'김소헌'에 해당되는 글 1

  1. 2009.09.15 DDoS, 사이버 전사에겐 여전히 현재진행형 (12)

DDoS, 사이버 전사에겐 여전히 현재진행형

안랩人side/안랩!안랩인! 2009. 9. 15. 17:23

한반도 전체를 사이버 대란의 혼란 속으로 밀어넣었던, 악몽과도 같은 DDoS 사태가 진화한 지 두 달이 지났다. 어느 정도 예상은 했지만 두 달 새 보안 의식은 제자리로 돌아갔고 정부의 대책은 여전히 미흡하다는 지적이 나온다.
http://news.mk.co.kr/outside/view.php?year=2009&no=474922
http://www.heraldbiz.com/SITE/data/html_dir/2009/09/08/200909080092.asp
이 시점에 DDoS 공격의 소용돌이 속에서 불철주야 고군분투한 안철수연구소의 숨은 영웅들을 만났다. 당시 상황을 되짚어 보는 그들에게 DDoS는 여전히 현재진행형이었다.

 

*솔루션지원팀 "제주 휴가 반납하고 즉시 복귀"

 


기업, 특히 금융권 고객의 보안 문제를 지원하는 솔루션지원팀의 원남호 과장은 제주도에서 휴가를 즐기던 중 모 은행이 공격을 당했다는 사실을 들었다. 곧바로 서울로 돌아와 조치에 매달렸다.

같은 팀의 정광우 대리 역시 담당하는 고객사가 DDoS 공격의 첫 타깃이라 공격 상황을 빠르게 접할 수 있었다. 정보가 들어오는 대로 ASEC(시큐리티대응센터) 분석팀에 전달하고, 분석된 정보를 받아 고객에게 즉시 전달해 초기에 DDoS 공격의 피해를 줄일 수 있었다.

 

실시간으로 분석하는 분석팀과 다르게, 솔루션지원팀은 정보 제공과 이슈 지원을 담당하는 팀이라 정보가 나올 때까지 대기를 해야 합니다.”
이슈를 어떻게 처리할 거냐, 어떻게 컨트롤할 거냐는 고객의 질문에 함께 협의를 하다 같이 밤을 새기도 했다.

 

상황이 악화할수록 많은 고객이 전화로 정보를 요청했습니다. 덕분에 휴대폰 배터리가 수시로 닳아서 충전기까지 가지고 다녔죠.”
시간을 쪼개고 쪼개서 고객들을 방문해 사태를 진화하기 위해 노력했지만, 모든 현장에 다 있을 수는 없었기에 전화로 주로 상담을 했다. 특히 1차 공격 때 전화가 제일 많이 왔는데, 20~30통 가량의 전화를 소화하느라 배터리 두 개가 모두 나가버렸다.

 

왼쪽부터 원남호 과장, 정광우 대리, 진화정 과장


일부에서는 안철수연구소가 돈 좀 벌었겠다고 하더라고요. 그러나 그보다 중요한 것은 이번 일로 국민의 보안 의식이 높아지는 것이라고 생각합니다.”
많은 사람들이 백신이 꼭 필요할까? 라고 생각을 하는 현실에 이번 이슈가 일반 사용자나 기업의 임원들까지 보안에 대한 경각심을 높이는 계기가 되었으리라 생각한다고. 또한 본인이 의도하지 않았지만 자신도 모르는 사이 공격자가 될 수 있다는 의식을 가지게 되어 개인 PC 관리에 좀 더 철저해질 수 있는 계기가 되었을 것이라며 이번 사건의 의의를 정리했다.

 

*고객지원팀 "CIH 이후 최대 사고 직감"

 


고객지원팀의 전화정 과장은 내년에 입사 10년이 된다. 전화로 고객의 제품 문의에 답해주며 상담원을 관리하는 일을 하고 있다. 그녀에게 DDoS 사태는 어떤 사건이었을까?

“10년을 일하다 보니 이제는 직감으로 느낄 수 있어요. 이 바이러스 사건이 얼마나 심각한 것이구나, 라는 것을요. 밀레니엄 바이러스나 20031.25 인터넷 대란 때도 그랬고, 님다 바이러스도 그랬어요. 사태의 심각성을 전화 상담 현황을 보면서 판단할 수 있죠.”

