북극 지방, 아주 추운 이곳에 사는 에스키모인들에게도 인터넷은 더 이상 낯설지 않다. 이들은 인터넷을 이용해 날씨정보를 얻기도 하고 바다표범 잡는 법을 공부하기도 한다. 추운 날씨 때문에 외출이 힘든 이들 사이에 요즘 유행하는 인터넷 서비스로 "e글루"라는 SNS 서비스가 있다. 대학교에 다니던 한 이누이트족 청년이 만든 서비스로, 자신의 사냥 노하우와 사냥 일지를 등록할 수 있고, 동네 사람들을 친구로 등록해 편리하게 소식을 주고 받을 수 있다고 한다. 캐나다와 러시아의 북쪽 지방 사람들의 입소문으로 북유럽을 거쳐 최근엔 인도와 아프리카까지도 전파된 이 서비스는 최근 대한민국에도 꽤 많은 가입자를 확보하고 있다. 이 웹사이트는 초기에 이누이트 청년의 개인PC를 통해 운영되었지만 회원이 증가하고 유명세를 타게 되면서 이누이트 부족 자치회와 알래스카주의 후원을 받아 서버를 증설했다. 늘어나는 트래픽을 감당하기 어려워 요즘에도 자주 서비스가 먹통이 되곤 하는데, 이누이트 청년은 이렇게 감당하기 어려운 트래픽을 북극고래 같다고 표현한다. 전세계 회원들의 접속이 많아 서버가 감당하지 못할때 웹사이트에 북극고래 이미지를 띄우는 것도 e글루 서비스의 특징이 되고 있다.
그런데 최근 방통위는 이 e글루 서비스 때문에 골치를 앓고 있다. 사람들 사이에 정보를 신속히 전달할 수 있는 기능을 가지고 있는 것이 e글루의 특징인데, 정부는 이것이 정치적으로 위험하다고 생각하기 때문이다. 국내 웹 서비스는 제한적 본인확인제라는 제도를 만들어서 어느 정도 통제가 가능한 상태이고, 최근에 부엉이라는 아이디를 가진 네티즌의 위협적인 활동도 이 제도 덕분에 손쉽게 제압한 바 있었다. e글루는 국내 서비스가 아니라는게 문제였다.
방통위는 지난달 이누이트 청년에게 메일을 보내 제한적 본인확인제를 설명하고, 대한민국 가입자에 대해 제한적 본인확인제를 적용하지 않으면 국내 접속을 차단하겠다고 알렸다. 수신확인도 불가능한 이메일이 공식적인 통보 수단이 될수 있느냐에 대해 논란이 있었지만, 방통위는 인터넷 시대에 뒤떨어진 문제제기라며 일축했다. 이누이트 청년은 메일의 내용을 이해하지 못해 그냥 무시했었는데, 한 국내 가입자가 e글루 서비스를 대한민국에서도 꼭 계속 쓸수 있었으면 좋겠다는 간곡한 메일을 보내와서 대응을 하게 됐다고 한다. e글루의 조치는 구글의 유투브와 같은 방법이었다. 사용자가 본인의 국가를 설정할 수 있고, 국가를 대한민국으로 설정하면 글쓰기를 할 수 없게 되지만, 국가를 설정하지 않고 "전세계"로 그냥 두면 예전처럼 사용할 수 있게 하는 것이었다. 그러나, 방통위는 "한번 속지 두번 속냐", "방통위를 바보로 아느냐"는 논평을 내고, 이달 초에 e글루 사이트를 차단조치했다. 현재 http://egloos.innuit.org/ 는 대한민국에서는 접속이 막혀있는 상태이다.
정부의 이와같은 조치에 대해 네티즌들은 크게 분노하고 있다. A씨는 "정부의 시대착오적인 행태에 분노가 치민다"고 말한다. B씨는 "그동안 내가 e글루에 작성해둔 정보들에 다시 접근할 수가 없다. 이건 누가 배상할거냐. 회원들과 함께 집단소송을 준비하고 있다"고 말했다. C씨는 "제한적 본인확인제를 폐지하거나 적용대상을 축소할 필요가 있다. 애당초 네이버 뉴스와 다음 아고라를 통제하기 위해 만든 제도 아니었나."고 말하기도 했다. e글루를 벤치마킹한 서비스인 '이글루스'를 운영중인 D씨는 "이글루스는 e글루 대비 충분히 경쟁력이 있는 서비스이고, 해외 가입자가 전체 가입자의 70%를 차지하고 있다. 오픈한지 반년도 안됐지만 회원수가 8만을 넘었다. 조만간 10만이 넘을텐데, 어떻게 해야할지 걱정이다" 고 어려움을 전했다. 최근 한 설문조사 결과에서 제한적 본인확인제를 폐지해야 한다는 의견이 40%, 정치적 목적을 위해 필요하다는 의견이 10%, 악성 댓글 차단을 위해 불가피하다는 의견이 8%, 잘 모르겠다는 의견이 42%로 조사된 바 있다.
