[칼럼]디지털 페스트

일반입력 :2010/03/07 19:33

전상훈
전상훈

디지털 페스트라는 용어는 존재하지 않는다. 비유적인 의미에서 사용된 용어라고 할 수 있다. 빠른 전염속도와 중세 유럽에서 공포에 가까운 치명적인 상황까지 밀어 넣은 전염병과 같은 상황에 인터넷이 놓여져 있음을 비유하고자 2008년 5월에 처음으로 디지털페스트라는 제목으로 블로그에 글을 쓴 적이 있다.

왜 디지털 페스트인가?

접촉에 의해 무차별적으로 감염되고 인터넷에서 생활을 치명적인 상황으로 몰고갈 수 있을 뿐더라 인터넷으로 촉발된 문화와 경제활동에 치명적인 영향을 주기 때문에 디지털 페스트라 할 수 있다.

중세와 달라진 것은 없다. 단지 활동 무대가 실제 생활이 아닌 인터넷으로 옮겨졌을 뿐이다. 인터넷은 앞으로도 실제 생활과 밀접한 연관을 가질 수 밖에 없고 그런만큼, 영향력은 더욱 커질 것이다. 보안 위협에 따른 위험성도 높을 수 밖에 없다.

2008년 5월 디지털 페스트에 대해 언급한 것은 그전에 있었던 전 세계적인 웹서비스 변조 사건과 맞물려 있다. 세계적으로 50만대에 달하는 웹서비스가 변조를 당해 악성코드를 유포한 사례는 치명적인 결과를 초래 할 수 있으며 앞으로 그 결과를 목격하게 될 수밖에 없음을 밝힌 바 있다. 이제 그 빙산의 일각을 만나보자.

2010년 3월 스페인에서 발견된 사상 최대의 봇넷 조직과 관련한 기사를 보면 1800만대의 PC에 설치된 악성코드를 원격에서 조정 할 수 있으며 이 모든 악성코드들은 개인PC에 대한 원격조정뿐 아니라 계정, 비밀번호와 같은 키 입력을 가로채고 모든 권한을 수행 할 수 있는 기능이로 알려져 있다.

현재 출현하는 대부분의 악성코드가 가진 특성과 동일한 특징을 가지고 있다. 운영자는 3~4명으로 알려졌고 적발 당시 80만명에 해당하는 개인정보들이 발견됐다. 다른 기사에서는 이 그룹들은 1800만대의 PC중의 일부들을 임대해 주고 비용을 받기도 했다고 한다.

1800만대의 좀비 PC들은 포춘 1000대 기업 리스트의 절반에 해당하는 기업들과 40개 이상의 메이저 은행들의 네트워크에도 존재 하고 있었다고 한다. 공격자들이 과연 신비로운 기술을 이용해 1800만대의 PC를 감염시키고 운영했을까?

간략한 기사를 통해 우선 인식해야 될 부분들은 몇 가지가 있다.

규모적인 측면에서 1800만대에 해당하는 좀비 PC들의 네트워크를 어떻게 가질 수 있었느냐 하는 것이고 이 거대한 규모를 3~4명 정도가 운영 하고 있었다는 점 그리고 부분적인 임대를 통해 수익을 추구했다는 점이 가장 큰 특징으로 볼 수 있다. 개인정보의 전면적인 유출은 규모를 추산하기 어려울 정도이다.

그렇다면 1800만대를 어떤 방식으로 감염 시킬 수 있었는가 하는 점을 살펴 보아야 하고 보안 설정과 장비들이 고도로 도입된 세계적인 기업들과 폐쇄적 네트워크 환경을 갖춘 은행권에는 어떻게 침입과 전파가 가능했는지도 궁금해 해야한다.

일반적인 바이러스와 웜의 형태로는 1800만대라는 규모를 감염 시키기가 매우 어렵다고 볼 수 있다. 무작위적인 바이러스와 웜 전파 형태는 반드시 주요 감시망에 걸리기 마련이고 대규모로 확산 하는 것이 매우 어렵다. 그렇다면 유포나 전파 방식은 어떤 방식을 썼을까?

필자가 보는 방식은 다양한 제로데이 익스플로잇을 통하는 것과 불특정 다수에 대한 감염을 가능 하게 할 수 있는 웹 서비스를 통한 전파가 복합적으로 일어 날 때 가능할 것으로 보고 있다.

모든 문제점들이 공개적으로 논의 되지는 않는다. 문제가 있는 부분은 일정기간을 거쳐 패치나 보완 형식을 통해 문제점이 제거가 된다. 단 문제가 알려졌을 때만 가능하다. 문제가 알려지지 않는다면 또 발견되지 않는다면 계속 진행이 된다.

위의 참고 이미지는 2008년 4월에 작성한 개요를 나타내고 있다. 이 당시의 50만대 가량의 웹서비스 변조 이슈가 향후 어떤 문제를 초래 할 수 있고 어떤 영향을 미칠 수 있는지에 대한 문제의식은 높지 않았고 지금도 별반 달라지지는 않았다. 조금 더 많은 사람들이 알아가고 있는 중이라는 의미 외에는 특별한 교훈도 주지 못한 상태이다.

