*출처: 딴지일보 [정보통신] DDOS사태에 대한 가설들
2009.7.9.목요일
씨바… DDOS 공격이 중국 해커 소행이라고 설레발치는 통에, 모르는 컴퓨터 용어 뒤져가며 글 써놨더니 아무래도 오버 같다. 트래픽이 전부 한국에서 발생하고 있다. 꼭 중국을 연결시킬 근거가 약하다. 중국 해커짓에 혐의를 두고 7장이나 썼는데 에이…
7월 7일부터 시작된 DDOS 공격을 받은 사이트는 더 늘어났고 언제까지 계속될지 모르겠다. 진짜 중국 해커가 연관됐는지는 좀더 지켜보자.
DDOS가 distribueted denial of service의 약자란 걸 이번에 처음 알았다. 분산 서비스 거부라, 왠지 우체국 총파업 구호 같다. 필자는 컴퓨터 쓸 줄만 아는 사람이라, avast와 울타리를 켜놓고 msconfig로 시작프로그램 정리나 할 줄 알지 그 이상 가면 외계어 듣는 느낌이다.
DDOS 공격은 누군가가 악성코드를 퍼뜨린 후 지시를 내리면, 악성코드에 감염된 소위 좀비 PC들은 그 명령에 따라 특정 사이트에 트래픽을 발생시키면서 정상적인 접속을 어렵게 만든다. 평소 한 두 명이 왔다갔다 하던 가게 앞에 5000명이 몰려든 상황과 비슷하다. 그러니까 가게 자체를 부수진 않는데 영업은 못하는 거다.
DDOS 공격의 파괴력은 이 좀비 PC들이 사용하는 인터넷망의 질에 달려 있다. 빠른 속도의 회선일수록 발생시키는 트래픽이 크다. 그런 면에서 대한민국은 아주 효율적인 공격수단을 전국에 깔아두고 있는 셈이다. 대개 개인들은 인터넷 전용선 회사에 가입해 있으니까, IP 역추적해 잡는 게 어렵진 않다. 문제는 그 역추적 사이트에도 공격이 들어갔다는 점, 그리고 좀비 PC를 잡아내더라도 정작 PC 주인은 아무것도 모른다는 점이다. 범인은 어딘가에서 명령만 내리고 있으니까 말이다. 한국이 아닐 가능성도 높다.
혹시 내 컴퓨터도? 하시는 분은 전용백신이 있으니 한번 검사해보시라. 안철수연구소는 현재 접속이 어려우니 다른 공개자료실을 이용하시는 편이 낫겠다.
필자도 뭔지 알 수 없는 압축파일 하나가 메일함에 온 걸 봤다. 바로 버렸다. 메일 볼 때 모르는 사람이면 무조건 생까고 선물은 열어보지 마삼. 당연한 상식이지만, 좀비 PC가 1, 2차 공격 합계 5만 대라고 하니 꺼진 불도 다시 봐야겠다.
7월 8일 오후, 이 사이버테러가 종북세력의 소행이 아닌가 국정원이 의심하고 있다는 기사가 떴다.
국정원 “사이버테러 배후 북한 추정”
국가정보원은 8일 청와대와 미국 백악관 홈페이지 등에 대한 ‘분산서비스거부(DDoS)’ 공격의 배후에 북한이나 북한 추종세력이 있는 것으로 분석한 것으로 알려졌다. 국회 정보위원회 소속 여야 의원들에 따르면 국정원은 이날 오후 의원들에게 개별 브리핑이나 문건을 통해 이같은 사실을 통보한 것으로 전해졌다. 한나라당의 한 정보 소식통은 이날 “공식 보고를 받은 것은 아니지만 국정원 관계자들로부터 ‘해킹사태의 배후에 종북세력이 있다’는 이야기를 들었다”면서 “9일 오후 국정원이 국회 정보위원회에 정식 보고할 것”이라고 말했다. 한나라당의 또다른 핵심 인사도 “국정원에서 정보위원들에게 문서자료를 보냈으며, 이 문건은 이번 사이버테러의 개요를 설명하면서 배후를 ‘북한 또는 북한 추종세력’이라고 써놓았다”고 말했다. (하략) |
또 미국에서는 인터넷 주소가 북한으로 연결된 것을 확인했다는 소식도 있다. 하지만 그것이 명확한 증거가 되지는 않는다고 한다.
