[네트워크 타임즈 연재 1회]"외부 위협보다 내부 취약성이 더 위험하다"

아래는 '네트워크 타임즈'(2010년 3월호)에 게재된 기고문입니다. (본문다운로드는 하단에서.....)

네트워크 타임즈_3월호_내부보안의 취약성.pdf

 

"외부 위협보다 내부 취약성이 더 위험하다"
내부 취약점으로 인한 사고 발생 다수...똑똑한 스위치가 필요하다.

시간대 별로 정리된 아래의 내용들을 보면, 마치 좀비에게 공격 당하는 급박한 영화의 한 장면이 연상될 수도 있겠지만 사실 아래의 내용들은 지난 2009년 여름 대한민국을 떠들석하게 했던 '7.7 인터넷 대란' 국내공격(2차)의 초기상황을 정리한 것이다.
==============================================================
18:40 정보보호 침해대응 센터에서 위험요소 감지
19:20 관계당국, 이상유무 확인위해 각 센터에 연락 후 현황파악 돌임
19:40 주요 민간 사이트가 좀비에 공격 당하기 시작
19:50 포털사이트 N사에서 최초로 피해 신고 접수
20:00 방송통신위원회에서 각 IPS에 좀비 공격 피해정보 수집 요청
20:30 대형 오픈마켓 사이트 A사 좀비 공격으로 업무 마비
20:40 정부차원에서 A사 담당 ISP인 L사에 해당 로그 분석 자료 요청
20:50 L사 로그 분석으로 공격 근원지 파악 시작
21:00 인터넷 침해대응센터 비상업무 체제 돌입
21:10 감염된 좀비를 체포해 샘플 입수
22:00 감염된 좀비 감시 체제 돌입
24:00 정부를 중심으로 대응체제 돌입 및 보도자료 배포
==============================================================


당시 주요 언론에서는 ‘사실상 대응책 없어..’, ‘공격 재발 가능성 여전히 상존’, ‘거침없는 공격..’, ‘A연구소까지 테러당해..’ 등의 제목으로 이 사건을 비중있게 다뤘다. 언론에서 비중있게 다뤘던 만큼 피해도 만만치 않았다. 7.7 대란당시 입었던 피해액은 최소 363억원에서 최대 544억원에 이르는 것으로 추산되며, 생각하기에도 아찔한 사건이었던 것이다.

하지만 진정 염려스러운 점은 누구나 공격 재발의 위험을 인지하고 있으나 확실하게 믿을만한 대비책은 마땅히 없다는 점이다. 지난해 7.7대란의 경우, 당시 언론에 공개된 내용으로 볼 때, 좀비 PC를 회수한 것이 국내공격(2차) 시작 후 약 2시간 정도가 지난 시점이였다. 시간만 본다면 정부차원에서 빠른 대응이 이루어 졌다고 볼 수 있으며 당시 좀비 PC 회수 보고를 받은 담당자는 좀비 PC를 조종하는 컨트롤 서버만 확인해서 차단하면 종료되는 것으로 생각하고 안도했을 지도 모른다.

그러나 유감스럽게도 담당자의 생각과는 달리 당시 좀비 PC는 기존의 방식처럼 의도된 공격자의 조종을 받는 것이 아니라 독립적으로 프로그래밍 된 내용에 따라서 특정 사이트를 공격하는 형태여서 상황은 바로 종료되지 않았으며, 포렌직을 대비하여 최종공격(4차) 후에는 좀비PC 하드의 MBR을 스스로 파괴했다. 문제는 ‘7.7 인터넷 대란’과 같은 기존에 예측하지 못한 변종 된 악성코드의 공격은 언제든 다시 발생할 수 있으며, 같은 방식으로 대응했을 시 아무리 대응 시간이 빨라도 그 피해는 또 다시 막대하리라는 것이다.

                                                        <그림1>일반적인 DDoS공격 사례

                                                        <그림1>인터넷 대란시 DDoS공격 사례

<그림 1>은 일반적인 DDoS 공격 과정을 설명한 것이다. 하지만 7.7의 경우에는 공격자가 조종하는 <그림1>의 ④번 과정 없이 <그림 2>의 ③과 같이 최초 감염 때 악성 코드가 PC에 등록되고, 코딩 된 웹사이트로 계획된 공격을 실행하는 형태여서 컨트롤 서버를 찾아 차단하는 방법이 통용되지 않았던 것이다. 이 새로운 형태의 공격에 각 사이트의 서버들은 속수무책으로 당했고, 정부도 언제 추가 공격이 시행되는 것까지 파악한 상태였지만 아무런 손을 쓸 수가 없었다.

