수립하고 있는 지금 심히 우려되는 상황"이라고 진단했습니다.

그동안 각종 DDoS 대응체계 구축 사업 BMT나 DDoS 전용 방어장비 시험 수행에서 평가방식이 종종 도마에 오르며 관련 업계에서 논란이 일곤 했습니다.

대표적인 것이 국가정보원 DDoS 탐지·차단 장비 시험입니다. 작년 하반기 정부가 범정부 DDoS 대응체계 구축 사업을 긴급히 추진하면서 시중 공급되는 DDoS 보안 장비에 대한 보안성 평가 등 시험이 필요했었습니다. 국정원은 '별도지정' 제도를 통해 DDoS 장비의 시험기준과 방법을 정하고 평가를 수행해 목록에 등재했습니다.

그 때 장비의 성능 측정도 브레이킹포인트 등 두가지 네트워크 계측기를 썼던 것으로 기억합니다. 많은 업체들이 당시 평가에 불만을 드러냈었고, 그 과정에서 포기한 업체들도 있었습니다.

해 진행된 DDoS 관련 사업 BMT 등에서도 이같은 문제는 종종 제기됩니다.

공공기관, 금융기관의 DDoS 모의훈련도 네트워크 계측장비를 이용한다고 합니다.

채문창 씨큐비스타 연구소장은 "네트워크 계측장비를 이용하는 모의훈련 방식은 결국 하나도 효과를 거둘 수 없다"고 설명했습니다.

씨큐비스타는 제대로된 DDoS 공격 및 방어 능력 검증 환경을 구현할 수 있다고 자신감을 드러냈습니다.

"수억원대를 호가하는 네트워크 계측장비보다 저렴한 가격으로 이 제품을 공급해 DDoS 공격 방어를 위한 도전과제를 극복하는데 일조하겠다"는 포부도 밝혔습니다.

앞으로 '세계 최초' DDoS 전용 시험도구인 이 제품의 성능과 기능, 품질에 대한 검증도 필요할 것입니다. 

이 제품 출현이 우리나라가 DDoS 공격 방어체계를 더욱 견고히 수립할 수 있는 토대를 다지는데 기여할 수 있게 되길 바랍니다.

이번 기회에 현재의 DDoS 대응 관련 평가방식에 대한 국가정보원, 행정안전부, 한국인터넷진흥원, 금융감독원 등 관계부처·기관, 기업의 고찰이 이뤄졌으면 합니다.

2010/07/07 10:03 2010/07/07 10:03

시스코시스템즈가 홈페이지에 시스코 분산서비스거부(DDoS) 공격 탐지 차단 제품인 가드·디텍터 장비를 단종한다고 공지했습니다. <관련 기사>

이에 따라 지난 2008년 3월 어플라이언스 제품에 이어 시스코 카탈리스트 6500/7600 시리즈 라우터 모듈형 제품도 단종, 안티DDoS 전용장비 사업을 중단하게 됐습니다. 7월 31일 이후로는 판매도 완전히 중단하게 됩니다.

이와 관련한 시스코 공지 링크합니다. EOL/EOS for the Cisco Catalyst 6500/Cisco 7600 Series Router Anomaly Guard Module and Anomaly Detector Module 그리고 주요 내용을 캡처해봤습니다.


지난 2008년 공지도 함께 링크합니다.

이번 단종 일자가 1월 31일입니다. 이미 단종하고 나서 1일자로 공지했군요.

문제는 소프트웨어 유지보수인데요. 버그 수정을 포함해 소프트웨어 유지보수는 내년 7월까지만 지원됩니다.

반면에 하드웨어 장비 지원은 2015년 7월 말까지입니다.

시스코의 이 안티DDoS 장비는 국내에서 독보적으로 많이 팔린 장비입니다.

DDoS 공격이 이슈가 되기 전부터 시스코는 계속해서 DDoS 공격에 대비해야 한다고 알려왔고 실제 공격 피해사례가 많이 나타나면서 좀 과장을 보태 불티나게 팔렸었습니다.

