'긴급대응'에 해당되는 글 2

  1. 2009.09.15 DDoS, 사이버 전사에겐 여전히 현재진행형 (12)
  2. 2009.04.01 사이버 보안의 첩보조직 패밀리가 떴다! (4)

DDoS, 사이버 전사에겐 여전히 현재진행형

안랩人side/안랩!안랩인! 2009. 9. 15. 17:23

한반도 전체를 사이버 대란의 혼란 속으로 밀어넣었던, 악몽과도 같은 DDoS 사태가 진화한 지 두 달이 지났다. 어느 정도 예상은 했지만 두 달 새 보안 의식은 제자리로 돌아갔고 정부의 대책은 여전히 미흡하다는 지적이 나온다.
http://news.mk.co.kr/outside/view.php?year=2009&no=474922
http://www.heraldbiz.com/SITE/data/html_dir/2009/09/08/200909080092.asp
이 시점에 DDoS 공격의 소용돌이 속에서 불철주야 고군분투한 안철수연구소의 숨은 영웅들을 만났다. 당시 상황을 되짚어 보는 그들에게 DDoS는 여전히 현재진행형이었다.

 

*솔루션지원팀 "제주 휴가 반납하고 즉시 복귀"

 


기업, 특히 금융권 고객의 보안 문제를 지원하는 솔루션지원팀의 원남호 과장은 제주도에서 휴가를 즐기던 중 모 은행이 공격을 당했다는 사실을 들었다. 곧바로 서울로 돌아와 조치에 매달렸다.

같은 팀의 정광우 대리 역시 담당하는 고객사가 DDoS 공격의 첫 타깃이라 공격 상황을 빠르게 접할 수 있었다. 정보가 들어오는 대로 ASEC(시큐리티대응센터) 분석팀에 전달하고, 분석된 정보를 받아 고객에게 즉시 전달해 초기에 DDoS 공격의 피해를 줄일 수 있었다.

 

실시간으로 분석하는 분석팀과 다르게, 솔루션지원팀은 정보 제공과 이슈 지원을 담당하는 팀이라 정보가 나올 때까지 대기를 해야 합니다.”
이슈를 어떻게 처리할 거냐, 어떻게 컨트롤할 거냐는 고객의 질문에 함께 협의를 하다 같이 밤을 새기도 했다.

 

상황이 악화할수록 많은 고객이 전화로 정보를 요청했습니다. 덕분에 휴대폰 배터리가 수시로 닳아서 충전기까지 가지고 다녔죠.”
시간을 쪼개고 쪼개서 고객들을 방문해 사태를 진화하기 위해 노력했지만, 모든 현장에 다 있을 수는 없었기에 전화로 주로 상담을 했다. 특히 1차 공격 때 전화가 제일 많이 왔는데, 20~30통 가량의 전화를 소화하느라 배터리 두 개가 모두 나가버렸다.

 

왼쪽부터 원남호 과장, 정광우 대리, 진화정 과장


일부에서는 안철수연구소가 돈 좀 벌었겠다고 하더라고요. 그러나 그보다 중요한 것은 이번 일로 국민의 보안 의식이 높아지는 것이라고 생각합니다.”
많은 사람들이 백신이 꼭 필요할까? 라고 생각을 하는 현실에 이번 이슈가 일반 사용자나 기업의 임원들까지 보안에 대한 경각심을 높이는 계기가 되었으리라 생각한다고. 또한 본인이 의도하지 않았지만 자신도 모르는 사이 공격자가 될 수 있다는 의식을 가지게 되어 개인 PC 관리에 좀 더 철저해질 수 있는 계기가 되었을 것이라며 이번 사건의 의의를 정리했다.

 

*고객지원팀 "CIH 이후 최대 사고 직감"

 


고객지원팀의 전화정 과장은 내년에 입사 10년이 된다. 전화로 고객의 제품 문의에 답해주며 상담원을 관리하는 일을 하고 있다. 그녀에게 DDoS 사태는 어떤 사건이었을까?

“10년을 일하다 보니 이제는 직감으로 느낄 수 있어요. 이 바이러스 사건이 얼마나 심각한 것이구나, 라는 것을요. 밀레니엄 바이러스나 20031.25 인터넷 대란 때도 그랬고, 님다 바이러스도 그랬어요. 사태의 심각성을 전화 상담 현황을 보면서 판단할 수 있죠.”

