해커들과 72시간 사투, 의지의 한국인

지난 2월의 어느 날, 안철수연구소의 보안 관제 서비스를 받고 있는 일본의 한 고객으로부터 연락이 왔습니다. 회사에서 서비스하고 있는 프로그램 중 하나가 자동으로 실행된 적이 있는데, 이로 인해  심각한 장애가 발생해 해킹 여부에 대한 분석을 요청한다는 내용이었습니다. 본사 CERT팀에서는 다음날 아침 팀원 1명을 항공편으로 급파해 일본 고객사를 방문하였습니다. 



그 때부터 해커와의 72시간 밤샘 전쟁이 벌어졌습니다. 해커 공격에 대한 분석을 하면 할수록 해커의 교묘한 침입으로 인해 3일 내내 꼬박 한잠도 잘 수가 없는 숨막히는 과정이었습니다. 그러나 결국 그는 해커들으로 공격으로부터 완벽하게 문제를 해결하고 귀국할 수 있었습니다.

사실 이 이야기는 최근 일본을 방문하고 돌아온 김홍선 사장이 현지 고객사의 사장으로부터 극진한 식사 대접과 칭찬을 들으면서 알려지게 되었습니다. 일본의 고객사 사장은 ‘안철수연구소의 보안기술력의 우수성은 물론 잠들지 않는 벤처정신의 기상에 놀랐다’고 합니다.

일본에서 해커들의 침입을 파헤치며, 문제를 해결하고 당당하게 귀국한 안랩인을 만나보겠습니다. '보안 관제 -  악성코드 분석 - 컨설팅'의 3박자가 척척 맞물려 '글로벌 통합 보안기업'으로 안랩의 위상을 일본에서 맘껏 발휘한 안랩인들. 당시 어떤 일이 있었는지, 정말 잠도 안자고 사건을 해결했는지 CERT팀의 심영섭 차장을 만나 생생한 당시의 상황을 들을 수 있었습니다.

 해커와의 72시간 사투의 현장. 심영섭 차장과의 인터뷰입니다.

Q: 우선, 사건의 발단에 대해서 간단히 설명 해 주시겠어요?
A: 지난 2월 12일이었어요. 일본의 한 고객이 해당사이트 분석 요청이 들어왔습니다. 우선 원격 지원으로 분석 해 보니, 카인이라는 악성 프로그램이 실행된 흔적이 있더라구요. 문제 해결을 위해 누군가가 일본엘 가야 되는데, 때마침 근무자 중에서 여권을 가지고 있던 사람이  저라서 제가 일본으로 가게 됐었죠.  

Q: 도착 당시의 상황은 어땠나요?
A: 처음에는 별 일이 아니라고 생각했어요. 그런데 하루 이틀, 분석을 거듭할수록 상황이 심각해졌어요. 서버를 분석하면 할수록, 수 십대의 서버에 침입의 흔적이 있었거든요. 그래서 주말임에도 불구하고 안철수연구소 본사에 비상소집령을 내렸죠. 확인해야 될 서버가 수십대에 이르니, 본사의 CERT팀 전원이 서버의 침입 흔적을 찾기 위해 3~4일 간은 뜬 눈으로 꼬박 밤을 지새웠어요.

팀장님, 컨설팅팀, 포렌직 전문가까지 계속해서 일본으로 합류했구요. 동시에, 한국 본사에서는 ASEC에서 악성코드 분석과 기반기술팀에서 루트킷탐지 등을 작업을 해 주었어요. 한 일주일 정도 되었을 때에는, 다들 지치고 사기도 떨어져 모두들 예민해지고...하하...정말 막막했죠. 그렇지만, 이렇다 할 단서가 안 나오니까 그 때부터 오기가 생기더라구요.


