물론 이러한 공격기법은 전혀 새로운 것은 아니다.
일부 코드는 기존에 발견되었거나 소스가 공개된 악성코드를 사용했다는 점에서 특히 그러하다.
약 13년 여간 악성코드와 관련된 정보 보안쪽에서 활동해오면서그 동안 가상 시나리오로만 생각했던 이번 공격은 개인적으로 일부 현실화되였다는 부분에서 바쁘게 DDoS 공격 긴급 대응업무를 처리하는 과정에서도 나름 놀라지 않을 수 없었다.
아직도 구체적으로 확인되지 않은 초기 악성코드 감염 기법(취약점)과 최초 유포 경유지(진원지) 등이 면밀하게 밝혀지지 않고 있다는 부분 또한 아직 알 수 없는 미지의 공격자가 추후 어떠한 재무장을 하여 또 다른 공격 시도를 감행할 것인지 알 수 없다는 점은 그 만큼 사전 방어책 준비에 다소 시일이 소요될 수 있는 부분이 아닐까 싶기도 하다.
이번에 있었던 일명 "7.7 DDoS" 국가적 대란 사태를 경험하면서 개인적으로 가장 궁금한 것은 도대체 어떠한 방식을 사용하여 Zombie 컴퓨터로 몰락한 그 수 많은 개인 사용자들의 컴퓨터에 DDoS 공격용 프로그램을 사용자 몰래 설치했을까이고, 그 과정에 소요된 시간과 보안 취약점은 무엇일까라는 점이다.
참고로 글 작성자인 본인은 2009년 7월 6일 월요일에 국내 감염 컴퓨터의 신고 접수를 최초로 받은 바 있고 원격접속으로 처음 분석을 하게 되었으며, 당시에는 언론상에서 1차 공격(한국 공격 기준 분류법)이라고 분류하고 있는 악성코드가 아닌 그 이전의 변종을 목격하였다.
당시에 국내의 컴퓨터는 미국 아마존 사이트(http://www.amazon.com)를 공격하고 있었던 변종이었고, 사전에 치밀하게 정해진 시간이 지남에 따라 공격 목표 사이트가 자동으로 한국으로 바뀌게 된 것으로 볼 수 있다.
이미 한국 사이트를 공격하기 전에 미국의 특정 사이트를 선제 공격(사전 모의 테스트?)하고 있었던 점이 특징이라 할 수 있으며, 7월 7일 이후부터 공격 목표가 미국에서 한국을 향해 방향을 변경하였다는 점이다. 물론 이후에도 일부 미국 사이트는 계속해서 공격 대상에 포함되어 있기도 하였다.
따라서 실제로 이번 공격은 미국의 독립기념일(Independence Day)인 7월 4일 다음날인 7월 5일경부터 시작된 것으로 보여지고 있다.
그래서인지 몰라도 공격자는 악성코드에 "Memory of the Independence Day" 라는 문구를 넣어 두었고, 데이터 파괴에 이용한다.
아마도 미국 독립기념일(7월 4일)과 관련하여 준비되고 공격된 이번 DDoS 피해를 기억하라는 의미는 아닐지 모르겠다.
그렇다면 내년 미국 독립기념일이 두번째 예고된 공격일이 될지도 모른다는 조심스런 예측도 해보게 된다.
7월 5일경 부터 7월 6일까지 공격 대상으로 이용되었던 해외 주요 사이트 목록은 다음과 같다.
- http://www.whitehouse.gov
- http://www.faa.gov
- http://www.ustreas.gov
- http://www.dhs.gov
- http://www.state.gov
- http://www.dot.gov
- http://www.ftc.gov
- http://www.nsa.gov
- http://www.usps.gov
- http://www.voanews.com
- http://www.yahoo.com
- http://www.defenselink.mil
- http://travel.state.gov
- http://www.nyse.com
- http://www.nasdaq.com
- http://www.site-by-site.com
- http://www.marketwatch.com
- http://finance.yahoo.com
- http://www.usauctionslive.com
- http://www.usbank.com
- http://www.amazon.com
7월 7일 한국내에서 발견되었던 사이트 목록을 보면 다음과 같다.