 

그녀의 말에 따르면 이번 DDoS 사태는 99년에 발생한 CIH 바이러스 사태 이후 가장 큰 사건이 아니었나 싶다고. 상담 전화가 평소 대비 7 10일 기준으로 8배가 늘었다고 한다. 바이러스 공격이 멎은 지금도 평소에 비해 3-4배 증가한 상태라고.
주로 언론 보도로 DDoS를 접하고 ‘DDoS가 무엇이냐’, ‘백신을 쓰는데 어떻게 해야 하냐’, ‘PC는 켜도 되냐와 같은 문의가 쏟아졌어요.”

 

공격 마지막 날인 710일에는 고객지원팀 상담원만으로는 쉴 새 없이 쏟아지는 전화에 대응할 수 없어 다른 부서 직원까지 동원했다. 이렇게 바쁘게 돌아가는 상황에서도 목소리를 써야 하는 직업이라 밤샘 작업은 불가능했고, 대신 근무 시간 중 쉬는 시간은 거의 없었다.  

 

이번 사태를 계기로 정품 백신을 설치해야겠다는 고객이 늘어났어요. 재계약하는 분도 늘어났고요. 다른 것보다 이 사태가 백신에 대한 인식을 개선한 것은 틀림없습니다.”
우리나라는 IT 강국이 아니라 IT ’소비강국이라며, 건전한 PC 사용을 위해서는 기술을 활용하는 만큼 기술을 안전하게 유지하려는 노력도 필요하다며 말을 마쳤다.

 

*ASEC대응팀 "밤샘 근무에 고객지원팀 지원까지 동분서주"

 

그 어떤 팀보다 다이나믹했던 ASEC대응팀. 그 태풍의 한가운데 있었던 박태환 선임과 김소현 선임은 당시 긴박했던 상황을 떠올리며 마른 한숨을 내쉬었다.

처음 발견을 한 것이 6일 저녁이었는데, 정보도 불완전하고 완전히 분석이 안 된 상태라, 엔진에 정보 추가만 했습니다. 근데 다음날 상황은 더 악화되어 있더라고요.”
 
파일을 분석할수록 이전에는 볼 수 없었던 새로운 기능을 발견, 심각하게 대응하기 시작했다. 그때부터 다른 팀원과 함께 바이러스 분석을 꼼꼼하게 이틀 동안 수행해 DDoS를 유발하는 악성코드의 동작 방식이나 그 외 상세 정보를 알아내어 커뮤니케이션팀을 통해 언론에 알렸다.

 

왼족부터 김소헌 선임, 임채정 주임, 이승희 선임


이틀 간 회사에 있다가 3-4시간 집에서 자고, 그 후엔 다른 직원들과 교대하고…”
바이러스 분석을 하는 것과 함께 고객지원팀에서 인력이 모자란다고 연락이 와 시간이 날 때마다 인력 지원도 해주고, 쉴 새 없이 움직인 나날이었다.

 

가장 힘든 점은 공격하고 있는 악성코드를 빨리 수집하는 거죠. 빨리 수집해야 정보를 알 수 있는데, 초반에는 그것을 발견하기가 힘들어요.”
흘러가는 시간이 아까워 점심은 거의 배달시켜 먹었다. 많이 바빠 육체적으로 힘들었지만, 그래도 국가적으로 위급한 상황을 안철수연구소의 ASEC팀이 주도적으로 악성코드를 진화하는 데 가장 빨리 대응했으니 참 보람 있었다고.

 

안철수연구소는 공익적 차원에서 전용 백신을 무료 배포하기도 했다 

“1, 2차 백신은 다릅니다. 1차 때 내려받았으면 2차 때 또 다운로드해서 백신을 업데이트해줘야 합니다. 새로운 악성코드에 대한 치료 기능이 없으니까요. 이번 악성코드 사태뿐만 아니라 주기적으로 백신을 업데이트해서 이와 같은 사태가 또 발생하는 것을 사전에 방지하는 것이 중요합니다.”

 

보안은 예방을 차원인데, 평소 PC 사용자들은 보안에 대한 생각이 별로 없는 것 같아 안타깝다는 것이 그들의 말. 이번 사태에서도 느꼈듯 공격을 당하는 대상이나, 공격을 하는 주체가 자기가 아니라는 법이 없으니 평소에 보안에 대한 투자를 하는 것이 사후 수습 비용보다는 적을 것이라고 밝혔다.