안철수연구소에 합병된 안랩코코넛과 인포섹이 파트너로서 초기부터 판매를 담당해왔습니다.

아마 작년 하반기 단종 소문이 확산되기 전까지 2008년 한 해 동안과 작년 상반기에 가장 많이 판매됐을 겁니다.

이 제품은 포털, 게임, 쇼핑몰, 아이템거래 등 인터넷서비스 업계를 비롯해 통신, 금융, 정부에 이르기까지 여러 산업군에서 사용하고 있지요.

2008년에 구매한 고객은 2년 남짓, 작년에 구매한 고객은 1년 남짓 사용하고는 소프트웨어 유지보수를 받을 수 없게 됐네요.

시스코는 마이그레이션 혜택 등 이번 단종으로 인해 고객에게 제공할 특별한 지원 프로그램을 갖고 있지는 않은 것 같습니다.

전세계에서 우리나라만큼 안티DDoS 장비 수요가 많은 곳도 없을 정도라는 말이 종종 나왔던 것처럼 아마 다른 지역이나 국가는 크게 이슈는 안될 것 같습니다.

한국 고객이 많다고 해도 외국 기업이 작은 한국 고객만을 위한 지원혜택을 만들어주진 않을 것 같네요.

정부통합전산센터, 한국인터넷진흥원, 행정안전부 등 정부/기관을 비롯해 시스코 고객들이 이 사실을 어떻게 받아들이고 있을지 궁금합니다.

2010/02/03 14:25 2010/02/03 14:25

- 정부기관 정보보호 전담부서 43곳 중 9곳, 정보보호 전담인력 평균 1.45명

지난 7월 분산서비스거부(DDoS) 공격이 발생해 온나라가 들썩인지 5개월째에 접어들고 있습니다.

청와대와 국가정보원(국가사이버안전센터), 정부통합전산센터, 주요부처 등 정부 주요기관들조차 줄줄이 공격 대상이 됐던 충격 탓인지, 한동안 정부와 여당인 한나라당은 사이버 침해사고에 대한 보안 대책을 마련하겠다는 강력한 의지를 보여줬고, 계획도 냈습니다.

그런데 정부의 사이버 위기 대응 조직체계와 정보보호 전담인력 및 투자는 여전히 크게 미흡한 수준입니다.

이같은 문제점을 지적하고 대책을 제시한 의미있는 보고서를 국회 입법조사처에서 발표했습니다. (관련기사)

이 보고서에는 DDoS 공격 대응 문제점으로 사이버 공격에 대한 훈련 및 국제공조 미흡, 사이버 정보보호 기능의 분산, 장비노후화 및 악성코드 분석 전문인력 부족, 사이버 위협에 대한 인터넷 이용자의 대응 미흡, 정보보호 인력 및 투자 부족 등 5가지를 지적했습니다.

정부의 정보보호 총괄기능이 분산돼 있고 민간부문 정책부서가 축소돼 있다는 점과 정보보호 전담 부서나 인력 부족 문제는 지난 7.7 DDoS 공격 당시 전문가들과 언론이 가장 많이 지적했던 것이 '콘트롤타워 부재'와 '정보보호 전문인력 부족'이었다는 점에서 맥락이 통합니다. 

이것이 현재 정부의 미흡한 정보보호 수준을 보여주는 지표가 되겠지요.

보고서에서는 정보보호 2008년 정부 조직개편에 따라 정보보호 정책기획 기능이 방송통신위원회, 행정안전부, 지식경제부 등으로 분산됨에 따라 사건 발생 후 해당 사안을 주도적으로 관장하는 기관이 없었다고 지적합니다.

또 정보보호 중요성이 증가함에 따라, 공공부문의 사이버위기 대응을 담당하고 있는 행정안전부, 국정원 등은 관련 조직이 지속 확대되고 있는 반면에, 민간부문의 사이버침해 위협수준이 더욱 높아지고 피해규모가 커져가고 있음에도 불구하고 민간부문 사이버위기 대응을 맡고 있는 방송통신위원회 정보보안 정책관련 조직은 옛 정보통신부 시절 국 규모에서 1개 팀 수준으로 축소돼 있다는 점도 문제시 하고 있습니다.

