디도스 공격 …"우리 스스로 자초"

 

안철수 “7.7대란, 우리 스스로 자초…본보기로 당한 것”

<경향신문>

 

7일 이후 계속되고 있는 분산서비스거부(DDoS) 공격과 관련해 안철수 카이스트 교수가 "이번 사태는 대책없이 있다가 결국 본보기로 당하게 된 것"이라고 말했다.

안 교수는 9일 자신의 블로그(blog.ahnlab.com/ahnlab/660)에 < '7.7 사이버' 대란이 주는 교훈 > 이라는 글을 올리고 "우리 스스로 자초한 측면이 있다"며 이같이 말했다.

 

먼저 안 교수는 "보안 사고의 패러다임이 특정 국가나 단체 공격으로 바뀌었기 때문에 우리나라 자체적으로 대응능력을 길러야 한다"며 "국가 안보를 용병에 맡길 수 없듯이 자국의 기술과 전문 인력을 키워 사명감을 갖고 사이버 안보를 책임질 수 있어야 한다"고 말했다.

네티즌의 자발적인 협조를 당부도 잊지 않았다. 안 교수는 "개인용 컴퓨터가 해킹의 목표가 되고 이들을 좀비 컴퓨터로 만들어 큰 기관을 공격하는데 이용하는 상황이 된 요즈음에는, 더 이상 특정한 기술자나 기관에서 안전을 담보하기에는 역부족인 상황"이라며 "이제는 컴퓨터를 사용하는 전 네티즌들이 자발적으로 참여하지 않으면 국가전체의 사이버 안전을 담보할 수 없는 상황이 되었다"고 말했다.

이어 안 교수는 "사이버 보안, 더 나아가서는 국가적인 위험관리 체계에 관심을 가지고 투자가 일어나야 한다"고 말했다. 미국과 일본 등 선진국은 10년 전부터 전체 예산의 10% 정도를 보안에 투자하고 있지만 우리나라는 1%에 정도에 그치고 있다는 지적이다.

안 교수는 "1999년의 CIH 바이러스 대란, 2003년의 인터넷 대란에 이어서 이번 사태에 이르기까지 세계에서 가장 피해가 큰 나라가 되었지만 사고가 일어난 후에도 별다른 조치가 취해지지 않고 있다"면서 "전국민의 개인정보 유출 사태는 지금도 지속적으로 벌어지고 있다. 이번 사태는 대책 없이 있다가 결국 본보기로 당하게 된 것이며 우리 스스로 자초한 측면이 있다고 생각한다. 이제부터라도 고쳐나가야 할 것"이라고 강조했다.

한편 안철수연구소는 9일 2차 DDoS 공격 코드에 대한 분석 결과 악성 코드가 정해진 일정에 따라 특정 사이트에 3차 공격을 하도록 코딩돼 있다고 발표했다.

3차 공격 대상으로 사이트는 네이버·다음·파란의 메일과 행안부 전자정부사이트, 국민은행, 조선닷컴, 옥션 등이다. 이들 사이트는 이날 오후 6시부터 10일 오후 6시까지 24시간 동안 디도스 공격에 노출될 것으로 예상되고 있다. 이에 따라 각 사이트들은 서버 대수를 늘리고 네트워크 장비를 증설하고 24시간 감시태세에 들어가는 등 만반의 준비를 하고 있다.

 

[DDos 3차공습] ‘Memory’ 제목 이메일 주의

[서울신문]

 

2차 분산서비스거부(DDoS) 공격 악성 코드가 개인 PC로 확산되고 있어 주의가 요구된다.

9일 인터넷 보안업체들에 따르면 지난 8일 저녁 2차 공격 시 이용된 '좀비PC'에 침투한 악성코드 중에 이용자도 모른 채 대량의 스팸메일을 보내도록 하는 악성코드가 발견됐다. 이는 대량의 이메일을 송수신하기 때문에 트래픽이 증가, 결국 서버에 부하가 걸리도록 하므로 이메일 버전의 DDoS 공격으로 볼 수 있다.

이메일은 'Memory of'이라는 제목이 달리고 본문에는 'last'라는 메시지가 들어 있으며, 20바이트 크기의 작은 RAR 압축 파일이 첨부됐다. 다만 현재 시스템에 문제를 일으키는 악성코드는 포함되지 않았다. 잉카인터넷은 첨부된 이 파일이 아무런 동작을 하지 않는 파일로 사용자의 PC에 끼치는 영향은 없다고 설명했다.