e글루 사태에 대한 들끓는 여론에 대해 방통위 관계자는 "접수된 불만이 거의 없다. 별 문제 없는 것으로 안다." 며 모르쇠로 일관하고 있다. 한편 방통위에서는 "ISP들을 설득하느라 어려움이 다소 있었다. e글루의 한국 사용자 수를 정확히 파악할 방법이 없기때문에 한 ISP에서 법 적용에 문제를 제기했다. 일단 e글루만 차단하고 보자고 하고 넘어갔지만 근본적인 방안이 필요하다." 고 이야기했다. 근본적인 방안에 대해서는 말을 아꼈지만 "에스키모들이 만든 웹사이트까지 우리가 알 수도 없고, 규제하기도 어렵다. 국제적인 공조가 필요하다는걸 반기문 UN사무총장에게 전달하긴 했다" 며, 무언가 또 다른 한심한 짓을 준비하고 있는 듯 보였다.
그런데 최근 방통위는 이 e글루 서비스 때문에 골치를 앓고 있다. 사람들 사이에 정보를 신속히 전달할 수 있는 기능을 가지고 있는 것이 e글루의 특징인데, 정부는 이것이 정치적으로 위험하다고 생각하기 때문이다. 국내 웹 서비스는 제한적 본인확인제라는 제도를 만들어서 어느 정도 통제가 가능한 상태이고, 최근에 부엉이라는 아이디를 가진 네티즌의 위협적인 활동도 이 제도 덕분에 손쉽게 제압한 바 있었다. e글루는 국내 서비스가 아니라는게 문제였다.
방통위는 지난달 이누이트 청년에게 메일을 보내 제한적 본인확인제를 설명하고, 대한민국 가입자에 대해 제한적 본인확인제를 적용하지 않으면 국내 접속을 차단하겠다고 알렸다. 수신확인도 불가능한 이메일이 공식적인 통보 수단이 될수 있느냐에 대해 논란이 있었지만, 방통위는 인터넷 시대에 뒤떨어진 문제제기라며 일축했다. 이누이트 청년은 메일의 내용을 이해하지 못해 그냥 무시했었는데, 한 국내 가입자가 e글루 서비스를 대한민국에서도 꼭 계속 쓸수 있었으면 좋겠다는 간곡한 메일을 보내와서 대응을 하게 됐다고 한다. e글루의 조치는 구글의 유투브와 같은 방법이었다. 사용자가 본인의 국가를 설정할 수 있고, 국가를 대한민국으로 설정하면 글쓰기를 할 수 없게 되지만, 국가를 설정하지 않고 "전세계"로 그냥 두면 예전처럼 사용할 수 있게 하는 것이었다. 그러나, 방통위는 "한번 속지 두번 속냐", "방통위를 바보로 아느냐"는 논평을 내고, 이달 초에 e글루 사이트를 차단조치했다. 현재 http://egloos.innuit.org/ 는 대한민국에서는 접속이 막혀있는 상태이다.
정부의 이와같은 조치에 대해 네티즌들은 크게 분노하고 있다. A씨는 "정부의 시대착오적인 행태에 분노가 치민다"고 말한다. B씨는 "그동안 내가 e글루에 작성해둔 정보들에 다시 접근할 수가 없다. 이건 누가 배상할거냐. 회원들과 함께 집단소송을 준비하고 있다"고 말했다. C씨는 "제한적 본인확인제를 폐지하거나 적용대상을 축소할 필요가 있다. 애당초 네이버 뉴스와 다음 아고라를 통제하기 위해 만든 제도 아니었나."고 말하기도 했다. e글루를 벤치마킹한 서비스인 '이글루스'를 운영중인 D씨는 "이글루스는 e글루 대비 충분히 경쟁력이 있는 서비스이고, 해외 가입자가 전체 가입자의 70%를 차지하고 있다. 오픈한지 반년도 안됐지만 회원수가 8만을 넘었다. 조만간 10만이 넘을텐데, 어떻게 해야할지 걱정이다" 고 어려움을 전했다. 최근 한 설문조사 결과에서 제한적 본인확인제를 폐지해야 한다는 의견이 40%, 정치적 목적을 위해 필요하다는 의견이 10%, 악성 댓글 차단을 위해 불가피하다는 의견이 8%, 잘 모르겠다는 의견이 42%로 조사된 바 있다.
