사용자 삽입 이미지
국제 해커조직으로 이름을 날린 ‘어나니머스(Anonymous)’ 조직원 25명이 지난 2월 인터폴에 의해 검거됐습니다.

인터폴 주도로 유럽과 남미 경찰과 공조해 벌인 성과입니다.

인터폴은 유럽과 남미 15개 도시에서 ‘언마스크(Unmask)’라는 작전명으로 대대적인 검거작전을 벌여, ‘어나니머스’가 벌인 해킹, 디도스(DDoS, 분산서비스거부) 공격 등에 가담한 용의자들을 체포했습니다. 

이 작전에는 지난해 4월 콜롬비아에서 어나니머스의 디도스 공격이 발생한 것을 계기로 콜롬비아를 포함해 도미니카 칠레 스페인 아르헨티나 5개국이 참여했다고 합니다.

이 작전을 주도한 하이메 안시에타(Jaine Ansieta) 인터폴 재정·하이테크범죄 분과 부국장이 최근 방한했습니다. 그는 지난 26일부터 27일까지 서울 대한상공회의소에서 경찰청 사이버테러대응센터와 인터폴이 공동 개최한 ‘2012 국제사이버범죄 심포지엄’에서 이 수사사례와 시사점을 풀어냈습니다. 

안시에타 부국장은 이 자리에서 “당시 작전으로 인터폴은 15개 도시에서 47건의 가택을 급습했고, 32명을 체포했다. 아직도 이들을 대상으로 수사가 계속되고 있다”고 말했습니다. 

놀라운 점도 공개했는데요. 이들을 검거한 지 넉 달이 지난 아직까지도 압수한 휴대폰·IT시스템 등을 이용한 데이터분석을 못하고 있고, 기소할 방법도 결정하지 못했고 합니다.

공조수사는 성공적으로 벌여 용의자들을 검거하긴 했는데, 피의자를 기소하고 처벌하는 국제적인 사이버범죄 관련 사법체계와 절차가 아직 제대로 마련돼 있지 않기 때문입니다.

안시에타 부국장은 “국가마다 사법체계가 다르다보니 어떠한 사법체계를 적용해야 할 지, 기소 주체는 검찰이 해야할 지, 경찰 또는 지방법원이 할 지 합의가 되지 않았다”며, “사업적인 문제가 해결되지 않기 때문이며, 공조시스템이 아직은 부재하다”고 말했습니다.

다음 단계로 이 작전에 참여한 수사·경찰관들이 모임을 갖고 데이터 분석을 포함해 국가 간 수사공조·조율 시스템을 논의할 예정이라고 합니다.

사이버공격은 이미 특정한 국가나 기업만의 문제가 아니라는 것을 잘 알고 있습니다. ‘어나니머스’처럼 전세계에 걸쳐 활동하는 국제해커조직이 존재하고 있지요. 어떤 국가나 기업도 공격자들의 대상이 될 수 있습니다.

우리나라의 경우, 대표적로 대규모 개인정보를 유출한 SK커뮤니케이션즈, 넥슨 사건이 아직까지 제대로 수사가 마무리되지 않는 큰 이유 가운데 하나도 해당 공격자가 우리나라에 있지 않기 때문입니다.  

우리나라에서 발생하는 많은 디도스, 해킹 및 개인정보유출과 같은 사이버범죄도 국가 간  공조수사가 아주 중요합니다. 

하지만 현실에선 어려운 점이 너무나 많지요. 국가마다 법체계가 다르고 정치·사회적인 입장과 문화도 다르다보니 공격자들보다도 국가라는 경계를 넘어 서로 공조하기 어려운 상황에 있습니다.

공격근원지로 간주되는, 또는 범죄용의자가 있는 국가에서 협조해주지 않으면 우리나라에서 막대한 피해를 입은 경우에도 수사가 어렵다는 것은 충분히 예상할 수 있습니다. 

안시에타 부국장은 “만일 디도스 공격을 범죄로 간주하지 않는 국가가 있다면 수사를 함께 진행하기 어렵다”는 것을 예로 들었는데요. 실제로 디도스를 범죄로 여기지 않는 국가가 있다고 합니다.

그는 “전세계 사법체계가 ‘우리’의 편에 서있지 않다는 생각마저 든다”고 토로하면서 “실질적으로 공조할 수 있도록 사법부를 포함한 법조계, 국회 등 정치권에서 함께 이를 위해 논의해야 하며, 학계도 지원해야 한다”고 강조했습니다.

안시에타 부국장이 한가지 더 강조한 것이 민간의 협조입니다.

사이버공격은 국가차원에서 해결해야 할 심각한 문제가 됐지만 공격대상이 기업인 경우가 많습니다. 기업의 경우, 자칫 회사 이미지나 비즈니스에 큰 타격을 입을 수 있기 때문에 정보를 공개하는 것을 꺼립니다.

안시에타 부국장은 “민간이 열의를 갖고 참여해야 사이버범죄 수사가 진전될 수 있다”면서 “사회 전체가 힘을 합쳐 변화를 이끌어 내 사이버범죄 조직범죄를 무찔러야 한다”고 지적했습니다.

2012/07/01 16:28 2012/07/01 16:28

방송통신위원회와 한국인터넷진흥원(KISA)은 최근 발생한 사이버침해사고와 국내외 보안업체들의 전망을 분석해 올해 대두될 7대 사이버위협을 선정해 발표했습니다.

최근의 사이버공격의 특징은 지능화, 복합화입니다. 그 중에서도 올해에는 ▲총선과 대선 등 국가 주요 행사를 겨냥한 사이버공격 증가 ▲웹하드·소셜네트워크서비스(SNS) 악성코드 유포 증가 ▲국가·기업·개인 정보탈취형 지능형지속위협(APT) 공격 지속 ▲모바일 악성코드로 인한 보안위협 현실화 ▲한글 프로그램 등 이용자가 많은 국산 소프트웨어 취약점 공격 ▲클라우드 서비스 보안위협 증가 ▲DNS 서버 대상 DDoS 공격 위협 증가가 전망됐습니다. (관련기사 선거·엑스포 등 올해 국가 주요행사 겨냥 사이버위협 증가)

방통위와 KISA는 이같은 전망에 따른 위협 예방 및 대응 활동을 강화할 계획입니다. 현재 추진 중인 대응방안을 각 위협 전망 항목별로 살펴보겠습니다.

1. 국가 주요 행사 겨냥 공격 대비체계 강화

올해에는 주요한 국가 행사가 줄줄이 이어집니다. 3월 서울 핵안보정상회의, 4월 국회의원 선거 5~8월 여수 세계박람회 12월 대통령 선거 등이 있지요.

최근 사회 혼란을 유발하거나 정치적인 목적으로 국민들이 높은 관심을 갖는 주요 행사가 있을 때를 노려 사이버공격이 많이 발생하고 있습니다.

DDoS 공격이 대표적이고, 행사 안내나 선거 정보 등 관심사를 악용해 사용자들에게 메일을 보내 악성코드에 감염시켜 다른 공격에 이용하는 일도 빈번히 벌어져 왔죠. 

국가 주요행사를 겨냥한 공격 증가 예상이라는 문구를 접하니 가장 먼저 작년 10.26 보궐선거 때 발생했던 중앙선거관리위원회 홈페이지 DDoS 사건이 떠오르더군요. 검찰 수사도 종료됐지만, 지금까지 논란은 계속되고 있습니다. 많은 의구심이 해소되지 않았기 때문이지요. 과거사(?) 정리를 확실히 해야하겠지만, 앞으로 이런 일이 다시 발생하지도 않길 바랍니다.

KISA 인터넷침해대응센터는 행사 관련 웹사이트를 집중 모니터링할 계획이라고 합니다. 특별히 홈페이지 접속장애나 악성코드 은닉여부 조기탐지, DDoS 탐지해 대응할 계획이라고 합니다.

이상징후가 포착되면 정보통신서비스사업자(ISP)를 통한 초동대응과 함께 해당 사이트 운영기관 등에서 조치를 취하도록 알려주는 역할을 할 수 있습니다. 이를 위해 행사 관련기관과는 비상연락망을 운영하고, 국가사이버안전센터·경찰청 등 관련기관과 ISP·보안업체 등과의 공조도 강화할 방침입니다.

