꿈꾸는코난

< 인라인 구성 >

< 아웃오브패스 구성 >

< 윈스테크넷 SNIPER DDX 구성도 >

< 안랩 TrusGuard DPX >

< 시큐아이 NXG D >

< 아버 네트웍스 PeakFlow >

http://www.sek.co.kr/cddos/greeting.asp

http://www.boannews.com/media/view.asp?idx=16842&kind=18

10GigE 네트워크 환경이 요구하는 ‘Flexibility’ 가능

미국 DDoS 방어장비 전문업체 리오레이사는 한국 총판인 모젠소프트를 통해 자사의 DDoS 방어 장비인 RG-10을 발표했다. 리오레이의 플랫폼은 10GigE(10Gigabit Ethernet) 네트워크 환경이 요구하는 ‘Flexibility’를 가능하게 하는 Bladed 인프라구조에 기반을 두고 있으며 이 플랫폼은 필요에 따라 Blades를 변경함으로써 사용자 네트워크에 따라 Scalable하게 적용할 수 있다. 이번 신제품 발표를 위해 방한한 리오레이 Kwok Li(곽 리) CEO에게 리오레이의 신제품 RG-10와 DDoS공격 동향에 대해 들었다.

이번 10G급 신제품 출시 배경은 무엇인가?

RG-10은 거대 네트워크 인프라 구조를 가지고 있는 고객의 요구에 따라 개발되었다. 이는 10GigE 멀티 네트워크 규모에 지원이 가능하도록 설계된 제품으로 리오레이의 RG-10 아키텍쳐는 최대 초당 14.5mpps(14,500,000pps)를 처리하는 각각의 10G 링크의 Full Protection을 제공하는 것이 특징이다. 

RG10에서 강화된 기능은 무엇인가?

리오레이 플랫폼은 10GigE 네트워크 환경이 요구하는 ‘Flexibility’를 가능하게 하는 Bladed 인프라구조에 기반을 두고 있으며 이 플랫폼은 필요에 따라 Blades를 변경함으로써 사용자 네트워크에 따라 Scalable하게 적용할 수 있다. 또한 이러한 구조로 인해 Critical Individual 구성요소가 서비스 하는 동안에도 네트워크에 영향을 주지 않고 교체될 수 있으며 Packaging은 매우 조밀한 구성으로 인하여 콤팩트 한 공간에서 대량의 Computing Power를 가능하게 한다.

한국 내 주요 타깃 시장은 어디이며 올해 한국 시장 마케팅 전략은?

리오레이 RG-10의 고객은 대용량 네트워크를 사용하는 고객이다. 대형 통신사, ISP 사업자, 포탈 컨텐츠 사업자, 금융서비스 사업 등이 RG-10의 주요 고객이 될 것이다. 리오레이의 가장 큰 장점과 특징은 고객 측면에서 제품이 만들어 진다는 것이다. 이에 따라 이번에 출시한 RG-10 모델도 대용량 트래픽 처리를 원하는 고객들의 요구에 의해 만들어 졌다. 때문에 이러한 고객들의 요구와 이를 연결하는 제품의 우수한 기술력이 리오레이의 가장 큰 마케팅 전략이다.

리오레이가 타사 경쟁제품과의 차별점과 강점은 무엇인가?

마이크로 행태분석, M.B.A.알고리즘에 기반한 리오레이의 혁신적인 아키텍처는 네트워크 최전방에 위치시키는 RioRey의 혁신적인 경계보안 DDoS 방어 전용 플랫폼이다. 리오레이는 전체 네트워크의 Line Rate필터링을 통해 높은 처리량을 자랑하며 전체 네트워크로 들어오는 트래픽을 분석하여 정상 트래픽은 통과시키고 DDoS공격으로 분류된 트래픽은 차단한다는 점이 강점이다.

라우터 앞에 인라인으로 설치되는 리오레이는 과다하게 밀집된 트래픽을 완화시켜 DDoS 공격 중에도 네트워크가 정상적으로 작동할 수 있게 하며 리오레이는 DDoS공격 중이나 공격 이후에도 접속리스트를 업데이트하는 등의 수동적 조작이 필요 없다. 또한 수천의 Null Routing Table들을 업데이트할 필요가 없고 공격 이후 Clean up할 필요도 없다.