북한이 의심되는 일차적 이유는 역시 한나라당과 조선일보 사이트가 공격받았다는 데 있겠다. 민주당도 한겨레도 공격을 받지 않았다. 7월 8일 밤부터는 공격받은 사이트가 국정원, 안철수연구소, 다음, 파란 등으로 늘어났고 조선일보도 재차 공격받았지만 역시 민주당과 한겨레는 비켜갔다. 그러니 범인들에게 정치적 목적이 있다고 보는 거겠지.
하지만 어쩌면 그것도 트릭일 수 있다.
아가사 크리스티의 추리소설 중에 ‘ABC살인사건’이 있다. 원래 범인은 딱 한 사람만 죽이면 됐는데, 그랬다간 자기에게 돌아올 혐의가 너무 명확했다. 그래서 범인은 기차역과 사람 이름의 이니셜 순서대로 연쇄살인을 저지른다. ‘이니셜 순서의 연쇄살인’이란 함정에 자신의 진짜 살인 의도가 묻히길 바랬던 것이다.
A랑 B는 영문도 모르고 당했단 말씀.(이것도 스포일러군)
지금까지 공격받은 사이트들을 보면, 정치권과 언론계에서 ‘한나라당과 조선일보’만 당했다는 게 너무 눈에 띈다. 정말로 북한이 이 사건의 배후라면, 그럼 네이버 메일이나 옥션은 왜 당한 걸까? 농협은?
사실 필자도 한참동안 이번 사이버테러가 정치적 야유의 의미가 아닌지 생각해봤지만, 8일 밤 안철수소프트와 이스트소프트에도 공격 들어갔다는 소식을 보고 그 생각을 접었다. 이 업체들을 정치적으로 해석하는 건 너무 오버다. 아니면 해커의 행동이 이제 도를 넘었든지. 오히려, 정치적으로 해석하게끔 만드는 게 진짜 함정이고 사실은 돈을 노린 게 아닐까. 그런 요구가 없었다고 언론에선 보도하지만 그거야 공개되지 않을테고.
해커 입장에서 사이버테러를 통해 이익을 얻을 수 있는 곳은 ‘기업’이다. 즉 사이버테러로 사이트가 마비된 업체가, 더 이상의 손실을 입지 않기 위해 해커들에게 돈을 지불하는 것이다. 물론 방화벽 같은 걸로 문제가 해결되거나 하루 이틀 정도로 끝난다면 돈을 내지 않을 테니, 해커들에겐 실력과 끈기가 요구된다. 이 가설에서라면 정부와 정치권, 미국 공격은 다 페이크고 실제 공격 목표는 포털과 은행권, 옥션이다. 그렇다면 공격이 좀더 지속될 가능성이 높다.
일단 일을 벌인 후 업체에게 돈을 요구하는 식이었다면, 그들의 공격 정도와 요구액은 지나치게 커서는 안된다. 기업의 피해가 너무 막심하다거나 테러조직 마냥 크게 퉁쳐 불렀다간, 용 몇 마리 그려진 진짜 해결사들이 방문을 걷어차며 들이닥칠지 모른다. 그 정도는 안되게, 살살 적당히 부드럽게 아잉 그건 너무 심하고… 그런 식으로 이 업계도 가격 결정의 원리가 적용될 거다.
그런 의미에서 중국 사이트에서 본 뉴스 몇 개를 소개한다.