2. 웹하드, SNS 악성코드 탐지 강화

웹하드나 P2P 사이트 등에서의 악성코드 유포 문제가 심각하지요. DDoS 공격이나 대규모 개인정보유출 사건과 같은 대규모 보안사고가 발생하면, 악성코드 유포 경로가 웹하드 프로그램인 경우가 많았습니다.

공격자들은 사용자들이 파일을 다운로드하기 위해 설치하는 웹하드 전용 프로그램을 변조하거나 업데이트 프로그램을 다운로드하는 것처럼 속여 악성코드를 유포하는 방식을 많이 이용하고 있습니다. 이렇게 내려받은 악성코드에 감염되면 좀비PC가 돼 DDoS 공격에 이용되고, 회사 내부시스템에 침투해 개인정보 등을 유출하거나 이를 위해 시스템 관리자 계정을 탈취하는데 악용됩니다.

방통위와 KISA는 190개 웹하드 사이트의 전용 프로그램 변조여부 탐지 활동을 2월부터 시작할 예정입니다. 
이를 위해 웹하드 은닉형 악성코드 탐지 시스템도 작년에 개발했습니다.

웹하드 프로그램에나 게시물, 컨텐츠에 숨겨진 악성코드 여부를 탐지, 위험도를 판별할 수 있는 이 기술을 활용해 업체들에게 알려주고, 기술지원도 강화할 계획입니다.

방통위는 작년 12월에 웹하드 사업자를 대상으로 실태점검을 실시했습니다. 협조가 잘 안돼 대상사업자 106개 중 결국 8곳만 점검을 벌인 수준이미에도, 점검 결과 보안장비를 전혀 갖추고 있지 않는 등 보안체계는 매우 취약했다고 합니다.


지난해 개정된 전기통신사업법에 따라 작년 11월 21일부터 웹하드 등록제가 시행됐는데요. 현재까지 등록한 웹하드 업체는 전무하다고 합니다.

기존 업체들은 법에서 정한 불법 저작물 청소년 유해정보 유통방지 및 정보보호를 위한 기술적 조치요건를 이행할 계획을 마련해 6개월 이내에 등록을 마쳐야 합니다. 법적 효력은 오는 5월 20일 이후에는 발생하게 될텐데요. 이를 통해 연내에는 웹하드 보안수준도 강화될 수 있길 기대해봅니다.

방통위와 KISA는 포털 등의 인기 검색어를 통해 유포되는 악성코드 탐지 활동도 강화하고 있습니다.

검색엔진에서 제공하는 실시간 검색어를 악용해 악성코드를 유포하는 URL를 수집, 점검할 수 있는 기술도 보급하고 있습니다. 인기가 많은 SNS 게시글 내에 포함된 URL이나 단축 URL의 악성코드 은닉여부도 알 수 있는 기술이라고 하는데요. 포털 ‘다음’이 이 기술을 이전받기로 계약한 상태랍니다.

특히 단축 URL의 경우는 사용자들이 신뢰된 URL인지 여부를 쉽게 판별할 수 없기 때문에, 사용자 수가 대형 포털과 같이 많은 웹사이트 운영사들의 자발적인 정화 노력에 한층 힘을 기울여야 할 것으로 보입니다.

3. APT 공격 대응 전략

사실 방통위와 KISA도 APT 공격 대응 전략은 딱히 없습니다. APT 공격은 중요 국가 기반시설이나 기업 등 특정한 표적을 겨냥해 중요 정보 유출이나 시스템 마비와 같이 공격 목적을 달성하기 위해 은밀하게 오랜 기간 동안 공격을 수행합니다. 기존 공격 기법뿐 아니라 새로운 공격기법 등 여러 기법을 이용하고, 심지어 공격 대상이 가진 보안체계를 알아내 우회할 수 있는 수법을 이용해 공격을 성공시킵니다. 기업이 공격 사실을 인지하는 시점은 이미 피해가 발생한 때라고 보면 된다고 하지요.

하지만 KISA는 기업이 APT 공격을 예방할 수 있도록 가이드라인을 개발해 보급할 예정입니다. 5월 경으로 예상하고 있고요. APT 공격 대응을 위해서 어디서부터 손을 대야 할지, 무엇을 해야할지 잘 모르는 기업들은 참조가 될 수 있겠습니다.

만간 공포될 개정된 정보통신망법에 따라 기업의 정보보호관리체계(ISMS) 인증이 의무화되면 전반적인 보안체계가 기존보다 강화될 수 있다는 점에서 일정부분 효과가 있을 것으로도 판단하고 있습니다. (관련기사
방통위, 기업 정보보호 관리제도 전면 개편, 새해 강화된 개인정보보호 법 시행, 무엇이 달라지나)

이밖에도 지능화된 공격에 신속하게 대응할 수 있는 해킹 피해시스템 분석, 은닉회피·커널감염 등 악성코드 분석기법 연구 등도 진행해 신규 공격기법 대응방안을 마련하는데 주력할 계획이라고 합니다.

4
. 모바일(스마트폰) 이용자 보호 방안

모바일 악성코드 위협이 점점 현실화되고 있습니다. 올 1월 초에 ‘New Year 2012 Live Wallpaper’라는 이름의 악성 안드로이드 애플리케이션(앱)이 정상 앱으로 위장해 안드로이드 마켓과 국내 인터넷 자료실에서 유포되는 사례가 발생했었죠.

이 악성코드에 감염되면 이메일 주소 등 개인정보가 유출될 수 있었는데요. 다행히 일찍 발견, 조치해 KISA에 접수된 국내 피해 사례는 없다고 합니다.

스마트폰·태블릿 등 모바일 기기 사용자가 급증하고 있기 때문에 모바일 악성코드 위협으로 인한 피해 현실화는 시간 문제로 보입니다. 보안업체들이 집계하는 모바일 악성코드 수도 최근 크게 늘어나고 있는 것도 사실이고요.

일단 KISA는 안드로이드 마켓의 악성 앱을 팀지, 차단할 수 있도록 모바일 악성코드 수집분석 시스템을 구축하고 있습니다. 이 시스템을 바탕으로 안드로이드 마켓에서 유통되는 앱을 수집·분석해 현재 무료 배포 중인 스마트폰 자가점검앱(S.S Checker) 등을 통해 악성 앱 정보를 전파할 계획입니다.

또 방통위와 KISA, 3개 이동통신사, 단말기 제조사, 보안업체가 공동 참여하고 있는 스마트폰 정보보호 민관합동 대응반을 통해 모바일 악성코드가 출현하면 이용자 피해를 최소화할 수 있도록 체계를 마련해 놓고 있습니다.

5. 국산 SW 취약점 사전조치

작년에 한글과컴퓨터의 한글 프로그램에서 보안취약점이 여러 번 발견됐었습니다. 알툴즈 업데이트 프로그램이 SK커뮤니케이션즈 이용자 대량 개인정보 유출 공격에 악용되기도 했죠.

국내 이용자가 많은 소프트웨어의 보안취약점을 악용한 공격을 예방할 수 있도록 신규 취약점 탐지·분석 활동을 강화하고, 취약점정보공유시스템을 통해 취약점 정보를 공유하도록 시도하고 있습니다. 

일단은 KISA에서 취약점정보공유시스템을 구축해 소프트웨어 개발업체, 백신 및 보안 솔루션업체 등이 발견한 취약점 정보를 등록하고 확인해 전파하거나 대응할 수 있는 체계를 구축해 놨습니다.

민간업체들이 얼마나 자발적으로 취약점 정보를 제공하고 공유할 수 있을지는 두고 봐야 할 것 같은데요. 우선 시범 운용형태로 해보고 장기적으로 ‘취약점정보공유분석센터’ 구축도 검토한다고 합니다. 취약점정보공유분석센터 등과 같은 체계를 만든다는 계획은 서종렬 KISA 원장 등이 앞서 언급한 적이 있는데, 올해 예산 편성에서 누락됐다고 합니다.

6. 클라우드 서비스 보안대책

모바일과 함께 클라우드 컴퓨팅도 대세이지요. ‘보안’은 기업이 클라우드 도입에서 가장 우려되는 항목 1~2순위로 꼽힙니다. IT자원 가상화 및 공유, 정보 집중화와 같은 클라우드의 특징이 보안 문제를 걱정하게 만드는 요인입니다. 이에 대한 보안 방안이 제대로 갖춰져 있지 않는다면 정보 유출 우려가 있고 서비스 가용성과 비즈니스 연속성 문제로 크게 타격을 입을 수도 있기 때문입니다.