이와 관련된 이점이라고 하면 네트워크를 장악하는 DDoS패킷 흐름을 차단함으로써 네트워크상에 있는 다른 보안 시스템과 분리되지 않게 함으로써 네트워크 방화벽과 IDS(Intrusion Detection Systems)는 전형적인 해킹 공격을 모니터 하고 필터링 할 수 있도록 정상적으로 가동된다. 또 DDoS 공격이 이루어지는 동안 보안 데이터를 손상, 유출 하는 Plant Worm 또는 Malware를 동반한다는 것을 고려할 때 리오레이가 다른 네트워크 보안 시스템과 분리되지 않는 다는 점은 큰 장점으로 꼽을 수 있다.

올해 들어 DDoS 공격이 한국 내 최대 보안이슈가 되고 있다. 이러한 DDoS 공격에 적절한 대응방안은?

DDoS 공격은 지난 몇 년간 그 양이나 질적인 면에서 극적인 변화가 있었다. 교묘하고 다양해진 DDoS 공격의 진화는 지금도 계속되고 있다. 최근 대다수의 DDoS 공격은 전통적인 네트워크 시스템과 보안 기술에 피해를 주는데 IDS(Intrusion Detection System)와 방화벽으로는 복잡한 DDoS 공격을 방어할 수 없다.

우리는 DDoS 공격을 막아낼 수 있는 유일한 방법은 DDoS 방어 전용 장비를 네트워크 앞에 설치하여 DDoS 공격이 네트워크에 손상을 입히기 전에 방어하도록 하는 것이라고 본다. 이러한 DDoS 전용장비는 DDoS 공격 방법의 진화에 따라 신속히 업그레이드되어야 한다. 리오레이는 DDoS 공격을 방어하는 전용 솔루션이며 어떤 크기와 형태의 DDoS 공격이든 그에 따라 방어할 수 있다. 리오레이는 신종 DDoS 공격이 생기면 그에 따라 바로 적용, 방어 가능하게 설계되어 있으며 모든 DDoS 공격으로부터 고객을 보호하는 것에 100% 초점을 맞추고 있다.

DDoS 공격과 관련, 한국 내 각 기업 보안 담당자들이 꼭 알아두어야 할 것이나 하고 싶은 말이 있다면?

보안 담당자들은 지속적인 네트워크 보안 위협에 대응하는 다양한 무기를 가지고 있다. IPS장비, ANTI-VIRUS 소프트웨어, 방화벽은 그 각각의 장비의 역할을 훌륭히 하고 있다. 그러나 DDoS 공격은 전 세계적으로 네트워크 보안을 위협하는 요소로 급격히 부각되고 있으며 이에 보안 담당자는 2009년 또는 그 이후 다른 목적으로 설계된 기존 보안장비에 의존해서는 안되며 반드시 DDoS공격을 방어할 수 있는 전용 장비를 도입해야 한다고 생각한다.

DDoS전용 장비 도입이 필요한지에 대한 검토는 간단하다. 보안담당자는 스스로에게 다음과 같은 질문을 하면 된다.  “우리 회사의 네트워크가 다운된다면 큰 문제로 이슈화되기까지 얼마의 여유 시간이 있는가?”

만약 자사의 네트워크 시스템이 몇 분, 시간 또는 몇 일 동안 다운되었을 때 기업에 부정적 영향을 끼치지 않는다면 DDoS전용 보안 솔루션이 꼭 필요하지 않을 수도 있다. 하지만 자사의 시스템이 단 몇 초, 몇 분 또는 며칠 동안 다운되었을 때 기업에 치명적인 손해를 끼칠 수 있다면 반드시 DDoS전용 보안 솔루션을 도입해야 하며 리오레이는 효율적인 DDoS공격 방어의 Best Solution이 될 것이다.

중국 발 해킹이나 DDoS 공격이 점점 증가하고 있는데 방어 대책은?

DDoS 공격은 한국에 한정된 공격이나 피해가 아니다. DDoS 공격은 전 세계적으로 발생하는 새로운 위협이며 다만 한국은 중국과 가까이 있고 Network 인프라 보급이 다른 나라보다 매우 우수하기 때문에 그만큼 위협에 더 많이 노출되어 있다. DDoS 공격은 이제 특정 사이트를 대상으로 금전적 요구를 하던 시기를 벗어나 사회 전반적인 위협으로 부각 되고 있다. 누구나 인터넷을 통해 봇넷 프로그램을 구입 할 수 있으며 이를 이용한 공격이 잦아 지고 있는 추세다.
 
