 |
2009년 7월 7일부터 약 4일간, IT 강국이라 자부하던 대한민국에 큰 상처를 남길 만한 강력한 DDoS(Distributed Denial of Service)공격이 발생하였다. 이번 DDoS공격은 1~2개 사이트를 타깃으로 하여 금전적인 이득을 취하고자 하는 전통적인 공격 형태와는 다르게 정부기관·금융권·인터넷 포털·정치단체 등 다수의 주요 기관·기업을 일시에 타깃으로 하는 대규모의 공격이였으며, 그 목적 또한 뚜렷하게 밝혀진 바 없이 추측만이 난무하고 있다.
이번 공격의 가장 큰 특성은 기존의 단순한 DDoS 공격과는 다르게 여러 가지 복합적인 공격이 잘 조합되어 시간차를 두고 매우 지능적으로 움직였다는 것이다. 또한 하나의 악성코드가 아닌 다수의 악성코드가 유기적으로 연동되어 동작하면서 공격에 대한 방어를 어렵게 만들었다. 더불어 기존 DDoS 공격 유형에서 반드시 필요했던 CNC(Command & Control) 서버 없이 악성코드 스스로 외부파일을 다운로드 받아 공격타깃, 공격시간, 공격방법 등을 자체적으로 스케쥴링(Scheduling)하여 독립된 유기체처럼 동작하였다.
무엇보다도 심각한 것은 피해의 범위가 공격대상이 되는 서버의 범주를 벗어나, DDoS 공격에 이용되는 PC의 하드디스크를 소프트웨어적으로 파괴하는데에 이르렀다는 것이다. 달리 얘기하자면 DDoS 공격은 더 이상 웹 서비스를 운영하는 기업 또는 기관에 국한된 문제가 아니라 인터넷을 이용하는 모든 사용자의 문제로 확대되었다고 말해도 과언이 아니라는 것이다.
이번 사태로부터 얻을 수 있는 학습효과는 인터넷 상에 잠재되어있는 보안위협은 끊임없이 진화하고 있고, 그 복잡성과 다양성 그리고 파괴력은 날이 갈수록 증가되고 있다는 것이다. 비단 DDoS 공격뿐만 아니라 우리가 PC에서 사용하고 있는 OS, Application 등의 취약점을 이용한 다양한 새로운 공격들이 발생하고 있고, 그 대상은 대기업·공공기관·인터넷 Business 기업을 벗어나 개인 및 소규모 기업·기관들로 확대되고 있다.
 |
PC방 또한 예외는 아닐 것이다. 만약 PC방 내 보유 PC들이 Bot에 감염되어 DDoS 공격의 수단으로 이용되는 좀비 PC화한다면, DDoS 공격 발생 시 일시적으로 Traffic이 몰려 PC방 서비스에 지장을 줄 수 있다. 또한 PC의 OS·Application의 취약점을 이용한 확산형 악성코드가 감염되면, 네트워크 전체로 다량의 이상 Traffic을 발생시킬 것이고, 이 또한 PC방 서비스의 가용성에 많은 지장을 줄 수 있다.
이 외에도 바이러스 감염에 의한 개별 PC의 장애, 하드웨어 및 특정 프로그램을 파괴하는 악성코드에 의한 개별 PC 장애 등 PC방에서 발생할 수 있는 보안위협의 유형은 매우 다양하다. 특히, PC방 내 Billing 등의 업무를 처리하는 PC방 관리솔루션이 이러한 보안위협에 노출되어 서비스 장애를 일으킨다면, 장애 시간 동안 PC방 운영에 큰 타격을 입을 수도 있을 것이다.
보안위협의 심각성에 대한 이해를 돕기 위해 간략하게 최근의 보안위협동향을 살펴보도록 하자.
첫째, DDoS 공격의 손발이 될 수 있는 Zombie PC의 숫자가 급격하게 증가하고 있다. 한국정보보호진흥원의 통계보고서에 따르면 2007년 12월 말 전 세계 악성 Bot 감염 PC IP수는 3만 개 수준 이었다. 이 숫자는 2008년 12월에 와서는 22만개 수준으로 10배 이상 폭증하였으며, 2009년 5월에는 75만개 수준으로 가히 기하급수적으로 증가하고 있다.
물론 이 수치가 지속적으로 폭발적인 증가세를 보일 것이라고는 생각하지 않지만, 향후에도 꾸준한 증가세를 보일 것이라고 예측된다. 문제는 인터넷 세상에는 우리 회사가 운영하는 웹 서비스를 마비시킬 수 있는 75만개의 좀비들이 존재하고 있다는 것이고, 이들은 누군가 마음만 먹으면 언제라도 악의적인 행위를 아무런 도덕적인 죄책감 없이 행동에 옮길 수 있다는 것이다.
 |
||
|
▲ 신종 및 변형 악성코드 유형별 비교 |
둘째, DDoS 공격과 함께 정상적인 웹서비스를 위협하는 웹 애플리케이션 취약점 공격 또한 그 심각성을 더해가고 있다. 웹 취약점을 이용한 공격의 목적은 사용자의 웹사이트 로그인 계정을 탈취하여 범죄에 악용하거나 웹사이트를 악성코드 경유지·유포지로 삼아 접속하는 PC를 2차 감염시키는 것이다. 웹사이트를 통해 2차로 감염된 PC는 개인정보유출이나 DDoS 공격의 좀비 PC로 이용될 수 있다.