- http://www.president.go.kr (청와대)
- http://www.mnd.go.kr (국방부)
- http://www.mofat.go.kr (외교통상부)
- http://www.assembly.go.kr (국회)
- http://www.usfk.mil (주한미군)
- http://blog.naver.com (네이버 블로그)
- http://mail.naver.com (네이버 메일)
- http://banking.nonghyup.com (농협 인터넷 뱅킹)
- http://ezbank.shinhan.com (신한은행 인터넷 뱅킹)
- http://ebank.keb.co.kr (외환은행 인터넷 뱅킹)
- http://www.hannara.or.kr (한나라당)
- http://www.chosun.com (조선일보)
- http://www.auction.co.kr (옥션)
- http://www.whitehouse.gov (백악관)
- http://www.faa.gov (미 연방 항공청)
- http://www.dhs.gov (미 국토 안전부)
- http://www.state.gov (미 국무부)
- http://www.voanews.com (미국의 소리 방송)
- http://www.defenselink.mil (미 국방부)
- http://www.nyse.com (뉴욕 증권 거래소)
- http://www.nasdaq.com (나스닥)
- http://finance.yahoo.com (야후 금융정보)
- http://www.usauctionslive.com (미국 옥션)
- http://www.usbank.com (US Bank)
- http://www.washingtonpost.com (워싱턴 포스트)
- http://www.ustreas.gov (미 재무부)
* 7월 8일 오후부터 변경 추가된 공격 대상 사이트는 다음과 같다.
- http://www.mnd.go.kr (국방부)
- http://www.president.go.kr (청와대)
- http://www.ncsc.go.kr (국정원 국가사이버안전센터)
- http://mail.naver.com (네이버 메일)
- http://mail.daum.net (다음 한메일넷)
- http://mail.paran.com (파란 메일)
- http://www.auction.co.kr (옥션)
- http://www.ibk.co.kr (기업은행)
- http://www.hanabank.com (하나은행)
- http://www.wooribank.com (우리은행)
- http://www.kbstar.com (국민은행)
- http://www.altools.co.kr (알툴즈)
- http://www.ahnlab.com (안철수 연구소)
- http://www.usfk.mil (주한미군)
- http://www.egov.go.kr (전자민원 G4C)
- http://www.chosun.com (조선일보)
그러면 여기서 잠깐 개인적으로 생각하여 여러차례 가까운 지인들에게만 언급했던 가상 사이버 테러 시나리오를 짚어보고 가보면 어떨까 싶다.
저를 포함하여 일선 보안업계에 계신 수 많은 보안 연구분들이 다년간 악성코드에 대한 관제 및 분석 대응을 하다보면 "이러한 공격 방식이 언제쯤 실제로 나타나지 않을까?"에 대한 우려와 걱정반으로 준비를 하고 계셨던 것이 사실이기도 하다.
그리고 영화 "다이하드4"의 물리적 하이테크 테러(Fire Sale) 공격과 같이 다소 현실적 어려움이 존재하는 것은 어찌보면 영화에서만 볼 수 있었던 것으로 생각할지도 모른다.
※ Fire Sale : http://en.wikipedia.org/wiki/Fire_sale
국가 기간의 전체 구조에 대한 체계화되고 조직화된 3단계 국가적 디지털 공격형태를 의미하며, 사회 혼란을 가중시킬 수 있는 국가 사이버 테러라 할 수 있다.
2단계 : 전기(발전소), 가스, 수도 등 공공 국가 시설물의 통제권 장악
3단계 : 장악한 각종 무력 권한을 통한 국가기간망 초토화 공격
하지만 이러한 공격방식은 이론적으로 가능하나 구조적으로 매우 어렵거나 불가능할 수 있는데, 그 이유는 국가 주요 시설물의 네트워크망은 내부용과 외부용이 따로 따로 분리되어 있다는 점과 주요 국가 시설물 관리용 제어 컴퓨터는 대부분 외부 네트워크와는 단절되어 운용되고, 그 중요도 만큼 보안시스템도 매우 강화되어 있다는 점을 꼽을 수 있을 것이다.
그래서 영화에서는 공공시설 건물 등에 직접 침입하여 내부 네트워크에 접근하는 과정을 볼 수 있었지만, 외부의 공격자가 모든 시설물의 건물에 침입하고 주요 권한을 획득하기란 현재의 물리적 보안 시스템을 우선적으로 무력화해야 한다는 현실적 어려움이 함께 존재하기 때문이다.
자 그러면 공격의 범위나 방식이 꼭 해당 국가 시설물의 통제권 획득만이 있을까? 결론부터 말하면 꼭 그렇지는 않다는 것이다.