특히, 이 보고서를 보면 정부의 43개 중앙부처 가운데 자체 정보보호 전담부서를 운영중인 부처는 9개에 불과할 정도로 한심한 수준입니다.

자체 정보보호 전담인력 현황은 부처당 평균 1.45명에 불과하네요. 국무총리실(0.6명), 감사원(0.2명) 및 방송통신위원회(0.8명) 등 16개 기관이 1명 이하의 전담인력이 배치되어 있습니다.

보고서에 첨부돼 있는 표를 보시죠.


보고서는 이러한 문제점 지적뿐 아니라 국회에 제출한 내년 정부 예산안과 주요 사업에 대한 분석도 하고 있습니다.

DDoS와 같은 사이버 침해사고 재발방지 방안도 제안하고 있습니다.

보고서에서 제시하는 방안을 참고해 국가 정보보호 정책과 투자현황에서 나타나는 문제점이 신속하게 개선되길 기대합니다.

관심이 있는 분은 전문을 살펴보세요.

보고서 파일을 첨부하겠습니다.
국회입법조사처 홈페이지(
www.nars.go.kr)의 ‘자료마당’에서도 전문을 확인하실 수 있습니다.


2009/12/01 19:14 2009/12/01 19:14


범정부 DDoS(분산서비스거부) 대응체계 구축 사업자와 공급 제품이 모두 선정되고, 프로젝트가 본격 착수되고 있습니다.

국가정보원은 이 사업에 앞서 시험해온 DDoS 대응 장비 11개에 대한 시험 결과를 우선협상대상자가 선정된 직후에야 공개했습니다.

그것도 최종 결과가 아니라면서 말이지요. 그 때문에 결국 경찰청 DDoS 대응체계 구축 사업에 공급될 예정이던 제품이 바뀌는 일이 벌어졌습니다.

구축 과정 중에 바뀐 것이 아니라서 그나마 다행이지만, 최종 확정되기 전까지 혼선이 빚어졌습니다.

국정원이 유발한 혼선은 결과 발표에만 있었던 것은 아닙니다.

7.7 DDoS 공격 후 정부기관이 DDoS 대응장비를 활용해 대응체계를 시급히 구축할 수 있도록 시중 DDoS 대응 전용장비를 대상으로 별도지정 하겠다는 계획을 수립한 이후 국정원은 계속적으로 방침을 뒤바꿨습니다. 그 과정에서 당연히 혼란이 계속됐습니다.

국정원이 보안 제품을 평가하는 주된 이유가 보안성 평가에 있음에도 이번 별도지정은 계측기 등을 이용한 성능평가 위주로만 시험됐습니다.

별도지정에서 나타나는 국정원의 일관성 없는 정책은 홈페이지를 통한 공지에서조차 확연히 드러납니다.


7월 17일자로 올라온 별도지정 목록입니다. 5개 제품이 올라와 있습니다. 이미 별도지정한 것처럼 공지돼 있습니다.


그 후 지난 8월 21일자로 올린 국정원 공지입니다. 업계에서 혼란이 있자 시험 제품을 11개로 재공지합니다. CC평가 막바지에 있던 LG CNS 제품은 빠졌습니다.

그 사이 3개월이란 시간이 흘러갑니다. 행정안전부는 조달청을 통해 범정부 DDoS 대응체계 구축 사업에 대한 사전공고를 내면서 제안요청서(RFP)를 공개하고, 사업을 본격 예고합니다.

주관기관(4개 부처)들과 지난 10월 22일 입찰설명회를 개최한 데 이어 23일 정식 사업공고를 내면서 본격화합니다.

11월 3일 5개 분야 입찰이 실시되고 9일과 10일 5개 사업 우선협상대상자가 모두 선정됩니다.