 

 

 

[디도스 3차 공격] 클릭 클릭하다간 나도 좀비PC… 파일 다운로드 신중히

문답으로 풀어본 DDoS 공격
DDoS 공격 피해 특정 사이트 병목현상… 접속중단외 피해없어
방어 왜 어렵나 2차선 도로를 8차선 확장 하는셈… 비용 부담

<한국일보>

 

며칠째 국내 주요 사이트들에 대한 디도스(DDoS: 분산서비스거부) 공격이 이뤄지고 있다. 청와대와 국회 같은 사이트는 물론 시중은행과 포털사이트까지 공격을 받다 보니 불안해 하는 사람들이 많다. 디도스 공격은 무엇이며 다른 해킹과는 어떻게 다르고 일반 사용자는 어떻게 대비해야 하는지 문답으로 알아본다. 

 

↑ 무차별 분산서비스거부(DDoS) 공격이 사흘째 이어진 9일 보안업체인 안철수연구소 직원들이 서울 여의도 보안관계센터에서 피해 상황을 실시간 모니터링 하고 있다. 

 

Q) 디도스 공격과 해킹은 같은가, 다른가.

A) 디도스 공격도 넓은 의미의 해킹에 포함될 수 있다. 하지만 일반적으로 좁은 의미의 해킹은 목적 서버에 해커가 직접 침투해 정보를 훔치거나 파일 등을 변형시켜 놓는 것을 의미한다. 반면 디도스 공격은 특정 인터넷 사이트에 접근하는 트래픽의 양을 늘려서 병목현상을 만들고, 정상적인 접속이 어렵도록 하는 방식이어서 접속 중단 이외에 다른 피해가 생기지는 않는 게 보통이다.

예를 들어 잠시 동안 은행 사이트가 접속이 되지 않았다고 해서 고객의 계좌 정보가 빠져 나가는 것은 아니다. 따라서 A 사이트가 이 같은 피해를 입었다면 '해킹을 당했다'고 하기보다는 '디도스 공격을 당했다'고 하는 게 더 정확한 표현이다.

Q) '좀비PC'란 무슨 뜻인가.

디도스 공격을 하려면 혼자서 여러 PC를 동원해 대량의 트래픽을 발생시켜야 한다. 이를 위해 해커는 평범한 사람들의 PC에 자기 마음대로 조종할 수 있는 디도스 공격용 프로그램을 설치한다. 이 같은 프로그램은 주로 인터넷 익스플로러로 특정 사이트에 방문했을 때 자동으로 프로그램을 설치할 수 있는 액티브X(ActiveX) 기술을 이용해 배포되거나, 이메일 또는 인스턴트 메신저의 첨부파일을 통해 전파되기도 한다.

겉으로는 멀쩡해 보이는 프로그램에 이 같은 악성 프로그램을 숨겨놓는 경우도 있다. 이런 방식으로 PC의 주인도 모르는 사이에 악성 프로그램이 설치되면 이 컴퓨터는 좀비PC가 된다. 그러다 해커의 지시를 받는 명령서버가 악성 프로그램으로 하여금 특정 사이트를 공격하라고 하면 공격을 시작한다.

Q) 디도스 공격은 방법이 단순한데 왜 방어하기 어렵다고 하는가.

A) 디도스 공격은 쉽게 얘기하면 2차선 도로에 갑자기 차가 밀려들어 꽉 막힌 것과 비슷한 현상이다. 따라서 웹사이트 운영자가 방어를 하려면 평소엔 2차선 도로로 운영하더라도 문제가 생기면 서버와 회선 등을 임시로 8차선 도로로 늘릴 수 있도록 방어 장비를 갖춰둬야 한다. 그러나 이런 장비는 도입 단가가 높은 것은 물론 평소에도 상당한 유지보수 비용을 필요로 한다. 따라서 은행이나 증권사 등 금융권에서는 이 같은 투자를 상시적으로 하고 있지만 소규모 기업에서는 그 같은 투자를 하기 쉽지 않다.

Q) 내 PC가 현재 디도스 공격을 수행하고 있는 '좀비PC'인지 알아보려면 어떻게 해야 하나.

A) 운영체제로 마이크로소프트(MS) 윈도를 사용하는 PC의 경우 '시작→실행'을 눌러 나오는 칸에 'cmd' 명령어를 쳐서 커맨드 창을 띄운다. 여기에 'netstat -n' 명령어를 치면 현재 접속 중이거나 막 접속을 끊은 사이트의 IP 주소가 뜨는데, 이 IP 리스트 중 이번에 공격 대상이 된 사이트가 있는지 살펴본다. 해당 사이트의 IP 주소를 모르면 'nslookup 사이트주소' 형태로 치면 IP 주소를 얻을 수 있다. 방문한 사이트 목록에 문제 사이트가 없다면 좀비PC가 아니라고 할 수 있다. 물론 잘 알려진 보안업체의 최신 백신 프로그램으로 검사하는 것도 필요하다.