 

*ASEC 분석팀 "전원 매달려 12개 파일 관계도 완성"

 


7.7 DDoS 공격을 유발한 악성코드는 12개의 파일로 구성됐다. 이를 분석한 시큐리티대응센터(ASEC) 분석팀의 경우 공격이 한창 진행될 때는 거의 모든 팀원이 퇴근을 못 하고 3일 정도는 회사에서 악성코드 분석에 매달렸다. 여러 파일들 간의 연관성이 복잡해 팀원이 모두 매달려 시스템 관계도를 그려냈다.

 

이승희 선임은 국가적으로 큰 사태라, 벅차기도 했지만 원래 하던 일이라 이번 사태도 해결이 가능할 것이라고 보았다.
실력 좋은 분들이 많아서 괜찮았죠.”
이 선임이 웃으며 말했다.

 

공격 과정은 DDoS 공격을 명령하는 메인 파일을 분석하면서 알게 되었습니다. MLS 파일인데, 그 파일에 공격 시간과 대상이 명시되어 있었습니다. 그래서 종합적으로 정리를 해 언론에 공개한 것입니다.” 

그는 가장 빨리 대응한 것이 매우 뿌듯하다며, 이번 사태로 새 유형의 DDoS 공격을 경험했기에 다음에 이런 사태가 또 발생한다면 더 빠르게 대응할 수 있을 것이라 자신했다.

그리고 보안 열기가 단순 냄비 근성으로 끝나면 안 된다며
우리나라 프로토콜 기반 자체가 보안이 좀 허술해 공격을 하면 쉽게 무너질 수밖에 없는 구조입니다. 이를 보안 장비나 다른 기술로 보완해야 합니다.”
라고 역설했다. 또한 국민의 보안 의식을 고취하기 위해 정부에서 인터넷 보안 관련 공익 광고나 교육을 제공하면 좋겠다는 의견도 내놓았다.

 

이들의 한결 같은 바람은 노고를 알아주는 것도, 수익을 많이 내는 것도 아니었다. 우리나라 정보보안 수준이 높아지는 것이 무엇보다 급선무라고 입을 모았다. 이들의 바람이 실현될 날을 함께 기대해본다. Ahn


대학생
기자 최수빈 / 이화여대 언론정보학과

취미와 특기를 '공상'으로 꼽을 만큼 생각이 많다. 이에 가끔은 엉뚱한 글과 말로 사람들을 당혹시킬 때가 있지만, 이사람, 연구해볼만한 가치가 있다. mp3와 따뜻한 아메리카노만 있다면 어디에 처하든 지루하지 않다는 그녀. 오늘도 색다르고 독특하며 그녀만의 색이 있는 행복한 상상은 멈추지 않는다 !


댓글을 달아 주세요

  1. Freddie Mercury 2009.09.15 18:12 신고  Address |  Modify / Delete |  Reply

    앗 마지막 사진은..김용구 연구원님 +.+ 용구형 일하는 모습을 볼 줄이야 ㅎㅎ

  2. 요시 2009.09.15 18:28  Address |  Modify / Delete |  Reply

    언제나 수고 하십니다 ㅎㅎㅎ

  3. 제너두 2009.09.16 11:00  Address |  Modify / Delete |  Reply

    마치 우리 회사의 고객만족센터와 SE들을 보는 듯하네요. 그래서 그런지 마음에 팍! 와닿습니다. 취해하신 분도 고생많으셨겠어요.

  4. White Rain 2009.09.16 13:34  Address |  Modify / Delete |  Reply

    다들 바쁘시군요. 열심히 일하시는 모습에...앞으로 바이러스 걱정 없게 되길^^

  5. 스마일맨 2009.09.16 15:20  Address |  Modify / Delete |  Reply

    이런 분들이 계시기에 오늘도 전 컴퓨터를 자유롭게 사용할 수 있나봐요.
    언제나 화이팅!!! ^^

  6. 안창용(ASEC대응팀) 2009.09.18 12:07  Address |  Modify / Delete |  Reply

    저희 팀 분 이름이 틀렸어요. 임채정 -> 임채영입니다.
    그분 보시면 섭섭당 조직할지 몰라요...ㅋㅋ

사이버 보안의 첩보조직 패밀리가 떴다!

안랩人side/안랩팀워크 2009. 4. 1. 16:37


우리가 안전하게 인터넷을 이용하고 있는 이 순간에도 악성 해커나 악성코드 제작자와 같은 범죄자에 대응해 보안 전문가들은 피말리는 싸움을 진행하고 있습니다. 언제나 공격하는 쪽이 막는 쪽보다 유리하기 때문에 보안 전문가들은 항상 불리한 싸움을 할 수 밖에 없습니다.