정보보호진흥원에 따르면 2008년 웹 취약점 공격 신규발생 건수가 8,978건으로 2007년도 5,551건에 비해 약 60%가 증가하였다. 웹 취약점 공격 중 가장 위세를 떨치고 있는 공격은 SQL Injection과 XSS (Cross-site Scripting) 공격으로 전체 웹 취약점 공격 중 약 40%를 차지하고 있다. 이러한 공격은 주로 개인정보가 밀집되어 있으나 보안이 허술한 중소규모 온라인 비즈니스 업체에 집중되고 있다. 웹 서비스가 비즈니스의 중심에 서게 되고, 그 비중이 증가할수록 그 취약점을 노려 부당한 이득을 취하려는 악의적인 공격은 계속 이어질 것으로 생각된다.
셋째, 2008년 한 해 동안 계속 이슈가 되어 왔던 것이 중국발 트로이목마의 급증이다. 안철수연구소에 따르면 2007년 신규 발견된 17,457개의 웜바이러스 중 약 70%가 트로이목마로 집계되었다. 2009년 1Q에도 전체 웜바이러스 중 약 60%가 트로이목마로 나타났다. 이러한 트로이목마는 주로 온라인 게임의 계정정보를 탈취하기 위한 목적의 Hack으로 이용되거나, DDoS 공격에 이용되는 좀비 PC를 양산하기 위한 목적으로 많이 사용되고 있어, 이로 인한 피해는 결코 좌시할 수 없는 수준이라 할 수 있다.
 |
||
|
▲ 전세계 Bot 감염 PC 동향, 2009년 7월 |
넷째, Internet Explorer의 취약점을 악용한 공격이 OS 취약점을 이용한 공격보다 많아지고 있으며, PDF, DOC, PPT 등 Application 취약점을 악용하는 악성코드도 급증하고 있다. 이는 악성코드의 공격 타겟이 전통적인 MicroSoft의 OS에 머무르지 않고, 다양한 Application으로 확산되고 있으며, 내 PC의 보안 허점이 증가하고 있다는 것을 의미한다. 이러한 악성코드는 웹사이트 접속을 통해서 감염되거나 이메일의 첨부파일을 통해서 감염되는 것이 일반적이며, 파일 실행 시 가짜 백신을 설치하거나 ARP Spoofing 공격을 하도록 프로그램화 되어있어 심각한 2차 피해를 불러 일으키고 있다.
다섯째, 인터넷을 통한 악성코드의 유입이 폭발적으로 증가하고 있다. 한 조사기관에 따르면 조사대상 기업의 약 85%가 인터넷을 통한 악성코드 감염을 경험했다고 응답하였다. 최근의 인터넷을 통한 악성코드 감염의 방식은 복잡하지가 않다. 일상적인 웹서핑만으로도 악성코드에 감염될 수 있다. 악성코드를 제작하고 유포하는 공격자가 상용서비스가 이루어 지고 있는 웹서버를 해킹하여 특정 악성코드를 삽입해 놓고, 이 사이트에 접속하는 사용자에게 자동으로 악성코드를 다운로드하여 감염시키는 방식이다. 감염된 PC는 공격자에게 인터넷 뱅킹이나 인터넷 서비스 계정정보 등의 개인정보를 유출하고, 또는 DDoS 공격 시 대량의 Traffic을 발생시키는 역할을 충실히 수행하게 된다.
 |
||
|
▲ 악성코드 감염경로 통계 |
이러한 보안위협에 대응하는 가장 기초적인 방법은 PC에 Anti-Virus 백신을 설치하는 것이다. Anti-virus 백신은 PC에 침입한 다양한 종류의 악성코드를 효과적으로 치료함으로써 2차 피해를 줄일 수 있다. PC방 같은 소규모 사업장에서는 통합보안 기능과 전사 보안 관리 기능이 결합된 중소기업용 클라우드 보안 서비스 ‘V3 MSS(AhnLab V3 Managed Security Service)’를 사용하면 도움이 된다.
‘V3 MSS’는 인터넷 접속만 되면 어디서나 사용할 수 있다. 또한 보안·관리 일체형으로서 저렴한 비용으로 강력한 보안과 손쉬운 관리를 할 수 있는 것이 강점이다. 필요한 수량을 인터넷으로 즉시 구입해 설치할 수 있으며 PC방 내 PC의 악성코드 검사·치료 현황을 모니터링할 수 있다. 또한 빈번한 버전 업그레이드나 패치 업데이트 등을 효율적으로 전사 PC에 적용할 수 있다.