또한 들어오는 DDoS 공격을 막는 것도 중요하지만 봇넷으로 이용되는 PC의 공격을 차단 하는 것도 매우 중요하다. 봇넷으로 이용되는 PC의 DDoS 공격 트래픽을 원천적으로 차단 한다면 DDoS 공격 피해는 상당히 줄어들 것이다. 그러기 위해서는 PC사용이 많은 네트워크 환경에서는 Out Bound되는 DDoS 트래픽을 제어 할 수 있는 보안 정책이 필요할 것으로 본다.
 
최근 전 세계적인 보안 이슈는 무엇인가?

전체 인터넷 트래픽 중 5%가 DDoS 트래픽인 것으로 추정되며 그 비율이 점점 증가 추세이다. 불과 몇 년 전만 해도 DDoS 공격에 이용되는 봇넷이 수백대였는데 이제는 수천에서 수만대의 컴퓨터가 봇넷으로 이용 되고 있다.

또 DDoS 공격을 위한 경제적인 자극 요인도 늘고 있다. 게다가 DDoS 공격이 정치적 목적 달성을 이유로 다른 나라의 상업경제를 위협하기 위한 도구로도 쓰인다. 그리고 이러한 정치적 이유의 DDoS 공격이 기존의 DDoS 공격보다 더 위협적이다.

이러한 DDoS 공격의 적절한 방어 대책은 각 네트워크 책임자들이 DDoS 공격이 발생하기 전에 먼저 조치를 취해야 한다는 것이며 그것은 바로 DDoS 전용 장비를 도입하는 것이라고 할 수 있다.

<글 /사진 : 김태형 기자(is21@boannews.com)>

http://www.boannews.com/media/view.asp?idx=16767&kind=1

10억 규모 사업, “조달청에 공고 내고 7월 경 사업계약을 맺을 것”

방송통신위원회 주도하에 인터넷망에 DDoS 대응시스템 도입이 확산되고 있는 가운데 행정안전부는 DDoS공격에 우선적으로 대응이 필요한 행안부를 포함한 3개 기관 13개 영역 인터넷 구간에 10억여원 규모로 DDoS 대응시스템을 구축하는 내용을 담은 로드맵을 마련했다.

 

 

행안부는 지난 4월 21일 국가정보원, 지식경제부, 방송통신위원회와 합동으로 정보해킹 및 개인정보 유출 실태와 2009년 역점 추진과제를 국무회의에 보고한 바 있다. 이날 행안부가 발표한 정보보호와 관련한 8개 역점 과제 중에는 최근 급속히 증가하고 있는 DDoS공격에 대한 국가적 대응체계를 구축하기 위해 DDoS 대응시스템을 구축할 것이라는 내용이 담겨 있었다. 그리고 그러한 준비기간을 거쳐 행안부는 이번에 ‘DDoS 대응체계 구축사업’을 벌인다.

최근 전자정부서비스 오류 및 사이버 공격으로 인한 침해사고 발생 등 정부·공공기관에 대한 지속적인 DDoS 공격이 지속적으로 발생하고 있으며, 공격 규모두 수 기가에서 수십 기가로 지속적으로 증가하고 있어 대응체계가 아직 갖추어지지 않아 DDoS공격에 취약했던 것이 사실이다. 이에 따라, 대국민 서비스에 심각한 영향을 미치는 비정상적인 대량의 통신 트래픽을 감지하고, 경보를 발생시키는 시스템을 구축하려는 것이다.

3개 기관 13개 영역에 DDoS 대응체계 구축

이번 ‘DDoS 대응체계 구축사업’은 시·도 및 시군구와 연계된 4대 접점 구역에 DDoS 전용장비를 설치하고 교육과학기술부와 보건복지부의 대민서비스를 위한 인터넷 접점 중 각각 5개, 4개 영역에 설치된다.

여기서 4대 접점구간 별 DDoS 대응지역은 ▲중앙청사-경북도청 및 외부기관 중앙부처 ▲별관청사-서울·인천시청 및 강원·경기·충북도청 ▲과천청사-부산·대구·울산시청 및 경남도청 ▲대전청사-대전·광주시청 및 전북·전남·제주·충남도청이다.

