본문 바로가기

안랩人side/안랩!안랩인!

디도스, 안철수연구소의 긴박했던 5박 6일 르뽀


“최선의 방어는 사전준비와 신속한 대응으로 피해를 최소화하는 것입니다"

이제 디도스는 안심해도 되냐는 질문에, ASEC의 이호웅 센터장의 단호한 대답이다. 이번 3.4 디도스 공격은 지난 번과 달랐다. 피해 규모는 지난 7.7 디도스 대란 때보다 작았지만, 훨씬 지능화되고 치밀해져 만만치 않았다. 악성코드의 공격의 종료 시간이 없었으며, 악성코드 자체에 백신의 업데이트를 방해하는 기능이 숨어있기도 하는 등 공격 때마다 달라지는 양상을 보였다. 한마디로, 공격이 2년 전보다 업그레이드됐다.


안철수연구소를 통해 접수된 하드디스크 손상 신고는 현재까지 99건이다. 한번 파괴 된 하드데이터의 자료는 영영 복구할 수 없다. 각자에게는 돈 이상의 가치를 지닌 정보들일 것이다.
디도스 대란과 같은 상황이 흔한 일은 아니다. 디도스와 같은 규모의 테러가 매일같이 일어난다면, 언제 컴퓨터의 하드디스크가 폭발할지 몰라 PC를 켜는 것에도 전전긍긍하며 살아야 할지 모른다.

하지만 인터넷을 탓하랴. 결국 보안이다. 부단히 준비하고 노력하면서, 공격자가 한발 앞설 때 두 발 앞서 방어할 수밖에 없다.

3월 3일 오전. 안철수연구소의 안랩 스마트 디펜스(ASD)에 악성코드로 의심되는 파일이 탐지 됐다.  두 시간 뒤 국가정보원에서도 같은 샘플에 대한 문의가 들어와 디도스 공격 가능성을 확장했다. 의심 파일에 대한 정밀 분석 결과, 밝혀진 정체는 디도스(DDoS:Distribute Denial of Service)였다.  디도스는 09년 7월 7일 나흘 동안 국내 주요기관의 홈페이지를  다운시키고 개인PC를 손상시켰던 했던 사상 초유의 사이버테러다. 

디도스라면, 공격을 사전에 막기란 어려웠다. 공격이 예고 됐다면 최선의 방어는 최대한 신속히 그리고 널리 대응하여 피해 확산을 줄이는 것에 달려 있었다. 분석에서부터 보안 요령을 전달하기까지의 일련의 과정이 군더더기 없이 최대한 빨리 진행하는 것이 관건이었다. 이러한 판단은 지난 7.7 디도스를 온몸으로 겪고 난 후 안랩에 DNA처럼 새겨진 교훈이었다.  디도스를 확신한 후 안철수연구소는 국정원, 방통위, KISA등의 기관과 정보를 공유하고 대응에 나섰다.

3월 4일 새벽 1시 30분. ASEC-CERT를 포함한 비상대응체제의 모든 구성원에게 긴급문자가 전송됐다. 조시행 상무를 비롯한 연구원들은 동도 트지 않은 출근길을 헤치고 여의도로 향했다. 출근이 아니라 출동이라고 봐도 무난할 거다. 

분석과 대응 관련 업무를 하는 직원들은 악성코드가 추가로 유포된 곳이 있는지 파악하던 중, 오전 10시에 공격이 예정 된 새로운 악성코드와 유포지를 찾아냈다. 이와 동시에, 디도스 공격이 예상되는 29개 사이트에 대해 사전에 준비하여 대응할 수 있도록 조치했다. 안철수연구소 보안전문가가 해당 홈페이지 현장에 직접 파견가 지원하기도 했다.



DDoS 공격 대상에는 안철수연구소 홈페이지(www.ahnlab.com)도 포함되어 있었다. 즉, 안랩닷컴은 디도스의 대량 트래픽 포화를 차단하면서 백신을 배포하기 위한 트래픽을 제공해야 하는 상황이 됐다. 서비스운용팀은 DPX를 포함 모든 보안장비, 네트워크장비, 서버등을 점검하고 CERT, 네트워크지원팀을 비롯한 협조부서와 통로를 구축, DDoS와의 일전을 하기위한 만반의 준비를 마쳤다.


오전 10시, 예고된 공격이 시작됐고  회사 전체에 긴장감이 고조되었다. 김홍선 대표는 임원들과 함께 현장에서 진두지휘하며 시시각각 의사결정을 내렸다. 공격의 여파가 수면위로 떠오르기 시작했다. 공격대상에 포함되어 있던 일부 사이트는 약간의 버벅거림이 있었고 일부는 잠시 서버가 마비되기도 했다. 하지만 지난번 디도스 공격에 비하면 상당히 잘 견뎌주고 있었다. 


안철수연구소는 전사적 비상 대응 체제로 전환해 움직이기 시작했다. 평소엔 각 팀이 서로 다른 일을 하고 있는 것 같지만, 이때 바로 안철수연구소 특유의 조직문화가 살아난다. 마치 혈액을 순환 시키기 위해 온 몸의 기관이 움직이는 원리와 비슷하다. 

CERT와  ASEC, 보안관제팀이 관제센터로서 최전선에 나가 움직이면 후방의 팀들은 각자 자신의 위치에서 바쁘게 움직이기 시작한다. 쓰나미처럼 밀려 들어오는 고객 문의에 인사총무팀은 대표전화를 지키고, 품질보증팀은 긴급 테스트에 투입되고, 소프트웨어개발실은 고객 원격지원과 콜백지원에, 온라인사업팀은 홈페이지 실시간 업데이트에 투입되었다. 기술지원팀은 개인 고객과 기업 고객들의 대응을 위해 바쁘게 움직였고, 커뮤니케이션팀은 국내외 언론, 트위터, 블로그 등 각종 대외 커뮤니케이션 창구로서 신중하게 정보를 전했다. 모든 부서의 움직임 하나하나가 긴밀하고 중요했다.