Q: 와...말로만 듣던 72시간의 밤샘 작업이 그거였군요. 정말 대단해요+_+
A: 대단하긴요, 뭘^^; 사실 본부장님, 일본 엔지니어들이 도무지 잘 생각들을 안 하시니까 저도 못 잔 거에요...나중에 웃으며 한 얘기지만 서로 눈치만 보고 있었던 거죠...하하

Q: 문제점은 어떻게 찾아내셨나요?
A: 고객사의 모든 서버를 점검하는데만 일주일이 걸렸어요. 원인이 되는 서버를 찾았는데, 그 서버를 분석해 본 결과 직원들이 사용하는 서버가 악성코드에 감염되었단 사실을 확인했구요. 역 추적과 분석을 통해서 완벽한 시나리오를 구성해서, 누가 침입을 했는지 밝히게 됐죠. 그런데 처음 침입이 일어난 것은 지난해 12월이었습니다. 해커들이 오랜 시간에 걸쳐 이 회사를 타겟으로 아주 치밀하게 계획을 했던 것이죠.

Q: 이후의 대응은 어땠습니까?
A: 문제점을 확인 했으니, 고객사에게 이제 해커들이 어떤 경로로 침투를 시도했는지, 재발 방지를 위해선 어떻게 해야 되는지 알려드렸고, 전용 백신을 제공하여 마무리를 지었습니다. 컨설팅팀에서 담당자들이 보는 앞에서 직접 모의해킹을 시연해 침투 흔적과 웹로그가 지워진 흔적 확인시켜 드렸습니다.

Q: 일본 업체 측에서 크게 감동했다고 하는데^^
A: 뭐 저 혼자만 고생했나요.. 하하.. 보시다시피 해커들은 지능적일 뿐만 아니라 다양한 기술력을 보유하고 있고, 무엇보다 조직적으로 움직인다는 특성이 있습니다. 제가 이번 일을 통해 느낀 건, 결코 한 두 팀만의 노력으로는 해결할 수 있는 문제가 아니었다는 것이에요. 안랩이 보안 관제, 악성코드 분석, 모의 해킹 등 3박자를 골고루 갖추고 있었기 때문에 이번 일을 해결할 수 있었던것 같아요. 고객사에서도 안랩이 이러한 역량을 갖추고 있는 것에 대해 대단해했고, 또한 잠도 안자고 일을 완벽하게 해결해 주었으니 칭찬을 많이 해주시더라고요. 이건 안랩이 아니었으면 불가능 했을 겁니다. 일본에 있으면서도 본사와의 협조를 통해 일을 해결하게 되어, 저도 무척 자랑스러웠답니다.

Q: 혹시 힘든 와중에도 재미있던 에피소드가 있나요?
A: 너무 긴급했던 상황 탓에, 팀원들이 번갈아가며 새우잠을 잤는데요. 한국에서도 밤샘을 하게 되면 라꾸라꾸라고 하는 간의 침대에에서 잠을 자는데, 일본에는 무려 전기장판이 내장된 2인용 라꾸라꾸 침대가 있었어요. 어찌나 따뜻하던지, 그 순간의 달콤함을 잊을 수가 없네요.


위 인터뷰를 진행하면서, 해커들이 조직적이고 점점 지능화되어 가고 있다는 것을 실감할 수 있었습니다. 그리고 무엇보다 무심코 열어본 이메일이 이렇게 회사 전체로 파급이 되어 해커들에게 중요한 정보를 빼앗기는 결과를 초래할 수 있다는것!! 그래서 수상한 이메일이 오게 되면 클릭하지 않고 바로 "삭제"하는 등, 보안의식에 대해서 다시 한 번 생각해 보게 됐습니다.

무엇보다 컨설팅, 보안관제, 악성코드 분석, 전용백신 제작 등이 유기적인 협력체제를 통해서 고객의 문제를 깔끔하게 해결해 준데 대한 자부심이 느껴졌습니다. 이것이 안철수연구소의 힘이 아닌가 생각됩니다.

해커들과의 고된 싸움으로 몸은 힘드셨겠지만, 깔끔하게 해결해 주신 안랩인 여러분들이 너무너무 자랑스럽습니다.