삼성SDS, LG엔시스, 에스지어드밴텍이 각각 선정되면서 이들이 제안한 DDoS 탐지·차단 제품인 나우콤과 시큐아이닷컴, LG CNS, 라드웨어 장비가 범정부 DDoS 대응체계 구축 사업에 공급될 장비가 됐습니다.

그 동안 국정원은 “11개 제품에 대한 시험을 실시하고 있다”는 것과 “시험이 완료되면 공지하겠다”고만 밝힐 뿐, 언제 시험을 완료하고 결과를 발표할지, 어떤 식으로 할지, 또 시험방법과 그 배경에 대한 구체적인 내용에는 함구했습니다.


그리고는 11월 11일자로 이렇게 결과를 공지합니다. 나우콤과 시큐아이닷컴 뿐입니다. LG CNS는 CC인증을 보유한 제품이니 문제가 없지만 라드웨어 제품은 빠져 있어 혼선이 예상됐습니다.

그런데 국정원은 이 때도 “현재까지 시험이 완료된 제품만 올린 것”이라며, “나머지 제품은 아직 시험중”이라고만 밝혔습니다.

라드웨어 제품에 대한 시험이 아직 안끝난 것처럼 받아들일 수밖에 없는 정황입니다.

알고 보니 모든 제품에 대한 시험은 완료된 상태였습니다.

또 하나 별도지정 목록에 등재된 시큐아이닷컴 제품이 4G 장비가 2G로 국정원이 공지했습니다. 당연히 또 혼란이 생깁니다.

국정원이 장비에 대한 성능 시험 결과, 제대로 성능이 나오지 않으면 ‘다운그레이드’ 하도록 한다는 이야기가 있었기 때문에, 시큐아이닷컴의 장비가 해당된 것은 아닌가 하는 궁금증이 유발됩니다.

교육과학부는 2G, 4G, 10G 장비를 요구했고, 모두 시큐아이닷컴의 장비가 제안됐었기 때문입니다.

결국 국정원은 성능 측정 기준이 단방향이라는 내용을 공지에 추가합니다.

업계에서는 보통 양방향 성능을 기준으로 삼습니다. 교과부에 문의결과, 제안요청 기준도 ‘양방향’이었답니다.

단방향 성능측정 결과를 두배를 곱한 결과가 양방향 성능치라고 할 수는 없습니다.

아직도 별도지정 시험 과정에서부터 성능측정 등 시험방법, 결과, 발표시기 등을 놓고 업계의 말이 많습니다.

범정부 DDoS 대응체계에 구축될 제품은 정해졌지만 별도지정 시험이 끝난 것도 아닙니다.

국정원도 아직도 시험이 진행 중이라고 이야기하고 있습니다.

결국 별도지정에 소요되는 기간은 준비기간을 포함해 4개월을 훌쩍 넘기게 됐습니다. 별도지정된 제품도 내년 2월까지는 국제공통평가기준(CC)평가계약을 맺어야 합니다. CC인증을 받아야 하는 것입니다.그리고 구축 시기에 보안적합성 검증을 또 거쳐야 합니다. 국정원도 아직도 시험이 진행 중이라고 이야기하고 있습니다.

생각해보니 별도지정이 한시적으로 운영되는 제도이고, CC인증을 받아야 하는 것도 나중에 알렸군요. 


국정원의 일관성 없는 정책에 업체들은 힘이 듭니다.

결국 공급장벽은 더 높아지고 업체들의 리소스는 엄청나게 소진됩니다.

국정원의 시험 결과는 향후 사업에 보이지 않는 막강한 영향력으로 작용하게 됩니다.

그만큼 신중하고도 일관성 있는 정책을 수립해야 합니다. 그리고 공개할 것은 공개해줘야 뒷탈도 없습니다.  