그러나 정보보안의 경우에도 이들의 행동 패턴을 분석하면 사고를 미연해 방지할 수 있다고 합니다. 마치 우리가 일기예보를 통해 날씨에 맞게 대비할 수 있듯이 말이죠.

사이버 세상의 CIA 첩보조직이나 기상예보관 역할

우리나라에서는 처음으로 안철수연구소에서도 악성코드를 사전 대응하는 팀이 구성됐습니다. 생긴지 얼마 되지 않아서 아직 팀 이름은 정해지지 않았지만, 우선은 '사전대응 TFT(Task Force Team)'라고 정했다고 합니다. 기상예보관처럼 중요한 임무를 수행할 사전대응 TFT 연구원들을 만났습니다.


Q: 사전대응 TFT는 어떤 팀인가요?
A: 쉽게 말하자면 CIA 같은 첩보 조직이라고나 할까요? 미국 드라마 ‘24시’에서와 같이 미리 정보를 입수한 뒤, 긴급상황 발생시 이를 진압하는 역할이라고 보면 될 것 같네요. 사전대응팀을 가지고 있는 보안기업들이 세계 2~3곳 정도에 불과한데, 안철수연구소도 이제 이러한 세계적 보안기업과 어깨를 나란히 특수조직을 가지게 된 것이죠. 

Q: 구성원들의 이력이 화려합니다.
A: 추천제도를 통해서 실력과 정보력은 물론 경험을 갖춘 팀원들을 엄선해서 뽑았어요. 팀원 전원이 경력 10년 차 이상의 베테랑들이지요. 특히 악성코드 분석의 경우, 논리로써 설명되지 않는 경우가 대부분이기에, 오랜 경험에서 우러 나오는 날카로운 직감과 정보의 재생산 능력이 필요합니다. 물론 한 사람이 이 모든 능력을 갖출 수 없기 때문에, 저희가 팀을 구성해서 모든 노하우와 예측방향 등을 공유하며 대응방안을 연구하는 것이지요.

Q: 기존의 시큐리티대응센터(ASEC)와 비슷하지 않은가요?
A: 시큐리티대응센터가 현재의 긴급한 대응에 더 초점을 맞추고 있는데, 저희들 사전에 악성코드에 대한 정보들을 수집해서 사고를 미연에 방지하고, 나아가 장기적으로 대책을 마련하기 위한 팀이라고 보시면 됩니다.  

Q: 사전대응 TFT팀의 활약이 기대되는데요.
A: 그동안 저희 연구원들이 전세계 리서치 그룹들과 많은 정보들을 주고 받으면서 두터운 신뢰를 구축했습니다. 이들 그룹에 가입하기가 정말 까다롭고 어려운데, 그만큼 정보의 퀄러티는 매우 높은 수준입니다.

사실 보안업계는 철저한 기브앤테이크(Give & Take)의 분야이거든요. 이렇게까지 신뢰관계 구축을 위해서는 저희가 리서치 그룹을 통해 많은 정보를 받았지만, 저희도 양질의 정보를 많이 주었습니다. 특히 저희는 중국과 인접해 있다보니, 한국내에서만 일어나는 특이한 정보들이 많이 있었거든요. 어쨌든 이렇게 해서 얻은 정보들을 분석해서 훨씬 더 발 빠르게 위협에 대처할 수 있는 경쟁력을 가지려고 합니다. 

앞에서 잠깐 글로벌 업체 중에 이러한 팀을 운영하고 있다고 했는데, 그들은 전세계에 이러한 팀을 구성하여  웹사이트, 메일링, 언론은 물론 포털까지 글로벌하게 모니터링을 시행하고 있습니다. 그만큼 파워풀한 정보력을 보유하고 있어요. 저희팀도 글로벌화에 발맞추어 나감과 동시에, 저희만의 독립적인 정보력과 능력을 양산하는 데에 중점을 둘 예정입니다. 

사이버 보안 첩보조직 TFT의 패밀리는 누구?

Q: 팀의 목표에 대해서 간략하게 설명 해 주세요.
A: 단기적으로는 ASEC(안랩시큐리티대응센터)대응팀과 마찬가지로 즉각적인 위협을 캐치하는 것이구요. 더 나아가, 위협의 가능성을 지닌 소스들을 선별하여 가시화해서 가능한 한 빠르게 제품 및 서비스화 시키는 것입니다. 자연스레 안철수연구소 특히 해외에서 'AhnLab'이라는 이름이 널리 알려지는 것은 물론, 신뢰도를 구축하는데 기여하고자 합니다.

