올해 3월 4일 좀비 PC로 인한 디도스(DDoS) 공격이 전국을 뜨겁게 달군 바 있다. 당시 안철수연구소(안랩)에서 디도스 백신을 무료로 배포하였고 이 백신을 다운받기 위해 많은 사람들이 안랩 홈페이지에 접속하는 바람에 홈페이지가 잠시 마비되기도 했다.
안랩은 디도스 공격의 근원지인 좀비 PC의 네트워크 접속을 제어하는 제품인 '트러스와처(AhnLab TrusWatcher)'를 올해 4월 출시했다. 이 제품의 개발 주역들을 만나 좀비 PC 방지를 위해 노력하는 분들을 만나기 위해 안랩을 찾았다. '트러스와처'가 어떤 역할을 하고 사용자가 주의할 것은 무엇인지 들어보았다.
컴퓨터 관련 업무를 한다고 하면 차갑고 논리적이지 않을까 생각했는데 직접 만나보니 편안하게 대화할 수 있었다. 일에 대한 열정이 그대로 말과 행동에 드러나서 다들 나에게는 그저 부러움의 대상이었다. 이런 분들에게 내 컴퓨터 안심하고 맡길 수 있을 것 같다.
- 트러스와처라니 이름부터 특이한데 소개 좀 해주시겠어요?
트러스와처는 TrusWatcher으로 Trust와 Watcher을 더한 이름입니다. 트러스는 안랩의 여러 제품 앞에 붙어있는 것을 많이 보셨을 거예요. 'Trust', 즉 '신뢰'라는 의미로 앞에 붙은 것이구요 Watcher은 트러스와처의 기능을 의미합니다. 트러스와처는 정보 수집, 분석, 모니터링을 통해서 좀비 PC를 사전에 탐지하고 대응하는 솔루션입니다. 지금까지의 안랩에 쌓인 여러가지 기반 기술들이 모여 만들어진 종합 보안 솔루션이라고 볼 수 있겠네요.
- 잘 모르는 분들은 기존의 V3같은 백신과 차이가 뭔지 많이 궁금해할 것 같은데 알려주세요.
둘의 가장 큰 차이점은 '트래픽'에 있어요. 그냥 바이러스에 감염되었을 때에는 많은 양의 트래픽이 발생하지는 않아요. 그러나 좀비 PC의 경우에는 다르죠. DDoS공격이 일어나기 전에 크래커는 다른 사람들의 PC에 몰래 악성코드를 설치하여 많은 수의 좀비 PC를 확보해요. 여기까지는 V3같은 백신들과 기능상 큰 차이가 없겠네요. 크래커는 확보한 좀비 PC들을 조종하여 특정 웹사이트에 동시에 접속시켜 과부하를 일으켜요. 이게 DDoS공격이예요. DDoS 트래픽 유발 정보는 기존의 백신들로는 알 수 없죠. 트러스와처는 이 부분까지 다 포괄합니다.
- 트러스와처의 기본적인 동작 방식을 설명해 주세요.
트러스와처는 크게 탐지를 담당하는 ZPX, 치료를 담당하는 APC, 모니터링 담당하는 ATM/ATL로 나누어집니다. 저희가 담당하는 쪽은 ZPX이고요 ZPX는 Zombie Prevention eXpress의 약자로 말 그대로 좀비를 ZPX는 파일의 악성 여부를 탐지하고 파일을 다운로드 할 때에도 악성코드를 탐지합니다.
또한 PC의 트래픽 발송 정보를 감시하여 이 PC가 좀비 PC가 되어 DDoS 공격 여부를 확인합니다. 치료를 담당하는 APC를 설명해드리기 전에 실시간 모니터리을 하는 ATM과 ATL에 대해 먼저 설명해드릴게요. ATM과 ATL은 둘다 관리의 역할을 하는 파트지만 역할이 약간 달라요. ATM은 UI(User Interface)를 담당하는 파트이고 ATL은 ZPX에서 받은 정보를 바탕으로 한 통계를 담당해요. 이 결과값에 따라 ATL은 APC에게 삭제 혹은 복원하라는 명령을 전달하죠.