7.7 DDoS 공격 전까지 국내 시장과 전세계 시장에 유수의 레퍼런스를 자랑하는, 국산 장비들보다 더 경험이 풍부한 외산 제품들이 모조리 시험을 통과하지 못한 것은 여전히 의아한 점으로 남아있을 뿐입니다.
 


2009/11/24 16:13 2009/11/24 16:13


손바닥으로 하늘을 가리려는 심보.”
“대기업이 어찌 이리 부도덕할 수 있나?”
“지사가 있지만 국내 고객은 안중에도 없나보다.”
“이래서야 외산 보안제품 쓰겠습니까?”


시스코시스템즈를 두고 최근 나오는 이야기입니다. 많은 분들이 분노하고 있는 것 같습니다.

시스코 본사에서 사업성이 없다는 판단으로 국내에 5년 이상 공급해온 분산서비스거부(DDoS) 공격 탐지·차단 시스템인 ‘시스코 가드앤디텍터’를 조만간 단종한다는 계획이 이미 알려질대로 알려진 상태에서도 아직까지 한국지사가 묵묵부답으로 일관하고 있는 탓입니다.

이러다간 자칫 시스코시스템즈 때문에 국내 진출해 있는 외산 보안 솔루션 공급업체들까지 난감한 입장이 될 듯하네요. 

기사로 나가기 전까지 시스코는 이같은 사실을 숨겼습니다. 이제 비공식적으로 인정은 하고 있습니다. 내년 초 발표가 유력시되고 있네요.

난감해하던 협력사들도 대책 강구에 적극 나섰습니다.

국내에 가장 많이 ‘시스코 가드앤디텍터’를 판매했던 안철수연구소는 분산서비스거부(DDoS) 방어 전용 장비 개발에 나섰습니다. 가능한 빨리 출시한다는 계획입니다.

발빠른 대처입니다. 국민기업 안철수연구소가 외산 제품을 팔다가 국내 고객들에게 피해를 주는데 앞장섰다는 비난을 면케 됐습니다. 직접 고객을 대하는 안철수연구소같은 국내 협력사들은 얼마나 난감할까요. 

물론 국내지사인 시스코코리아도 마찬가지로 어려운 입장일 것입니다. 

무엇보다 당장 수요가 많은데 본사의 제품 단종 방침이 아주 아쉽겠지요.

어쩌면 본사 입장에서도 크게 문제될 것이 없다고 생각할 지 모릅니다. 고객의 네트워크를 보호하기 위한 시스코 DDoS 공격 방어 솔루션인 ‘클린파이프’는 그대로 유지하는 것이고, 여기에 아버네트웍스와 협력하는 그림이기 때문입니다. 

DDoS 방어 장비 ‘단품’ 차원으로만 보면 전세계적으로 큰 수요가 없는데 굳이 자체 개발·지원할 필요가 없다고 판단했을 겁니다.

사업성이 없다고 판단되면 사업을 중단하고 충분히 다른 대안을 모색할 수 있습니다.

문제는 DDoS 방어 장비를 도입한 국내 고객이 많다는 것입니다. 그럼에도 사실을 숨기면서 계속 판매하려 했던 괘씸죄는 아주 큽니다. 

시스코의 한국시장 매출 비중이 전세계 매출의 1% 수준이면, DDoS 방어 장비 시장 비중만은 전세계 20% 정도일 정도라는 이야기도 들립니다. 

그만큼 최근 국내의 DDoS 방어 장비 수요는 전세계 이례적으로 큽니다. 

지사 입장에서는 특히나 7.7 DDoS 공격 이후 대규모 사업들이 잇달아 생겨난 상황에서 매출을 올려야 하는 지사의 입장에서는 당연히 ‘가능한 팔 수 있을 때까지’ 팔고 싶었겠지요.

일단은 본사에서 발표도 안했고, 또 발표하지 말라는데 원칙적으로 할 수도 없고, 재고도 있는데 굳이 할 필요도 없겠지요.  

그렇지만 단종계획을 모르던 고객들이 이 제품을 산 직후에 알게 된다면 얼마나 황당하겠습니까. 완전 뒤통수맞는 격일 수밖에요.