오후가 되자 좀비 PC의 확산세가 줄어드는 모습을 보였고, 2차 공격이 예고 된 오후 6시 30분 서버는 생각보다 훨씬 안정적인 흐름을 보였다.



3월 5일. 토요일이지만 많은 직원들이 비상근무 중이었다. 대표 전화 창구는 새벽 2시에 출근해 디도스 여파로 안랩에 걸려오는 문의 전화를 응대하느라 오전부터 정신이 없었다.  솔루션지원팀의 경우 백만 년만의 워크샵을 취소하고, 전원이 청바지입고 고객사로 사무실로 출동하기도 했다.


ASEC을 찾았다. 공격이 소강상태에 접었냐는 질문에  ASEC의 이호웅 센터장은 "아직 긴장을 놓지 못한다"며 무겁다 못해 시린 눈두덩이를 매만진다.  일주일간은 지켜보아야 한다고 말했다. 지난 7. 7 디도스의 경우 일주일이 지나자, 잠잠하던 감염PC의 하드디스크가 파괴 돼 경악케 했다.


아니나 다를까. 3월 6일 새벽, 공격자의 하드 디스크 손상 명령이 예정보다 일찍 내려왔다. 해커는 어제 두 차례의 디도스 공격이 제대로 되지 않아 조바심이 났는지, 갑자기 하드디스크 손상 파괴하는 자폭 명령을 하달했다. 고객지원팀에는 당황한 개인 고객들로부터 신고가 접수되기 시작했다. 그런데 또 새벽이다. 악성코드는 굳이 밤에만 발생하라는 법칙은 없을 텐데 왜 얄굳게 새벽에만 찾아오는 걸까? 안철수연구소의 별 헤는 밤이 또 하루 이어진다. 


오전 11:00 하드디스크가 깨질 수 있다는 보도가 나가자 안랩닷컴 방문자가 폭주하기 시작했다.  지금부터는 백신 플랫폼인 안랩닷컴의 가용성을 최대한 지켜내야 했다. 밤 8시, 미디어의 위력을 또한번 실감한다. 오후들어 잠잠했던 안랩닷컴의 방문자수가 20G를 넘으며 급증했다. 개인 유저들이 뉴스를 본 후 전용백신을 받기 위해 방문한 것이다. 홈페이지가 조금 느려지긴 했지만 전용백신을 원활하게 공급할 수 있었다. 7.7 DDoS이후 보안장비 및 인프라강화를 수행 한 것이 주효했다.




3월 7일 월요일은 주말 동안 불안해했던 직장인들이 출근하자마자 안랩닷컴을 방문할 것이 예견되고 있었다. 아침 9시를 전후로 안철수연구소 홈페이지 방문, 전용백신 다운로드, V3 엔진 업데이트 등으로 안랩닷컴은 그야말로 온몸으로 전국민의 사랑을 느꼈다. 과투자했다고 생각했던 모든 장비를 총동원해서 안랩닷컴 방문자들이 PC를 점검할 수 있도록 보안지킴이 역할을 할 수 있었다. 기업 및 기관 등의 지원 활동에도 적극 나섰다. 전용백신 다운로드가 폭주하고 고객지원 문의전화도 폭주했다.



잔뜩 피곤에 절어있는 안철수연구소의 직원들이 보인다. 상황실을 지킨 CERT의 연구원은 "몸은 피곤하지만, 지난해 보다 잘 버텨주어 안심이 된다."라고 말한다. ASEC의 연구원은 이틀 동안 눈도 제대로 붙이지 못 했는데 피곤하지 않냐는 질문에 "사명감으로 신념을 갖고 임하고 있기 때문에 괜찮다."라고 충혈된 눈을 아무렇지 않은 척 부릅뜬다.

이날 하루 동안 전용백신 다운로드 수가 300만 건에 이르렀고 디도스 공격 기간에 총 400만 건 정도가 다운로드돼 개개인의 PC 안전을 지켰다. 참고로 KISA 보호나라에서 전용백신을 제공한 것 등을 포함하면, 1000만 건에 이른다.

이번 3.4 DDoS 방어는 ASEC, CERT, 보안관제팀, 네트워크지원팀과 솔루션지원팀의 공조체제에 의한 전방위 대응체제를 마련하여, 클라이언트 기술, 네트워크 기술을 현장에 즉시 적용하여  대응할 수 있었다. 공조 체제에 따른 실시간 정보교류로 종합적인 대응이 가능했다.


안철수연구소의 직원 중 누군가가 말했다. 우리가 이렇게 필사적으로 밤을 새는 이유가 뭘까? 무한체력? 의무감? 야근을 해도 직원들에게 돌아오는 이익은 특별할 게 없는데 말이다. 하지만 안철수연구소의 직원들을 만나 소회를 물어보니, 이유는 그냥 하나였다. 안철수연구소가 존재하는 의미인,
'끊임없는 연구개발로 함께 사는 사회에 기여'하기 위해서다. 사이버 전쟁터의 최전선에서 국가 정보 보안을 사수하는 안철수연구소와 직원들이 있다면, 그래도 조금은 안심하며 편안한 인터넷 생활을 누릴 수 있지 않을까, 생각한다. Ahn

-> 사진으로 보는 디도스, 사이버 세상 지키는 안철수연구소 24시 현장 
-> 김홍선 대표가 말하는 3.4 디도스 현장에서의 3박 4일 

이하늬 / 안철수연구소 커뮤니케이션팀