이에 행안부 관계자는 “중앙행정기관 대민서비스에 대한 보안관제를 지원하는 ‘교육 관제시설’과 ‘보건·의료 관제시설’에 우선 시범적용된다”며 “시·도 및 시군구와 연계된 4대 접점 구역에 DDoS 대응체계를 구축해 행안부의 통합보안관제센터 및 지역정보개발원의 보안관제센터와 정보공유를 통해 DDoS공격을 사전에 차단할 것”이라고 밝혔다.

또한 그는 “구축된 시스템의 서비스거부 대응 효과 검증을 위한 모의 훈련을 실시하고 기관별 시범적용을 통한 장비운용 DDoS 대응 임계치를 설정하는 한편 시험 구축 결과를 바탕으로 서비스거부 대응지침 및 매뉴얼 개발 등의 DDoS 대응시스템 시험적용 및 확산 방안 마련할 계획”이라고 말했다.

사업자, 정부납품 위한 보안요구사항 충족 등 갖춰야

이번 사업의 제한요청 내용을 살펴보면, 구축되는 시스템은 정부납품을 위한 보안요구사항을 충족해야 하며, 기관의 특성에 적합한 대역폭을 충분히 처리할 수 있는 시스템을 구축해야 한다. 또한 백본 통신장애는 업무 영향도가 높기 때문에 비상시를 대비해 목적시스템의 설치 위치에 따라 ‘백본 통신경로 선상에 설치하는 방식’과 ‘백본 통신경로 외에 설치하는 방식’ 중 택해 구성해야 한다.

그 외 ▲통신 트래픽 분석 기능은 하드웨어·펌웨어 기반으로 처리 ▲기존 네트워크 장비 및 보안시스템 구성에 영향 주지 않고, 호환되는 시스템 구축 ▲생성 대용량 로그의 효율적 관리 방안 제시·구축 ▲향후 인터넷 회선 대역폭 증가 시 안정적으로 비정상 트래픽을 처리할 수 있도록 모듈 추가 및 업그레이드 등 목적시스템 확장 방안 제시 ▲설치기관의 정책에 따라, 기존 시스템과 연계가 가능해야 하는 등의 내용을 담고 있다.

이에 행안부 관계자는 “DDoS 대응체계 구축 경험을 보유한 한국정보보호진흥원을 통해 시스템을 구축하게 되는 본 사업은 대상기관과의 유기적 협력을 통한 맞춤형 DDoS 대응체계를 구축하게 될 것”이라고 추진전략을 밝히고 “해당기관의 기존 네트워크 변경 없이 목적시스템을 설치해 통신 안정성을 확보하고 향후 사용자의 급증 등 환경변화에 대처가 용이하고, 유지보수성이 높은 범용적인 목적시스템을 설치해 경제성 및 효율성을 확보할 것”이라고 덧붙였다.

또한 그는 “이번 사업은 빠르면 금일 저녁이나 내일 중으로 조달청에 공고를 내고, 7월 경 사업계약을 맺고 본격적인 구축사업을 시작하게 될 예정”이라며 사업진행 시기를 밝히고 “이번 사업은 시스템 구축 3개월과 2개월의 안정화 기간을 거쳐 완료될 예정”이라고 말했다.

한편 행안부가 중앙행정기관의 DDoS 대응을 위해 정부통합전산센터에서의 체계적 운영 방안을 마련하는 한편 보건복지분야 및 과학기술분야에 시범적용을 통한 유효성 검증을 위해 진행되는 이번 사업은 사업규모가 그렇게 크지는 않지만 공공의 DDoS 대응체계 구축의 첫 시도라는 점에서 이후 확대 구축이 예상됨에 따라 DDoS업계의 분주한 움직임이 있을 것으로 예상된다.

[김정완 기자(boan3@boannews.com)]

아버네트웍스 보안연구 매니저

“DDoS 공격, 한국만의 위협 아니다”
“DNS 기술 이용하는 컨피커C, 정리 끝났다”

반가운 얼굴을 만났다. 지난해 ISEC 2008 강연을 위해 한국을 처음 방문했던 정보보안 연구의 권위자 호세 나자리오(Jose Nazario) 박사가 지난달 개최된 “2009 Hacking Defence & Conference”의 기조연설을 위해 두 번째로 한국을 방문했다. 본지는 현 봇넷 조망에 대해 발표한 호세 나자리오 박사를 만나 봇넷과 DDoS 공격에서부터 컨피커에 이르기까지 최근의 보안 위협에 대해 포괄적으로 살펴봤다. 한편 컨피커 워킹 그룹(Conficker Working Group)의 일원으로 활동하고 있는 그는 본지와의 인터뷰에 앞서 KISA 연구원들과 컨피커에 관한 미팅을 갖기도 했다.