지난해 아마존 등 해외 클라우드 서비스에서 장애가 나 서비스 이용 기업들이 피해를 본 사례도 있었죠. 클라우드 서비스 신뢰성 확보는 필수사항입니다.

방통위는 클라우드 품질이나 보안에 대한 이용자 불안감을 해소하기 위해 클라우드 서비스 제공업체를 대상으로 클라우드서비스 인증제를 2월부터 실시할 계획입니다. (관련기사 ‘클라우드 서비스 인증제’ 시행, 실효성 있을까, 2월부터 클라우드서비스 인증제 본격 시행)

산하기관인 클라우드서비스협회를 주축으로 전문가들이 참여하는 인증위원회를 두고 품질, 정보보호, 기반 등 3대 분야의 ▲가용성 ▲확장성 ▲성능(속도) ▲데이터 관리 ▲보안 ▲서비스 지속성 ▲서비스 지원의 7개 항목을 심사해 인증서를 발급할 예정인데요. 민간 인증이니 사업자들이 자발적으로 참여해 받게 됩니다.

방통위는 클라우드 서비스 사업자의 정보보호 관리 등급제도 도입할 예정입니다.

2월 중 공포될 것으로 예상되는 개정 정보통신망법에 신설된 정보보호관리체계(ISMS) 의무화(안전진단 폐지) 관련 조항(제47조의5)을 적용해 클라우드서비스 사업자들이 ISMS를 받도록 함으로써 안전한 클라우드 서비스 활성화를 위한 기반 환경 조성에 기여한다는 방침입니다. 

이 점에서 클라우드 인증제의 운영주체는 클라우드서비스협회이고, ISMS는 KISA가 담당하고 있으니 이 부분에 정리가 필요할 것이란 생각이 드는군요. 

방통위는 “정보통신망법에 따라 ISMS를 통해 정보보호 등급제를 적용받은 클라우드 서비스 사업자는 클라우드 인증제 보안 심사 항목은 갈음할 수 있는 방식 등 중복으로 받지 않도록 제도를 연동 운영할 방침”이라고 말했습니다.

KISA도 “이와 관련해 추가 협의가 필요하다”는 입장입니다.

이같은 제도가 잘 운영되고 홍보효과까지 결합된다면, 이용자들이 서비스 사업자의 정보보호 수준을 고려해 인증받거나 정보보호 등급이 높은 클라우드 서비스를 선택할 수 있겠네요.

7. DNS 대상 DDoS 공격 대응 기반 마련

작년에 게임사들의 DNS 서버를 대상으로 DDoS 공격이 발생한 사고가 몇 차례 발생했다고 합니다.

그동안 DDoS 공격은 네트워크 대역폭 이상의 공격을 폭주시키거나 웹서버를 대상으로 사이트를 마비시키는 공격 형태가 많았는데요. KISA는 여러 서버 시스템을 한꺼번에 마비시키는 효과를 올릴 수 있다는 점에서 연동돼 있는 DNS 서버를 대상으로 한 DDoS 공격이 많아질 것으로 예상하고 있습니다. ‘이왕이면 한방에 큰 피해를 유발하자’는 생각이라면 웹 호스팅 업체나 IDC 내 DNS 서버, DNS 서비스 업체들의 시스템을 대상으로 공격을 벌일 수 있겠다 싶네요. 납득이 됩니다.

문제는 아직까지 DNS DDoS 방어체계가 제대로 구축돼 있지 않다는 점입니다. 

KISA에서 운영하는 사이버대피소도 웹서버 대상 DDoS 공격 대피소체계만 운영돼 있다고 하는데요. 원유재 KISA 인터넷침해대응센터 본부장은 “DNS DDoS 공격은 공격 패킷이 달라 사이버대피소도 새롭게 구축해야 하지만 예산 문제가 있다”고 설명했습니다. 그래서 유사시에 현재의 체계를 활용해 DNS DDoS 공격을 방어할 수 있는 방안을 찾고 있다고 합니다.

이를 운영해본 후 내년에 예산을 확보해 DNS DDoS 방어체계를 구축할 계획입니다.

방안이 마련되기 전에 큰 피해를 유발할 수 있는 심각한 DNS DDoS 공격이 발생하지 않았으면 하네요.

2012/01/31 08:05 2012/01/31 08:05

10.26 서울시장 재보궐선거 당일 발생했던 중앙선거관리위원회 홈페이지를 대상으로 한 분산서비스거부(DDoS) 공격 후폭풍이 갈수록 커지고 있습니다.

선관위 홈페이지에 DDoS 공격을 벌인 주범으로 최구식 한나라당 의원의 수행비서 공씨 등 4명이 지난 2일 경찰에 검거, 구속되면서 한나라당의 조직적 개입 의혹이 커지고 있기 때문인데요.

쟁점 중 하나는 공씨가 과연 단독으로 범행을 계획했을 것이냐는 의문입니다. 팟캐스트 ‘나는 꼼수다’에서는 선거 직후부터 이번 공격이 박원순 당시 후보 지지성향이 강했던 20~40대 투표율을 낮추기 위한 의도로 일을 벌였고, 이를 은폐하기 위해 DDoS 공격을 벌였다는 의혹을 제기해 왔습니다.

선거 당일 선관위 홈페이지 접속 장애가 DDoS로 인한 서비스 자체의 접속 장애 원인이 아니라 내부 DB(데이터베이스)의 연동이 끊어져 투표소 검색을 막았다는 것입니다. 선관위 개입 가능성까지 제기하면서 선관위를 대상으로 “로그파일을 공개하면 의혹이 풀릴 것”이라고 압박하고 있습니다.

경찰 발표 이후 민주당에서도 사건의 성격과 규모, 소요되는 막대한 자금을 감안할 때선거에 유리하게 작용하기 위해 조직적으로 벌인 것 아니냐는 의혹을 제기하고 있습니다.

이날 경찰은 최 의원의 9급 비서관인 공씨가 주범으로, 평소 잘 알고 지내던 같은 고향 출신 후배인 강씨에게 공격을 지시했고, 강씨는 자신이 운영 중인 홈페이지 제작업체 직원 김씨와 황씨와 함께 공격을 수행한 것으로 파악했다고 밝혔습니다. <관련기사 10·26 선관위 홈페이지 DDoS 공격 주범은 한나라당 의원실 직원>

공씨가 저지른 단독 범행인지, 정치적 의도를 가진 계획적 범죄인지 여부는 알 수 없지만 의혹이 갈수록 중폭되고 있는 것은 사실입니다. 

경찰에 따르면, 이들은 지난달 26일 오전 보궐선거일 당일에 200여대의 좀비PC를 동원해 초당 263MB 용량의 트래픽 공격을 가했습니다.

선관위 홈페이지는 지난달 26일 오전 6시15분부터 8시32분까지 2시간이 넘게 공격을 당해 마비되자, KT의 사이버대피소로 옮겨 서비스를 정상화했습니다.

주말 사이에 선관위 홈페이지를 공격한 좀비PC 수가 당초 알려진 200여대가 아닌 1500여대라는 언론 보도가 나오면서 이젠 ‘경찰 말바꾸기’ 논란도 벌어지고 있는데요. 뭔가 숨기기 위해 말을 바꾼 것처럼 해석되고도 있는 상황입니다. 

경찰청 사이버테러대응센터측은 명백히 “오보”라며 곤혹스러워 하고 있습니다. 센터 관계자는 5일 “좀비PC 규모는 당초 발표했던 200여대가 맞다”며, “예를 들어 설명하는 과정에서 오해한 것 같다”고 말했습니다.

선관위 책임도 있습니다. 선관위에서 밝힌 DDoS 공격 규모와 KT에서 집계한 규모가 다르다는 점 때문인데요.

사용자 삽입 이미지

KT 관계자는 “이번 DDoS는 대역폭 공격”이라며, “선관위에서 밝힌 공격 트래픽 규모는 전체 트래픽 규모이며, 실제 공격 트래픽은 2Gbps 가량의 규모였다”고 설명했습니다.

또한 좀비PC 규모 역시 경찰이 밝힌 200여대로 파악하고 있다고 합니다.