순서적으로 대량 SQL 삽입 공격 (Mass sql injection) 공격을 통해 무차별적으로 웹서비스를 해킹을 하여 악성코드를 유포 하도록 하고 이 악성코드는 제로데이(Zeroday) 공격코드를 포함하도록 한다. 그리고 웹서비스를 방문하는 모든 사용자들은 감염이 된다. 이후에는 공격자가 운영하는 봇넷에 연결이 이루어 지고 그 이후에는 모든 개인적인 비밀을 잃어 버린 좀비의 상태가 된다.

2008년의 상황과 달라진 상황들도 현재의 악성코드 유포 현황을 관찰해 보면 존재 하고 있다.

현재 관찰되는 바로는 공격자들도 다운로드 되는 악성코드를 실시간으로 관찰하고 변경 하는 것을 볼 수 있다. 신규 악성코드 유형이나 제로데이 취약성이 발견되면 불과 몇 시간 내에 다운로드 되는 악성코드의 특징이 바뀌고 있다.

이것은 실시간으로 운영이 되는 유포 관리 봇넷이 별도로 관리되고 있음을 의미 한다. 공격자들의 진보는 상당히 빠르게 움직인다. 일반 웹서비스를 침입해 특정 악성코드만을 다운로드 되게 하는 방식을 벗어나 유포되는 악성코드도 실시간으로 변경 하도록 구성되어 있다고 확신 한다.

유포관리 소규모봇넷 -> 악성코드 다운로드 서버 -> 악성코드 유포 서비스 -> 일반 사용자로 이어지는 코스다. 일반사용자 PC에 설치된 악성코드들은 대규모 봇넷으로 다시 활용이 된다.

악성코드를 유포하는 서비스를 구축하기 위해 대량 공격을 감행하고 다운로드 하는 서버의 주소를 페이지 소스에 추가 시킨다. 공격자들은 다운로드 서버에 올려지는 악성코드를 실시간으로 관리하면서 변경을 한다. 즉 새로운 공격은 공격코드가 출현하면 3~12시간 이내에 업데이트가 발생 되게 되고 일반사용자들에게도 직접적인 영향을 미치는 구조를 가지고 있다. 모든 악성코드는 이제 단 하루 정도면 갱신이 되고 업데이트 및 배포 구조를 가질 수 있는 상황인 것이다.

보안장비 및 보안도구들 조차도 하지 못하는 구조를 이미 구축한 상황에서 인터넷 자체는 심각한 상황에 처해 있음은 두말 할 필요가 없다. 디지털 페스트는 이미 현실에 깊숙이 들어온 형국이며 1800만대라는 수치도 빙산의 일각일 뿐이다. 규모 보다 봇넷 그룹을 운영하는 자들은 얼마나 많을 것이며 중복된 봇넷 이외에도 얼마나 많은 수치의 봇넷이 존재 할지는 상상하기 어렵다.

악성코드를 유포할 수 있는 대규모 공격도구를 갖추고 인터넷 서비스를 공격하며 무차별적으로 악성코드를 사용자들에게 유포한다. 스마트폰 이나 IPTV등을 가리지 않고 인터넷을 보거나 연결이 되어 있는 대부분의 기기들에게도 동일한 위험성이 존재한다.

인터넷에 연결 되어 있으면서 위험으로부터 안전한 기기는 존재하지 않는다. 지금껏 문제가 발생 되지 않은 소프트웨어들은 존재하지 않으며 안전한 운영체제도 존재하지 않는다. 이것은 현실이다. 디지털 흑사병은 그 전파력만큼이나 심각성이 높으며 앞으로 영향력은 더 커질 것으로 예상 할 수 밖에 없다.

2년 전의 위기감은 그리 멀지 않은 미래에 현실화 될 수 밖에 없다는 위기감이나 막상 현실에 도달한 상황에서는 개인으로서 어찌 할 수 없는 현실에 좌절감을 느낄 뿐이다.

대책은 짧게 세 가지 정도의 큰 줄기를 가진다.

-웹애플리케이션에 대한 취약성 제거

-멀웨어 유포에 대한 신속한 협의체 구성: 협의체 구성도 해당 되지만 통일된 프로세스 및 대응체계를 만드는 것이 가장 중요하다. 2010년 들어 미국의 백악관에서 아인슈타인2 라는 일괄 대응이 가능한 장비를 전 기관에 배포 하는 움직임도 동일한 관점의 노력이다. 아직 그 누구도 제대로 시작하지 못했다.

-서비스 단위 정보유출 방지를 위한 노력

대책은 빠를수록 좋다. 이 대책 조차도 2008년에 작성한 글에 존재하고 있다. 디지털 페스트라는 글에서 작성된 내용을 간략하게 아래에 인용한다. 원문은 블로그를 참고 하시면 된다.

아무도 없는 길에서의 외로움은 상상 이상이다. – 바다란

*본 칼럼 내용은 본지 편집방향과 다를 수 있습니다.

전상훈 IT컬럼니스트

보안컬럼니스트, 빛스캔 기술이사, 시큐리티 기반한 미래 예측과 전략, 근본적인 문제해결을 위한 방안.