[강은성의 안전한 IT세상]3.4 DDoS 공격과 기업 보안


한 동안 장안을 떠들썩하게 했던 3.4 분산서비스거부(DDoS) 공격 사태에 대한 분석과 평가가 거의 마무리 되어 가는 것 같다.

지난 2009년 발생했던 7.7 DDoS 공격 사태가 있은 지 1년 8개월 만에 발생한 이 대규모 공격은 3월 4일과 5일 이틀 동안 약 11만 6천대의 좀비 PC를 동원하여 40개의 사이트에 세 차례 진행됐지만, 비슷한 규모의 공격이 이뤄졌던 7.7 DDoS 사태에 비해 피해는 훨씬 적었다. 공격받은 사이트들의 서비스 중단 시간도 짧았고, 좀비PC로 이용되다가 하드디스크가 손상되어 신고된 PC의 수도 반 정도로 줄었다.

정부와 보안업체에서 발표한 내용을 종합해 보면, DDoS 공격 악성코드 샘플의 사전 확보와 분석, 전용백신 제작과 배포, 공격명령 사이트의 차단 등 한국인터넷진흥원, 국가정보원, 보안업체, 초고속통신망업체, 인터넷기반 서비스업체 등의 개별적인 분석, 방어 역량이 향상됐고, 각 주체가 유기적인 협력을 통해 신속하게 대응한 것이 이번 피해를 줄이는 데 크게 기여했다는 데에 의견이 모아지는 것 같다.

또한 전용 백신 다운로드 수가 1,151만 건으로 7.7 사태 때의 4.5배에 이르렀다는 사실을 보면, 전용백신을 다운로드 받아 점검하는 누리꾼들의 자발적인 참여와 이를 지원하기 위해 사용자가 많이 이용하는 뉴스나 검색 페이지에 백신 링크를 걸어 준 포털의 능동적인 역할도 평가할 만하다고 하겠다.

3.4 DDoS 사태 대응에 대한 평가를 보다 보니 ‘DDoS 사태’라는 이름이 붙을 정도로 동시에 여러 사이트를 공격하는 정도가 되어야 정부나 언론의 관심이 쏟아지고, 분석과 토론 역시 그러한 대규모 공격에 초점이 맞춰진다는 점이 눈에 띈다.

그러나 그러한 대규모가 아니라 하더라도 지금 인터넷 세상에서는 DDoS 공격이 꾸준히 발생하고 있다. 지난 3월 20일~21일 이틀 동안 교육방송(EBS)의 수능방송 사이트에 DDoS 공격이 일어나 수험생들이 큰 불편을 겪은 사건도 한 가지 예다.

같은 고3 학생이 범인이었는데 이 학생은 해외 인터넷 사이트에서 입수한 프로그램을 수정하여 DDoS 공격용 악성코드를 제작하였고 이를 인터넷 카페를 통해 배포하여 감염시킨 좀비PC를 동원해 교육방송 사이트를 공격했다고 한다. DDoS 공격을 하는 일이 별로 어려운 일이 아니어서 많이 발생할 수 있는 데 비해 당하는 쪽의 피해는 클 수 있다는 점을 알 수 있다.

기업에서 보안업무를 맡고 있는 입장에서는 심심치 않게 들어오는 DDoS 공격을 막는 것이 중요한 과제다. 대규모 공격이든 소규모 공격이든 관계없이 당사가 제공하는 서비스를 사용자가 계속 쓸 수 있도록 해야 하기 때문이다. DDoS 공격은 이름에 나타난 것과 같이 서비스를 중단시키는 공격이므로 서비스의 가용성을 확보하는 것이 DDoS 대응의 목표이다. 따라서 DDoS 대응은 공격을 막는 보안 시스템의 측면과 공격에 견디기 위한 IT 시스템의 양 측면에서 이뤄진다.

인터넷을 통해 일정한 규모 이상의 서비스를 제공하는 업체의 보안부서는 침입탐지시스템과 DDoS 방어 장비를 도입하고 보안관제업체를 이용하여 전문적인 보안관리를 수행하는 등 DDoS 공격에 대비한다. DDoS 공격이 발생하면 공격 트래픽을 신속하게 탐지하여 차단하면서도 사용자가 서비스를 이용하며 발생시키는 정상 트래픽은 통과시켜야 한다.

서비스 트래픽에 대한 학습과 모의 훈련의 사전준비에서부터 공격 탐지와 전파, 우회와 차단, 사후처리에 이르기까지 각 대응단계에서 보안부서와 IT부서, 사업부서 등 사내 담당부서들뿐 아니라 보안관제업체, 초고속통신망업체(ISP)나 인터넷데이터센터(IDC) 등 외부 업체들이 한 몸처럼 신속하고 정확하게 움직일 때만이 가능한 일이다.

비싼 보안장비를 갖추고 보안관제업체를 쓴다고 해결될 일이 아니라는 얘기다. 사내외를 막론하고 관련 조직을 아우르고 자신들의 서비스를 충분히 고려하여 역할에 따른 협업이 원활하게 이뤄질 수 있는 대응 프로세스를 수립하고 모의훈련을 통해 이를 충분히 숙지해야 한다.

지속적으로 변화하는 보안공격의 패턴에도 대응할 수 있어야 한다. 그러려면 사내에 뛰어난 보안전문가와 IT 전문가들이 있어야 한다. 아무리 비싼 장비를 들여 놓더라도 그걸 활용하는 정책과 프로세스를 수립하고, 그에 따라 공격에 대응하는 전문가들이 없다면 그것들은 비싼 고철 덩어리에 지나지 않게 된다. 보안전문가와 IT 전문가의 중요성은 아무리 강조해도 지나치지 않다.

방송통신위원회와 한국인터넷진흥원이 발표한 <2010년 정보보호 실태조사 결과>에 따르면 조사대상이 된 종사자수 5명 이상, 네트워크 구축 사업체 6,529개 중 정보보호 투자를 전혀 하지 않는 기업은 63.5%로 전년도와 큰 차이가 없었지만(2009년 조사기업 수는 2,300개), 정보보호 투자를 하는 기업 중 19.9%가 정보보호 투자를 늘렸고, 그 중에서도 직원이 250명 이상인 기업은 투자를 39.1%나 늘려서 규모가 큰 기업일수록 정보보호 투자를 늘린 것으로 나타났다.

7.7. DDoS 사태 이후 규모 있는 기업들이 보안투자를 늘렸음을 알 수 있다. 다만 정보보호 전담조직을 운영하는 기업이 14.5%로 전 해보다 6.2% 증가했음에도 불구하고 아직도 기업의 85%에 보안 전담조직(보안팀)이 없다는 건 우려할 만한 일이다.

최근 벌어진 농협 금융전산망 마비 사태에서 우리는 IT 시스템에 보안 사고가 생기면 수많은 국민의 생활에 엄청난 피해를 끼칠 수 있음을 막대한 비용을 치르면서 배웠다. 문제는 이러한 사고가 정부, 쇼핑몰, 은행, 증권, 병원, 항공사, 포털 등 인터넷을 통해 핵심적인 서비스를 제공하고 있는 우리 사회 전반에서 발생할 수 있다는 것이다. 이제 DDoS 공격뿐 아니라 IT 전반에 걸쳐 발생할 수 있는 보안문제에 대해 좋은 인력과 적절한 프로세스, 필요한 솔루션을 갖춰서 좀더 안전하고 즐거운 인터넷 세상을 함께 만들어 갈 수 있기를 바란다.

/강은성(SK커뮤니케이션즈 PMO)








포토뉴스