… 2006년 4월 7일, 기업 정보화 사이트 지점망이 해커들의 DDOS 공격으로 사흘 동안 마비된 후 지금까지도(5월 4일) 정상 접속이 되지 않고 있다. 지점망의 책임자는, 이미 경찰 기관에 신고가 되었으며, 또한 5만 위안(현 환율 1000만원)의 현상금을 해커 공격자에게 내걸었다고 밝혔다. YY 측이 10만 위안의 현상금으로 공격자를 쫓다 2009년 2월 27일 최근 YY가 연속적으로 대규모 악의적 공격을 받았다. 공격자는 몇 G, 심지어 10G가 넘는 트래픽을 유저들이 많이 접속하는 시간대와 채널에 맞추어 발생시켰다. 공격시간은 4~5시간에 달했으며 YY유저의 정상적 사용을 심각하게 방해했다… 회사는 이미 경찰에 신고를 마쳤다… 관계부서의 조사와 함께 회사에서는 특별히 다음과 같이 밝히는 바이다: 사건 해결에 중요 단서를 제공하거나 공격자 체포 증거를 제공하는 유저에게는 10만 위안의 격려금을 제공한다. 제보에 대해선 엄격하게 비밀을 유지할 것이며, 현장에서 즉시 혹은 계좌이체를 통해 현금으로 지급하겠다. 절대적 안전을 보장하며, 공격에 가담했더라도 단서를 제공한다면 역시 격려금을 지급하고 처벌을 면하도록 하겠다… (주: YY는 게임시 이용하는 메신저의 일종) |
이후 공격자를 잡았는지 여부는 찾아내지 못했다. 어쩌면 모를 수밖에 없을지도.
하지만 진짜 고수들이라면 내놓고 돈 달라는 짓 하지 않는다. IP 바꿔대고 역추적 차단시키면 된다지만 강호 고수가 또한 많은 게 이 사이버세계다. 해커짓 계속 했다간 결국 잡힌다. 그러니, 고수 해커들은 먼저 의뢰자나 경쟁사에게 돈을 받곤 그만큼만 일을 해준 후 빠진다고 한다. 중국에선 발음을 따서 해커를 ‘黑客’(헤이커)라 부르는데, 정말 검은 자객의 이미지 그대로다.
물론 이익을 노리지 않은 범행일 가능성도 있다. 또다른 가설이다.
중국에서 무지 비싼 차(茶)가 있단 얘기, 들어본 적 있을 것이다. 매해 각지에서 중국차 경매 같은 행사가 열리는데, 예를 하나 들자면 지난 2005년에 베이징에서 2.5kg짜리 보이차가 170만 위안(약 3억 4000만원)에 팔린 적이 있다. 1999년엔 100g에 12만 위안(약 2400만원)으로 낙찰된 철관음도 있었다. 이것보다 낮은 수준의 경매는 훨씬 많고.
이 69번 경매자는 2005년에 철관음 500g을 370만원에 샀다
이런 차들은 실제로 마시기 위해 가격이 높아진 게 아니다. 차 관련 업체에서 자신들의 위상을 높이기 위해 일종의 투자를 한 거다. 그런 차를 갖고 있는 상인이라면 당연히 돈 많고 위세가 있는 사람으로 보일 테니 말이다. 사업하려면 허장성세가 나름 필요하다는 거, 알만한 분은 알 거다.
마찬가지로, 해커들 세계에선 눈앞의 이익도 중요하지만 장기적으로는 자신의 업적을 쌓아야 후일을 기약할 수 있다. ‘당시 미 국방부를 뚫은 해커가 나다’ 라면 몸값도 높아질테고, 나아가 업체 쪽에서 스카우트할 수도 있겠다. 그런 의미라면 한국 정부의 상징 격인 청와대가 공격 대상이 된 게 이해가 간다.
또한 조선일보, 네이버, 옥션 등등 모두 한국의 언론과 포털과 인터넷 상거래를 각각 대표하는 기업들이다(특히 중국에서 보는 한국의 대표 언론은 조선일보다). 한국 대표 기관들을 다 공격 성공한 해커라면, 그게 운이 좋았든 그 기관들의 방비가 허술했든 최소한 듣보잡 신세는 면할 것이다. 게다가 공격 대상이 우리만이 아니라 미국 국방부와 국무부 등 주요 기관도 포함됐었으니, 자기 명예를 높이기 위해 했을 거라는 가설이 나름 설득력을 얻는다.