Q) '좀비PC'가 되지 않기 위해 예방하는 방법은.

A) 보안업체들은 매일같이 새로운 악성 프로그램을 발견하고 분석해 이를 제거하는 백신 프로그램을 업데이트한다. 이 프로그램을 매일 업데이트하고 실시간 감시 기능을 켜 두면 된다. 그렇다고 백신 프로그램만 설치했다고 완전히 예방할 수 있는 것은 아니다.

백신 제조업체는 이미 확산된 악성 프로그램 샘플을 채취하고 분석해 이를 검사한 뒤 치료 파일을 만든다. 따라서 백신 프로그램의 데이터베이스에 없는 새로운 악성 프로그램이 나오면 언제든지 '좀비PC'가 될 수 있다. 결국 아무 사이트에서나 파일을 다운 받거나 설치하지 않아야 이를 예방할 수 있다. 잘 아는 사람이 보낸 이메일이나 인스턴트 메신저의 첨부파일을 열 때도 항상 상대방에게 먼저 안전한 파일인지 확인할 필요가 있다.

한편 회사의 전산ㆍ보안 담당 부서는 사내 PC 어느 한 곳에서라도 이상 신호가 발생하지 않는지 항상 모니터링하고, 한 PC가 감염됐을 때 다른 PC로 전파되지 않도록 철저한 방어 체계를 갖춰야 한다.

 

[디도스 3차 공격] '액티브X' 습관적 설치…"한국은 해커들의 놀이터"

해커 애용해 해외선 기능 삭제 추세 불구
정부·쇼핑몰 등 남용… 좀비PC 양산 불러

<한국일보>

 

 

"한국은 '인터넷 강국'이 아니라 '해커들의 놀이터'다." 한 보안 전문가의 말이다.

 

보안업계에서는 우리나라가 다른 나라에 비해 분산서비스거부(DDoS) 공격에 이용되는 컴퓨터를 뜻하는 '좀비PC'의 수가 많다고 인정한다. 2007년 2월 전 세계 13개 루트 도메인네임서버(DNS)가 해커들의 DDoS 공격을 받았을 때도 국내 PC가 주요 공격 경유지로 파악됐다. 해커들이 악성 프로그램을 심어 자신의 병기로 삼은 '좀비 PC'가 그만큼 많다는 뜻이다. 도대체 왜 국내에 그렇게 많은 좀비 PC가 존재할까.

이와 관련 전문가들은 마이크로소프트(MS)의 웹브라우저인 인터넷 익스플로러의 고유 기능 중 하나인 '액티브X'가 다른 나라에 비해 우리나라에서 특히 남용되고 있다는 사실도 하나의 원인으로 지적한다.

액티브X는 특정 사이트에 접속했을 때 해당 사이트가 접속자의 PC에 프로그램을 설치하는 기술로, 공인인증서나 금융사이트의 각종 보안 프로그램, 전자정부 사이트의 민원 프로그램, 쇼핑몰 사이트의 신용카드 결제 프로그램 등이 대표적이다. 문제는 이처럼 공공기관이나 금융기관에서 액티브X 프로그램 설치를 필수적으로 요구하다 보니, 평범한 일반인들은 이것이 보안에 얼마나 취약한 기술인지 모르고 아무 프로그램이나 쉽게 설치한다는 것이다.

한 보안 전문가는 "일반적으로 해커들은 네티즌을 관심 사이트로 유인한 뒤 악성 프로그램을 설치하도록 하며, 이 경우 마치 보안 프로그램인 것처럼 위장하는 경우도 많아 일반인들이 구분하기 어렵다"고 지적했다.

이러한 액티브X의 보안 취약점 때문에 인터넷 익스플로러를 제외한 파이어폭스나 크롬, 오페라 등 다른 웹브라우저는 비슷한 기능을 아예 빼 버렸다. 심지어 액티브X 기술을 개발한 MS마저 익스플로러7과 윈도 비스타에서는 액티브X 설치가 잘 안 되도록 해 놓았다.

그러나 전세계적인 추세와는 정반대로 우리나라는 액티브X를 설치하지 않으면 정부기관과 금융기관에서 웹사이트를 이용하는 것 자체가 불가능하다. 이 때문에 우리나라에서는 웹브라우저 시장은 익스플로러가, 운영체제 시장은 MS 윈도가 완전히 장악해 버렸다.

보안과 속도, 기능상 장점 때문에 파이어폭스와 크롬 같은 프로그램을 사용하는 이용자마저 익스플로러를 병행 사용해야 하는 실정이다. 윤석찬 다음커뮤니케이션 팀장은 "운영체제나 웹브라우저를 특정 회사 제품만 사용하다 보니 다들 똑같은 PC 환경에 노출돼 있어 더욱 취약하다"고 지적했다.