결국 이 엄청난 공격은 4일 간 계획되었던 4회 공격의 임무를 모두 마치로 유유히 종료됐다. 실로 IT 강국 대한민국이라는 이름이 머쓱할 정도로, 내노라는 보안전문가들 마저 아연실색하게 만드는 사건이었다. 나중에 확인 된 사항이지만, 7월 7일에 있었던 공격은 2차 공격이었으며, 1차 공격의 주요 대상이었던 미국 사이트에서 한국의 IP 대역 전체를 차단함으로써 추가 공격을 막았던 것으로 밝혀졌다. 더욱이 대부분의 감염된 좀비 PC들이 국내 PC였다는 점은 우리나라의 보안의식이 얼마나 안이한지를 보여주는 한 예라고 할 수 있다.


제2의 7.7 대비 '절실'

과연 대한민국이라는 나라가 그렇게 보안에 관심이 없는 나라인가. 전혀 그렇지 않다고 본다. 약 5,000만 인구 중 절반이 넘는 2,800만 명의 인터넷 유저를 자랑하는 IT 강국답게 기업에서 네트워크 구축이나 차세대 사업을 구상할 때, 하드웨어나 소프트웨어 적으로 보안에 각별히 신경 쓰는 일은 오히려 당연한 일이다.

그렇다면 이런 질문을 하지 않을 수 없다. 과연 다시 7.7 인터넷 대란과 같은 공격이 발생했을 때, 지난 문제들을 타산지석으로 삼아 완벽하게 막아낼 수 있을 것인가. 물론, 여러 보안업체들이 즉각적으로 분산서비스거부(DDoS)를 실시간으로 탐지/차단할 수 있다는 백신과 하드웨어 장비들을 선보이고 있다. 하지만 ‘그렇다’ 라고 확신하기는 어렵다. 왜냐하면 공격의 패턴은 항상 변화하며, 언제나 새로운 변종 공격들이 우리를 괴롭힌다는 것이 첫 번째 이유다. 두 번째 이유는 기업들과는 달리 개인의 보안 의식은 그렇게 뛰어나지 않다는 점이다. 예를 들어 무심코 들어간 인터넷 사이트에서 자주 접할 수 있는 ‘Active X를 허용하시겠습니까?’라든지 'XX 프로그램을 설치하시겠습니까?'라는 질문에 아무 생각없이 “예”를 누르는 순간 내 PC도 좀비가 될 수 있다는 것이다. 또 다르게는 ‘7.7 인터넷 대란’을 계기로 시장에 봇물 터지듯 출시 된 DDoS 방어 제품에 대한 다각적이고 면밀한 검증이 필요하다.

 

‘7.7 인터넷 대란’ 당시 정부에서 발표한 내용 중에 다음과 같은 내용이 있다. “현 공공기관의 보안 시스템을 볼 때, DDoS를 방어할 만한 장비를 갖추지 못하고 있다. 앞으로 같은 규모의 공격이 다시 발생한다면 현재와 같은 상황이 또 발생할 수 있는 가능성이 있다.” 물론 이후 정부는 108억 이었던 올 해의 바이러스 대응 체계 구축 예산을 384억으로 증액하고 DDoS용 긴급 대피소를 운영하면서 악성코드 탐지 대상 웹 사이트도 확대한다는 내용을 밝힌 바 있다. 그러나 지나친 걱정인지는 모르겠지만, 필자가 이 글을 쓰면서도 올해 7월 7일은 무사히 넘어갈 수 있을까라는 우려가 든다. 범죄에도 모방범죄가 있듯이, ‘7.7인터넷 대란’과 같은 위대한(?) 업적이 발생하면 그것을 추종해 모방하려는 악의적인 의도를 가진 사람들은 반드시 있게 마련이다.