e글루 사태에 대한 들끓는 여론에 대해 방통위 관계자는 "접수된 불만이 거의 없다. 별 문제 없는 것으로 안다." 며 모르쇠로 일관하고 있다. 한편 방통위에서는 "ISP들을 설득하느라 어려움이 다소 있었다. e글루의 한국 사용자 수를 정확히 파악할 방법이 없기때문에 한 ISP에서 법 적용에 문제를 제기했다. 일단 e글루만 차단하고 보자고 하고 넘어갔지만 근본적인 방안이 필요하다." 고 이야기했다. 근본적인 방안에 대해서는 말을 아꼈지만 "에스키모들이 만든 웹사이트까지 우리가 알 수도 없고, 규제하기도 어렵다. 국제적인 공조가 필요하다는걸 반기문 UN사무총장에게 전달하긴 했다" 며, 무언가 또 다른 한심한 짓을 준비하고 있는 듯 보였다.
이번주의 핫 이슈는 DDOS 였다. 주요 포털 사이트와 은행, 신문사 및 청와대 홈피 등이 한동안 마비됐었고, 국정원이 북한 배후설을 주장하는 바람에 정치권에서 사이버 북풍을 둘러싼 공방도 있었다. 수만대의 국내 "좀비PC"가 DDOS에 이용됐는데, DDOS 공격 이후에 좀비PC를 파괴하는 코드까지 프로그램되어 있어서 사람들을 더 긴장시키기도 했다. 다행히 해커의 실수로 PC 파괴는 미수에 그쳤다.
1. 누가 범인인가
당연히 모든 사람이 관심을 가지는 첫번째는 누가 범인인가일 것이다. 보안업체들에서 열심히 분석했겠지만 범인 추적은 요원한듯 보인다. DDOS 공격의 타겟이 미국과 한국이어서 미국을 포함한 외국쪽에서도 관심을 많이 가지고 있었겠지만 미국의 피해가 상대적으로 소소해서였는지 외국의 분석자료는 별로 없고 대부분 한국 자료를 인용하고 있다.
국정원이 제대로 된 증거도 없이 북한을 배후로 지목했다가 욕을 먹었는데, 국정원이 이야기하고 있는 근거중 하나가 이번 malware가 삭제하는 파일의 확장자에 .hna, .kwp (과거 우리나라 공공기관에서 사용하던 하나워드)가 포함되어 있다는 것이었다. 이와 관련된 좀더 신중한 분석자료는 여길 참조해 보자.
이번 공격의 타겟이 국내 사이트들 뿐이었다면 범인은 당연히 국내 해커라고 추정했어야 할 것이다. 그런데 미국이 포함되어 있고, 7월5일경 미국 사이트부터 공격하기 시작했기 때문에 시선이 분산됐다. 미국 사이트들이 공격을 받았고 미 국방부 사이트가 먹통이 됐다? 중국이나 러시아 해커일까? 그런데 7월6일 하루 쉬고 7월7일부터 한국 사이트가 주요 대상이 됐고 (미국 사이트도 함께 했지만) 날짜가 지날수록 국내 사이트로만 집중됐다. 전세계 여러 나라의 수만대의 PC가 좀비PC로 활용됐지만 대부분은 국내의 PC였다. 공격 대상 사이트로 청와대, 조선일보, 옥션, 신한은행, 네이버 등 10개 안팍의 사이트를 선별했는데 선별된 사이트만 봐도 한국사람이거나 적어도 국내 정보에 정통한 사람이라는걸 알수 있다. 좀비PC를 감염시킨 malware가 마지막날 삭제하는 파일들의 종류에 ms office 파일과 함께 아래한글, 하나워드, 훈민정음 등이 포함되어 있다.
이쯤되면 해커는 당연 한국인이거나 적어도 한국에 사는 사람이라고 봐야 하지 않을까? 첫날 국내 공격(7일)이 있고나서 좀비PC에서 발견된 공격 사이트 목록을 보고, 공격할 사이트를 미리 정해 놓고 치밀하게 준비된 공격이었다고 보도가 되었다. malware가 중앙서버의 컨트롤에 의해 움직이지 않고 미리 공격할 정보를 저장해두고 이 정보를 이용함으로써 공격자의 신분을 노출시키지 않는 치밀함도 화제였다. 하지만 나중에 드러난 바로는 초기에 예상했던 것보다 한 수 위의 치밀함을 보여줬다. 매일 정해진 시간에 공격 대상 목록을 바꿨고, 3일 후에 공격을 중지하고 증거를 지우기 위해 PC가 부팅조차 안되게 만들려했다.
처음 기사를 통해 공격 사이트 목록을 보고는 반정부적인 성향을 가진 (요즘의 세태를 고려하면 지극히 상식적인 생각을 가진) 우리나라 사람이 범인이려니 했다. 하지만 앞서 말했듯이 미국을 포함한 시선의 분산 때문에 우리나라 해커가 아닐 수도 있겠다고 생각했다.
