이번주의 핫 이슈는 DDOS 였다. 주요 포털 사이트와 은행, 신문사 및 청와대 홈피 등이 한동안 마비됐었고, 국정원이 북한 배후설을 주장하는 바람에 정치권에서 사이버 북풍을 둘러싼 공방도 있었다. 수만대의 국내 "좀비PC"가 DDOS에 이용됐는데, DDOS 공격 이후에 좀비PC를 파괴하는 코드까지 프로그램되어 있어서 사람들을 더 긴장시키기도 했다. 다행히 해커의 실수로 PC 파괴는 미수에 그쳤다.

1. 누가 범인인가
당연히 모든 사람이 관심을 가지는 첫번째는 누가 범인인가일 것이다. 보안업체들에서 열심히 분석했겠지만 범인 추적은 요원한듯 보인다. DDOS 공격의 타겟이 미국과 한국이어서 미국을 포함한 외국쪽에서도 관심을 많이 가지고 있었겠지만 미국의 피해가 상대적으로 소소해서였는지 외국의 분석자료는 별로 없고 대부분 한국 자료를 인용하고 있다.

국정원이 제대로 된 증거도 없이 북한을 배후로 지목했다가 욕을 먹었는데, 국정원이 이야기하고 있는 근거중 하나가 이번 malware가 삭제하는 파일의 확장자에 .hna, .kwp (과거 우리나라 공공기관에서 사용하던 하나워드)가 포함되어 있다는 것이었다. 이와 관련된 좀더 신중한 분석자료는 여길 참조해 보자.

이번 공격의 타겟이 국내 사이트들 뿐이었다면 범인은 당연히 국내 해커라고 추정했어야 할 것이다. 그런데 미국이 포함되어 있고, 7월5일경 미국 사이트부터 공격하기 시작했기 때문에 시선이 분산됐다. 미국 사이트들이 공격을 받았고 미 국방부 사이트가 먹통이 됐다? 중국이나 러시아 해커일까? 그런데 7월6일 하루 쉬고 7월7일부터 한국 사이트가 주요 대상이 됐고 (미국 사이트도 함께 했지만) 날짜가 지날수록 국내 사이트로만 집중됐다. 전세계 여러 나라의 수만대의 PC가 좀비PC로 활용됐지만 대부분은 국내의 PC였다. 공격 대상 사이트로 청와대, 조선일보, 옥션, 신한은행, 네이버 등 10개 안팍의 사이트를 선별했는데 선별된 사이트만 봐도 한국사람이거나 적어도 국내 정보에 정통한 사람이라는걸 알수 있다. 좀비PC를 감염시킨 malware가 마지막날 삭제하는 파일들의 종류에 ms office 파일과 함께 아래한글, 하나워드, 훈민정음 등이 포함되어 있다.

이쯤되면 해커는 당연 한국인이거나 적어도 한국에 사는 사람이라고 봐야 하지 않을까? 첫날 국내 공격(7일)이 있고나서 좀비PC에서 발견된 공격 사이트 목록을 보고, 공격할 사이트를 미리 정해 놓고 치밀하게 준비된 공격이었다고 보도가 되었다. malware가 중앙서버의 컨트롤에 의해 움직이지 않고 미리 공격할 정보를 저장해두고 이 정보를 이용함으로써 공격자의 신분을 노출시키지 않는 치밀함도 화제였다. 하지만 나중에 드러난 바로는 초기에 예상했던 것보다 한 수 위의 치밀함을 보여줬다. 매일 정해진 시간에 공격 대상 목록을 바꿨고, 3일 후에 공격을 중지하고 증거를 지우기 위해 PC가 부팅조차 안되게 만들려했다.

처음 기사를 통해 공격 사이트 목록을 보고는 반정부적인 성향을 가진 (요즘의 세태를 고려하면 지극히 상식적인 생각을 가진) 우리나라 사람이 범인이려니 했다. 하지만 앞서 말했듯이 미국을 포함한 시선의 분산 때문에 우리나라 해커가 아닐 수도 있겠다고 생각했다.
DDOS 분석자료에서 8일자 공격 사이트들을 보자. 7일 공격으로 언론에서 시끄러워지고 보안업체들이 움직이기 시작하자 공격 대상에 안철수연구소와 이스트소프트가 포함되고 포털사이트가 몇개 더 추가됐고, 미국이 국내IP 접속을 차단시켰다는걸 고려했는지 미국 사이트는 대부분 제외했다. 다음날인 9일은 사이트를 7개로 압축해서 집중 공격을 한듯 하다. 네이버, 다음, 파란, 정부 전자민원사이트, 국민은행, 조선일보, 옥션 이렇게 7곳이다. 한국인이 아니고서 이렇게 7개를 뽑을 수 있을까? 그것도 국내 언론 보도를 충분히 참고하면서.

만약 한국인이 아니라면 북한사람일 수도 있겠다. 하지만 국정원처럼 한국인이 아니라 북한인이길 바라는 희망사항을 고려하지 않는다면 한국인이 아니라 북한사람일 근거는... 물증이 없을 뿐만 아니라 심증조차 없는듯 하다.

2. 대응이 어려운 이유
DDOS 공격에 국내 뿐만 아니라 미국의 주요 사이트들도 취약함이 드러났다. 그리고 이 취약점을 없앨 방법도 지금으로선 마땅히 보이지 않는다. 다음번에 또 5만 대군의 좀비들이 공격해오면 거의 모든 사이트가 똑같이 당하지 않을까? 웹사이트의 보안이 문제가 아니라 개인 PC들의 보안이 취약하고 PC의 네트웍 속도와 CPU 속도가 빨라지는게 문제이기 때문에 DDOS 공격의 대응은 어려운 문제인것 같다.