 

그녀의 말에 따르면 이번 DDoS 사태는 99년에 발생한 CIH 바이러스 사태 이후 가장 큰 사건이 아니었나 싶다고. 상담 전화가 평소 대비 7 10일 기준으로 8배가 늘었다고 한다. 바이러스 공격이 멎은 지금도 평소에 비해 3-4배 증가한 상태라고.
주로 언론 보도로 DDoS를 접하고 ‘DDoS가 무엇이냐’, ‘백신을 쓰는데 어떻게 해야 하냐’, ‘PC는 켜도 되냐와 같은 문의가 쏟아졌어요.”

 

공격 마지막 날인 710일에는 고객지원팀 상담원만으로는 쉴 새 없이 쏟아지는 전화에 대응할 수 없어 다른 부서 직원까지 동원했다. 이렇게 바쁘게 돌아가는 상황에서도 목소리를 써야 하는 직업이라 밤샘 작업은 불가능했고, 대신 근무 시간 중 쉬는 시간은 거의 없었다.  

 

이번 사태를 계기로 정품 백신을 설치해야겠다는 고객이 늘어났어요. 재계약하는 분도 늘어났고요. 다른 것보다 이 사태가 백신에 대한 인식을 개선한 것은 틀림없습니다.”
우리나라는 IT 강국이 아니라 IT ’소비강국이라며, 건전한 PC 사용을 위해서는 기술을 활용하는 만큼 기술을 안전하게 유지하려는 노력도 필요하다며 말을 마쳤다.

 

*ASEC대응팀 "밤샘 근무에 고객지원팀 지원까지 동분서주"

 

그 어떤 팀보다 다이나믹했던 ASEC대응팀. 그 태풍의 한가운데 있었던 박태환 선임과 김소현 선임은 당시 긴박했던 상황을 떠올리며 마른 한숨을 내쉬었다.

처음 발견을 한 것이 6일 저녁이었는데, 정보도 불완전하고 완전히 분석이 안 된 상태라, 엔진에 정보 추가만 했습니다. 근데 다음날 상황은 더 악화되어 있더라고요.”
 
파일을 분석할수록 이전에는 볼 수 없었던 새로운 기능을 발견, 심각하게 대응하기 시작했다. 그때부터 다른 팀원과 함께 바이러스 분석을 꼼꼼하게 이틀 동안 수행해 DDoS를 유발하는 악성코드의 동작 방식이나 그 외 상세 정보를 알아내어 커뮤니케이션팀을 통해 언론에 알렸다.

 

왼족부터 김소헌 선임, 임채정 주임, 이승희 선임


이틀 간 회사에 있다가 3-4시간 집에서 자고, 그 후엔 다른 직원들과 교대하고…”
바이러스 분석을 하는 것과 함께 고객지원팀에서 인력이 모자란다고 연락이 와 시간이 날 때마다 인력 지원도 해주고, 쉴 새 없이 움직인 나날이었다.

 

가장 힘든 점은 공격하고 있는 악성코드를 빨리 수집하는 거죠. 빨리 수집해야 정보를 알 수 있는데, 초반에는 그것을 발견하기가 힘들어요.”
흘러가는 시간이 아까워 점심은 거의 배달시켜 먹었다. 많이 바빠 육체적으로 힘들었지만, 그래도 국가적으로 위급한 상황을 안철수연구소의 ASEC팀이 주도적으로 악성코드를 진화하는 데 가장 빨리 대응했으니 참 보람 있었다고.

 

안철수연구소는 공익적 차원에서 전용 백신을 무료 배포하기도 했다 

“1, 2차 백신은 다릅니다. 1차 때 내려받았으면 2차 때 또 다운로드해서 백신을 업데이트해줘야 합니다. 새로운 악성코드에 대한 치료 기능이 없으니까요. 이번 악성코드 사태뿐만 아니라 주기적으로 백신을 업데이트해서 이와 같은 사태가 또 발생하는 것을 사전에 방지하는 것이 중요합니다.”

 

보안은 예방을 차원인데, 평소 PC 사용자들은 보안에 대한 생각이 별로 없는 것 같아 안타깝다는 것이 그들의 말. 이번 사태에서도 느꼈듯 공격을 당하는 대상이나, 공격을 하는 주체가 자기가 아니라는 법이 없으니 평소에 보안에 대한 투자를 하는 것이 사후 수습 비용보다는 적을 것이라고 밝혔다.