공공기관의 경우엔 예산낭비 문제가 불거져 나올 수도 있습니다.

부도덕하다거나 고객은 안중에 없나보다라는 이야기가 당연히 나올만도 합니다.

그런데도 시스코코리아는 아직까지도 아무 입장이나 대안을 내놓지 않고 있습니다. 그래서인지 소문도 점점 커지고 있습니다.

“제품을 단종하더라도 5년 간 유지보수 서비스는 그대로 지원되는 것이 원칙”이라는 것이 시스코의 이야기이지만, 그 중 하나가 기존까지와는 달리 단종 이후 모든 제품 업데이트까지 중단될 것이라는 이야기입니다. 마이그레이션 혜택도 제시하지는 않을 것이란 소문까지 있습니다.

만일 이게 사실이라면 어떻게 될까요?

보안제품은 업데이트가 안되면 무용지물이 됩니다. 공격형태가 계속 바뀌고, 수준은 점점 높아지기 때문입니다.

이 장비에 만일 취약점이라도 발견됐는데, 패치를 안해주면 더 큰일입니다. 

본사의 입장이 어떻든 지사가 국내에서 계속 사업을 하려면 한국고객에게 최선을 다해야 합니다.

국내 고객을 위해 본사도 설득해야 한다는 것이 제 생각입니다.

이러다가 우리나라에서 큰 재미를 보지 못한다고 판단되면 고객이야 어떻든 철수해버렸던 외국 기업들의 사례가 시스코의 이번 일에서 다시 떠오르지 않도록 했으면 좋겠네요. 

시스코까지 이러는데, 만일 국가 주요 정보통신망을 보호하는 보안 제품에 외산 도입을 더 막아야 한다는 과격한 주장이 나온다면 외국계 업체들이 까다로운 공공 시장 납품제도를 두고 더이상 억울하다”거나 너무하다”고 할 말도 없게 될 겁니다.

U-City(유시티)와 같이 유망하고 향후 크게 얻고자 하는 사업에는 회장이 직접 와서 대통령까지 만나 한국에 수십억 달러를 투자하겠다고 발표하던 와중에, 한쪽으로는 이렇게 고객을 기만하려 한 행위를 어떻게 해석해야 할까요?

더 큰 오해를 불러오기 전에 시스코는 빨리 공식 입장과 고객을 위한 대책을 내놔야 할 것이라 생각됩니다.

2009/11/09 16:34 2009/11/09 16:34


범정부 분산서비스거부(DDoS) 대응체계 분석 두번째입니다. ‘경제’와 ‘사회’, ‘시·도’ 분야의 요구사항은 비슷하기 때문에 한꺼번에 특징만 짚어보겠습니다. (첫번째는 교육과학기술 분야를 다뤘지요.)

각 분야의 DDoS 대응체계는 사전 네트워크 보안취약점 점검과 DDoS 공격 대응 능력 분석, 공격형태에 따른 영향분석 등 구축에 들어가기에 앞서 사전 컨설팅을 수행합니다.

구축 과정은 사전 컨설팅 후 DDoS 대응체계 구축, 모의시험 및 검증, 통합보안관제체계 구축, 취약한 좀비PC 제거체계 구축, 기관별 DDoS 대응지침 및 매뉴얼 수립, 교육체계 마련하는 과정으로 이뤄지게 됩니다.


경제 분야

지식경제부가 주관하는 경제 분야 DDoS 대응체계는 국토해양, 환경, 관세 등 37개 기관을 대상으로 합니다.

특히, 중앙관리체계와 통합보안관제체계 구축을 통한 DDoS 예·경보체계를 마련하고 다양한 공격 유형에 대한 사전분석으로 선제적 대응전략 수립을 목적으로 하고 있습니다.

때문에 DDoS 방어 전용 장비 외에 통합보안관리(ESM) 서버 에이전트를 많이 요구하고 있습니다. ESM 업체들이 경제 분야에 관심이 많겠군요.