DDoS 방어 장비를 구축한 업체는 “350Mbps 정도의 용량을 사용했던 KT 회선에 트래픽이 260M 이상이 넘어가면서 과부하가 발생하자, 이를 KT 우회서비스로 돌린 것”이라며, “DDoS 방어 장비는 1G급이 설치돼 있어 전혀 문제가 없었다”고 말했습니다.

선관위는 KT 2회선, LG유플러스 1회선을 사용하고 있습니다.

이들 말대로라면 직접적으로 선관위 홈페이지에서 나타난 접속 장애는 인터넷 회선 용량 초과가 핵심 원인이라고 볼 수 있습니다. 홈페이지에서 사용했던 회선이 트래픽을 수용할 수 없었기 때문에 서비스가 원활하지 못했던 것입니다.  

이후 선관위는 사용하는 인터넷 회선 용량을 1G 이상으로 늘렸다고 하는데요. DDoS 공격이 벌어졌던 것 외에도 선관위의 선거 당일 트래픽 예측이 어긋났던 것도 문제의 원인이 될 수 있다고 보입니다.

IT 보안의 관점에서 보자면, 이번 사건은 얼마든지 취약한 PC를 악성코드에 감염시키고, 감염시켜 조종할 수 있는 좀비PC를 확보해 DDoS 공격을 벌일 수 있는 현실을 보여줍니다. 마음을 먹고 돈만 있다면 얼마든지 사이버범죄를 저지를 수 있는 환경이 됐습니다.

그 이유로 보안 전문가들은 ‘악성프로그램 확산 방지 등에 관한 법률(일명 좀비PC방지법)’ 제정의 필요성을 다시 지적하고 있습니다. 또 정부기관의 DDoS 등 위협 대응체계가 실질적으로 작동될 수 있도록 구축돼 있는지도 재점검해 봐야 할 것 같습니다.

DDoS 공격이 다양하게 활용되고 있다는 점을 보여준다는 점에서도 주목됩니다. DDoS는 경쟁사 사이트의 서비스 방해나 보복성 공격, 금전을 노린 협박성 범죄뿐만 아니라 정치적인 목적을 달성하기 위해서도 얼마든지 활용될 수 있는 공격 수단입니다. 핵티비즘이라고 불리우지요.

그동안 정치적인 불만을 갖고 많은 사람들이 시간을 정해놓고 특정 홈페이지를 대상으로 한꺼번에 접속해 서비스를 중지시켰던 사례는 많이 있었습니다. 이 역시도 일종의 핵티비즘, DDoS 공격이라고 할 수 있습니다.

이번 사건은 정치적으로 아주 중대한 사안이고 반드시 한 점 의혹 없이 진실이 규명돼야 할 것입니다. 여기에 더해 한번의 보안 투자가 아니라 보안수준 향상과 국가 전반의 보안인식 강화 노력이 지속적으로 이뤄져야 한다는 점에서도 교훈을 찾을 부분이 있다고 생각됩니다.

(참고로 선관위는 지난 2009년 7.7 DDoS 공격 이후 행정안전부 주축으로 추진했던 범정부 DDoS 대응체계 구축 사업을 통해 DDoS 대응체계를 적용했습니다.)


 

2011/12/05 19:25 2011/12/05 19:25

사용자 삽입 이미지
지난 15일(현지시간), 미국 샌프란시스코에서 열린 ‘RSA 컨퍼런스 2011’에서 스콧 차니(Scott Charney) 마이크로소프트 TwC(Trustworthy Computing) 부사장이 사이버위협에 보다 능동적이고 사전예방적으로 대응하기 위한 방안으로 공공 보건(publec Health) 모델을 차용한 ‘집단 방어(Collective Defense)’ 방안을 제안했습니다.

이 발표를 들으면서 마이크로소프트(MS)가 인터넷에 적용하자고 강조한 이 진보된 ‘집단 방어’ 모델이 우리 정부가 지난 2009년 7월에 발생한 분산서비스거부(DDoS) 공격 이후 추진하고 있는 ‘사이버치료체계’를 비롯한
좀비PC방지 방식과 아주 유사하다는 인상을 받았습니다.

정부(방송통신위원회·한국인터넷진흥원)가 주축이 돼 추진한 사이버치료체계는 어쩌면 한국판 ‘집단 방어’ 모델이라고 할 수 있겠습니다.

현재 국회에서 ‘좀비PC 방지법’이라고 불리는 ‘악성프로그램 확산 방지 등에 관한 법률’ 제정까지 추진되고 있는 시점에서, MS가 강조하는 이 모델이 무엇인지 살펴보는 것이 중요할 것이라 생각합니다.

이번 발표를 듣기 전에는 몰랐는데, MS의 ‘집단 방어’ 모델은 작년 10월에 공식 발표된 것 같습니다.(읽어보진 못했지만 관련 포스팅이 MS 사이트에 있네요) ‘집단 방어’라는 이름을 사용하진 않았어도 작년 상반기에 개최한 ‘RSA 컨퍼런스 2010’ 기조연설에서 차니 부사장이 비슷한 개념을 언급했다고 하더군요.

MS는 무엇보다 보안과 프라이버시 요구를 모두 충족하는 문제, 인터넷 접속과 보안 사이에서 충돌되는 이슈, 쉽게 체계를 구축하기 위한 방안 등 나타날 수 있는 어려운 문제를 해결하기 위해 고심한 느낌을 받았습니다. 기조연설 후 차니 부사장이 이와 관련해 또 포스팅을 했군요. (아주 부지런하시네요.)

‘집단 방어’ 모델은 기업이나 개인이 사이버위협에 대응하기 위해 방화벽, 안티바이러스, 보안패치 자동업데이트를 사용하고 위험에 대한 교육도 실시하지만, 위협을 막는데 충분치 못하다는데 문제의식이 있습니다. 특히 개인사용자들을 보호하기 위한 접근입니다.

그나마 기업은 CIO나 CSO 조직 또는 개별전문가를 통해 위협을 관리할 수 있지만 IT나 보안을 잘 알지 못하는 개인들은 방치돼 있어, 제로데이 취약점을 악용하는 신종 공격, 분산서비스거부(DDoS)를 유발하는 봇넷에 감염되는 일이 생기죠.

따라서 인터넷에 연결돼 있는 개인의 기기의 안전성(health)를 확실히 함으로써 IT생태계(에코시스템)으로 연결된 환경을 보다 안전하게 하고 새로운 위협에 대한 사전대응체계를 구축하자는 것이 ‘집단 방어’ 모델의 기본 철학입니다.

스콧 차니 부사장의 기조연설을 자세히 살펴보겠습니다.
사용자 삽입 이미지

‘집단 방어’ 전술, 왜 필요한가

그는 “세계 여러 국가들이 사이버보안전략을 고심하고 있지만, 어떤 측면에서는 제대로 작동하지 않고 있다”고 운을 띄웠습니다.

그 이유로 “사람, 조직, 정부가 모두 서로 공유돼 있고 통합된 도메인을 사용하고 있어, 여기에서 공격이 이뤄지기 때문”이라고 분석했습니다.

공공 보건 모델을 적용한 ‘집단 방어’와 같은 새로운 접근이 필요한 배경입니다.

“인터넷은 물리적 환경에서처럼 군대와 국민을 구분할 수 없다. 악성 패이로드와 정상적인 패킷도 혼재돼 있다는 것이 큰 문제이다. 정부가 군에 사이버위협에 대응토록 한다고 해도 프라이버시 문제로 사람들은 원치 않을 것이다.”

“공격의 속도는 아주 빠르다. 우리의 대응 능력을 능가한다. 공격으로 인한 결과, 영향도 예견하기 어렵다. 더욱이 지금 우리가 딛고 서 있는 세상은, 환경은 계속 변화하고 있다. 인터넷 의존도는 이미 커졌고, 컴퓨터나 휴대폰, 인터넷에 연결된 기기가 확산되고 있고 앞으로 모든 기기에 인터넷 센서가 들어갈 것이다.”

위협의 발전, 그리고 환경 변화가 핵심입니다.

차니 부사장이 연설할 때 보여준 데모 영상도 이렇게 시작합니다. “As the Internet and cloud have grown to be part of the fabric of society, societal expectations for security, reliability and privacy are intrinsic.”

차니 부사장은 이런 환경 변화로 “데이터 중심적인 세상(Data-Centric world)이 되고 있다”고 표현했습니다. 여기에서 보안과 프라이버시가 모두 필요하고, 아이덴티티관리의 중요성이 나타난다고 설명했습니다.