어쨌든 DDOS 공격이 현재진행형인 상황이라, 무슨 변수가 더 생겨 지금 얘기한 가설들이 단박에 뒤집어질지 모른다. 7월 9일 18시에 3차 공격이 예정됐다 한다. 다들 돌다리 두드리는 심정으로 백신 한방 맞으시라. 새로운 사실들이 밝혀지면 기사 추가하겠다. 여기선 일단 결론은 미뤄두자.
막간 보너스 하나.
이번 공격이 중국 해커 짓일거라는 설레발에 넘어간 필자는 곧 중국 정보를 검색해보기 시작했다. 의외로 DDOS 관련 정보가 많았다. 아무래도 이익을 노린 중국 해커들이라면 자국 기업이 우선적 대상일 테니 그렇겠지.
그런데 당최 무슨 소리인지 알아먹질 못하겠다. ‘어떻게 DDOS 공격을 줄일 수 있는가?’란 글이 있는데, 여기서 소개하는 7가지의 방법을 번역하려면 속깨나 썩여야 할 것 같다. 그렇다, 필자 인문계다. 차라리 행간의 의미를 알아챌지언정 전문용어에는 젬병인 인문계. 어쨌든 이런 구체적 방법이야 한국어로도 찾을 수 있을 것이다.
…그래서 번역하지 않겠다는 얘기.(비겁한 변명인감)
그런데 재미난 게 눈에 띈다. DDOS 관련 커뮤니티이기도 하면서 관련 물품들도 사고 파는 사이트가 있었다. 위의 얘기도 이 사이트의 게시물이었고.
왼쪽 가운데쯤에 빨간 줄 쳐진 놈이 하나 보일 것이다. 확대해보자.
사상 최강 DDOS 공격 소프트웨어
현재 상호연결망의 DDOS 방어툴에 있어, 하드웨어 방화벽은 더 이상 최고라 할 수 없다. 왜냐하면 우리는 더욱 강력한 공격 소프트웨어, 더욱 첨단적인 침투기술을 갖고 있기 때문이다. 권위 있는 DDOS 기술단체인 Douluan 공작실은 DDOS 공격과 방어에 수년 간 종사했다. 실력 있는 기술팀을 보유하고 있으며 운영된 지 2년 되었다. 우리의 실력과 신용을 증명하기 충분할 것이다.
좋게 해석하면 실력 있는 기술팀 홍보일 수 있겠으나, 이거… 전후사정이야 모르지만 해커팀 홍보로 봐도 손색이 없지 않나. 위 빨간 줄은 그냥 강조이지 하이퍼링크가 아니었다. 중국에선 흔히 QQ 메신저를 쓰는데, 필자는 메신저 종류는 쓰지 않기도 하거니와, 말 걸어보기 괜히 무서웠다(번호는 지웠다. 순전히 프라이버시 보호 차원이다). 좀비 PC, 보이스피싱 가상계좌 따위의 말이 훅훅 머리를 스쳐갔다. 가카의 자애로운 재산 기부 뉴스를 듣곤 악몽을 꿀 정도로 겁많은 필자니 이해해달라. 7년치 야동이 털리는 꼴은 당하고 싶지 않다.
이 사이트의 맨 밑줄에는 다른 사이트처럼 회사소개가 있지 않고 이 한 줄만 있었다.
우리는 전력을 다해 더욱 나은 DDOS 공격 소프트웨어, 더 나은 DDOS 방어툴 및 각종 DDOS 솔루션을 개발하여 고객 수요를 만족시키겠습니다.
아아… 모순(矛盾)이 고사성어인줄 알았더니 중국에선 진짜 현실이었구나.
7월 9일 14시 30분 긴급 뉴스 추가
사이버테러 진원지가 미국이라는 주장이 긴급 제기됐다.