DDoS 탐지·차단 시스템은 48식을 요구하고 있습니다. 처리성능은 2Gbps로 인라인이나 아웃오브 패스 방식 모두 관계없습니다.

바이패스 기능 등 고가용성 기능과 전원공급장치 이중화와 같은 안정성을 높이는 기능은 스펙에 당연히 포함돼 있습니다.

보안관제센터로의 위협정보 수집, 분석 기능도 중요합니다.

ESM 에이전트는 57식을 도입합니다. 지경부, 국토해양부 등 각 기관별 ESM 매니저에 연동 가능해야 하는 것이 조건입니다.

보안 장비로는 1Gbps 이상 성능을 내는 침입방지시스템(IPS)를 8대를 도입하는군요. 방화벽도 1대 도입합니다.

트래픽관리(QoS) 장비와 네트워크 장비(백본 스위치)도 한대 도입하네요.

교육과학기술 분야에서 많이 도입하는 좀비PC 탐지·차단 장비는 도입하지 않고 제로데이 공격 탐지 장비만 2식을 도입하는 것 같습니다.

사회 분야

보건복지가족부가 주관하는 사회 분야는 청와대, 검찰청, 국방, 질병관리본부, 국회 등 19개 기관을 대상으로 합니다.

지난 7.7 DDoS 공격 대상이 됐던 청와대, 국회 등이 포함돼 있네요. 국민건강보험공단, 국방부, 검찰청, 중앙선관위, 헌법재판소 등 아주 중요한 기관들이 상당수 포함돼 있습니다.

경제 분야와 마찬가지로 중앙관리체계 및 통합보안관제체계를 강화함으로써 DDoS 예`경보, 대응체계를 수립하는 것을 목표로 하고 있습니다.

역시 DDoS 전용 대응시스템과 ESM 에이전트를 많이 도입합니다.

DDoS 탐지 및 차단 시스템은 36식, ESM 에이전트는 42식을 요구하고 있습니다.

기타 보안장비는 1Gbps 이상 성능의 IPS 6식과 제로데이 공격 탐지 장비 1식을 도입하네요. QoS 장비 4식, L3스위치 1식도 구축합니다. 

시·도 분야

행정안전부가 주관하는 시·도 분야는 말그대로 서울시·부산광역시·경기도 등 16개 시·도와 시·도 사이버침해대응지원센터를 운영 중인 한국지역정보개발원, 정부통합전산센터까지 총 18개 기관을 대상으로 DDoS 대응체계를 구축한다.

DDoS 대응체계를 구축하는 것 외에도 시·도 사이버침해대응센터와 연계해 즉시 관제·차단할 수 있도록 통합보안관제체계가 대폭 보강됩니다.

DDoS 대응체계는 DDoS 방어 전용장비와 IPS, QoS, 방화벽 등 보안·트래픽관리 장비로 구성된다.

DDoS 탐지·차단 시스템은 2Gbps 성능의 32식, 10Gbps 이상 성능을 처리하는 장비 4식이 구축됩니다.

정부통합전산센터에 설치될 10G급 4대는 시스코 가드 앤 디텍터 모듈로 스펙이 박혔습니다. 기존에 설치된 제품이 있기 때문이라고 돼 있네요.


IPS는 17식이, 방화벽은 9식, QoS 장비 29식이 구축됩니다.

ESM 서버 2식과 에이전트 62대도 도입합니다. 각 에이전트는 기관별 ESM 매니저와 연동하게 되고, 다양한 정보보호 제품들로부터 보안이벤트를 수집하는 역할을 하게 됩니다.

시·군·구 등의 취약한 사용자 ‘좀비PC’를 제거할 수 있도록 좀비PC 탐지 장비 2식, 제로데이 공격 탐지 장비 2식도 도입될 예정입니다.

백본스위치, LG스위치도 각각 3대, 8대가 필요하네요.

이 사업은 오늘 입찰이 마감됩니다.