과거의 DDOS 공격은 주로 비정상적인 패킷들을 과도하게 만들어서 서버를 괴롭히는 것이었는데 이건 방화벽 등의 네트워크 장비를 통해 상당부분 해결책을 찾은것 같다. 이번 공격은 비정상적인 패킷이 문제가 아니라 과도한 양의 정상적인 패킷이 문제였다. 순간적으로 트래픽이 몰리면 서버들이 당해내지 못한다. 서버를 늘리려면비용이 늘어나고, 대부분의 웹서비스들은 이런 비용을 감당할 만한 여유가 없다.

PC의 성능이 향상되면서 웹서비스 업체들이 PC를 서버로 사용해도 되는 상황에 이르렀다. 왠만한 가정집 PC와 웹서비스에 사용되는 서버급 장비들의 성능차이는 별반 크지 않을 것이다. 값싼 서버를 구할 수 있게 된건 서비스 업체에게만 도움이 된게 아니라 해커들에게도 도움이 되고 있다. 가정집 PC 혹은 PC방의 PC들이 값싼 서버의 역할을 충분히 해줄수 있으니까. 게다가 초고속인터넷 덕분에 일반 사용자들은 보다 빠르게 포털에 접속할 수 있게 됐지만 해커들 역시 보다 쉽게 가정집 PC에 접근할 수 있게 됐고, 이걸 좀비PC로 만들면 보다 빠르게 포털들을 공격할 수 있게 됐다.

이번 DDOS 공격에서 좀비PC가 공격대상을 바꿔서 공격을 개시하는 시각이 (우리나라 시간으로) 저녁 6시였다. 이때부터 웹사이트의 관리자와 보안 담당자들이 퇴근하기 시작하고, 퇴근한 직장인들은 집에가서 PC를 켜기 시작한다는 점에서 적절한 시간이 아닐 수 없다.

공격 방식이 한층 지능화된 점도 흥미로운데, 좀비PC가 해커의 중앙서버로부터 명령을 받아 작동하는게 아니라 정해진 시간에 알아서 스스로 공격을 했다. 중앙서버의 명령을 받는 방식이었다면 이 서버로의 연결만 ISP들이 차단하면 좀비들의 작동을 멈출수 있을 뿐만 아니라 범인도 쉽게 찾을 수 있었을 것이다. 중앙서버의 명령을 직접 받지 않으면서도 공격 대상을 해커가 원하는대로 바꿀 수 있었다. 서버 목록만 새로 다운로드 받는게 아니라 새로운 프로그램까지 다운로드 받아 설치했는데 이런 종류의 malware를 dropper라 부르나보다. 그리고 DDOS 공격 이후에 좀비PC를 그대로 두지 않고, 파일들을 지우고 부팅이 안되도록 부팅영역까지 overwrite 시키도록 했는데, malware를 처음부터 이렇게 만들었다기 보다 이렇게 만들 수 있는 구조로 만들어두어서 초기에 발견한 malware가 앞으로 어떻게 동작할지 예측하기 어렵게 만들었다.

3. 해커의 실수들
이 친구가 몇 가지 실수를 한듯 한데, 하나는 언론에 알려졌듯이 마지막날 파일을 지우고 PC를 망가뜨리는 프로그램이 msvcr90.dll을 사용한다는 것인데, 이게 아마도 .NET framework 3.5 이상이 깔려있어야 하는거라 대부분의 PC에서 문제가 안된듯 하다.
다른 하나로는 malware에 e-mail을 발송하는 기능이 들어있는데, 원래 의도로는 이메일에 malware를 첨부로 보내서 malware를 확산시키고자 했던 것 같다. 이것도 뭔가가 안맞아서 제대로 안된 것으로 보인다.
위 두가지 실수가 없었다면 결과는 아주 끔찍했을 것이다.

해커의 실수를 한가지 더 지적하자면, 좀비PC의 공격 url을 단순하게 웹사이트의 대표 url로 했다는 것이다. 이 url들은 대부분 static 페이지여서 상대적으로 부하 부담이 적었고, 웹사이트들은 url을 바꾸거나 필터링을 거쳐 다른 url로 포워딩 시키는 방법으로 부하를 줄일 수 있었다. 만약 이 url이 해당 사이트의 특정 기능을 수행하는 asp, php, jsp 페이지였다면 서버의 부담이 훨씬 컸을 것이다.

4. 배는 산으로
현장의 증거들만 가지고 범인을 찾는건 어려운 일인가보다. 911 테러처럼 엄청난 사건도 범인이 누군지, 어떻게 범죄가 준비되고성공할 수 있었는지 밝혀내지 못했으니 말이다. 미네르바를 체포한 검찰이 나섰더라면 어렵지 않게 범인을 잡아 감옥에 가뒀을텐데,국정원은 지난 10년간 많이 약해졌나보다. 그나마 친북반미 성향의 해커를 범인으로 지목하지 않고, 북한을 범인으로 지목하고 있는건 다행이라고 해야 할까.

앞으로 이런 사태를 어떻게 막을 것인가 하는 점에선 범인을 찾는건 별로 중요한 부분은 아닌듯 하다. 언론에서도 지적하고 있듯이 이번 사태에 민간 업체들은 비교적 잘 대응했던 반면 정부기관들은 무능함을 보여줬을 뿐이다. 정보보호진흥원이 가장 부담을 느껴야 할 것이고, 정통부를 축소하고 IT가 일자리 창출에 도움이 되지 않는다고 이야기하는 현 정권도 반성해야 할 것이다.

어떤 사고가 터졌을때 정치권의 논의는 항상 산으로 간다. 북한이 배후나 아니냐가 중요한게 아니라 사고의 재발을 막으려면 어떤 조치들이 필요할지가 논의되어야 할 것이다.