‘V3 MSS’는 두 가지로 구성된다. 사내 PC에 ‘V3 MSS 데스크톱’ 소프트웨어를 설치해 악성코드, 해킹 등의 보안 위협에 대응하는 한편, 관리자가 ‘V3 MSS 시큐리티 센터’를 통해 전사 PC의 보안 관리를 손쉽게 할 수 있다.
‘V3 MSS 데스크톱’은 PC검사(악성코드 진단·치료), PC튜닝, 개인정보보호, 해킹차단(방화벽) 등의 기능을 제공한다. ‘V3 MSS 시큐리티 센터’는 각 PC의 상황에 대한 모니터링, ‘V3 MSS 데스크톱’ 배포 관리, 사내 PC·정책 관리, 보고서 작성 등의 기능을 제공한다. ‘V3 MSS 시큐리티 센터’는 전문가가 아니어도 사용이 편리하며 정기적인 보고서를 제공해 사내 PC의 보안 상태를 쉽게 파악할 수 있게 해준다.
 |
또 하나의 방법은 이러한 보안위협을 내부 네트워크 유입 전에 사전 차단하는 네트워크 통합보안솔루션을 구비하는 것이다. 통합보안솔루션은 한 장비에 방화벽, IPSec VPN, SSL VPN, IPS, DDoS 방어, Anti-Virus, Anti-Spam, 웹사이트 필터링, NAC 기능 등이 구현되어 있는 다재 다능한 네트워크 보안장비다. 보안위협 및 공격이 갈수록 복잡화 되고 다양해지는 환경에서 통합보안솔루션의 위상은 점차 강화되고 있다. 통합보안솔루션의 등장은 2000년 대 초·중반 외산 제품이 국내에 처음 소개되면서 시작되었고, 국내업체로는 최초로 2007년 중반 안철수연구소가 TrusGuard 제품을 출시하면서 본격적인 경쟁의 장을 마련하였다.
안철수연구소의 TrusGuard는 한 장비에 방화벽, IPSec VPN, SSL VPN, IPS (Intrusion Prevention System, 침입방지시스템), DDoS 공격방어, Anti-Virus, Anti-Spam, 웹사이트 필터링 기능이 녹아있는 차별화된 통합형 보안장비다. 소규모 기업용 장비에서부터 대기업· IDC용 장비까지 총 7개의 모델을 보유하고 있다. 안철수연구소의 TrusGuard는 아래와 같은 특장점을 가지고 있다.
1. 멀티코어 하드웨어 플랫폼 기반의 고성능 방화벽· VPN 기능
2. 국내외 경쟁 솔루션 대비 2~3배에 이르는 네트워크 기반 공격방어 시그니처 보유 (6천 여개)
3. 국내 유일 악성코드 및 네트워크 공격 분석대응센터 보유
(ASEC, AhnLab Security E-response Center)
4. 국내 시장점유율 1위를 자랑하는 V3 엔진기반의 Virus 내부유입 차단
5. Global Anti-spam 엔진 기반의 스팸메일 차단
6. 국제특허출원 DDoS공격 방어엔진 기반의 정교한 DDoS 공격방어
이러한 탁월한 기능을 제공함으로써, TrusGuard를 사용하는 고객에게 다음과 같은 보안수준 증진효과를 제공할 수 있다.
1. 고성능 방화벽 기능을 통해 내부 네트워크로 들어오는 불법적인 접근을 방어할 수 있다.
2. 광범위한 시그니처를 보유한 IPS 기능과 Anti-Virus 기능을 통해 네트워크 기반의 공격이나 악성코드가 내부 네트워크로 유입되는 것을 사전에 방어함으로써, 내부 PC가 악성코드에 감염되어 장애를 일으키는 현상이나 좀비 PC화 되어 대량의 트래픽을 외부로 발생시키는 등의 행위를 제어할 수 있다.
3. 국제특허 출원한 DDoS 공격방어 전용엔진을 통해 외부내부로 들어오는 DDoS 공격을
효과적으로 차단함으로써 서비스· 네트워크의 가용성을 보장할 수 있다.
4. 악성코드 및 네트워크 기반 공격에 대한 사전 모니터링 및 분석능력을 기반으로 알려지지 않은 공격이나 악성코드로부터 서비스· 네트워크를 안전하게 보호할 수 있다.
보안위협이 복잡해지고 공격의 파괴력이 강력해질수록 침해사고로 인해 기업·기관이 입는 피해의 규모는 더욱 증가할 것이다. 그리고 그 대상은 정보보안 인프라가 미흡한 소규모 기업· 기관 및 개인으로 확대될 것이다. 특히, 인터넷을 기반으로 비즈니스를 하지만 보안시스템 구비에는 인색한 중소규모 기업· 기관의 피해가 더 커질 것임은 자명해 보인다. 인터넷이 단순한 서핑차원을 넘어 비즈니스의 한 수단으로 정착한 현 상황에서 보안시스템의 구비는 선택이 아니라 필수임을 명심해야 할 것이다.
기사제공 : 안철수연구소 제품기획팀 유명호 과장
※ 본 기고는 아이러브PC방의 편집방향과 다를 수 있습니다.