DDOS 분석자료에서 8일자 공격 사이트들을 보자. 7일 공격으로 언론에서 시끄러워지고 보안업체들이 움직이기 시작하자 공격 대상에 안철수연구소와 이스트소프트가 포함되고 포털사이트가 몇개 더 추가됐고, 미국이 국내IP 접속을 차단시켰다는걸 고려했는지 미국 사이트는 대부분 제외했다. 다음날인 9일은 사이트를 7개로 압축해서 집중 공격을 한듯 하다. 네이버, 다음, 파란, 정부 전자민원사이트, 국민은행, 조선일보, 옥션 이렇게 7곳이다. 한국인이 아니고서 이렇게 7개를 뽑을 수 있을까? 그것도 국내 언론 보도를 충분히 참고하면서.
만약 한국인이 아니라면 북한사람일 수도 있겠다. 하지만 국정원처럼 한국인이 아니라 북한인이길 바라는 희망사항을 고려하지 않는다면 한국인이 아니라 북한사람일 근거는... 물증이 없을 뿐만 아니라 심증조차 없는듯 하다.
2. 대응이 어려운 이유
DDOS 공격에 국내 뿐만 아니라 미국의 주요 사이트들도 취약함이 드러났다. 그리고 이 취약점을 없앨 방법도 지금으로선 마땅히 보이지 않는다. 다음번에 또 5만 대군의 좀비들이 공격해오면 거의 모든 사이트가 똑같이 당하지 않을까? 웹사이트의 보안이 문제가 아니라 개인 PC들의 보안이 취약하고 PC의 네트웍 속도와 CPU 속도가 빨라지는게 문제이기 때문에 DDOS 공격의 대응은 어려운 문제인것 같다.
과거의 DDOS 공격은 주로 비정상적인 패킷들을 과도하게 만들어서 서버를 괴롭히는 것이었는데 이건 방화벽 등의 네트워크 장비를 통해 상당부분 해결책을 찾은것 같다. 이번 공격은 비정상적인 패킷이 문제가 아니라 과도한 양의 정상적인 패킷이 문제였다. 순간적으로 트래픽이 몰리면 서버들이 당해내지 못한다. 서버를 늘리려면비용이 늘어나고, 대부분의 웹서비스들은 이런 비용을 감당할 만한 여유가 없다.
PC의 성능이 향상되면서 웹서비스 업체들이 PC를 서버로 사용해도 되는 상황에 이르렀다. 왠만한 가정집 PC와 웹서비스에 사용되는 서버급 장비들의 성능차이는 별반 크지 않을 것이다. 값싼 서버를 구할 수 있게 된건 서비스 업체에게만 도움이 된게 아니라 해커들에게도 도움이 되고 있다. 가정집 PC 혹은 PC방의 PC들이 값싼 서버의 역할을 충분히 해줄수 있으니까. 게다가 초고속인터넷 덕분에 일반 사용자들은 보다 빠르게 포털에 접속할 수 있게 됐지만 해커들 역시 보다 쉽게 가정집 PC에 접근할 수 있게 됐고, 이걸 좀비PC로 만들면 보다 빠르게 포털들을 공격할 수 있게 됐다.
이번 DDOS 공격에서 좀비PC가 공격대상을 바꿔서 공격을 개시하는 시각이 (우리나라 시간으로) 저녁 6시였다. 이때부터 웹사이트의 관리자와 보안 담당자들이 퇴근하기 시작하고, 퇴근한 직장인들은 집에가서 PC를 켜기 시작한다는 점에서 적절한 시간이 아닐 수 없다.
공격 방식이 한층 지능화된 점도 흥미로운데, 좀비PC가 해커의 중앙서버로부터 명령을 받아 작동하는게 아니라 정해진 시간에 알아서 스스로 공격을 했다. 중앙서버의 명령을 받는 방식이었다면 이 서버로의 연결만 ISP들이 차단하면 좀비들의 작동을 멈출수 있을 뿐만 아니라 범인도 쉽게 찾을 수 있었을 것이다. 중앙서버의 명령을 직접 받지 않으면서도 공격 대상을 해커가 원하는대로 바꿀 수 있었다. 서버 목록만 새로 다운로드 받는게 아니라 새로운 프로그램까지 다운로드 받아 설치했는데 이런 종류의 malware를 dropper라 부르나보다. 그리고 DDOS 공격 이후에 좀비PC를 그대로 두지 않고, 파일들을 지우고 부팅이 안되도록 부팅영역까지 overwrite 시키도록 했는데, malware를 처음부터 이렇게 만들었다기 보다 이렇게 만들 수 있는 구조로 만들어두어서 초기에 발견한 malware가 앞으로 어떻게 동작할지 예측하기 어렵게 만들었다.