해외 기사를 검색하다보면 몇 번이고 그 이름을 보게 되는 아버네트웍스(Arbor Networks)의 보안연구 매니저 호세 나자리오 박사는 특히 DDoS 공격, 봇넷, 웜, 소스코드분석 툴, 데이터 마이닝 등에 관한 연구로 전 세계 인터넷 트렌드 연구에 상당한 영향을 끼치고 있다. 또한 블랙햇(Blackhat)을 비롯해 CanSecWest, PacSec, NANOG 등 전 세계 수많은 컨퍼런스의 강연자로 초청받고 있는 그는 국내에서 개최된 이번 해킹대회에서 DDoS 봇넷, 스파이웨어 봇넷, 그리고 컨피커에 관한 기조연설을 했다.


이번 해킹 대회에서 발표한 기조연설 “The botnet landscape”에 대해 간단히 말해 달라.

2009년 중반에 접어들고 있는 현재의 봇넷 조망에 관해 발표했다. 특히 현재 확인되고 있는 봇넷의 종류와 변화, 그리고 그에 대해 우리가 어떻게 지속적으로 대응할 필요가 있는지에 관한 전반적인 내용을 설명하고자 했다. 몇 년 전만 해도 대부분의 봇넷은 IRC와 일부 코드베이스들을 기반으로 했다. 그러나 현재 HTTP를 이용하는 봇넷이 나타나고 있으며 더욱 더 많은 봇넷들이 자체 프로토콜을 이용하고 있다. 또한 봇넷이 단지 DDoS나 소프트웨어 설치에 이용되고 있을 뿐만 아니라 종종 스팸이나 정보 탈취의 목적으로 이용되고 있음이 확인되고 있다.


최근 세계적인 DDoS 공격 트렌드나 특징이 있다면?

과거와의 가장 큰 변화는 무엇인가? 작년 혹은 재작년부터 보다 교묘한 공격자들이 ISP 업체들과 운영업체들의 핵심 장비를 공격해 사용자들과 주요 e-상거래 업체들에 대한 서비스 불능을 유발하고 있다. 그들은 또한 주요 호스팅 업체들과 클라우드 공급업체들을 공격하고 있어 수많은 사용자들에게 영향을 끼치게 된다.

공격자 메소드(attacker method) 또한 변화하고 있다. 상당수 공격이 피해자의 광대역을 차지하도록 고안된 브루트 포스 플러드(brute force flood)를 여전히 이용하고 있다. 그러나 또한 공격자들은 애플리케이션 리소스를 소모하는 애플리케이션 메소드로 피해자의 서버를 공격하고 있는 것으로 확인됐다. 이것은 백엔드 데이터베이스 서버 등 전체 서비스 인프라스트럭처에 영향을 끼칠 수도 있다. 이러한 공격은 특별히 빠른 속도가 필요한 것도 아니며 특히 정상 클라이언트와 구별하기가 어려운 점이 특징이다.


이에 대응하기 위해서는 무엇이 필요한가?

성공적인 DDoS 완화를 위해서는 최소 두 가지가 필요하다. 우선 특정한 트래픽을 차단하기 위한 정확하고 통찰력 있는 애플리케이션 레이어 필터링이 필요하다. 둘째 ISP를 통한 고속 필터링 업스트림으로 트래픽이 고객의 네트워크를 다 차지하기 전에 그 트래픽을 차단하는 것이다. 이와 같은 방법은 공격을 막을 뿐만 아니라 고객들에 대한 서비스 손실을 최소화할 수 있게 해준다.


국내에서는 한국이 유난히 DDoS 공격에 노출되어있다는 의견도 있는데, 이에 대해 어떻게 생각하는가?

