4일 발생한 분산서비스거부(DDoS)공격을 키운 것은 웹하드업체의 '보안불감증'이었다. 무료로 보안검사를 해주겠다는 정부 제의를 웹하드 업체들이 무시했던 것으로 드러났다.
방송통신위원회는 4일 긴급브리핑을 열어 DDoS 상황을 예방할 수 없었냐는 질의에 대해 이같이 답하며, 웹하트 업체들의 보안불감증을 성토했다.
박철순 방통위 네트워크정보보호팀장은 "웹하드 취약성이 높다는 이야기는 KISA에서 먼저 이야기가 나왔고, 무료로 보안검사를 해주겠다고 권고하기도 했다"라며 "하지만 응하는 업체가 없었고 결국 문제가 터졌다"고 말했다.
웹하드 서비스는 빈번한 악성코드 감염 경로로 활용됐다. 불법 파일 다운로드 과정뿐 아니라 사이트 자체도 해킹에 취약하다는 지적이 많았다.
방통위는 이날 오전까지 별다른 피해상황이 발생하지 않았지만, 오후 6시30분 공격을 기점으로 이번 3.4대란이 전환점을 맞을 것으로 보인다고 설명했다.
이날 오전 10시부터 청와대, 국가정보원을 비롯한 29개 웹사이트에 대한 DDoS 공격으로 정부는 사이버 위기 '주의'경보를 발령한 상태다.
다음은 이번 DDoS공격과 관련한 박철순 팀장과의 일문일답이다.
이번 공격을 사전에 방지할 수는 없었나?
웹하드 취약성이 높다는 이야기는 KISA에서 먼저 이야기가 나왔다. 무료로 보안검사를 해주겠다고 권고하기도 했다. 하지만 이에 응하는 업체가 없었다. 그래서 결국 문제가 터졌다. 정부입장에서 강제적으로 할 수 있는 방법도 없다. 법적인 방법이 없기 때문이다. 현재 좀비PC법을 한선교의원이 발효하기 위해서 애는 쓰고 있다.
P2P사이트가 좀비PC양산에 중계역할을 했다는데 왜 문제인가?
현재 웹하드업체 2곳이 거론되고 있다. 회사가 ‘그리드 딜리버리 솔루션’을 사용하고 있어 문제다. 그리드 딜리버리(Grid Delivery) 기술은 네트워크에 접속되어 있는 사용자 컴퓨터 간에 데이터를 주고받게 함으로써 하나의 콘텐츠를 다수의 사용자가 효율적으로 이용할 수 있게 한다. 이 솔루션의 개인정보나 시스템정보를 조정하는 과정에서 해킹 취약성이 나타나게됐다.
DDoS공격징후는 어제 발견했다. 왜 오늘 알려졌나?
3일 밤 12시까지 좀비PC의 이용 숫자가 평상시보다 적었다. 때문에 평상시공격수준이어서 주의를 내릴 수준이 아니었다. 하지만 오늘 아침 10시 공격부터는 대량으로 좀비PC가 양상되기 시작해 ‘주의’경보를 내렸다.
이번 공격의 배후는 누구일 것으로 추정하나?
현재는 알 수 없는 상황이다. 추적노력은 하고 있다. 하지만 해커들이 주로 공격루트를 우회하기 때문에 분석하는데 많은 시간이 소요될 것으로 예상된다. 그래서 현재는 밝힐 수 없는 단계다.
주로 DDoS공격은 웹사이트를 마비시키는 것으로 알고 있다. 왜 이번엔 개인PC가 문제인가?
DDoS공격은 원래 두 가지 공격명령이 숨어있다. 웹사이트와 좀비PC로 감염된 개인PC까지 모두 공격대상이다. 좀비PC가 문제가 되는 것은 자신도 모르게 공격에 동원되기 때문이다. 이번 공격에서 개인 사용자들의 하드디스크가 파괴하도록 될 것으로 예상된다. 공격자들이 자신의 기록을 삭제하고, 파괴해 증거를 인멸하기 위한 의도로 하드디스크를 파괴할 가능성이 있다.
사이버 대피소와 같은 방안을 마련하고 있었는데 막을 순 없었나?
정부통합전산센터에서 국가 공공기관 홈페이지를 관리하고 있다. 작년 200억 이상을 투자해 DDoS대응장비를 마련했다. 그래서 현재까지는 별 피해가 없었다. 하지만 사이버 대피소도 섣불리 확대해석할 수 없다. 기본적으로 중소기업용이기 때문이다. 이 모델 자체가 기능자체가 보안업체가 만든 비즈니스 모델형태다. 그래서 보안업체를 이용할 수 없는 업체를 대상으로 이를 제공한다. 이는 40기가 정도 트래픽을 막을 수 있다.
4일 오후 6시 30분에 일어날 공격대상 중 사이버 대피소를 이용하는 곳이 있나?
이번 공격대상은 대기업이 많다. 때문에 모두 개별장비를 가지고 있어서 사이버 대피소를 이용할 필요가 없다.
7.7대란과 이번 공격이 어떤 차이점이 있는가?
공격유형은 비슷하다. 하지만 공격에 사용된 좀비PC수가 10분의 1수준이다. 현재 정부부분이나 민간에 대응사이트 민간에서 준비한 공격대응수준은 7.7때보다 10배이상 공격준비가 되어있다고 판단한다. 쉽게 문제가 발생할 것이라는 판단이지만, 하드디스크 손상에 따른 이용자들에 피해가 예상되고 있어서 보호나라를 통해서 빨리 이용해주기를 바란다.
공격 시간 이후, 백신이 동작하지 않는 이유는 뭔가?
7.7대란과 다른 점이 바로 백신의 업데이트 기능을 방해하는 기능을 가지고 있다는 점이다. 백신이 스스로 업데이트를 해서 치료하게 되어 있는데 악성코드 특성때문에 업데이트가 되지 않는다.
작년 200억규모를 투자했다고 했다. 근데 오전 공격에서 왜 청와대에 문제 있었나?
청와대 역시 정부통합전산센터 대응장비로 대응하고 있다. 하지만 이 부분은 더 확인해봐야 진위여부를 알 수 있겠다.
내일 오전 공격이외에 추가 공격이 있을 예정인가?
현재까지 파악된 것은 내일 오전 10시 40분 공격이다. 그 다음 공격은 내일 공격패턴을 분석해봐야 알 수 있을 것 같다.
실제 개인 사용자 하드디스크 파괴는 어느정도까지 일어나는가?
관련기사
- 5일 오전 DDoS 3차 공격예고2011.03.04
- DDoS 악성코드 유포지는 P2P사이트2011.03.04
- DDoS 이용된 좀비PC 1만1천개2011.03.04
- DDoS피습 29곳 원상회복..저녁 2차 공격2011.03.04
7.7대란 때 신고사례만 살펴보면, 1천400여대가 손상됐었다. 이번 공격은 1만대가 넘어서고 있다. 그래서 더 많은 좀비PC가 양산될지는 좀 더 지켜봐야겠다. 파괴정도를 정확히 얘기하기는 어렵지만, 복구하기가 쉽지 않을 것으로 보인다.