3. 해커의 실수들
이 친구가 몇 가지 실수를 한듯 한데, 하나는 언론에 알려졌듯이 마지막날 파일을 지우고 PC를 망가뜨리는 프로그램이 msvcr90.dll을 사용한다는 것인데, 이게 아마도 .NET framework 3.5 이상이 깔려있어야 하는거라 대부분의 PC에서 문제가 안된듯 하다.
다른 하나로는 malware에 e-mail을 발송하는 기능이 들어있는데, 원래 의도로는 이메일에 malware를 첨부로 보내서 malware를 확산시키고자 했던 것 같다. 이것도 뭔가가 안맞아서 제대로 안된 것으로 보인다.
위 두가지 실수가 없었다면 결과는 아주 끔찍했을 것이다.
해커의 실수를 한가지 더 지적하자면, 좀비PC의 공격 url을 단순하게 웹사이트의 대표 url로 했다는 것이다. 이 url들은 대부분 static 페이지여서 상대적으로 부하 부담이 적었고, 웹사이트들은 url을 바꾸거나 필터링을 거쳐 다른 url로 포워딩 시키는 방법으로 부하를 줄일 수 있었다. 만약 이 url이 해당 사이트의 특정 기능을 수행하는 asp, php, jsp 페이지였다면 서버의 부담이 훨씬 컸을 것이다.
4. 배는 산으로
현장의 증거들만 가지고 범인을 찾는건 어려운 일인가보다. 911 테러처럼 엄청난 사건도 범인이 누군지, 어떻게 범죄가 준비되고성공할 수 있었는지 밝혀내지 못했으니 말이다. 미네르바를 체포한 검찰이 나섰더라면 어렵지 않게 범인을 잡아 감옥에 가뒀을텐데,국정원은 지난 10년간 많이 약해졌나보다. 그나마 친북반미 성향의 해커를 범인으로 지목하지 않고, 북한을 범인으로 지목하고 있는건 다행이라고 해야 할까.
앞으로 이런 사태를 어떻게 막을 것인가 하는 점에선 범인을 찾는건 별로 중요한 부분은 아닌듯 하다. 언론에서도 지적하고 있듯이 이번 사태에 민간 업체들은 비교적 잘 대응했던 반면 정부기관들은 무능함을 보여줬을 뿐이다. 정보보호진흥원이 가장 부담을 느껴야 할 것이고, 정통부를 축소하고 IT가 일자리 창출에 도움이 되지 않는다고 이야기하는 현 정권도 반성해야 할 것이다.
어떤 사고가 터졌을때 정치권의 논의는 항상 산으로 간다. 북한이 배후나 아니냐가 중요한게 아니라 사고의 재발을 막으려면 어떤 조치들이 필요할지가 논의되어야 할 것이다.
1. 누가 범인인가
당연히 모든 사람이 관심을 가지는 첫번째는 누가 범인인가일 것이다. 보안업체들에서 열심히 분석했겠지만 범인 추적은 요원한듯 보인다. DDOS 공격의 타겟이 미국과 한국이어서 미국을 포함한 외국쪽에서도 관심을 많이 가지고 있었겠지만 미국의 피해가 상대적으로 소소해서였는지 외국의 분석자료는 별로 없고 대부분 한국 자료를 인용하고 있다.
국정원이 제대로 된 증거도 없이 북한을 배후로 지목했다가 욕을 먹었는데, 국정원이 이야기하고 있는 근거중 하나가 이번 malware가 삭제하는 파일의 확장자에 .hna, .kwp (과거 우리나라 공공기관에서 사용하던 하나워드)가 포함되어 있다는 것이었다. 이와 관련된 좀더 신중한 분석자료는 여길 참조해 보자.
이번 공격의 타겟이 국내 사이트들 뿐이었다면 범인은 당연히 국내 해커라고 추정했어야 할 것이다. 그런데 미국이 포함되어 있고, 7월5일경 미국 사이트부터 공격하기 시작했기 때문에 시선이 분산됐다. 미국 사이트들이 공격을 받았고 미 국방부 사이트가 먹통이 됐다? 중국이나 러시아 해커일까? 그런데 7월6일 하루 쉬고 7월7일부터 한국 사이트가 주요 대상이 됐고 (미국 사이트도 함께 했지만) 날짜가 지날수록 국내 사이트로만 집중됐다. 전세계 여러 나라의 수만대의 PC가 좀비PC로 활용됐지만 대부분은 국내의 PC였다. 공격 대상 사이트로 청와대, 조선일보, 옥션, 신한은행, 네이버 등 10개 안팍의 사이트를 선별했는데 선별된 사이트만 봐도 한국사람이거나 적어도 국내 정보에 정통한 사람이라는걸 알수 있다. 좀비PC를 감염시킨 malware가 마지막날 삭제하는 파일들의 종류에 ms office 파일과 함께 아래한글, 하나워드, 훈민정음 등이 포함되어 있다.