한국뿐만 아니라 거의 모든 국가들이 DDoS 공격의 위험에 처해있다. DDoS 공격자들의 구미를 당기는 것은 e-가버먼트(e-government), ISP 인프라스트럭처, e-상거래 사이트, 호스팅(포르노나 게임, 또는 도박 사이트를 호스팅하는) 업체, 사람들의 참여도가 높은 유명 포럼 등 외에도 상당히 많다. 이와 관련해 한국의 수많은 온라인 서비스와 엄청난 온라인 이용자들이 한국을 DDoS 공격에 취약하게 만든다고 할 수 있다. 공격자들은 자신들이 사용자 경험에 영향을 끼칠 수 있다는 것을 알고 있으며 공격을 통해 피해자들로부터 금품을 갈취할 수 있다는 것도 알고 있기 때문에 이러한 공격이 많이 발생하고 있다. 아울러 한국에 가해지고 있는 대부분의 공격이 중국 봇넷으로부터 발생한 것이라는 한국의 주장은 사실이라고 볼 수 있다. 전 세계 트래픽을 모니터링하고 있는 우리(아버네트웍스)가 중국 봇넷과 한국 트래픽을 모니터링 한 결과에 따르면 수많은 중국 봇넷이 한국 사이트를 공격하고 있는 것으로 확인되고 있다.

그러나 한국만이 유독 DDoS 공격의 타겟이 되고 있는 것은 아니다. 미국에서도 은행 등을 대상으로 하는 DDoS 공격이 발생하고 있으며 이미 금품을 요구하는 DDoS 공격도 있었다. 그러나 현재 미국에는 인터넷 금융 거래(Financial Transaction)에 관한 엄격한 제재(strict rules)가 있어 대부분의 관련 사이트들은 버퍼 오버플로우를 완전히 제거한(clean) 상태다.

페이팔(Paypal) 등은 매우 구미가 당기는 타겟이기 때문에 금품을 요구하는 공격을 받기도 했지만 이제는 그에 대한 대책을 충분히 세워놓고 있다. DDoS 공격으로 서비스 제공을 하지 못하게 되는 것은 그들 자신의 사업에 심각한 문제가 될 수 있기 때문이다.


DDoS 공격에 대한 대응과 관련해 한국의 기업들 또는 보안 담당자들에게 조언해준다면?

공격 받을 것을 우려하고 있다면 ISP 업체의 DDoS 공격 방어 대책에 대해 확인하는 것이 가장 중요하다. 즉, 그들이 DDoS 공격 방어 서비스를 제공하고 있는지, 대응 시간은 얼마나 걸리는지, 또 공격이 가해지는 동안 당신의 온라인 비즈니스가 안전하게 지켜질 수 있는지 등을 확인해야만 한다.


최근에는 맥 운영체제를 노리는 맬웨어가 맥 봇넷을 구축했다는 보도도 있었는데?

HTTP와 기타 자체 프로토콜을 이용한 봇넷의 변화가 나타나고 있다고 언급한 바와 같이 봇넷은 스팸 소프트웨어 설치뿐만 아니라 정보 탈취 소프트웨어 등과 같은 공격에 이용되고 있다. 봇넷은 그야말로 공격자들을 위한 서비스 툴이 되었다. 그러나 맥(Mac) OS X 봇넷은 대부분 개념증명(PoC : proof of concept) 정도의 수준이며 일반 PC 봇넷에 비해서는 아주 극히 일부 이용자들만이 맥 봇넷으로 이용되고 있음을 확인했다. 특히 맥 OS X 봇넷 소프트웨어는 사용자에 의해 설치되어야만하기 때문에 루트 패스워드를 입력해야만 한다. 이 때문에 대개 사용자가 인식하지 못 한 상태에서 설치되는 PC 봇넷에 비해 맥 봇넷이 생성되기는 훨씬 어렵다.


컨피커워킹그룹에서 활동하고 있는 것으로 아는데 단체의 목적, 그리고 성과에 대해 말해 달라.

개체수 뿐만 아니라 언론의 관심이라는 측면에서 볼 때 컨피커는 최근 몇 년간 있었던 웜 중에 가장 심각한 웜이다. 나는 4~5개월 동안 매일 반나절을 컨피커와 관련된 일로 보내고 있다. 나를 포함한 컨피커 워킹 그룹(Conficker Working Group)의 멤버들은 이 봇넷을 조사하고 감염된 네트워크를 정화하기 위해 매우 분주하게 보내고 있다.