‘집단 방어’ 모델의 진화

위협을 집단적으로 방어하기 위한 과정도 소개했습니다.

“1980~1990년대 사이버 위협이 처음 생겨나면서 기업들이 방화벽과 침입방지, 안티바이러스를 구축하고 늘리기 시작했다. 그리고 90년대에 들어 정부와 산업이 서로 협력해 정보를 공유하기 시작하면서 집단 방어를 위한 다양한 방법이 모색돼 왔다.”

이제 MS는 인터넷에 공공 보건 모델에 착안해 인터넷에 적용할 수 있는 ‘집단 방어’ 모델'을 만들어 낸 것입니다.

공공 보건 모델은 이것입니다.
사용자 삽입 이미지

“우리는 건강을 해치는 위험요인에 대한 교육을 받는다. 병을 예방하기 위해 손을 씻어야 하고 소매에 기침해야 한다는 것들이다. 또 백신도 맞는다. 병에 걸려 아프면 치료하고, 또 SARS, H1N1(신종 플루)처럼 병이 아주 빠르게 전파할 때면 대응할 수 있는 국제적인 체계를 만든다. 나라마다 국가건강기구를 두고 있고, 비행기에서 내리는 사람은 기온을 재 높게 나오는 사람, 즉 감염이 의심되는 사람은 격리돼 치료를 받게 하기도 한다. 나 한명이 아니라 다수(the good of many)를 위해서이다.”

이같은 공공 보건 활동을 IT를 활용해 대입해보니 참 비슷합니다. 이렇게 하면 지금까지 한계를 노출했던 사이버위협에 (사후)대응(reactive)하는 방식과는 다른 사전예방(Proactive)하는 방법이 된다는 것이죠.

차니 부사장은 이날 “작년에는 ISP가 공공 부문에서 CIO가 돼야 한다고 말했다. 개인의 기기를 검사해 깨끗한지 확인하고 그렇지 않은 경우 인터넷으로부터 격리해야 한다고 했다”라며, 작년 RSA 컨퍼런스 2010에서 발표한 것 보다 진보된 ‘집단 방어’ 모델을 제안했습니다.

초기 ‘집단 방어’ 모델에서 발견된 문제(flaws)-클레임 기반 아이덴티티관리, 사회적 합의 로 해결

“작년에 말한 이 모델에서 프라이버시 때문에 개인들이 자신의 기기를 원치 않는다는 점과 ISP에 너무 많은 부담을 준다는 점, 인터넷상 컨버전스 이슈로 인한 격리의 어려움-VoIP를 사용할 때, 긴급한 경우 패치를 설치하고 컴퓨터를 리부팅해야 하는 것과 같은-이 있다는 세가지 문제를 발견했다”며, 해결 방안으로 “‘클레임 기반 아이덴티티(Claim based identity)’를 생각했다”고 말했습니다.
(클레임 기반 아이덴티티관리는 MS가 최근 클라우드 컴퓨팅 보안 방안으로 중요하게 제시하는 기술 방안으로 알고 있습니다. 구체적인 것은 향후에 공부를 해봐야겠군요.)

차니 부사장에 따르면, 사용자가 데이터를 통제할 수 있고 ISP가 모든 걸 담당하지 않아도 은행과 같은 특정 조직이나 기구가 사용자의 ‘건강 인증서(health certificate)’를 요구할 수 있다. 또 인터넷에 접속하거나 접속을 차단하는 식의 두가지 차원의 격리가 아니라 문제를 기반으로 맞춤형 위험관리 방안이 적용될 수 있다.

이를 적용하는데 있어 중요한 것은 ‘사회적인 합의’라고 차니 부사장은 강조했습니다.

“개인들이 이 아이디어를 받아들이게 하려면, 기기의 안전성을 인증하는 모델이 왜 좋은지 설명해야 한다”며, 흡연을 예로 들었습니다.

“담배는 암을 비롯해 각종 병의 원인이라는 사실을 누구나 알고 있지만, 그동안 담배를 피우는 것을 인정해 왔다. 그런데 최근에는 나 자신 뿐 아니라 주변사람에게도 해를 입히는 간접흡연 이슈가 생기면서 갑작스레 공공장소에서 흡연이 금지됐다. 사람들에게 담배를 피울 권리가 있지만 이웃에 해를 줄 권리는 없기 때문이다.”

다른 사람에게 피해를 주면서 개인의 ‘인터넷접속 기본권’만을 주장할 수는 없다는 이야기도 돌려 말했습니다.

“인터넷 접속을 기본권이라고 말하는 사람들도 있는데...세계적으로 프레스티지 수준에 올라온 기본권은 많지 않다. 이것이 왜 좋은 모델인지 설명할 것이다.”

“공유돼 있고 통합된 도메인인 인터넷에 접속할 때 내 기기가 이미 봇넷의 일부로 스팸을 유발하고 DoS 공격을 하고 있다면, 이는 전체 생태계의 위험으로 받아들여야 한다. 새롭게 출현할 위협에 대응하기 위해서는 더 스마트해져야 한다는 점을 반드시 이해해야 한다.”

‘집단 방어’의 목표, 그리고 SETIPA-Social, Economic, Political, and IT Alignment 구현
사용자 삽입 이미지

차니 부사장은 “‘집단 방어’의 목표는 모든 위험을 잡는게 아니라 기본 위생수준을 높이고 새로운 위협이 나타날 때 재빨리 대응할 인프라를 구축하는데 있다. 공공 보건 모델은 봇넷 위험과 사용자 프라이버시를 고민하고 IT와 시장, 사회적, 정치적 합의를 같은 선상에 놓는 방법을 배우게 한다”고 강조했습니다.

그리고 “다음 단계로는 아이덴티티관리시스템로 펌웨어의 신뢰성을 쌓는데(Trusted stack) 주력하고, 아이덴티티 솔루션을 위한 건전한 요구를 계속 적용할 필요가 있다”며, “공공보건 모델을 인터넷에 적용할 집단 방어 방안을 고민해 활용해보자”고 제안했습니다.

2011/02/19 16:00 2011/02/19 16:00
작년에 발생한 7.7 분산서비스거부(DDoS) 공격이 원래는 미국 정부기관을 대상으로 했다가 성공을 거두지 못해 한국으로 공격대상을 바꾼 것이란 분석이 나왔습니다.

이미 공격을 겪은 이후인 지금 시점에선 크게 의미는 없지만, 색다른 분석이어서 포스팅해봅니다.


헤럴드 프로콥 아카마이 수석 엔지니어 부사장은 7일 국내 출시한 아카마이 클라우드 보안 서비스(관심있는 분은 여기로)를 소개하기 위해 가진 기자간담회에서 작년에 미국에서 발생한 7.4 DDoS 공격 분석결과와 대응과정을 소개했습니다.


그 과정에서 프로콥 부사장은 “미국 정부사이트를 대상으로 공격을 벌였지만 아카마이가 철저히 방어해 결국 포기하고, 한국으로 대상을 옮겨 공격한 것”이라고 말했습니다.


개인적으로 스스로 자사의 분산형 네트워크 구조를 기반으로 한 보안 서비스가 DDoS 공격 대응에 탁월하다는 점을 강조하려다보니 과한 분석을 내놓지 않았나 싶은데요.  


이미 다들 알고 있다시피, 작년 7월 7일 오후 6시 40분쯤에 우리나라 주요 웹사이트를 대상으로 공격이 일어나기 이전에 미국의 독립기념일인 7월 4일에 미국 정부기관 등의 사이트를 대상으로 공격이 시작된 것은 맞습니다.


아카마이 분석에 따르면, 7월 4일 오후 2시에 아카마이의 네트워크 운영센터에서 경보가 발생했고, 오후 4시에 공격자 근원지를 발견했습니다. 그 이후 급속도로 트래픽이 증가해 평상시의 598배인 124Gbps에 달했다고 하는데요.


아카마이는 앞서 두시간 진행된 공격은 테스트였다고 보고 있습니다. 


공격 트래픽은 4시간 만에 100Gbps 이상 올라갈 정도로 빠르고 규모도 컸으며, 3일 동안 방식을 바꿔가면서 공격이 이뤄졌다고 합니다.


이 정도의 공격규모라면 정상 서비스를 유지하기 위해선 2500대의 백업 서버가 필요한 수준이라네요.


