DDoS 공격

어제는 DDoS 공격(Distributed DoS Attack)으로 상당히 많은 사이트를 접속할 수 없었다. 내가 자주 이용하는 옥션도 같은 처지에 처했다. 그런데 뉴스를 보다 보니 상당히 재미있는 이야기가 나온다. 바로 얼마 전 안보신권으로 전국민을 웃긴 국가정보원에서 이번 DDoS 공격이 북한이나 종북 세력의 짓이라는 것이다. 그런데 더 중요한 것은 "근거는 없다"고 한다. 통일운동도 간첩죄라는 국정원답다는 생각이 든다. 다만 우리나라 국정원의 보도에 이어 또 미국에서 똑 같은 그러나 근거를 댈 수 없는 DDoS 공격 북한설이 흘러나왔다.

일단 문제를 이해하기 위해 DDoS에 대한 개념부터 정리하고 시작하자. DDoS를 가지고 많은 블로거와 기자들, 뉴스 앵커들이 해킹이라고 보도 하고 있다. DDoS 공격을 해킹(Hacking)이라고 표현하고 있기 때문에 또 많은 사람들이 불안해 하고 있다. 그러나 DDoS는 특정 컴퓨터에 침입, 정보를 빼오는 해킹과는 조금 다르다.

DDoS는 DoS(Denial of Service) 공격의 진화된 형태다. DoS(Denial of Service)은 서버의 리소스를 비정상적으로 소모하게 함으로서 웹 서버를 무력화 시키는 공격을 말한다. 그래서 'DoS' 공격을 우리 말로 '서비스 거부 공격'이라고 한다.

분산 공격

DDoS는 Distributed DoS를 말한다. 즉, 하나의 컴퓨터로 하나의 서버를 공격하는 것이 아니라 세계에 분산된 여러 컴퓨터를 이용해서 서버를 공격, 해당 서버를 무력화 시키는 것을 말한다. 이런 DDoS 공격은 단순히 해커만 사용하는 것이 아니다. 예를들어 2ch에 찌질한 글들이 올라오면 국내 유사 사이트인 디씨인사이드 회원들이 2ch를 DDoS로 공격한다. 마찬 가지로 2ch도 보복 DDoS 공격을 하곤 한다. 즉, DDoS는 회원수가 많은 사이트에서 특정 사이트를 공격할 때도 종종 사용되는 공격법이다.

그러나 이런 방법으로 소규모 사이트를 무력화할 수 있어도 옥션이나 금융권과 같은 대형 사이트 10여개를 동시에 무력화 시키기는 힘들다. 그래서 사용하는 방법이 개인용 컴퓨터(Personal Computer)를 바이러스를 이용해서 감염 시키고 이렇게 감염된 개인용 컴퓨터(보통 좀비)를 이용해서 서비스를 무력화하는 방법을 사용하고 있다.

그림을 보면 알 수 있지만 공격자가 일단 특정 사이트를 감염시킨다. 그리고 이렇게 감염된 사이트를 방문하면 개인용 컴퓨터(Personal Computer)가 DDoS 공격에 사용되는 좀비(Zombie)가 된다. 마지막으로 공격자는 좀비(Zombie)들에게 특정 사이트를 공격할 것을 지시함으로서 DDoS 공격이 시작된다. 따라서 DDoS 공격은 무려 1800만명의 개인정보를 유출했다는 옥션의 해킹 사건과는 성격이 전혀 다른 사건이다.

국정원에서 북한이나 종북 세력이 뒤에 있다고 보기 위해서는 최소한 공격자의 신원을 어느 정도 확보했어야 옳다. 그러나 경찰은 겨우 좀비로 사용된 개인용 PC만 찾았을 뿐아직까지 공격의 진원지 조차 파악하지 못하고 있다. 이런 상황에 DDoS 공격의 배후를 "북한이나 종북세력으로 지목한다"면 같은 논리로 국정원이 DDoS 공격의 배후가 될 수도 있다.