더구나 악의적인 의도를 가진 사람들은 묘하게도 보다 창의적이고, 남들로부터 인정받을 수 있는 더욱 더 진보된 공격을 구상하려 한다는 데 더 큰 문제가 있다. 만일의 일이지만 이 같은 공격이 또 다시 발생할 수도 있으므로 이 경우 어떻게 효율적으로 대비할 수 있을지 생각해 보아야 한다. 현재까지 나와 있는 보편적인 보안 구성으로는 이미 밝혀졌다시피 역부족이라고 하지만 하늘이 무너져도 솟아날 구멍은 있다고 하지 않은가. 이 글을 쓰게 된 이유도 그러한 방법에 대해 같이 생각해 보자는 이유에서이다. 우리가 공부하고, 알고 있으며, 실천하고 있는 여러 가지 보안 사항에 허점은 없는지 살펴보고, 그 허점을 메우는 것에서부터 출발하고자 한다.


액세스 레벨의 보안, 내강외강이 해답

조금 엉뚱한 비유를 들어 보자. 6 • 25 전쟁 당시 중국군이 펼쳤던 인해전술을 떠올려보면, 국군과 연합군이 아무리 총과 대포를 쏘아대도, 끊임없이 밀려드는 중국군들을 당해 낼 수 없었다. 절대적인 수의 우세로 밀려오는 그들 앞에 성능이 우수한 무기도 무용지물이었기 때문이다. 이 이야기는 현재 일어나고 있는 공격의 유형을 상상해 보자는 의미에서 하는 말이다. 실로 하나의 PC 에서 하는 공격은 쉽게 막을 수 있고, 그 피해 또한 매우 미미하다. 하지만 그 미미한 공격이 수적으로 엄청나게 뭉쳐서 밀려들어 온다면 서버는 결국 리소스가 초과되어 작동불능이 되고 마는 것이다.

아무리 외부를 철통같이 경계해도 수량 공세를 버텨 낼 장사는 없다. 그렇다면, 발상의 전환을 시도하여 외부가 아닌 내부 보안으로 눈을 돌려보는 것은 어떨까. 어쩌면 서버들의 철통 같은 외부 보안에만 신경 쓸 것이 아니라, 액세스 레벨에서의 근본적인 보안이 이루어졌다면, 7.7 대란과 같은 일은 발생하지 않았을 것이다.

이런 대안에 대해 클라이언트 단에서는 이미 백신이나 기타 다른 프로그램들로 보안을 하고 있는데 굳이 다른 것들이 필요하냐고 반문하는 사람들도 있을 것이다. 물론 요즘 웬만하면 무료 백신을 손쉽게 구할 수 있는 환경이지만, 문제는 그런 백신들은 악의적인 공격에 대해 후조치는 가능해도 미리 막는 것은 불가능 하다는 점이다.

그렇다면 어떠한 방법으로 클라이언트 단의 보안을 강화할 것인가. 그 해답은 일반적인 개인 PC 들이 인터넷을 하기 위해서는 ISP로 연결되어야 한다는 것에서 찾을 수 있다. 쉽게 말하면, 근본적으로 클라이언트 단에서 모든 보안 필터링이 이뤄진다면 서비스 사이트에 공격이 들어오는 일이 없다는 말이다. 혹은 IDC 앞단에서 서버에 접근하기 전에 공격 요소를 모두 차단하는 것도 하나의 방법이 될 수 있다.


가장 무서운 적은 ‘내부의 적’

요즘 사무실에서는 노트북의 사용이 보편화 되었고, 수시로 포터블 외부 저장장치들을 연결해서 사용한다. 이러한 외부 접속 요인들로 인하여 바이러스에 감염되며 보안적인 문제를 안고 있다는 것은 모두 잘 알고 있는 사실이다. 그렇기 때문에 회사에 보안 담당이 있는 것이고, 문제가 생긴 PC는 격리 조치를 당하게 됐다. 하지만 보안 담당자도 문제가 발생돼야만 사고가 일어났음을 인식한다는 점에서 그 한계가 있다. 물론 문제가 발생된 PC가 내부의 다른 사용자들에게 피해를 입히기 전에 원천적이고 발 빠른 대응을 한다면, 좀 더 유연한 대처는 가능할 수 있다.

이 시점에서 우리는 내부 보안이라는 문제에 대해 고민하지 않을 수 없다. 어쩌면 가장 무서운 적은 집 밖에 있는 것이 아니라 바로 당신의 옆자리에 있을 지도 모르니 말이다. 이해를 돕기 위해 필자가 IDC에서 근무할 당시 겪었던 경험담 하나를 이야기하고자 한다.