제대로 공격이 통하지 않자 7월 5일에는 공격 방식을 바꾸면서 트래픽이 낮아졌다고 합니다.


공격 IP의 90% 이상이 한국의 IP로 들어온 것으로 분석됐답니다. 우리나라의 많은 사용자 PC가 봇에 감염돼 공격에 악용된 좀비PC였기 때문입니다.


아카마이가 공격진원지도 분석하고 있는지를 물어봤는데요.
프로콥 부사장은 “공격근원지(IP)는 한국이지만, 그 배후에 누가 있는지는 모른다”며, “실제 공격근원이 한국에 있을 가능성은 낮은데, 한국은 고대역폭의 광대역망이 잘 갖춰져 있어 한국에 있는 PC를 이용한 것”이라고 설명했습니다.

한국의 7.7 DDoS 공격이 발생한 원인과 관련해 아카마이의 분석이 맞는지 아닌지, 아무도 모릅니다. 그럴 수도 있고, 아닐 수도 있겠죠.


한국 사이트 대상 공격 이전에 백악관 등 미국의 주요기관 사이트를 대상으로 먼저 공격이 있었다는 점에서는 개연성이 아예 없다고 볼 수는 없습니다. 


그런데 한국인터넷진흥원(KISA)과 우리 정부는 우리나라 주요사이트 22개를 대상으로 7월 7일부터 3일 간 공격이 발생하던 같은 기간에 14개 미국 사이트를 대상으로 공격이 계속 있었다고 분석하고 있는데요. 이 분석과는 배치됩니다. 


아카마이의 분석을 토대로 짧게 생각해보면, 만일 공격자가 미국을 대상으로 한 공격에서 큰 효과를 봤다면 우리나라의 7.7 DDoS 공격은 없었을 수도 있겠습니다만... 사실 이런 가정은 큰 의미는 없습니다.


혹시 그랬다 하더라도 이후 언제라도 DDoS 공격은 발생할 수 있을테니 말입니다. 


작년 7.7 DDoS 공격을 누가했는지, 왜 했는지
아직도 오리무중입니다. 

국가정보원에서는 공격진원지를 북한을 지목했는데요, 이 때문에 논란도 많았습니다. 많은 분들이 심증을 갖고 있을 지는 모르겠는데요, 우리정부나 미국정부도 아직까진 공격배후에 관해선 ‘공식적으로’ 밝힌 바는 없습니다.



2010/09/08 18:17 2010/09/08 18:17

방송통신위원회가 국민의 정보보호 인식제고를 위해 정보보호 홍보 TV방송을 시작합니다.

작년 7.7 분산서비스거부(DDoS) 공격 사태를 거치면서 이용자들의 PC보안 인식과 보안생활화가 아주 중요하게 부각된 것이 계기가 됐습니다.

이번 7월에도 작년에 치료되지 않은 좀비PC가 주요 국가기관, 은행, 포털 등의 웹사이트에 DDoS 공격을 가했었죠. 

방송통신위원회는 지상파 TV(KBS, MBC, SBS)와 보도전문채널(YTN, MBN)을 통해 평시엔 사이버침해 유형, 안전한 PC 이용방법, 악성코드 감염 방지 요령 등 정보보호 실천수칙을, 비상시에는 사이버침해 관련 상황과 대국민 행동요령을 신속히 전파한다는 계획입니다.

우선은 정보보호의 중요성을 알리기 위한 캠페인방송, 시사/교양정보 프로그램, 다큐멘터리 등의 형태로 시작될 예정입니다. 

원래는 TV 뉴스에서 제공하는 일기예보처럼 매일 국민들이 알아야 하는 정보보호 동향이나 사이버위협, 조치방안 등을 알려주는 형태로 기획이 됐었던 것으로 알고 있었습니다만, 아무래도 사회적으로 심각한 파급력을 주는 사이버공격은 예기치 않게 생겨 그런지 예보 보다는 홍보방송 형태가 되는 것 같습니다.

래도 1.25 인터넷대란이나 전자금융거래 관련 보안사고, 7.7 DDoS 공격, 대규모 개인정보유출 사고처럼 큰 사건이 나지 않는 이상, 평소에 TV방송에서 정보보호를 이슈로 집중적으로 다뤄지진 않았던 점을 생각하면 고무적입니다.

일단 시작할 방송사별 프로그램입니다.

사용자 삽입 이미지

앞으로 시청자들뿐 아니라 특히, 정보보호 전문가 등 관계자분들이 관심있게 살펴보고 방송사와 방송통신위원회, 한국인터넷진흥원에 의견을 적극적으로 개진하는 것이 중요할 것 같습니다.


 

2010/07/14 13:35 2010/07/14 13:35

'씨큐비스타'라는 국내 보안업체가 DDoS 대응능력을 검증하는 전문 솔루션(넷스피어)을 발표했습니다.

세계 최초로 독자기술로 개발한 DDoS 전용 시험장비랍니다. (관련기사 DDoS 대응능력 검증 전문장비 등장)

제품은 실제와 유사한 각종 DDoS 공격 트래픽을 생성해 각 기업이나 기관의 네트워크 및 보안체계가 제대로 작동하는지, 대응능력을 평가할 수 있는 솔루션입니다. DDoS 공격에 특화돼 있는 전문 시험장비입니다. 

이 제품을 개발한 씨큐비스타의 전덕조 대표이사는 "7.7 DDoS 공격 이후 안티DDoS(DDoS 전용 탐지·차단) 솔루션이나 라우터 등 네트워크 장비, 방화벽, 침입방지시스템(IPS), L4스위치 등을 이용해 DDoS 대응체계를 구축하고 있지만, 실제 DDoS 공격 방어 능력 등을 검증할 방안과 도구가 부재하다"라고 지적했습니다. "DDoS 공격을 예방하기 위해선 대응능력을 효율적이고 제대로 평가, 검증할 수 있어야" 하기 때문에 DDoS 대응능력 검증 전문 솔루션을 개발하게 됐다는 설명입니다.

개발배경과 취지에 공감이 갑니다.

돈을 내고 보안 제품을 구매해 설치하는 이유는 미래에 발생할 수 있는 보안위협을 막고 혹시 있을 지 모를 손실을 최소화기 위해서입니다. 그래서 보안이 '보험'에 비유되기도 하는 거죠.

정부공공기관과 민간에서도 DDoS 대응체계를 구축한 것은 당연히 향후에 발생할 지 모르는 공격을 최대한 막아 피해를 최소화하기 위한 목적이지요.

백신이 악성코드 감염을 방지하거나 치료하기 위한 것이고, PC에 저장돼 있는 개인정보를 암호화하거나 이동식저장매체 등의 사용을 제어하는 이유는 정보유출을 막기 위한 것처럼요.

실제 공격이 현실화된 상황에서 투자된 보안 제품이 효용가치를 발휘하려면 현재 구축돼 있는 대응체계를 제대로 평가, 검증하는 것이 중요합니다. 계속되는 검증과정을 통해 미비점이 있다면 보완해야 보다 완벽한 대책을 마련할 수 있기 때문입니다.

DDoS 방어 장비를 설치하기 전에 제품 성능과 기능을 제대로 평가하는 것도 마찬가지입니다.

정부와 금융권에서 정기적으로 모의훈련을 실시하는 것도 같은 이유라고 생각합니다.

만일 DDoS 모의훈련이 잘못된 평가방식으로, 혹은 형식적으로 치우친다면 실제 상황에 하등 도움이 안될 것입니다.

또한 DDoS 공격 방어 장비를 도입할 때 장비의 성능과 기능에 대한 평가기준·방식이 올바르지 않다면 이 평가도 의미가 없을 것입니다.

그런 점에서 현재 DDoS와 관련한 각종 시험·평가방식은 사실 잘못돼 있습니다.

씨큐비스타도 그 점을 부각했습니다. 현재 국내에서 널리 이용되는 DDoS 대응능력 평가 또는 검증 방식이 잘못돼 있다는 점을 지적했습니다.

예를 들어, DDoS 보안 장비를 도입해 DDoS 대응체계를 구축할 때나 모의훈련을 할 때 주로 이용되는 시험장비는 네트워크 성능을 측정하는 계측기입니다. 익시아, 브레이킹포인트라는 네트워크계측장비가 가장 많이 활용되고 있답니다.