북풍을 이용해서 비정규직법, 미디어법을 강행처리하려는 한나라당의 사주를 받아 국정원이 저질렀다고 해도 아무 무리가 없기 때문이다. 가장 쉬운 예로 코묻은 아이 돈까지 빼았아간 금강산 평화의 댐을 생각해 보면 된다. 한나라당의 모태인 민정당과 민자당이 국정원을 이용해서 벌인 일이 언제나 이런 북풍이었기 때문이다. 여기에 근거도 없는 정보를 친절한 금자씨가 되서 미리 알려주는 국정원의 행태도 이런 의구심을 받기에 충분하다.

쌀사시유! 라멘사시유!

어제 DDoS 공격이 있었다. 그리고 앞으로도 이런 DDoS 공격이 계속될지 모른다. 또 이 DDoS 공격의 배후에 정말 북한이 있을 수도 있다. 그러나 중요한 것은 이런 때 정부가 국민에게 "쌀사시유! 라멘사시유!"라고 외칠 일이 아니라는 점이다. 우리나라는 유독 DDoS 공격에 취약한가? DDoS 공격을 막기 위해서는 무엇 해야 하는가?처럼 조용하면서 현실적인 대응 방안을 논의하는 것이 훨씬 더 낫다.

DDoS 공격을 막는 방법은 많다. 여기서는 한 가지만 고려하자. 먼저 다시 위의 그림을 보자. 공격자는 개인용 컴퓨터를 좀비로 만들기위해 먼저 숙주 사이트를 공략한다. 즉, 숙주 사이트가 없다면 DDoS 공격을 무력화 시킬 수 있다. 그러나 이런 숙주 사이트를 없애는 것은 현실적으로 불가능하다. 이런 사이트의 관리는 각 사이트의 서버 관리 시스템에 의존하며 지구상의 모든 웹 사이트를 감시할 수는 없기 때문이다.

그러면 이번에는 두번째를 보자. 사용자가 숙주 사이트에 접속하면 사용자의 컴퓨터는 좀비 PC(Personal Computer)가 된다. 사용자의 PC가 좀비 PC가 되기 위해서 반드시 필요한 과정이 하나있다. 바로 숙주 사이트로 부터 프로그램을 내려받아 설치하는 과정이다. 대부분의 브라우저는 이런 과정을 사용자 몰래 할 수 없다. 다만 Internet Explorer에서 ActiveX를 사용할 때는 그럴 수 있는 가능성이 무척 올라간다.

그런데 우리나라는 ActiveX가 아니면 아예 접속할 수 없는 사이트가 아주 많다. 모든 금융권에서 ActiveX를 설치한다. 전자정부라며 국가에서 운영하는 사이트도 ActiveX를 설치해야 한다. 특히 일부 금융권 ActiveX는 이제 가상 PC에서는 실행도 안된다. 상황이 이런 상황이다. 즉, 우리나라는 DDoS 공격용 좀비 PC를 만들기위한 최적의 조건을 가지고 있다.

DDoS 공격으로 수조원의 피해를 보고 앞으로도 그런 피해가 예상된다면 정부는 "쌀사시유! 라멘사시유!"라고 외칠 것이 아니라 이런 기본적인 문제 부터 해결하려는 노력을 해야 한다. 정부부터 솔선수범해서 Internet Explorer와 ActiveX를 사용하는 정부 사이트를 모든 브라우저로 접속, 업무를 처리할 수 있도록 바꾼다면 적어도 DDoS 공격으로 호들갑을 떨일은 별로 없다. 부가적으로 이명박 대통령은 ST(Sabjil Technology) 전도사에서 진정 IT(Information Techonology)를 아는 IT 전도사로 탈바꿈 할 수 있다.

벌쭘해진 국정원

view & news에 따르면 사이버테러 공격자의 인터넷 주소가 미국 IP로 밝혀졌다는 주장이 나왔다고 한다. 아무러 증거없이 DDoS로 다시 한번 북풍을 만들려고 했던 국정원으로서는 상당히 뻘쭘한 상황으로 보인다. 명색이 국가정보원이 유언비어나 흘리고 다니는 조직으로 바뀌었으니 정말 한심하다.