이쯤되면 해커는 당연 한국인이거나 적어도 한국에 사는 사람이라고 봐야 하지 않을까? 첫날 국내 공격(7일)이 있고나서 좀비PC에서 발견된 공격 사이트 목록을 보고, 공격할 사이트를 미리 정해 놓고 치밀하게 준비된 공격이었다고 보도가 되었다. malware가 중앙서버의 컨트롤에 의해 움직이지 않고 미리 공격할 정보를 저장해두고 이 정보를 이용함으로써 공격자의 신분을 노출시키지 않는 치밀함도 화제였다. 하지만 나중에 드러난 바로는 초기에 예상했던 것보다 한 수 위의 치밀함을 보여줬다. 매일 정해진 시간에 공격 대상 목록을 바꿨고, 3일 후에 공격을 중지하고 증거를 지우기 위해 PC가 부팅조차 안되게 만들려했다.
처음 기사를 통해 공격 사이트 목록을 보고는 반정부적인 성향을 가진 (요즘의 세태를 고려하면 지극히 상식적인 생각을 가진) 우리나라 사람이 범인이려니 했다. 하지만 앞서 말했듯이 미국을 포함한 시선의 분산 때문에 우리나라 해커가 아닐 수도 있겠다고 생각했다.
DDOS 분석자료에서 8일자 공격 사이트들을 보자. 7일 공격으로 언론에서 시끄러워지고 보안업체들이 움직이기 시작하자 공격 대상에 안철수연구소와 이스트소프트가 포함되고 포털사이트가 몇개 더 추가됐고, 미국이 국내IP 접속을 차단시켰다는걸 고려했는지 미국 사이트는 대부분 제외했다. 다음날인 9일은 사이트를 7개로 압축해서 집중 공격을 한듯 하다. 네이버, 다음, 파란, 정부 전자민원사이트, 국민은행, 조선일보, 옥션 이렇게 7곳이다. 한국인이 아니고서 이렇게 7개를 뽑을 수 있을까? 그것도 국내 언론 보도를 충분히 참고하면서.
만약 한국인이 아니라면 북한사람일 수도 있겠다. 하지만 국정원처럼 한국인이 아니라 북한인이길 바라는 희망사항을 고려하지 않는다면 한국인이 아니라 북한사람일 근거는... 물증이 없을 뿐만 아니라 심증조차 없는듯 하다.
2. 대응이 어려운 이유
DDOS 공격에 국내 뿐만 아니라 미국의 주요 사이트들도 취약함이 드러났다. 그리고 이 취약점을 없앨 방법도 지금으로선 마땅히 보이지 않는다. 다음번에 또 5만 대군의 좀비들이 공격해오면 거의 모든 사이트가 똑같이 당하지 않을까? 웹사이트의 보안이 문제가 아니라 개인 PC들의 보안이 취약하고 PC의 네트웍 속도와 CPU 속도가 빨라지는게 문제이기 때문에 DDOS 공격의 대응은 어려운 문제인것 같다.
과거의 DDOS 공격은 주로 비정상적인 패킷들을 과도하게 만들어서 서버를 괴롭히는 것이었는데 이건 방화벽 등의 네트워크 장비를 통해 상당부분 해결책을 찾은것 같다. 이번 공격은 비정상적인 패킷이 문제가 아니라 과도한 양의 정상적인 패킷이 문제였다. 순간적으로 트래픽이 몰리면 서버들이 당해내지 못한다. 서버를 늘리려면비용이 늘어나고, 대부분의 웹서비스들은 이런 비용을 감당할 만한 여유가 없다.
PC의 성능이 향상되면서 웹서비스 업체들이 PC를 서버로 사용해도 되는 상황에 이르렀다. 왠만한 가정집 PC와 웹서비스에 사용되는 서버급 장비들의 성능차이는 별반 크지 않을 것이다. 값싼 서버를 구할 수 있게 된건 서비스 업체에게만 도움이 된게 아니라 해커들에게도 도움이 되고 있다. 가정집 PC 혹은 PC방의 PC들이 값싼 서버의 역할을 충분히 해줄수 있으니까. 게다가 초고속인터넷 덕분에 일반 사용자들은 보다 빠르게 포털에 접속할 수 있게 됐지만 해커들 역시 보다 쉽게 가정집 PC에 접근할 수 있게 됐고, 이걸 좀비PC로 만들면 보다 빠르게 포털들을 공격할 수 있게 됐다.
