DDoS 대응, 여전히 갈피 못잡는 정부

좀비PC화 방책, 가장 우선은 ‘보안패치’...다음이 백신프로그램

정부, “보안패치 중요성 등한시 백신프로그램만 강조 아쉬워”

이번 7.7 DDoS 대란이 시작되면서 그 핵심 원인을 분석하는 과정을 통해 악성코드가 보안에 취약한 PC를 노려 좀비PC로 만들어 이를 DDoS공격에 이용한 것이 확인됐다. 이번 DDoS공격은 기존 봇넷(Botnet)을 이용해 좀비PC가 C&C(명령제어서버)를 통한 원격제어 없이 좀비PC에 심어 놓은 악성코드에 의해 공격을 하는 독특한 방식을 선택한 것이 이번 공격형태다.

이것이 DDoS공격보다 악성코드에 주목하게 된 이유가 됐다. 즉 주객이 전도됐달 수 있겠다. 좀비PC에 심어진 악성코드 분석을 통해 향후 어떤 공격이 이루어질지를 알아낼 수 있었기 때문이며 그 역할의 큰 몫을 안철수연구소가 담당했다. 그러한 관계 정부기관의 안철수연구소에 대한 의존도는 여타 언론을 통해서도 쉽게 접할 수 있었다. 즉 정부차원에서의 대응이 얼마나 안일했는지를 보여주는 대목이다.

그렇게 DDoS공격보다 악성코드가 이번 사태의 핵심이 되다보니 아이러니하게도 DDoS가 아닌 백신프로그램이 그 중심에 섰고, 안철수연구소라는 한 기업이 중심이 되다 보니 백신프로그램이 마치 DDoS를 막는 최선의 방법처럼 인식됐다. 물론 백신프로그램은 중요하다. 하지만 그와 함께 간과된 것이 보안패치다. 보안패치가 지속적으로 업데이트됐다면 이번 DDoS공격에 이용된 그 수많은 좀비PC들은 없었을 것이다. 일차적으로는 보안패치 업데이트가 이루어지고 이후 이차적으로 백신프로그램을 통한 검사·치료가 이루어진다면 좀비PC화는 막을 수 있다는 것이 보안전문가들의 한 목소리다.

“백신은 사후조치, DDoS공격에 대한 근본적 대응은 될 수 없어”

A백신 업체는 자신의 기술로 막을 수 있다고 얘기를 하지만 개인적으로는 이를 상업적인 도구로 이용한다고 밖에 생각이 들지 않는다며 익명을 요구한 한 해커는 “백신업체는 문제가 발생한 이후에 봇의 정체를 알아내고 그 패턴을 분석해서 시그니처를 만들어 배포함으로써 사후 조치를 취할 수는 있다. 그러나 이미 알려졌다시피 봇은 신종·변종의 수가 헤아릴 수 없을 정도이므로 백신을 통해 막는다는 것은 거의 불가능하다”고 지적한 뒤 “물론 사후 동종의 봇을 제거·치료하는 데는 도움이 되겠지만 해커가 어떤 목적을 이루기 위해서라면 같은 봇을 이용하지는 않을 것이다. 그런 측면에서 아직 밝혀지지는 않았지만 PC 사용자들은 윈도우 등의 보안취약점에 대해, 즉 보안패치 등의 업데이트에 더욱 신경 쓸 필요가 있다”고 말했다.

이에 학계 한 관계자는 “기업은 국가기관과는 다르다. 그런 측면에서 안철수연구소가 이번 사태의 중심에 서서 이를 이용했다 하더라도 이는 기업이윤을 추구한 정상적인 기업의 모습인 만큼 비난의 대상은 아니다”고 말한 뒤 “도리어 이윤을 추구할 수밖에 없는 한 기업을 통해 범국가적인 대응을 한 국가기관의 문제다. 한 기업에 함몰돼 정작 중요한 것을 잊은 채 대응방안을 모색하고 있다는 것이 한심스럽다”고 비판했다.

‘보안패치’, 좀비PC 막는 일차적인 방법

일반PC가 좀비PC로 돌변하는 과정에 있어서 악성코드 감염이라는 필수적인 연결 고리가 존재하고 있으며 PC의 보안을 노리는 악성코드는 ‘보안 취약점’을 통해 침투해 들어온다. 그리고 이 보안 취약점을 해결할 수 있는 일차적인 방책은 백신프로그램이 아닌 ‘보안 패치’다. 백신프로그램은 감염 후 제거·치료 측면에서의 이차적인 방책인 셈이다.

사용자의 정보를 탈취하기 위한 웜이나 악성코드 대부분이 윈도우의 취약점을 공격하는 방식으로 이루어지고 있다는 점을 고려해 볼 때 보안패치는 무척이나 중요하다. 윈도우 보안 패치는 매월 둘째 주 정기적으로 발표되고 있으며 PC 사용자들에게 있어서 이러한 보안 패치의 설치는 가장 필수적이면서도 기본적인 보안 조치라고 할 수 있다.