2009/11/03 15:33 2009/11/03 15:33

교육과학기술부는 45억원의 예산으로 35개 기관을 대상으로 DDoS 대응체계를 구축할 예정입니다. DDoS 대응체계 구축 사업을 진행하는 5개 부처 중 시·도 다음으로 큰 규모입니다.

지난 7.7 DDoS 공격에서 교육과학기술 분야 주요 서비스에 대한 DDoS 공격은 발생하지 않았습니다.

현재 수준에서는 DDoS 방어 전용장비 도입이 안돼 있어 앞으로 공격이 발생한다면 대응이 어려운 상황으로 평가되고 있습니다.

가장 큰 문제는 액티브X 실행 등 사용자 부주의로 인해 DDoS 공격에 활용되는 좀비PC 감염 수치가 월등히 높은 수준이라는 데 있습니다. 중앙부처 중 1위라는군요. 

따라서 교육과학기술부는 이번 사업에서 DDoS 대응 장비 구축을 통한 업무(서비스) 연속성과 안정성 확보, 악성코드 근원지 추적, 좀비PC 감염현황 신속한 탐지·제거를 중심으로 대응체계를 수립하게 될 예정입니다.

대상기관은 16개 시·도 교육청, 10개 대학, 한국과학기술원, 한국원자역연구원 등 7개 기타·공공기관, 교육사이버안전센터(ECSC)·과학기술정보보호센터(S&T-SEC) 두 곳입니다.

RFP에 나와 있는 목표시스템 개념도를 보시죠. 시스템이 한눈에 들어옵니다. 

 

DDoS 대응시스템

DDoS 대응 전용장비는 백본 통신경로 선상에 설치하는 방식과 백본 통신경로 외에 설치하는 방식, 즉 인라인과 아웃오브패스 방식의 장비는 모두 사업 참여에 참여할 수 있습니다. 

인라인 방식은 로드밸런싱을 담당하는 L4 스위치와 무관하게 충분한 처리용량을 지원해야 하며, 하드웨어와 소프트웨어 장애에 대비한 이중화, 바이패스 기능 등 무중단 방안을 제시해야 합니다.

아웃오브패스도 백본 경로 상 통신흐름에 영향 없이 충분한 처리용량을 지원해야 합니다. 장애에 대비한 무중단 방안 제시는 역시 필수적입니다.

향후 IPTV 활성화나 인터넷 회선 대역폭이 증가할 경우를 위해 안정적으로 비정상 트래픽을 처리할 수 있도록 모듈을 추가하거나 업그레이드 등 확장 방안을 제시해야 한다는 점이 눈길을 끄는군요.

네트워크 및 보안통합관제와도 연계돼야 합니다.

10Gbps 이상의 트래픽 처리성능을 제공하는 DDoS 방어 장비도 많이 요구하고 있군요.(7식) 4Gbps 성능 장비는 3식, 1G 이상은 33식이 설치될 예정이네요.


좀비PC 탐지 및 제로데이 공격 차단 장비

PC에서 발생하는 웜·악성코드 관련 정보를 수집하고 실시간 모니터링·분석, 좀비PC를 발견할 수 있는 일체형 장비는 33식을 설치할 계획입니다.

방식은 오프라인 모드에서 미러(Mirror)된 트래픽을 가상머신을 이용해 악성코드 분석 및 제어기능을 제공해야 합니다. 가상머신을 통해 OS의 취약점 및 악성코드의 활성화 재현을 위한 분석기능과 활동내역을 자동 분석하는 기능을 제공해야 합니다. 일종의 ‘허니팟’ 같은 기능과 형태가 포함될 수 있겠습니다.

제로데이 공격 탐지시스템은 공격 패킷의 시그니처를 자동 생성, 실시간 실행코드 검증을 통한 악성코드 확인, 트래픽 모니터링을 수행하는 기능에 1Gbps 이상의 처리성능을 요구하고 있습니다.

방화벽과 침입방지시스템(IPS) 등과 연동해 적용할 수 있도록 해야 합니다.

세부사항은 표를 참조하세요.

2009/10/22 16:32 2009/10/22 16:32