씨큐비스타에 따르면, 네트워크 장비의 쓰루풋과 레이턴시 등과 같은 성능 측정을 목적으로 하는 네트워크 계측장비를 DDoS 대응 시험에 쓰고 있으니 제대로 평가하는 것이 아니라는 겁니다.

전 사장은 "네트워크 계측장비를 이용해 생성한 트래픽은 실제 DDoS 공격 트래픽과는 차이가 있다. 때문에 제한적인 테스트만 가능하며, 또 정형화된 트래픽을 생성하기 때문에 예측가능하다는 단점을 갖고 있다"고 강조했습니다.

또 "현재는 DDoS 대응능력 평가나 검증을 제대로 할 수 있는 도구와 방법론이 없다. 특히 7.7 DDoS 공격에 이용됐던 대규모 봇넷 공격에 대한 평가는 할 수 있는 방법이 없다"라며, "DDoS 대응책을 수립하고 있는 지금 심히 우려되는 상황"이라고 진단했습니다.

그동안 각종 DDoS 대응체계 구축 사업 BMT나 DDoS 전용 방어장비 시험 수행에서 평가방식이 종종 도마에 오르며 관련 업계에서 논란이 일곤 했습니다.

대표적인 것이 국가정보원 DDoS 탐지·차단 장비 시험입니다. 작년 하반기 정부가 범정부 DDoS 대응체계 구축 사업을 긴급히 추진하면서 시중 공급되는 DDoS 보안 장비에 대한 보안성 평가 등 시험이 필요했었습니다. 국정원은 '별도지정' 제도를 통해 DDoS 장비의 시험기준과 방법을 정하고 평가를 수행해 목록에 등재했습니다.

그 때 장비의 성능 측정도 브레이킹포인트 등 두가지 네트워크 계측기를 썼던 것으로 기억합니다. 많은 업체들이 당시 평가에 불만을 드러냈었고, 그 과정에서 포기한 업체들도 있었습니다.

해 진행된 DDoS 관련 사업 BMT 등에서도 이같은 문제는 종종 제기됩니다.

공공기관, 금융기관의 DDoS 모의훈련도 네트워크 계측장비를 이용한다고 합니다.

채문창 씨큐비스타 연구소장은 "네트워크 계측장비를 이용하는 모의훈련 방식은 결국 하나도 효과를 거둘 수 없다"고 설명했습니다.

씨큐비스타는 제대로된 DDoS 공격 및 방어 능력 검증 환경을 구현할 수 있다고 자신감을 드러냈습니다.

"수억원대를 호가하는 네트워크 계측장비보다 저렴한 가격으로 이 제품을 공급해 DDoS 공격 방어를 위한 도전과제를 극복하는데 일조하겠다"는 포부도 밝혔습니다.

앞으로 '세계 최초' DDoS 전용 시험도구인 이 제품의 성능과 기능, 품질에 대한 검증도 필요할 것입니다. 

이 제품 출현이 우리나라가 DDoS 공격 방어체계를 더욱 견고히 수립할 수 있는 토대를 다지는데 기여할 수 있게 되길 바랍니다.

이번 기회에 현재의 DDoS 대응 관련 평가방식에 대한 국가정보원, 행정안전부, 한국인터넷진흥원, 금융감독원 등 관계부처·기관, 기업의 고찰이 이뤄졌으면 합니다.

2010/07/07 10:03 2010/07/07 10:03

시스코시스템즈가 홈페이지에 시스코 분산서비스거부(DDoS) 공격 탐지 차단 제품인 가드·디텍터 장비를 단종한다고 공지했습니다. <관련 기사>

이에 따라 지난 2008년 3월 어플라이언스 제품에 이어 시스코 카탈리스트 6500/7600 시리즈 라우터 모듈형 제품도 단종, 안티DDoS 전용장비 사업을 중단하게 됐습니다. 7월 31일 이후로는 판매도 완전히 중단하게 됩니다.

이와 관련한 시스코 공지 링크합니다. EOL/EOS for the Cisco Catalyst 6500/Cisco 7600 Series Router Anomaly Guard Module and Anomaly Detector Module 그리고 주요 내용을 캡처해봤습니다.


지난 2008년 공지도 함께 링크합니다.

이번 단종 일자가 1월 31일입니다. 이미 단종하고 나서 1일자로 공지했군요.

문제는 소프트웨어 유지보수인데요. 버그 수정을 포함해 소프트웨어 유지보수는 내년 7월까지만 지원됩니다.

반면에 하드웨어 장비 지원은 2015년 7월 말까지입니다.

시스코의 이 안티DDoS 장비는 국내에서 독보적으로 많이 팔린 장비입니다.

DDoS 공격이 이슈가 되기 전부터 시스코는 계속해서 DDoS 공격에 대비해야 한다고 알려왔고 실제 공격 피해사례가 많이 나타나면서 좀 과장을 보태 불티나게 팔렸었습니다.

안철수연구소에 합병된 안랩코코넛과 인포섹이 파트너로서 초기부터 판매를 담당해왔습니다.

아마 작년 하반기 단종 소문이 확산되기 전까지 2008년 한 해 동안과 작년 상반기에 가장 많이 판매됐을 겁니다.

이 제품은 포털, 게임, 쇼핑몰, 아이템거래 등 인터넷서비스 업계를 비롯해 통신, 금융, 정부에 이르기까지 여러 산업군에서 사용하고 있지요.

2008년에 구매한 고객은 2년 남짓, 작년에 구매한 고객은 1년 남짓 사용하고는 소프트웨어 유지보수를 받을 수 없게 됐네요.

시스코는 마이그레이션 혜택 등 이번 단종으로 인해 고객에게 제공할 특별한 지원 프로그램을 갖고 있지는 않은 것 같습니다.

전세계에서 우리나라만큼 안티DDoS 장비 수요가 많은 곳도 없을 정도라는 말이 종종 나왔던 것처럼 아마 다른 지역이나 국가는 크게 이슈는 안될 것 같습니다.

한국 고객이 많다고 해도 외국 기업이 작은 한국 고객만을 위한 지원혜택을 만들어주진 않을 것 같네요.

정부통합전산센터, 한국인터넷진흥원, 행정안전부 등 정부/기관을 비롯해 시스코 고객들이 이 사실을 어떻게 받아들이고 있을지 궁금합니다.

2010/02/03 14:25 2010/02/03 14:25

- 정부기관 정보보호 전담부서 43곳 중 9곳, 정보보호 전담인력 평균 1.45명

지난 7월 분산서비스거부(DDoS) 공격이 발생해 온나라가 들썩인지 5개월째에 접어들고 있습니다.

청와대와 국가정보원(국가사이버안전센터), 정부통합전산센터, 주요부처 등 정부 주요기관들조차 줄줄이 공격 대상이 됐던 충격 탓인지, 한동안 정부와 여당인 한나라당은 사이버 침해사고에 대한 보안 대책을 마련하겠다는 강력한 의지를 보여줬고, 계획도 냈습니다.

그런데 정부의 사이버 위기 대응 조직체계와 정보보호 전담인력 및 투자는 여전히 크게 미흡한 수준입니다.

이같은 문제점을 지적하고 대책을 제시한 의미있는 보고서를 국회 입법조사처에서 발표했습니다. (관련기사)

이 보고서에는 DDoS 공격 대응 문제점으로 사이버 공격에 대한 훈련 및 국제공조 미흡, 사이버 정보보호 기능의 분산, 장비노후화 및 악성코드 분석 전문인력 부족, 사이버 위협에 대한 인터넷 이용자의 대응 미흡, 정보보호 인력 및 투자 부족 등 5가지를 지적했습니다.

정부의 정보보호 총괄기능이 분산돼 있고 민간부문 정책부서가 축소돼 있다는 점과 정보보호 전담 부서나 인력 부족 문제는 지난 7.7 DDoS 공격 당시 전문가들과 언론이 가장 많이 지적했던 것이 '콘트롤타워 부재'와 '정보보호 전문인력 부족'이었다는 점에서 맥락이 통합니다. 

이것이 현재 정부의 미흡한 정보보호 수준을 보여주는 지표가 되겠지요.

보고서에서는 정보보호 2008년 정부 조직개편에 따라 정보보호 정책기획 기능이 방송통신위원회, 행정안전부, 지식경제부 등으로 분산됨에 따라 사건 발생 후 해당 사안을 주도적으로 관장하는 기관이 없었다고 지적합니다.

