“사이버쓰나미 언제 또 덮칠지”

‘디도스 공격’ 최전선서 맞선 4人의 긴박했던 일주일

《“디도스(DDoS·분산서비스거부)란 말만 들어도 신물이 나요….” 7일 오후부터 시작돼 1주일간 국내를 떠들썩하게 했던 디도스 공격. 일단 소강상태에 접어들었지만 비슷한 사태가 재연될 가능성은 얼마든지 남아 있다. 아직도 새우잠을 자며 사이버 테러에 맞서 ‘전투’를 계속하고 있는 4인을 통해 지난 1주일을 재구성하고, 그 안에서 우리가 배워야 할 교훈을 찾아봤다.》

“블록버스터급 공격 대처 처음”
백신개발 큰공, 조시행 안철수연구소 상무

이번 디도스 공격에서 보안업체 ‘안철수연구소’의 역할은 컸다. 1, 2차 공격에 대응하는 백신을 무료로 발 빠르게 배포했고 3차 공격 시 개인 컴퓨터 하드디스크 파괴 명령이 담겨 있다는 사실을 미리 밝혀냈다. 3일간 백신 프로그램 다운로드 건수만 214만 건.

시큐리티대응센터 조시행 센터장(상무) 이하 50명의 직원은 돈가스 도시락으로 끼니를 때우며 일사불란하게 움직였다. 13년째 백신 개발을 해왔지만 이번처럼 예측 불가능한 ‘블록버스터’급 공격에 맞선 것은 처음이었다.

조 센터장이 심상치 않은 상황을 감지한 것은 7일 오후 8시. 휴대전화로 문의 전화가 빗발치자 그는 직원들에게 대기 지시를 내렸다. 4시간 만에 1차 공격에 대한 백신을 만들어 홈페이지에 업로드했고 2차 공격 때는 한국정보보호진흥원(KISA)으로부터 샘플을 입수해 3시간 만에 2차 백신을 만들었다. 그러나 1주일을 통틀어 가장 긴박했던 순간은 9일 3차 공격 때였다.

“원인을 알지 못한 채 흐지부지됐다는 게 알려지면 제2, 제3의 공격이 언제 찾아올지 모릅니다. 원인이 밝혀질 때까지 계속 일해야죠. 그래도 밤샘 회의 중인 새벽 1시쯤 딸이 ‘아빠 힘내세요’라는 문자메시지를 보내 힘이 납니다.”

“방어 어려워 별도서버로 막아”
신속대응 선방, 이준호 NHN 보안정책실장

“이번 것은 좀 수상한데요.” 7일 오후 6시 퇴근을 한 시간도 채 남기지 않은 시간, 이준호 NHN 보안정책실장에게 보안관제팀의 전화가 걸려왔다. 하루에도 수십 차례 디도스 공격의 징후가 발견되지만 이번 것은 좀 심각해 보인다는 내용. 네이버 메일 및 블로그 사이트가 디도스 1차 공격 대상으로 밝혀졌다. 그날 오후 8시쯤 긴급회의가 열렸다. 보안담당자는 물론이고 공격을 받은 e메일 서비스 개발 담당자까지 모두 모였다. 이 자리의 결론은 “방어가 어려우니 아예 별도의 서버를 설치하자”는 것이었다.

“원시적인 방법일지 몰라도, 서버를 교체하고 증설하는 것이 가장 빠른 대응 방법이었죠. 그 덕분에 ‘선방’할 수 있었답니다.”

그날 오후 11시쯤 새로운 e메일 서버 설치가 완료됐다. 정부가 주의 경보를 발령하고 대응에 나선 것보다 네 시간쯤 앞선 빠른 대응이었다. 덕분에 다음 날인 8일 오전 일부 장애가 발견되긴 했지만 이번 위기를 큰 문제없이 넘겼다는 평가를 받고 있다.

“투자와 인력이 부족한 중소 웹사이트의 경우 이번과 같은 디도스 공격에 취약할 수밖에 없습니다. 일반 PC 이용자들이 백신 설치와 같은 최소한의 의무를 다하는 것이 무엇보다 중요합니다.”

“첩보 파악에 퇴근-잠 반납”
해커 추적, 안찬수 경찰청 사이버테러팀장

7일 사건 발생 후 사이버테러대응센터 안찬수 팀장(37)에게 퇴근은 없었다. 태어난 지 3주밖에 안 된 둘째 아들은 볼 수 없었고 출산 후 회복이 안 된 아내를 돌봐주지도 못했다. 잠을 잘 시간도 없지만 사이버테러대응센터 요원 대부분이 퇴근을 못하고 작업을 하다 보니 잠을 잘 공간도 마땅치 않다.

하지만 그보다 더 어려운 점은 수사에 있었다. 좀비PC를 분석하는 일도 어렵지만 확보하는 것도 간단하지 않다. “영장을 가져오라”거나 “정복경찰이 아니면 못 믿겠다”며 좀비 PC를 내주지 않는 이용자도 있었다.

사건이 터진 뒤 좀비PC의 IP주소를 확인하는 과정에서 조회가 늦어진 것은 경찰 수사의 아쉬운 점으로 꼽힌다. 현재는 확보된 좀비PC를 분석하고 업데이트 서버에 대한 국제 공조 수사를 통해 최초 유포지를 추적하고 있다. 그는 우리 누리꾼들이 ‘액티브X’ 이용 등 다운로드 문화에 너무 익숙한 나머지 감염에 손쉽게 노출되는 점은 문제라고 지적했다.

“해커들은 범죄의 흔적을 감추려고 하는데 우리는 그들의 허점을 찾는 데 전문가죠. 앞으로 디도스뿐만 아니라 사회적으로 혼란을 주는 사이버 대란에 더 신속하게 대처하겠습니다.”

“새로운 디도스공격 대비를”
숙주사이트 찾아낸 류찬호 KISA 팀장

“소강상태요? 아직 경보 발령 상태가 ‘주의’에서 내려가지 않았습니다.”

KISA 인터넷침해사고대응지원센터 분석예방팀 류찬호 팀장은 1주일째 집에 들어가지 못했지만 쉬고 싶다는 말 대신 “긴장을 늦추면 안 된다”고 말했다. 그는 10일 디도스 3차 공격의 핵심인 컴퓨터 하드디스크 공격의 악성코드 유포지를 찾은 주인공. 일명 ‘숙주 사이트’라 불리는 총 19개국 92개의 인터넷주소(IP)를 찾아내고 차단해 상황이 더 악화되는 것을 막은 것이다.

“디도스 공격은 늘 있었습니다만 이렇게 사회적으로 큰 문제가 된 것은 처음입니다. 그만큼 디도스 공격 기술이 몰라보게 달라진 것입니다. 이제 특정인이 아닌 우리 모두가 피해자가 되는 시대라는 걸 느꼈습니다.”

류 팀장은 이번 대란을 겪으며 “초기 대응이 미흡했다”는 따가운 목소리도 들었다. “디도스 공격은 예고 없이 일어날 수 있다는 것을 알게 됐죠. 당장 내일 나타날 또 다른 사이버 공격에 대처할 수 있도록 새로운 대응체계를 구축하고 기술력을 확보하는 게 무엇보다 필요합니다.”

김범석 기자 bsism@donga.com

김용석 기자 nex@donga.com

유덕영 기자 firedy@donga.com