마지막으로 APC는 앞서 말해드렸듯이 치료를 담당하는데, 클라이언트 PC에서 악성 파일을 제거하고 이 결과를 ATL로 다시 전송하는 역할을 해요. 그리고 클라이언트 PC의 agent를 관리하는 역할을 하죠.
- 좀비 PC 전용 백신을 다른 여러 회사에서도 개발했을텐데 트러스와처만의 장점을 꼽으라면 뭐가 있을까요?
ASD(AhnLab Smart Defense)엔진이 하나의 큰 장점이죠. 기존에는 악성코드에 대한 모든 데이터를 PC로 다운로드한 후 PC에서 처리했었는데 ASD는 클라우드 컴퓨팅 개념을 이용한 기술이예요. 일단 타사의 제품들보다 빠르게 모니터링이 가능해요. 또 ASD를 기반으로 종합 위협 분석 시스템인 ACCESS를 활용하는데 결과적으로 오진율도 최소화할 수 있었어요.
- 요즘 스마트폰을 쓰면서 스마트폰 보안도 많이 문제가 되고 있는데요 스마트폰이 DDoS공격에 이용될 수 있나요?
네 충분히 가능한 이야기예요. 스마트폰에서는 이전의 폰들과는 다르게 컴퓨터에서 하는 거의 모든 일을 할 수 있죠. 스마트폰으로 자주 파일도 다운받기도 하니 악성코드가 함께 깔릴 수도 있어요. 그렇게 되면 '좀비 폰'이 되어 특정 싸이트를 DDoS공격하는데 쓰일 수 있겠네요.
- 재미있는 에피소드 있으면 들려주세요.
처음에는 개발 자체에 회의적이었어요. 상품화 될지 안 될지도 모르겠고 저희가 개발을 할 수 있는지 그 가능성 자체에 의문을 제기하기도 했죠. 게다가 그 과정이 너무 힘들어서 이거 좀비 PC 방지 솔루션 만들다가 우리가 좀비 되겠다는 농담이 돌기도 했어요. 근데 신기하죠. 하다보니 되더라구요. 주말에도 나와서 작업하고 직접 음식을 해와서 팀원들에게 나눠주시는 분도 계셨구요.
- 사실 DDoS 공격이 근래 몇달 간에는 일어나지 않았잖아요? 사람들의 경각심이 많이 줄어들었을 것 같은데 아직 많이 위험한가요?
요즘 좀비 PC로 인한 문제가 일어났다든가 DDoS 공격이 행해졌다는 이야기를 듣기 어렵죠. 그러니 아무래도 경각심이 많이 줄어들었을 수도 있겠네요. 그렇다고 재발 가능성이 없는 것은 아닙니다. 병이 다 나았다고 병이 다시 걸릴 확률이 아예 없는 것은 아니죠. DDoS 공격이 다시 일어나지 않을 거라고 생각하지 말고 컴퓨터 보안에 조금 더 관심을 가져 주셨으면 좋겠어요. Ahn
justifyan@gmail.com
해도 후회하고 안 해도 후회할 일이 있다면 하는 게 좋다는 말이 있다. 사실 고민 따윌 할 때, 나는 이미 답을 알고 있다. 결론도 이미 낸 상태다. 그냥 끌리는 대로 하고 싶은 대로 사는 게 맞는 것 같다. 아아 모르겠다.
안랩은 디도스 공격의 근원지인 좀비 PC의 네트워크 접속을 제어하는 제품인 '트러스와처(AhnLab TrusWatcher)'를 올해 4월 출시했다. 이 제품의 개발 주역들을 만나 좀비 PC 방지를 위해 노력하는 분들을 만나기 위해 안랩을 찾았다. '트러스와처'가 어떤 역할을 하고 사용자가 주의할 것은 무엇인지 들어보았다.