DDOS 공격 서버는 미국
3차 해킹까지 예고하며 ‘해킹대란’을 일으킨 공격자의 인터넷 주소가 미국 IP인 것으로 나타났다. 국내 보안전문업체 쉬프트웍스의 홍민표 대표와 이대로 연구원은 9일 14시간 가량 직접 분석한 악성코드의 유포지가 미국 IP(75.151.XXX.XXX)라고 밝혔다. 국가정보원과 미 정부당국이 북한 IP로 추정된다고 발표한 것에 반하는 새로운 가능성이 제기된 셈이다. 홍 대표는 “악성코드가 유포되는 흐름을 따라 들어갔더니 영문 윈도 서버 2000이 깔려있는 미국 인터넷주소의 가상서버였다”며 “그 프로그램 내용을 바꾸거나 해당 IP를 국내에서 차단하면 더 이상의 악성코드 유포는 막을 수 있다”고 말했다. (중략) 이들 분석에 따르면 악성코드의 파일 안에는 ‘독립기념일을 기리며(Memory of the Independence Day)’라는 문구가 명확히 담겨 있다. 악성코드가 유포되는 경로에 대해선 감염 사이트에서 자동으로 다운로드되거나 ‘Memory of the Independence Day’라는 제목의 영문메일을 열어보는 경우 등이다. |
확신을 갖고 이 소식을 긴급 추가하는 이유는, 필자 역시 이 메일을 받았었기 때문이다. 다행히 휴지통에 남아있어 캡처 사진을 보여드린다.
당장 쉬프트웍스에 전화 걸어서 물어봤다. 본지 이런 거 하나는 빠르다.
이름 밝히길 원하지 않은 관계자께서 친절히 응답해주셨다. 감사드린다.
딴지(이하 딴) : 미국 서버가 진원지라고 하면, 범인이 미국인이라고 볼 수 있는 건가요?
쉬프트웍스(이하 쉬) : 아닙니다. 서버가 거기에 있다는 것뿐이죠. 누구든 그걸 이용할 수 있습니다. 단지 ‘memory of independence’같은 문구가 있으니까 추정하는 건데… 그것도 속임수일 수 있구요.
딴 : 북한 IP가 진원지라는 주장에 대해선 어떻게 생각하십니까?
쉬 : 북한 IP 자체가 뭔지를 우리가 모릅니다. 아마 다들 모를 거에요. 북한은 인트라넷을 쓰고 중국 쪽을 경유하는 걸로 아는데… 뭐 그것보다도, 만약 북한에서 하려고 했다면 미쳤다고 북한 내에서 그걸 하겠어요? 출장을 보내든지 했겠죠. 지금으로썬 어디가 범인이다 말할 수 있는 증거는 없지만 정황상 북한은 좀 아니지 않은가 해요.
딴 : DDOS 공격의 목적은 이렇게 되면 돈도, 정치적 목적도 아닌 것 같군요. 자기과시용?
쉬 : 개인적으로 그렇게 추측합니다.
딴 : (위 이미지를 설명하고) 이런 메일을 받았는데요. 이것이 악성코드인가요?
쉬 : 모르겠어요. 본문에 ‘last’가 있는 메일은 아직 분석되지 않았습니다. 전에 공격 들어갔던 PC들은 그걸로 감염된 게 아니에요. 다른 메일들이 있었습니다. 그러니 일단 백신 돌려주는 게 필요합니다. 저 메일을 받지 않았다고 자기 PC가 안전하다 보장할 순 없습니다.
딴 : 어쨌든 열어볼 필요는 없겠지요?
쉬 : …(필자의 무식함을 파악한 듯 ‘피식’)
지금까지 상황으로 보면 이번 사이버테러는 어느 해커의 ‘자뻑용’ 공격으로 보인다.
다른 소식 있으면 바로 추가해드리겠다. 뭐, 없는 게 희소식일 수도 있다.
아홉친구([email protected])