이번 DDOS 공격에서 좀비PC가 공격대상을 바꿔서 공격을 개시하는 시각이 (우리나라 시간으로) 저녁 6시였다. 이때부터 웹사이트의 관리자와 보안 담당자들이 퇴근하기 시작하고, 퇴근한 직장인들은 집에가서 PC를 켜기 시작한다는 점에서 적절한 시간이 아닐 수 없다.
공격 방식이 한층 지능화된 점도 흥미로운데, 좀비PC가 해커의 중앙서버로부터 명령을 받아 작동하는게 아니라 정해진 시간에 알아서 스스로 공격을 했다. 중앙서버의 명령을 받는 방식이었다면 이 서버로의 연결만 ISP들이 차단하면 좀비들의 작동을 멈출수 있을 뿐만 아니라 범인도 쉽게 찾을 수 있었을 것이다. 중앙서버의 명령을 직접 받지 않으면서도 공격 대상을 해커가 원하는대로 바꿀 수 있었다. 서버 목록만 새로 다운로드 받는게 아니라 새로운 프로그램까지 다운로드 받아 설치했는데 이런 종류의 malware를 dropper라 부르나보다. 그리고 DDOS 공격 이후에 좀비PC를 그대로 두지 않고, 파일들을 지우고 부팅이 안되도록 부팅영역까지 overwrite 시키도록 했는데, malware를 처음부터 이렇게 만들었다기 보다 이렇게 만들 수 있는 구조로 만들어두어서 초기에 발견한 malware가 앞으로 어떻게 동작할지 예측하기 어렵게 만들었다.
3. 해커의 실수들
이 친구가 몇 가지 실수를 한듯 한데, 하나는 언론에 알려졌듯이 마지막날 파일을 지우고 PC를 망가뜨리는 프로그램이 msvcr90.dll을 사용한다는 것인데, 이게 아마도 .NET framework 3.5 이상이 깔려있어야 하는거라 대부분의 PC에서 문제가 안된듯 하다.
다른 하나로는 malware에 e-mail을 발송하는 기능이 들어있는데, 원래 의도로는 이메일에 malware를 첨부로 보내서 malware를 확산시키고자 했던 것 같다. 이것도 뭔가가 안맞아서 제대로 안된 것으로 보인다.
위 두가지 실수가 없었다면 결과는 아주 끔찍했을 것이다.
해커의 실수를 한가지 더 지적하자면, 좀비PC의 공격 url을 단순하게 웹사이트의 대표 url로 했다는 것이다. 이 url들은 대부분 static 페이지여서 상대적으로 부하 부담이 적었고, 웹사이트들은 url을 바꾸거나 필터링을 거쳐 다른 url로 포워딩 시키는 방법으로 부하를 줄일 수 있었다. 만약 이 url이 해당 사이트의 특정 기능을 수행하는 asp, php, jsp 페이지였다면 서버의 부담이 훨씬 컸을 것이다.
4. 배는 산으로
현장의 증거들만 가지고 범인을 찾는건 어려운 일인가보다. 911 테러처럼 엄청난 사건도 범인이 누군지, 어떻게 범죄가 준비되고성공할 수 있었는지 밝혀내지 못했으니 말이다. 미네르바를 체포한 검찰이 나섰더라면 어렵지 않게 범인을 잡아 감옥에 가뒀을텐데,국정원은 지난 10년간 많이 약해졌나보다. 그나마 친북반미 성향의 해커를 범인으로 지목하지 않고, 북한을 범인으로 지목하고 있는건 다행이라고 해야 할까.
앞으로 이런 사태를 어떻게 막을 것인가 하는 점에선 범인을 찾는건 별로 중요한 부분은 아닌듯 하다. 언론에서도 지적하고 있듯이 이번 사태에 민간 업체들은 비교적 잘 대응했던 반면 정부기관들은 무능함을 보여줬을 뿐이다. 정보보호진흥원이 가장 부담을 느껴야 할 것이고, 정통부를 축소하고 IT가 일자리 창출에 도움이 되지 않는다고 이야기하는 현 정권도 반성해야 할 것이다.
어떤 사고가 터졌을때 정치권의 논의는 항상 산으로 간다. 북한이 배후나 아니냐가 중요한게 아니라 사고의 재발을 막으려면 어떤 조치들이 필요할지가 논의되어야 할 것이다.
지난번에 썼던 모바일 rss reader 속편이다. 펌웨어를 2.0으로 업그레이드한 이후로(벌써 3.0이 나오긴 했지만) 내 아이팟도 AppStore 모드가 됐고, 이에 따라 rss reader를 바꿨다. 이제 선택의 여지가 훨씬 많아졌는데, 3개 정도를 테스트해보고 하나를 골랐다.
rss reader 선정의 조건은 google reader가 지원되야 한다는 것인데, 꽤 많은 프로그램들이 google reader를 지원하고 있다. 그중에서 Byline과 Bolt reader를 추천하고 싶다.
