본문 바로가기

안랩人side/안랩!안랩인!

DDoS 공격 해독, 보안전문가의 사투 72시간

때는 이천구년칠월칠일 대한민국은 DDos란 이름의 시련을 겪고 있다. 
안철수연구소 또한 그 혼란의 소용돌이에 휘말렸다.
하지만 우리에겐 ''가 있었다.
번득이는 지성과 인덕으로 모두를 잡아준 한 남자.


오오 ''가 손을 드니 악성코드는 갈라지고, ''가 입을 여니 좀비 PC는 눈 멀지어다.
흉폭한 DDoS 폭도들의 공격을 예측하사 그들의 손발을 묶으신
안랩의 노스트라다무스!!

안랩 7월의 스타상의 주인공 이승희 선임 연구원 소개합니다!! 


Q. 7월의 스타상을 받으신 소감은 어떠신가요?

먼저 이렇게 나 혼자 상을 받는 것에 대해, 팀원들에게 미안하단 말을 하고 싶다. 이 상은 분석 1팀 모두에게 주는 상이라고 생각하겠다.

DDos 악성코드를 분석 할 때 여러가지 파일 조합법을 이용했다. 분석 작업 중 파일 정보를 가장 먼저 발견한게 나였기 때문에 이렇게 상을 받게 됐다. 운이 좋았던 것 같다.^^  



Q. 7.7 DDos 사태, 그 혼란의 중심에서 안랩의 상황은 어떠했나요?

처음에 DDos 관련 샘플을 접수했을 때만 해도 일이 이렇게 커질 줄은 상상조차 하지 못했다. DDos 공격은 늘상 있어왔고 공격 수준 또한 예전과 같으리라 예상했다.

하지만 7월 7일, 미국이 공격을 당하고 이윽고 우리나라의 주요 서버 및 정부 기관, 대형 포탈들이 공격당하기 시작했다. 그저 단순한 종양인 줄 알았던게 알고보니 시커만 암덩어리였던 것이다.


미국 주소가 공격당하고 있다는 것을 ASEC 대응팀에게 보고 받자마자 바로 DDos 파일 분석에 들어갔다. 공격대상 관련 정보 파일을 분석하자 공격대상에 국내도 포함되어 있다는 걸 알게됐다. 문제가 심각해졌다. ASEC 대응팀의 나팔 소리와 함께 전쟁은 시작되었다.

3일동안 집에 들어가지 못했다. DDos 파일을 분석하고 그 결과를 바탕으로 회의하는 과정의 반복. 하지만 열 개가 넘는 DDos 파일들의 연관 공격에 분석팀은 난항을 겪었다. 외부 언론의 과도한 관심도 부담스러운게 사실이었다. 하지만 우리를 믿고있는 사람들이 있기에 우리는 계속해서 달릴 수 밖에 없었다. 


Q.세계에서 가장 빨리 DDos 파일 분석에 성공한 이유는?

이 것은 우리 분석 1팀 만의 공이 아니다. ASEC 대응팀에서 DDos 관련 이슈가 확대 되기도 전에 샘플을 채취해 우리 분석 팀에게 분석을 의뢰했다. 우리는 의뢰 받은 분석에 최선을 다해 임했을 뿐이다. ASEC 대응팀에서 정황 파악을 제대로 하지 못했다면 그렇게 빨리 분석에 들어갈 순 없었을 것이다. 이 자리를 빌어 다시 한 번 ASEC 대응팀의 우수한 위기 관리 능력을 칭찬하고 싶다.  

DDos 파일들은 연관 공격을 하였기에 각 파일의 연관관계를 파악 후 도식화 하는 작업이 필수였다. 이윽고 바로 팀원들간의 분담 작업이 이루어졌다. 


DDos 파일은 대중에 알려진 것처럼 난독화 되어있진 않다. 분석 난이도로 따지자면 중급에 속한다. 하지만 가장 중요한 파악사항인 공격시간이 쉽게 눈에 들어오지 않는다. 따라서 시간대를 변환하는 루틴 작업과 함께 하나하나 꼼꼼하게 체크하는 것이 중요했다.  


얼마지나지 않아 우리는 DDos 파일 분석에 성공했다. 이것은 분담과 협동의 상호 피드백이 완벽하게 이루어졌기에 해낼 수 있었던 작업이다. 개개인의 능력만으로는 절대 해낼 수 없었을 것이다. 개인은 불가능해도 팀은 할 수 있다. 



Q. 3차 DDos 공격을 예언함에 있어 불안함은 없었는지?

분석 작업 중에 안랩 사이트 또한 공격 당했다. DDos 파일 분석과 함께 안랩 사이트 공격에 관한 정황 분석이 동시에 이루어졌다. 그 결과 다음 3차 DDos 공격 시간을 유추 할 수 있었다. 

시간이 없었다. 바로 ASEC 대응팀에 분석 정보와 함께 3차 DDos 공격이 있을 거란 통보와 함께, 즉시 대응 태세에 들어가달라고 요청했다. 시간 관계 상 테스트를 많이 할 수 없었던 상황이라 일단 급하게 분석 정보만 넘길 수밖에 없었다. 


그런데 다음날 TV를 보니 뉴스에서 DDoS 3차 공격에 관해 나오고 있는 것이다. 혹시 내 예상이 틀리면 어쩌나하는 생각에 불안했다. 이거는 공격 당해도 문제, 공격을 당하지 않아도 문제인 상황이었다. 하지만 다행히(?) 나의 예상대로 3차 DDos 공격은 이루어졌고, 이미 대응 준비를 끝마친 우리는 별 피해 없이 막아낼 수 있었다.



Q. 생각나는 에피소드?

다들 3일 동안 집에 못가고 힘들게 작업했다. 힘겨운 작업과 더불어 또 하나 우리를 힘들게 했던 것은 끊임없이 찍어대는 카메라와, 쇄도해 들어오는 인터뷰 요청이었다. 처음엔 신기하기도 하고 재미도 있었지만 금방 지쳐 버렸다.

언론에서 원하는 그림은 정신없이 바쁘게 대응하고 있는 안철수연구소의 모습이다. 하지만 보다시피 우리가 어디 뛰어다니면서 작업하나? 다들 가만히 컴퓨터에 앉아서 작업하다보니 언론이 원하는 그림이 나오지 않았다. 나중에 TV를 보니 대응과는 전혀 관계 없는 행동들(정신없이 전화받고, 종이 들고 뛰어가고, 바지가 끼어서 의자에서 벌떡 일어나고)을 짜집기해서 영상을 완성했더라. 보면서 웃겨 죽는 줄 알았다. 연출의 힘을 새삼 느꼈다.


이렇게 이승희 선임 연구원과의 유쾌한 인터뷰가 끝났다.
다른 사람이 보기엔 완벽하게만 보이는 이번 대응도 그에게는 왠지 성에 안차는 모양이다.
B군에게 못내 아쉬운 점을 얘기햇다.


"DDos 공격은 SYNC, HTTP, UDP, ICMP 4개의 공격이 특정한 형태의 패턴을 가지고 이루어진다. 이러한 공격 패턴 분석이 공격 예상 시간과 같이 나왔다면 더 좋았을 텐데..."

이처럼 현재 상황에 만족하지않고 항상 최선을 향해 달려가는 그의 마음가짐이
전세계에서 DDos 파일을 가장 먼저 분석하게 한
원동력이 되지 않았을까?

앞으로도 우리를 지켜 주세요 노스트라다무스!!!


- 지금까지 B군이었습니다.