김홍선 안철수연구소 대표 기고
똑같은 일이 또 다시 반복됐다. 악성코드는 계속 진화하고 있고, 보안 대란은 언제든지 일어날 수 있지만, 이번에도 또 '디도스(DDoS)'가 문제를 일으킬 것이라고는 생각지 못했다. 우리가 두 번 당할 정도로 허술하게 대비를 했으리라고 생각하지 않는 것이 공격자의 상식이기 때문이다. 하지만 이런 예상을 깨고 7.7 디도스 대란으로 온 나라가 혼란을 겪은 지 2년도 안 돼 유사한 형태의 3.4 디도스 공격 사건이 발생했다.
주말을 끼고 숨 가쁘게 며칠을 보내고 사태가 진정된 후 이 전쟁에 참여했던 인력들과 회의실에 모여 이번 디도스 공격을 정리하는 시간을 가졌다. 이번 공격은 여러모로 2009년의 7.7 디도스와 유사한 점이 많았다. 주요 정부기관과 금융기관, 포털 등을 동시 다발적으로 노렸고 특정 시간에 동작하도록 했다는 점은 거의 같다. 선정된 대상은 일부 다르지만, 대체로 7.7과 성격은 유사했다. 주로 악성코드 배포지로 P2P 사이트를 이용했으며 공격 목적이 불분명하고, 하드디스크 파괴로 공격이 종료된다는 점 또한 유사하다. 이와 반대로 공격 대상사이트는 더욱 늘었으며, 공격 종료시점은 따로 없었다. 손상시키는 운영체제도 대폭 확대돼 기술적인 측면에서만 본다면 7.7 디도스 대란보다 더욱 교묘하게 설계돼 있었다.
이렇게 지능화하는 디도스 공격을 막으려면 어떻게 해야 하는 것일까? 많은 업체가 선보이고 있는 전용 방어 장비도 좋은 해법이 될 수는 있다. 하지만 여기에만 의존해 공격을 막겠다는 것은 부족한 발상이다. 조금만 디도스 공격의 본질을 들여다본다면 다음의 네 가지로 정리할 수 있다.
첫째, 디도스 공격은 악성코드에 의해 생성된 좀비PC(Zombie PC)에서 시작된다. 따라서 실제로 공격 트래픽을 발송하는 좀비PC에 대응할 수 있어야 한다. 이번 3.4 디도스 공격에서 사태 초반 악성코드 배포지를 신속히 찾아 파악한 것도 클라우드 기반 기술과 분석 및 대응이 원활히 연결되는 대응체계가 있었기 때문이다.
셋째, 이 디도스 운영 프로세스에 대해서는 최종적인 점검은 물론 모의 공격 대응 등 주기적인 훈련이 반드시 필요하다.
넷째, 디도스는 공격이 발생하자마자 대규모 트래픽이 집중되므로 그 즉시 피해 증상이 나타난다. 따라서 디도스 공격의 피해를 최소화하기 위해서는 24시간, 365일 상시 모니터링 및 긴급 대응이 요구된다.
이를 종합하면 입체적인 사이버 보안 대응 체계가 필요하다는 얘기다. 2009년의 7.7 디도스와 2011년의 3.4 디도스는 우리의 보안 방어력을 단적으로 보여주는 사건이었다. 항상 방어만 해야 하는 입장에서, 점차 지능화하고 있는 사이버 공격에 맞서기 위해서는 입체적인 대응 체계가 필수적이다.
꼭 봐야할 주요뉴스
[르포]"정부가 보조금 퍼붓는데 어떻게 버티나" 전... 마스크영역<ⓒ투자가를 위한 경제콘텐츠 플랫폼, 아시아경제(www.asiae.co.kr) 무단전재 배포금지>