Byline과 Bolt reader는 기능이 거의 동일하다. UI만 Byline이 10배쯤 훌륭한데, 가격이 좀 비싸고, folder 단위로만 글 목록을 보여주는 단점이 있다. 두 개 reader 모두 offline sync 기능을 지원하고, 이미지까지 다운로드 받아준다. google reader와 양방향 동기화를 지원하는건 물론이다.
위 스크린이 Byline 화면이다. 보다시피 UI가 훌륭하고, note 작성 기능도 제공한다. 가격이 $4.99 로 조금 비싼게 흠이다.
위 스크린은 Bolt reader의 화면이다. 실제로 보면 아이콘이 너무 작고 답답하다. 디자이너 없이 개발자가 혼자 만들었다는걸 느낄 수 있는 작품이다. 하지만 folder 하위에 각 rss feed별로 선택을 할 수 있다는게 내 경우엔 중요해서 이 reader를 이용하고 있다. Byline에서는, 잘 안읽는... 글의 양이 너무 많은 feed를 skip 할 방법이 없기 때문이다. 가격은 $1.99로 저렴한 편이다.
단점은 오래 쓰다보면 점점 느려진다는 것인데, 이때문에 가끔 지우고 다시 설치해줘야 한다.
google reader를 안쓰는 사람이라면? google reader 계정을 만들면 된다. 거기에 자신이 사용하는 reader의 opml 파일을 등록하면 끝이다. 물론 이렇게 쓰는 경우 PC 혹은 웹 reader와 동기화가 안되는 아쉬움은 어쩔 수 없겠다.
rss reader 선정의 조건은 google reader가 지원되야 한다는 것인데, 꽤 많은 프로그램들이 google reader를 지원하고 있다. 그중에서 Byline과 Bolt reader를 추천하고 싶다.
Byline과 Bolt reader는 기능이 거의 동일하다. UI만 Byline이 10배쯤 훌륭한데, 가격이 좀 비싸고, folder 단위로만 글 목록을 보여주는 단점이 있다. 두 개 reader 모두 offline sync 기능을 지원하고, 이미지까지 다운로드 받아준다. google reader와 양방향 동기화를 지원하는건 물론이다.
위 스크린이 Byline 화면이다. 보다시피 UI가 훌륭하고, note 작성 기능도 제공한다. 가격이 $4.99 로 조금 비싼게 흠이다.
위 스크린은 Bolt reader의 화면이다. 실제로 보면 아이콘이 너무 작고 답답하다. 디자이너 없이 개발자가 혼자 만들었다는걸 느낄 수 있는 작품이다. 하지만 folder 하위에 각 rss feed별로 선택을 할 수 있다는게 내 경우엔 중요해서 이 reader를 이용하고 있다. Byline에서는, 잘 안읽는... 글의 양이 너무 많은 feed를 skip 할 방법이 없기 때문이다. 가격은 $1.99로 저렴한 편이다.
단점은 오래 쓰다보면 점점 느려진다는 것인데, 이때문에 가끔 지우고 다시 설치해줘야 한다.
google reader를 안쓰는 사람이라면? google reader 계정을 만들면 된다. 거기에 자신이 사용하는 reader의 opml 파일을 등록하면 끝이다. 물론 이렇게 쓰는 경우 PC 혹은 웹 reader와 동기화가 안되는 아쉬움은 어쩔 수 없겠다.
| < 이전페이지 | 다음페이지 > |
IT동향, Programming, etc
by conanoc
이글루 파인더
More Infomation
카테고리
최근 등록된 덧글
"3. 수학자들은 전통을 ..
by EOP at 10/27
휴대성 말고는 다른 맥..
by numa at 10/20
원래..쓸줄모르면.....
by 달려옹 at 10/20
에어... 간지난다는 말..
by NB세상 at 10/20
꿈에서 까지 service id..
by jimbo73 at 09/18
by EOP at 10/27
휴대성 말고는 다른 맥..
by numa at 10/20
원래..쓸줄모르면.....
by 달려옹 at 10/20
에어... 간지난다는 말..
by NB세상 at 10/20
꿈에서 까지 service id..
by jimbo73 at 09/18
최근 등록된 트랙백
비트 토렌토의 도입
by Confluence: 김용진
휴대폰으로 블로그 읽기..
by SKT Story
fitness참고합니다.
by lovelove님의 이글루
내 손안의 PC - 자바가 ..
by 上善若水
만박의 생각
by sumanpark's me2DAY
by Confluence: 김용진
휴대폰으로 블로그 읽기..
by SKT Story
fitness참고합니다.
by lovelove님의 이글루
내 손안의 PC - 자바가 ..
by 上善若水
만박의 생각
by sumanpark's me2DAY
라이프로그
이전블로그