IDC에서 근무할 당시 퇴근 무렵 한 통의 전화가 걸려왔다. 바로 고객사에서 걸려 온 전화였다. 전화를 한 시스템 관리자는 서버 접속이 느리고 계속 끊어진다며 신속한 확인을 요청하였다. 사태를 파악해 보니 실제로 서버들의 리소스가 모두 풀에 가까이 도달해 있었고, 더 이상 지체하다가는 모든 서버가 도미노처럼 쓰러질 위기에 직면해 있었다. 네트워크나 시스템 관리자들은 서비스에 문제가 생겼을 때 발생하는 피해액이 엄청나다는 사실을 알고 있을 것이다. 장애시간은 바로 손해액으로 이어진다. 확인 결과 평소와 다르게 모든 서버들이 엄청나게 많은 수의 세션(Session)을 맺고 있음이 밝혀졌고, 그 소스 IP를 추적해보니 당시 익히 알고 있던 내부 IP 였다.

문제가 되는 서버는 이미 원격 제어가 되지 않는 상황이었고, 연결된 스위치의 스위치 포트 LED는 쉴새 없이 계속해서 깜빡이고 있었다. 상황실과 통화하며 깜빡이는 포트에서 RJ45를 제거하고 나서야 각 서버들에 맺어졌던 세션(Session)끊어지면서 서버들은 안정을 되찾았다. 지금 생각해도 이마에 땀이 맺히는 사건은 다행히 30여 분 만에 종료됐고, 밝혀진 공격경로는 실로 어이없는 것이었다.

당시 내부 서버가 서버팜 내에 있는 다른 서버들을 공격한 것도 어이없었지만, 더욱 황당했던 것은 그 문제의 서버가 바로 내부 직원의 감염된 노트북을 통하여 감염되었다는 점이다. 내부 직원 보호를 위해 보고서에는 서버 감염으로 인한 내부 공격이라고만 표기하고, 감염원인은 차마 밝힐 수 없어 “알 수 없음”으로 처리했던 기억이 난다.


내부 보안에 대한 인식과 관심 필요

요즘에는 아마 위에 언급한 사례와 똑같은 일이 재발할 확률은 낮을 것이다. 당시와는 달리 이제는 NMS나 SMS에서 디바이스의 리소스도 체크해 주기때문에 위와 같은 상황이 발생하면 관제센터에서 먼저 알아차리는 게 일반적인 시대가 되었기 때문이다.

하지만 비슷한 사례는 누구나 경험을 해 보았을 것이라고 생각된다. 회사 내부에 발생한 바이러스로 인하여 내 PC까지 감염되어 중요한 데이터를 몽땅 날려버리거나 최근 많이 사용되는 USB 메모리나 기타 포터블 외부 저장장치를 통해 감염돼 다시 OS를 설치시켜 본 예도 허다할 것이다.

첫 번째 연재를 정리하는 시점에서 이런 생각을 해 본다. 만약 이런 내부에서 발생하는 보안 문제들을 원천적으로 잡아준다면, 개인적으로 데이터를 몽땅 날려버리는 일도 없을 것이고, 나아가 지난 ‘7.7 인터넷 대란’도 발생하지 않았을까 하는 생각 말이다. 다시 말해 내 PC에서 흘러나가는 트래픽에 대해 빠른 처리 속도로 분석하고, 원천적인 보안 태세를 갖춘 똑똑한 스위칭 장비나 솔루션이 있다면 확실한 내부 보안이 이뤄지지 않을까 기대한다. 그러면 내 옆자리의 공격으로부터도 안전할 수 있고, 또 내가 모르게 공격하는 것에 대해서도 누군가가 피해를 입지 않게 될 것이다.

그럼 과연 그런 똑똑한 장비나 솔루션은 아직 없는 것인가. 어쩌면 우리가 별 관심이 없고, 크게 주의를 기울이지 않아 모르고 있는 것은 아닌지 자문해 보지 않을 수 없다. 바야흐로 외부 보안에만 관심을 가졌던 태도에서 벗어나 이제는 내부 보안에 대해 모두가 관심을 기울이고 방안을 모색할 때가 되었다고 생각한다.

그럼 다음 편에서는 내부 보안의 문제들과 유형에 대해 자세히 알아보겠다.