Q : 마지막으로 TFT에 임하는 각오 한마디 해주세요^^

권동훈 팀장: 저는 그저 조력자로써 팀원들에게 존재감을 부여해주고 싶어요. 그들의 의사결정을 지원해주는 바람막이 역할이라고나 할까요? 항상 노력하는 만큼의 빛을 발할 수 없는 게 안타까웠는데, 이 멤버들에게 기립박수가 쏟아지는 그 날까지 든든한 버팀목이 될 수 있도록 노력하겠습니다.

장영준 주임연구원: 악성코드 샘플을 테스트하고, TFT전반을 관리하고 협의하는 일종의 코디네이터 역할을 하고 있습니다. 개인적인 아이디어 제공도 하구요. 이전에 사내로 소스가 들어와도 종종 알지 못하는 경우가 있어서 개인적으로 소외감을 느낀 적도 있었는데요. TFT팀이 결성된 뒤로는 저의 이러한 지적 욕구를 충족시켜준다는 면에서 아주 만족합니다^^열심히 하겠습니다!

차민석 선임연구원: 쉽게 말해 ‘손님 물어오는 찍새’지요? 하하, 농담이구요. 저는 국내 타 보안업체는 물론 해외업체들과의 커뮤니케이션을 통해서 최대한 많은 정보를 가져오는 일을 하고 있습니다. 위협이 발생했을 때, 이것은 어느 날 갑자기 생긴 것은 아닙니다. 분명 미세한 조짐이나마 반드시 보이며, 바로 이 점이 일기예보와 같다고 생각합니다. 정보의 수치화 및 정량화를 통해 데이터를 만드는 기상청처럼, 한 발 앞서 고객들에게 가치있는 정보를 제공하기 위해서 부지런히 뛰겠습니다.



정진성 선임연구원: 저는 분석 1팀에서, 샘플에 대해서 근거가 될 만한 정보와 기능을 파악한 뒤 분석 2팀에 넘기거나 팀 내에 제공하는 역할을 합니다. 한 마디로 ‘Information Push-man’입니다. 각각의 ‘정보’라는 ‘나무’들을 공유 하게 되면, 큰 ‘정보의 숲’을 이루게 됩니다. 가능한 한 큰 가치를 지니며 파급력이 큰 소스들을 캐치하겠습니다. 그래서 누가 봐도 신뢰할 수 있고 가치를 느낄 수 있는 서비스를 개발하여, 이를 회사의 이미지와 결부 시키는 데에 일조하겠습니다.

심선영 선임연구원: 1팀이 실행위주라면, 저희 2팀은 취약점을 위주로 집중 분석을 합니다. 이전에는 정보를 제공 해 주시는 분은 따로 계시고, 그에 대한 대답을 항상 같은 분이 하셨거든요. 그러나, TFT로 구성하니까 더 많은 정보를 공유할 수 있고, 나의 의견이 직접 팀 내로 전달되는 느낌을 받아요. 흘려지는 정보들이 가치를 잃어가는 점에 대해 안타까웠는데, 지금은 작은 의견들도 존중되는 것 같아서 참 좋아요^^ ‘성의있게 일을하자’는 신조를 유지하며 열심히 하겠습니다.

하동주 연구원: 저는 샘플 테스트 및 증상 재연, 동작원리나 결과 정리 등을 합니다. 음…하고 싶은 말은…회사와 국가에 이바지하고 싶습니다^^;!!!!!!!!!!!!!
(팀원 전원: 여기가 무슨 군대도 아니고~! 편집해요, 편집! ㅎㅎ)



사이버 보안의 세상은 24시간 365일 밤과 낮이 없이 긴장의 연속입니다. 하루에도 수천개의 바이러스 및 악성코드가 발생하고 은밀하게 공격하는 악의적 해커들이 우리들의 소중한 재산과 정보를 노리고 있습니다. 그러나, 안철수연구소의 사이버 첩보조직 사전대응 TFT가 있어 우리는 오늘도 안심하고 생활하고 잠잘 수 있습니다.

- 취재의 달인 연수생 U양의 좌충우돌 생활기 -
 

댓글을 달아 주세요

  1. 요시 2009.04.02 21:11  Address |  Modify / Delete |  Reply

    영화에서만 보던게 ㅎㅎㅎ

  2. 루트 2009.08.25 12:40  Address |  Modify / Delete |  Reply

    머..멋지구나..

    미드 '24시' 보면서 CTU 직원처럼 일하고 싶었는데

    실제로 있었구나..

    근데 문제는...

    들어가기 어렵겠지.........;