그런 점에서 마이크로소프트는 지난 15일, Microsoft DirectShow(MS09-028) 및 MS 비디오 스트리밍(MS09-032) 등의 취약점에 대한 7월 MS 정기보안업데이트(긴급 3개, 중요 3개 총 6개)를 발표했다. 그리고 이번 7.7 DDoS 대란에서 이 MS제로데이 취약점이 공격 원인일 수도 있다는 언론들의 보도가 있었다. 하지만 이는 다만 추측에 불가하며, 실제로 한국MS사와 방통위·국정원 등 정부기관과 안철수연구소 등 보안업체 관계자들이 지난 주중 모인 간담회에서 이번 악성코드가 어떻게 유포됐는지에 대한 논의가 있었지만 현재까지도 언제 악성코드가 최초 발생해 좀비PC화를 시도했는지를 파악하지 못하고 있는 것으로 알려지고 있다.

윈도우 운영체계의 취약점을 보완하는 보안패치가 제대로 설치되지 않은 PC가 존재하는 한 대형 보안 사고는 언제라도 터질 수 있는 시한폭탄과 같은 것이다. 미패치PC를 사용하는 한 개인이 무심코 클릭한 첨부 파일이, 또는 모르는 사람이 보낸 이 메일이, 정체불명의 파일들이 악성코드 감염의 단초가 될 수 있는 것이다.

이에 최성학 소프트런 연구소장은 “백신의 설치 및 업데이트 또한 매우 중요한 보안 수칙이라고 할 수 있지만 악성코드에 감염된 경우 이를 치료한다는 의미에 있어서 보안 패치와 병행해서 관리되야만 하는 부분”이라고 말했다.

또한 최성학 연구소장은 “이번 사이버 대란은 IT강국으로써의 자존심에 큰 상처를 남겼지만 보안 패치의 설치를 통한 기본 보안 수칙 준수에 대한 중요성을 깨닫게 해주는 또 하나의 기회가 되었다고 할 수 있다. 이번 사건을 계기로 국가적인 차원에서 PC보안의 가장 핵심인 ‘패치 관리 체계’ 구축에 대한 제도적 장치 및 명확한 기준을 마련해야 할 것이다”며 “이런 때일수록 사태의 원인과 핵심을 정확히 파악하고 그에 알맞은 종합적인 대책을 마련하는 것이 중요하기 때문이다. 이것이 바로 2차, 3차 사이버 대란을 막을 수 있는 가장 근본적인 대안이라고 할 수 있다”고 밝혔다.

국가 수사기관 아닌 언더그라운드 해커가 초기악성코드 발생 시점 먼저 발견

지난 20일 한 언더그라운 해커는 이번 악성코드를 추적해 수집된 총 43종 샘플을 수집해 분석한 결과, 지난 3월 말에 제작된 것으로 추정되는 악성코드를 찾아내 이 악성코드가 4월 초에 해외에서 발견된 것으로 파악되고 있다고 밝혀 이를 수사하고 있는 경찰이나 국정원 등보다 발빠른 움직임을 보였다.

또한 방통위는 이르면 다음달부터 개인 이용자가 백신 등 보안제품을 설치하지 않으면 네이버 등 대형 포털이나 온라인게임처럼 방문자가 많은 홈페이지 접속을 차단하는 방안 등을 검토 중인 것으로 21일 현재 알려지고 있다. 이는 이미 여러 문제점을 안고 있어 지난 2003년에 백지화가 된 정책이다. 그럼에도 방통위가 다시금 이 정책을 재추진하는 이유는 이번 DDoS대란이 개인 이용자가 백신을 지속적으로 업그레이드해 좀비PC의 감염을 막고 치료에 나섰다면 훨씬 효과적으로 대응할 수 있었다는 평가에 따른 것으로 전해지고 있다.

좀비PC이 감염을 막는 역할은 백신프로그램 이전에 보안패치가 일차적인 방편이다. 그런 부분의 범국민적 차원의 홍보가 아쉽기만 하다.

[김정완 기자(boan3@boannews.com)]

 

---------------------------------------

안랩 .. 좋은회사다 ..

하지만 DDoS 와 관련해서 온통 안랩에만 집중이 되어있는 작금의 언론과 보안 수준이 안타깝다

백신은 ... 항상 그렇지만 .. "소잃고 외양간 고치는 구조다"

백신이라는게 중요하지 않다는 것이 아니라, 이번 7.7 대란중 하나의 역할일 뿐이라는 것이다.....

그러나 온통 안랩에서 무슨 보도자료가 나오기만을 기다린듯한 보도는

내가 기대했던 기자들의 수준을 너무 높이 본게 아닌가 싶다...

 

아니다. 안타깝지만 기자를 탓할게 아니라 한국 보안기업의 영세성을 탓한는게 맞는것 같다.....

 

그리고 안랩..

이 시점에 클라우드 보안으로 DDoS를 막는다는 언론플레이는 장사속이라는 느낌이 강하다.

홍보하는 클라우드 보안이라는 것을 보면서 글로벌 보안기업이 하니까 따라간다는 생각이 들고,

솔직하게 글로벌 기업의 인프라 환경을 갖춘 상태에서의 서비스인지도 심히 의심스럽다...

 

안랩은 언론이 만들어준 위치에서

좀더 큰 그림의 보안체계구축에 대해 언급하고 발표 했더라면 

장기적으로 안랩의 위상은 더욱 높아졌을 것이다.....

 

끝으로 이런 정확한 내용과 기사를 작성한 김정완 기자... 성공할꺼다...

다른 기자들 ... 공부 좀 해라...쪽팔린다..