컨피커 워킹 그룹은 컨피커에 대응하기 위해 MS를 비롯해 시만텍, F-시큐어, 아버네트웍스 등 IT 및 보안 기업들과 쉐도우서버 파운데이션(Shadowserver Foundation), 그리고 개인 연구자들이 모인 단체다. 처음에는 장난삼아 컨피커 카발(Conficker Cabal, 컨피커 결사대)라고 이름 붙이기도 했지만, 이제는 컨피커 워킹 그룹이라고 부른다. 컨피커 워킹 그룹은 컨피커 웜이 P2P를 이용해 통신하는 방법 등에 관해 연구하고 있고 이러한 호스트를 식별하기 위한 센서를 배포해왔으며 보고서를 작성하고 있다. 특히 우리는 현재 사용자 PC의 컨피커 웜 제거라는 더 큰 과제와 대면하고 있으며, 상당히 어려운 일임에도 불구하고 전 세계 대부분의 컨피커 웜 감염자들과 컨택하기 위해 노력하고 있다. 그러나 DNS를 이용하는 컨피커C는 현재 깨끗이 정리됐다고 자신할 수 있다. 특히 컨피커C가 이용한 도메인에는 .kr이 상당히 많았기 때문에 우리는 한국의 이용자들에게 닿기 위해 최선의 노력을 기울이고 있다. 한편, 컨피커 배후세력과 관련해 우리는 일부 의심되는 배후는 추측하고 있으나 아직 정확하게는 알지 못 한다.


앞서 언급한 내용 외에 올해 가장 큰 보안 위협 또는 이슈가 될 것이 있다면?

페이스북이나 트위터와 같은 소셜 네트워킹 사이트들은 유럽과 북미 지역에서 가장 큰 위협이 되고 있다. 트위터 사이트 자체를 공격하거나 그 이용자들에 대한 직접적인 공격이라기보다는 그러한 사이트를 통한 스팸, 악성코드, 그리고 피싱 공격 등이 문제가 된다. 즉, 스팸이 이메일을 이용했던 것과 마찬가지로 이제는 소셜 네트워킹을 이용하고 있다. 스패머들과 악성코드가 이러한 사이트를 이용해 전파를 시도하고 있는 만큼 한국에도 이 같은 문제가 곧 발생할 것이라고 생각한다. 특히 사용자들은 이러한 네트워크 내에서 자신들을 보호하는 방법을 아직 모르고 있는 반면, 공격자들은 이들 사이트가 사용자들을 공격하기 위한 새로운 땅(fresh ground)이라는 것을 잘 알고 있다는 것이 문제다.
 
한편 기업의 경우, 경기 침체 속에서 보다 적은 인력과 장비 예산으로 기업의 데이터와 인프라스트럭처를 보호하는 것이 가장 큰 어려움이 될 것으로 생각된다. 모든 이들이 ‘더 적게’들여 ‘더 많이’ 얻기 위해 애쓰고 있다. 우리 모두는 우리의 네트워크를 안전하게 유지하기 위해, 또 지금 해야만 하는 일을 하기 위해 잘 훈련받고 의견을 교환하도록 해야만 한다고 생각한다. 이것은 특히 그 어느 때보다 지금과 같이 힘든 시기에 더욱 중요한 일이다.

글 : 김동빈 기자(foreign@boannews.com)

[월간 정보보호21c 통권 제106호 (info@boannews.com)]

http://www.boannews.com/media/view.asp?idx=16400&kind=0

5월 27일 중국검찰에 송치, 최고 10년 이하의 징역에 처해질 듯

온라인게임 아이템거래 사이트인 아이템베이에 악의적으로 분산서비스거부(DDoS: Distribute Denial of Service, 이하 DDoS) 공격을 해 온 범인이 검거됐다.

아이템베이는 2007년 8월부터 2009년 2월까지 총 3년에 걸쳐 DDoS 공격을 받았으며, 2008년 12월부터 범인 검거직전까지 6억원 상당의 금품을 요구하는 총 54통의 협박메일을 받은 바 있다. 동사는 지난 2008년 12월 범인으로부터 협박메일을 받은 즉시 관할경찰서인 양천경찰서에 수사를 의뢰하고, DDoS 공격에 사용된 PC의 대다수가 중국 발신인 점을 포착, 중국공안과 현지 전문가들의 협조의사를 받아낸 것으로 알려졌다.

