"DDoS공격은 예고된 재앙"..악성코드 공격기법 '매우 정교했다'
"이번 분산서비스거부(DDoS) 공격자는 한국 네트워크 상황을 잘 파악하고 매우 정교한 수법을 사용했다. 하지만 이미 사전에 경고된 사태였다."
안철수연구소가 내린 진단이다.
김홍선 안철수연구소 대표(사진)는 13일 서울 프레스센터에서 가진 기자간담회에서 "악성코드 분석결과, 공격시도당시 탐지되지 않도록 파일 임계치를 넘지않은 범위에서 최소한도의 트래픽을 발생하는 것으로 조사됐다"고 밝혔다.
한마디로 공격 트래픽을 유발할 당시 1개 좀비PC 당 최소한의 범위내에서만 공격 트래픽을 전송시킴으로써 PC 사용자나 보안 서비스가 탐지할 수 없도록 우회하는 수법을 사용했다는 설명이다.
여기에 PC내에서 실행되는 악성코드 파일 역시 점조직 형태를 띄고 있어 어디서 유포됐는지 알 수 없도록 설계됐으며, 현재까지도 모체 파일이 어디인지조차 파악하지 못한 것으로 조사됐다.
게다가 PC내에서 여러가지 형태의 파일들이 실행되는데, 유기적으로 결합돼 공격 기능을 실행토록 함으로써 특정 파일을 찾아낸다 해도 구체적으로 어떤 기능을 수행하는지 파악하기 어렵게 구성됐다는 것이다.
이번 DDoS 공격이 과거와는 차원과는 달리, 사전에 치밀한 기획하에 예고된 공격이었음을 보여주는 진단이다.
국내 보안체계에 대한 쓴소리도 이어졌다. 김홍선 대표는 "몇년 전부터 이같은 공격 발생 가능성에 대해 누누이 강조해왔지만 국내 보안수준은 크게 달라지지 않았다"며 이미 예고된 사태였음을 강조했다.
무엇보다 2003년 1.25 인터넷대란 이후 네트워크 보안체계는 강화됐지만, 사용자 PC를 경유한 공격에 대해서는 소홀해왔다는 게 그의 지적이다.
특히 그는 다른 해외에 비해 절대적으로 부족한 전문인력난에 대해서고 강한 어조로 비판했다.
독자들의 PICK!
그는 "10년째 보안업종에 종사해왔지만, 남아있는 보안 전문 CEO는 거의 없으며, 3D업종으로 알려지면서 적잖은 보안업계 종사자들이 떠나고 있는 실정"이라며 "무엇보다 양질의 전문인력들이 양성될 수 있는 환경을 조성하는 것이 시급하다"고 지적했다.
김홍선 CEO는 지난 1990년대 후반 방화벽 회사인 시큐어소프트의 CEO로 재직해 현재까지 줄곧 보안업계 CEO를 맡고 있는 대표적인 1세대 보안 벤처인이다.
한편, 이날 안철수연구소는 클라우드 컴퓨팅 개념이 도입된 새로운 DDoS 보안 신기술을 발표했다.
이 기술은 특정파일에서 임계치 이상의 트래픽 발생과 이상 징후가 발견되면 모니터링 센터에서 해당 파일의 악성코드 여부를 정밀 판독해 실시간으로 업데이트해 DDoS 확산과 피해를 사전에 예방해준다는 개념이다.
안철수연구소는 DDoS 전용 신기술을 국내외에 특허 출원하는 한편, 별도의, DDoS 전용 솔루션 개발에 박차를 가하기로 했다.
김 대표는 마지막으로 "이제까지 그래왔듯이, 큰 대형사고를 치른 이후 '보안투자'가 강조됐다가 언제 그랬냐는 듯이 슬그머니 넘어가는 일이 또다시 발생할 것같아 걱정"이라며 여운을 남겼다.