컴퓨터 관련 업무를 한다고 하면 차갑고 논리적이지 않을까 생각했는데 직접 만나보니 편안하게 대화할 수 있었다. 일에 대한 열정이 그대로 말과 행동에 드러나서 다들 나에게는 그저 부러움의 대상이었다. 이런 분들에게 내 컴퓨터 안심하고 맡길 수 있을 것 같다.
트러스와처는 TrusWatcher으로 Trust와 Watcher을 더한 이름입니다. 트러스는 안랩의 여러 제품 앞에 붙어있는 것을 많이 보셨을 거예요. 'Trust', 즉 '신뢰'라는 의미로 앞에 붙은 것이구요 Watcher은 트러스와처의 기능을 의미합니다. 트러스와처는 정보 수집, 분석, 모니터링을 통해서 좀비 PC를 사전에 탐지하고 대응하는 솔루션입니다. 지금까지의 안랩에 쌓인 여러가지 기반 기술들이 모여 만들어진 종합 보안 솔루션이라고 볼 수 있겠네요.
- 잘 모르는 분들은 기존의 V3같은 백신과 차이가 뭔지 많이 궁금해할 것 같은데 알려주세요.
둘의 가장 큰 차이점은 '트래픽'에 있어요. 그냥 바이러스에 감염되었을 때에는 많은 양의 트래픽이 발생하지는 않아요. 그러나 좀비 PC의 경우에는 다르죠. DDoS공격이 일어나기 전에 크래커는 다른 사람들의 PC에 몰래 악성코드를 설치하여 많은 수의 좀비 PC를 확보해요. 여기까지는 V3같은 백신들과 기능상 큰 차이가 없겠네요. 크래커는 확보한 좀비 PC들을 조종하여 특정 웹사이트에 동시에 접속시켜 과부하를 일으켜요. 이게 DDoS공격이예요. DDoS 트래픽 유발 정보는 기존의 백신들로는 알 수 없죠. 트러스와처는 이 부분까지 다 포괄합니다.
- 트러스와처의 기본적인 동작 방식을 설명해 주세요.
트러스와처는 크게 탐지를 담당하는 ZPX, 치료를 담당하는 APC, 모니터링 담당하는 ATM/ATL로 나누어집니다. 저희가 담당하는 쪽은 ZPX이고요 ZPX는 Zombie Prevention eXpress의 약자로 말 그대로 좀비를 ZPX는 파일의 악성 여부를 탐지하고 파일을 다운로드 할 때에도 악성코드를 탐지합니다.
또한 PC의 트래픽 발송 정보를 감시하여 이 PC가 좀비 PC가 되어 DDoS 공격 여부를 확인합니다. 치료를 담당하는 APC를 설명해드리기 전에 실시간 모니터리을 하는 ATM과 ATL에 대해 먼저 설명해드릴게요. ATM과 ATL은 둘다 관리의 역할을 하는 파트지만 역할이 약간 달라요. ATM은 UI(User Interface)를 담당하는 파트이고 ATL은 ZPX에서 받은 정보를 바탕으로 한 통계를 담당해요. 이 결과값에 따라 ATL은 APC에게 삭제 혹은 복원하라는 명령을 전달하죠.
마지막으로 APC는 앞서 말해드렸듯이 치료를 담당하는데, 클라이언트 PC에서 악성 파일을 제거하고 이 결과를 ATL로 다시 전송하는 역할을 해요. 그리고 클라이언트 PC의 agent를 관리하는 역할을 하죠.
- 좀비 PC 전용 백신을 다른 여러 회사에서도 개발했을텐데 트러스와처만의 장점을 꼽으라면 뭐가 있을까요?