▲아이템베이에 대한 DDoS 공격 협박 메일  ⓒ아이템베이

이후, 아이템베이는 양천경찰서의 적극적인 수사의지와, 중국공안 등과의 긴밀한 협조 아래, 결국 범인을 검거했고 범인이 전북 전주 출신의 30대 한국인 남성 김모씨임을 밝혀내기에 이르렀다. 범인은 지난 5월 27일 중국검찰로 송치되었으며, 중국검찰 조사와 재판을 거쳐 최고 10년 이하의 징역에 처해질 것으로 보인다. 최근 중국에서도 DDoS 공격을 매우 심각한 범죄로 인식하고 있어 중국공안이 금번 사건의 수사에 적극 협조하였으며, 범인을 엄중 처벌할 방침을 밝힌 것으로 전해진다.

아이템베이는 지난 2001년 세계최초로 게임아이템 거래중개 서비스를 개시한 이후, 꾸준한 성장을 거듭하며 연평균 성장률 21.4%를 유지해 왔다. 하지만 2007년 9월, 첫 DDoS 공격이 발생하면서 4개월 동안 홈페이지를 열지 못하고 IDC센터에서 퇴출되는 등 정상적인 영업을 하지 못했다.

이후, 아이템베이는 2008년 한 해 동안 공격적인 마케팅과 서비스개선 등 정상화를 위한 각고의 노력을 기울인 결과, 매출회복은 물론 시장점유율 55% 확보라는 큰 성과를 이뤄냈다. 하지만, 2008년 연말 또다시 가해진 DDoS 공격으로 인해 아이템베이는 2008년 12월 12일부터 15일까지 4일간 영업이 중단되었다. 범인은 ‘리철’이라는 이름의 조선족 행세를 하며 무리한 금전적 요구와 협박으로 회사의 안전한 사이트 운영을 위협했다.

범인이 총 54회에 걸쳐 보낸 협박메일에는 ‘아이템베이 사이트에 DDoS 공격이 예정되어 있으며, 요구금액을 지급하면 공격을 철회하겠다’는 내용이 포함되어 있다. 범인은 공격철회 조건으로 300만 위엔(약 6억 원)을 요구해왔으며, 타 집단의 DDoS 공격을 막아주는 대가로 반기별 50만 위엔(약 1억원)을 요구하기도 했다.

아이템베이는 홈페이지를 이용해 통신판매중개업을 영위하고 있으며, 온라인으로만 판·구매자 간의 거래를 중개하기 때문에 홈페이지의 다운은 회사의 매출손실로 직결된다. 따라서 동사는 DDoS 공격 없이 회사가 정상 운영됐을 때의 평균성장률로 단순 계산해도 DDoS 공격으로 인한 매출손실 액이 1,279억에 달하는 것으로 보인다.

아이템베이의 한 관계자는“영업불가로 인해 심각한 매출손실을 입었을 뿐만 아니라, 기업 이미지 훼손과 회원이탈, 해당 문제 해결 및 원상복구에 소요된 각종 비용과 시간을 생각하면 당사가 입은 손실은 치명적이다”라며 “DDoS 공격을 방어하기 위해 서버를 이전하고 회선을 증가시키는 등의 과정에서 큰 비용이 발생했고, 회사 이미지 회복을 위한 마케팅 비용이 지속적으로 발생하고 있다. 매출손실과 복구를 위해 소요된 비용전체를 계산하면 실질적인 당사의 DDoS 피해금액은 약 1,400억 원에 달할 것으로 추산된다”고 설명했다.

아이템베이는 이러한 막대한 규모의 손실에 대해 범인에게 손해배상을 청구할 방침이며, 양천경찰서와의 공조 하에 사주범 또는 공범에 대한 존재여부 및 신상확보를 위해 더욱 치밀한 추가 수사진행을 요청한 상태이다. 범인 김씨는 현재 단독범행을 주장하고 있지만, 아이템베이에 가해진 100G 이상의 대규모 좀비 PC를 동원하기 위해 만만치 않은 비용이 소요되었다는 점과 범인이 타 업체에는 DDoS 공격을 가하거나 협박메일을 보낸 적이 일체 없고 아이템베이만을 공격대상으로 삼았다는 점 등을 근거로 DDoS 공격의 사주범 또는 공범의 존재가능성을 염두에 두고 있는 것이다.

한편, 아이템베이는 국내최대 게임아이템 거래중개 사이트로서, 이번DDoS 피해에 대해 500만 회원의 권익보호를 차원에서 DDoS 공격에 대해 적극적인 범인검거 의지를 보여왔고, 결국 범인을 검거함으로써 DDoS 피의자 검거가 불가능한 일만은 아니라는 선례를 만들어냈다.

[오병민 기자(boan4@boannews.com)]