또 정보보호 중요성이 증가함에 따라, 공공부문의 사이버위기 대응을 담당하고 있는 행정안전부, 국정원 등은 관련 조직이 지속 확대되고 있는 반면에, 민간부문의 사이버침해 위협수준이 더욱 높아지고 피해규모가 커져가고 있음에도 불구하고 민간부문 사이버위기 대응을 맡고 있는 방송통신위원회 정보보안 정책관련 조직은 옛 정보통신부 시절 국 규모에서 1개 팀 수준으로 축소돼 있다는 점도 문제시 하고 있습니다.

특히, 이 보고서를 보면 정부의 43개 중앙부처 가운데 자체 정보보호 전담부서를 운영중인 부처는 9개에 불과할 정도로 한심한 수준입니다.

자체 정보보호 전담인력 현황은 부처당 평균 1.45명에 불과하네요. 국무총리실(0.6명), 감사원(0.2명) 및 방송통신위원회(0.8명) 등 16개 기관이 1명 이하의 전담인력이 배치되어 있습니다.

보고서에 첨부돼 있는 표를 보시죠.


보고서는 이러한 문제점 지적뿐 아니라 국회에 제출한 내년 정부 예산안과 주요 사업에 대한 분석도 하고 있습니다.

DDoS와 같은 사이버 침해사고 재발방지 방안도 제안하고 있습니다.

보고서에서 제시하는 방안을 참고해 국가 정보보호 정책과 투자현황에서 나타나는 문제점이 신속하게 개선되길 기대합니다.

관심이 있는 분은 전문을 살펴보세요.

보고서 파일을 첨부하겠습니다.
국회입법조사처 홈페이지(
www.nars.go.kr)의 ‘자료마당’에서도 전문을 확인하실 수 있습니다.


2009/12/01 19:14 2009/12/01 19:14


범정부 DDoS(분산서비스거부) 대응체계 구축 사업자와 공급 제품이 모두 선정되고, 프로젝트가 본격 착수되고 있습니다.

국가정보원은 이 사업에 앞서 시험해온 DDoS 대응 장비 11개에 대한 시험 결과를 우선협상대상자가 선정된 직후에야 공개했습니다.

그것도 최종 결과가 아니라면서 말이지요. 그 때문에 결국 경찰청 DDoS 대응체계 구축 사업에 공급될 예정이던 제품이 바뀌는 일이 벌어졌습니다.

구축 과정 중에 바뀐 것이 아니라서 그나마 다행이지만, 최종 확정되기 전까지 혼선이 빚어졌습니다.

국정원이 유발한 혼선은 결과 발표에만 있었던 것은 아닙니다.

7.7 DDoS 공격 후 정부기관이 DDoS 대응장비를 활용해 대응체계를 시급히 구축할 수 있도록 시중 DDoS 대응 전용장비를 대상으로 별도지정 하겠다는 계획을 수립한 이후 국정원은 계속적으로 방침을 뒤바꿨습니다. 그 과정에서 당연히 혼란이 계속됐습니다.

국정원이 보안 제품을 평가하는 주된 이유가 보안성 평가에 있음에도 이번 별도지정은 계측기 등을 이용한 성능평가 위주로만 시험됐습니다.

별도지정에서 나타나는 국정원의 일관성 없는 정책은 홈페이지를 통한 공지에서조차 확연히 드러납니다.


7월 17일자로 올라온 별도지정 목록입니다. 5개 제품이 올라와 있습니다. 이미 별도지정한 것처럼 공지돼 있습니다.


그 후 지난 8월 21일자로 올린 국정원 공지입니다. 업계에서 혼란이 있자 시험 제품을 11개로 재공지합니다. CC평가 막바지에 있던 LG CNS 제품은 빠졌습니다.

그 사이 3개월이란 시간이 흘러갑니다. 행정안전부는 조달청을 통해 범정부 DDoS 대응체계 구축 사업에 대한 사전공고를 내면서 제안요청서(RFP)를 공개하고, 사업을 본격 예고합니다.

주관기관(4개 부처)들과 지난 10월 22일 입찰설명회를 개최한 데 이어 23일 정식 사업공고를 내면서 본격화합니다.

11월 3일 5개 분야 입찰이 실시되고 9일과 10일 5개 사업 우선협상대상자가 모두 선정됩니다.

삼성SDS, LG엔시스, 에스지어드밴텍이 각각 선정되면서 이들이 제안한 DDoS 탐지·차단 제품인 나우콤과 시큐아이닷컴, LG CNS, 라드웨어 장비가 범정부 DDoS 대응체계 구축 사업에 공급될 장비가 됐습니다.

그 동안 국정원은 “11개 제품에 대한 시험을 실시하고 있다”는 것과 “시험이 완료되면 공지하겠다”고만 밝힐 뿐, 언제 시험을 완료하고 결과를 발표할지, 어떤 식으로 할지, 또 시험방법과 그 배경에 대한 구체적인 내용에는 함구했습니다.


그리고는 11월 11일자로 이렇게 결과를 공지합니다. 나우콤과 시큐아이닷컴 뿐입니다. LG CNS는 CC인증을 보유한 제품이니 문제가 없지만 라드웨어 제품은 빠져 있어 혼선이 예상됐습니다.

그런데 국정원은 이 때도 “현재까지 시험이 완료된 제품만 올린 것”이라며, “나머지 제품은 아직 시험중”이라고만 밝혔습니다.

라드웨어 제품에 대한 시험이 아직 안끝난 것처럼 받아들일 수밖에 없는 정황입니다.

알고 보니 모든 제품에 대한 시험은 완료된 상태였습니다.

또 하나 별도지정 목록에 등재된 시큐아이닷컴 제품이 4G 장비가 2G로 국정원이 공지했습니다. 당연히 또 혼란이 생깁니다.

국정원이 장비에 대한 성능 시험 결과, 제대로 성능이 나오지 않으면 ‘다운그레이드’ 하도록 한다는 이야기가 있었기 때문에, 시큐아이닷컴의 장비가 해당된 것은 아닌가 하는 궁금증이 유발됩니다.

교육과학부는 2G, 4G, 10G 장비를 요구했고, 모두 시큐아이닷컴의 장비가 제안됐었기 때문입니다.

결국 국정원은 성능 측정 기준이 단방향이라는 내용을 공지에 추가합니다.

업계에서는 보통 양방향 성능을 기준으로 삼습니다. 교과부에 문의결과, 제안요청 기준도 ‘양방향’이었답니다.

단방향 성능측정 결과를 두배를 곱한 결과가 양방향 성능치라고 할 수는 없습니다.

아직도 별도지정 시험 과정에서부터 성능측정 등 시험방법, 결과, 발표시기 등을 놓고 업계의 말이 많습니다.

범정부 DDoS 대응체계에 구축될 제품은 정해졌지만 별도지정 시험이 끝난 것도 아닙니다.

국정원도 아직도 시험이 진행 중이라고 이야기하고 있습니다.

결국 별도지정에 소요되는 기간은 준비기간을 포함해 4개월을 훌쩍 넘기게 됐습니다. 별도지정된 제품도 내년 2월까지는 국제공통평가기준(CC)평가계약을 맺어야 합니다. CC인증을 받아야 하는 것입니다.그리고 구축 시기에 보안적합성 검증을 또 거쳐야 합니다. 국정원도 아직도 시험이 진행 중이라고 이야기하고 있습니다.

생각해보니 별도지정이 한시적으로 운영되는 제도이고, CC인증을 받아야 하는 것도 나중에 알렸군요. 


국정원의 일관성 없는 정책에 업체들은 힘이 듭니다.

결국 공급장벽은 더 높아지고 업체들의 리소스는 엄청나게 소진됩니다.

국정원의 시험 결과는 향후 사업에 보이지 않는 막강한 영향력으로 작용하게 됩니다.

그만큼 신중하고도 일관성 있는 정책을 수립해야 합니다. 그리고 공개할 것은 공개해줘야 뒷탈도 없습니다.  

7.7 DDoS 공격 전까지 국내 시장과 전세계 시장에 유수의 레퍼런스를 자랑하는, 국산 장비들보다 더 경험이 풍부한 외산 제품들이 모조리 시험을 통과하지 못한 것은 여전히 의아한 점으로 남아있을 뿐입니다.
 


2009/11/24 16:13 2009/11/24 16:13