ASD(AhnLab Smart Defense)엔진이 하나의 큰 장점이죠. 기존에는 악성코드에 대한 모든 데이터를 PC로 다운로드한 후 PC에서 처리했었는데 ASD는 클라우드 컴퓨팅 개념을 이용한 기술이예요. 일단 타사의 제품들보다 빠르게 모니터링이 가능해요. 또 ASD를 기반으로 종합 위협 분석 시스템인 ACCESS를 활용하는데 결과적으로 오진율도 최소화할 수 있었어요.
- 요즘 스마트폰을 쓰면서 스마트폰 보안도 많이 문제가 되고 있는데요 스마트폰이 DDoS공격에 이용될 수 있나요?
네 충분히 가능한 이야기예요. 스마트폰에서는 이전의 폰들과는 다르게 컴퓨터에서 하는 거의 모든 일을 할 수 있죠. 스마트폰으로 자주 파일도 다운받기도 하니 악성코드가 함께 깔릴 수도 있어요. 그렇게 되면 '좀비 폰'이 되어 특정 싸이트를 DDoS공격하는데 쓰일 수 있겠네요.
- 재미있는 에피소드 있으면 들려주세요.
처음에는 개발 자체에 회의적이었어요. 상품화 될지 안 될지도 모르겠고 저희가 개발을 할 수 있는지 그 가능성 자체에 의문을 제기하기도 했죠. 게다가 그 과정이 너무 힘들어서 이거 좀비 PC 방지 솔루션 만들다가 우리가 좀비 되겠다는 농담이 돌기도 했어요. 근데 신기하죠. 하다보니 되더라구요. 주말에도 나와서 작업하고 직접 음식을 해와서 팀원들에게 나눠주시는 분도 계셨구요.
- 사실 DDoS 공격이 근래 몇달 간에는 일어나지 않았잖아요? 사람들의 경각심이 많이 줄어들었을 것 같은데 아직 많이 위험한가요?
요즘 좀비 PC로 인한 문제가 일어났다든가 DDoS 공격이 행해졌다는 이야기를 듣기 어렵죠. 그러니 아무래도 경각심이 많이 줄어들었을 수도 있겠네요. 그렇다고 재발 가능성이 없는 것은 아닙니다. 병이 다 나았다고 병이 다시 걸릴 확률이 아예 없는 것은 아니죠. DDoS 공격이 다시 일어나지 않을 거라고 생각하지 말고 컴퓨터 보안에 조금 더 관심을 가져 주셨으면 좋겠어요. Ahn
대학생기자 임성현 / 서울대 공학계열
Sing, like nobody's listening
Dance, like nobody's watching you
Love, like you've never been hurt
항상 그 순간에 최선을 다 할 수 있었으면 좋겠습니다^^
Sing, like nobody's listening
Dance, like nobody's watching you
Love, like you've never been hurt
항상 그 순간에 최선을 다 할 수 있었으면 좋겠습니다^^
대학생기자 김성환 / 포항공대 산업경영공학과
justifyan@gmail.com
해도 후회하고 안 해도 후회할 일이 있다면 하는 게 좋다는 말이 있다. 사실 고민 따윌 할 때, 나는 이미 답을 알고 있다. 결론도 이미 낸 상태다. 그냥 끌리는 대로 하고 싶은 대로 사는 게 맞는 것 같다. 아아 모르겠다.
사내기자 임재우 / 안철수연구소 보안정책팀 선임연구원
'안랩人side > 안랩!안랩인!' 카테고리의 다른 글
개발자로서 잡스처럼 컨퍼런스 발표해보니 (1) | 2011.12.05 |
---|---|
안철수연구소에는 인디 밴드 보컬이 산다 (0) | 2011.11.22 |
면접의 추억, 첫눈에 나를 사로잡은 안철수연구소 (4) | 2011.11.11 |
새로 입사한 회사에 적응하려면 동호회를 노려라 (13) | 2011.11.03 |
채용박람회 현장 인사담당자와 나눈 7문 7답 (2) | 2011.09.21 |