 

*ASEC 분석팀 "전원 매달려 12개 파일 관계도 완성"

 


7.7 DDoS 공격을 유발한 악성코드는 12개의 파일로 구성됐다. 이를 분석한 시큐리티대응센터(ASEC) 분석팀의 경우 공격이 한창 진행될 때는 거의 모든 팀원이 퇴근을 못 하고 3일 정도는 회사에서 악성코드 분석에 매달렸다. 여러 파일들 간의 연관성이 복잡해 팀원이 모두 매달려 시스템 관계도를 그려냈다.

 

이승희 선임은 국가적으로 큰 사태라, 벅차기도 했지만 원래 하던 일이라 이번 사태도 해결이 가능할 것이라고 보았다.
실력 좋은 분들이 많아서 괜찮았죠.”
이 선임이 웃으며 말했다.

 

공격 과정은 DDoS 공격을 명령하는 메인 파일을 분석하면서 알게 되었습니다. MLS 파일인데, 그 파일에 공격 시간과 대상이 명시되어 있었습니다. 그래서 종합적으로 정리를 해 언론에 공개한 것입니다.” 

그는 가장 빨리 대응한 것이 매우 뿌듯하다며, 이번 사태로 새 유형의 DDoS 공격을 경험했기에 다음에 이런 사태가 또 발생한다면 더 빠르게 대응할 수 있을 것이라 자신했다.

그리고 보안 열기가 단순 냄비 근성으로 끝나면 안 된다며
우리나라 프로토콜 기반 자체가 보안이 좀 허술해 공격을 하면 쉽게 무너질 수밖에 없는 구조입니다. 이를 보안 장비나 다른 기술로 보완해야 합니다.”
라고 역설했다. 또한 국민의 보안 의식을 고취하기 위해 정부에서 인터넷 보안 관련 공익 광고나 교육을 제공하면 좋겠다는 의견도 내놓았다.

 

이들의 한결 같은 바람은 노고를 알아주는 것도, 수익을 많이 내는 것도 아니었다. 우리나라 정보보안 수준이 높아지는 것이 무엇보다 급선무라고 입을 모았다. 이들의 바람이 실현될 날을 함께 기대해본다. Ahn


대학생
기자 최수빈 / 이화여대 언론정보학과

취미와 특기를 '공상'으로 꼽을 만큼 생각이 많다. 이에 가끔은 엉뚱한 글과 말로 사람들을 당혹시킬 때가 있지만, 이사람, 연구해볼만한 가치가 있다. mp3와 따뜻한 아메리카노만 있다면 어디에 처하든 지루하지 않다는 그녀. 오늘도 색다르고 독특하며 그녀만의 색이 있는 행복한 상상은 멈추지 않는다 !


댓글을 달아 주세요

  1. Freddie Mercury 2009.09.15 18:12 신고  Address |  Modify / Delete |  Reply

    앗 마지막 사진은..김용구 연구원님 +.+ 용구형 일하는 모습을 볼 줄이야 ㅎㅎ

  2. 요시 2009.09.15 18:28  Address |  Modify / Delete |  Reply

    언제나 수고 하십니다 ㅎㅎㅎ

  3. 제너두 2009.09.16 11:00  Address |  Modify / Delete |  Reply

    마치 우리 회사의 고객만족센터와 SE들을 보는 듯하네요. 그래서 그런지 마음에 팍! 와닿습니다. 취해하신 분도 고생많으셨겠어요.

  4. White Rain 2009.09.16 13:34  Address |  Modify / Delete |  Reply

    다들 바쁘시군요. 열심히 일하시는 모습에...앞으로 바이러스 걱정 없게 되길^^

  5. 스마일맨 2009.09.16 15:20  Address |  Modify / Delete |  Reply

    이런 분들이 계시기에 오늘도 전 컴퓨터를 자유롭게 사용할 수 있나봐요.
    언제나 화이팅!!! ^^

  6. 안창용(ASEC대응팀) 2009.09.18 12:07  Address |  Modify / Delete |  Reply

    저희 팀 분 이름이 틀렸어요. 임채정 -> 임채영입니다.
    그분 보시면 섭섭당 조직할지 몰라요...ㅋㅋ