IT강국인 대한민국이 이번과 같이 주요 정부기관의 홈페이지, 포털 사이트, 인터넷 뱅킹 서비스, 온라인 전자 상거래, 뉴스 및 언론 사이트, Anti-Virus 서비스업체 등 인터넷 웹 기반의 정보 제공업자를 기반으로 하고 있는 곳이 서비스 거부 공격에 무력화 될 경우 불특정 국민들에게 어떠한 피해를 직간접적으로 야기시킬 수 있을 것인가에 대한 점을 다시 한번 생각해 보면 좋지 않을까 싶다.
[가상 사이버 테러 시나리오]
아래 내용은 접근 방식이 "가상"이라는 점을 먼저 공감해 주시고 읽어주시기 바랍니다.
1. 새로운 공격 기법이 필요하다.
주) 아무도 모르는 취약점을 이용하는 것이 이론처럼 그렇게 쉽진 않겠죠? 각국에 전방위적으로 포진되어 있는 수 보안 전문가들도 그러한 공격에 대비하여 24시간 모니터링을 하고 365일 맞대응 준비를 하고 있으니깐요.
2. 공격 방식과 대상을 지정한다.
- 특정 공격 대상 : 대상 조직과 관련된 웹 사이트의 자료를 수집하여 분석하고, 해당 자료를 기반으로 하여 접속자에 대한 개인정보 유출 및 관련 시설의 정상 서비스 방해나 파괴 등을 시행할 수 있는 공격 프로그램을 몰래 설치한다.
- 불특정 다수 : 수 많은 사람들이 이용하는 포털 사이트나 유명 인터넷 사이트 등을 아무도 몰래 침입하고, 사전에 준비된 취약점과 공격 프로그램을 설치한다.
주) 특정 공격 대상(특정 웹 사이트 서비스 거부 공격) + 불특정 다수(일반 개인 데이터 파괴)을 함께 시행하는 경우가 이번 DDoS 의 한 예라고 말할 수 있겠네요.
3. 가능한 단 시간에 대량 살포를 실시한다.
공격 전초 기지를 통해서 악성코드 감염자 수를 실시간으로 기록 체크하여 완벽한 공격태세를 준비하고 대기한다.
주) 웹 사이트를 통한 악성코드 설치는 현재도 많이 이용되는 악성코드 유포기법이라 할 수 있습니다.
4. 잠복하고 은폐하여 공격 명령 전까지 발각되지 않는다.
주) 현재의 수 많은 악성코드는 감염되자 마자 특징적인 증상을 유발하기 때문에 쉽게 발견 보고가 되고 치료 프로그램이 신속하게 배포되고 있지요.
5. 다양한 공격 패턴으로 초토화 명령을 시행한다.
이번처럼 특정 웹 사이트를 DDoS 공격하여 정상적인 서비스를 방해할 수도 있고, 또 다른 악성코드를 유포하는데 사용할 수도 있으며, 감염된 컴퓨터의 모든 데이터를 한 순간에 파괴할 수도 있다.
더불어 인터넷 뱅킹, 포털 사이트 공격, 주요 온라인 서비스 등을 중지시켜 사회적 혼란을 야기시키거나 2차, 3차 연속적인 바이러스 프로그램 공격 등을 통해서 다량의 피해를 입힐 수 있게 된다.
(주) 인터넷 세상이라 할 만큼 우리는 하루 하루 인터넷과 함께 지내고 있다는 점이 어찌보면 그 만큼 위험 요소로 작용하고 있는 것은 아닐까 고민해 보도록 하지요. (가상 시나리오 끝)
위와 같이 간단하게 정리해 본 가상 시나리오는 사실상 이론적으로 충분히 가능한 부분도 존재하지만, 역시나 그에 대한 보안 업계의 신속한 대응을 무시할 수 없는 부분이라 할 수도 있겠다.
이번 DDoS 공격 피해와 관련하여 공개되지 않은 많은 비하인드 스토리와 아직도 24시간 대응하느라 고생하시는 많은 관계자분들의 노고에 큰 박수와 감사의 말씀을 보냈으면 한다.
마지막으로.. 불행 중 다행이다? 아니면 앞으로 예고되어 있을지 모를..공격에 대해서 만반의 준비태세를 갖추고 더 이상의 혼란은 없어졌으면 하는 바램이다.
혹시 이 글을 금번 DDoS 공격을 주도했던 사람이 볼지도 모르겠지만...
재미없는 긴글 읽어주시느라 고생하셨고, 감사드립니다.
