본문 바로가기

벌새::Security

해외 보안업체에서 바라보는 한국의 DDoS 공격

반응형
미국에 위치한 해외 보안업체 SunBelt사에서 최근 한국에서 일어난 DDoS 공격에 대해 언급한 부분입니다.

정확한 의미 전달을 위해서는 해당 원문을 보시기 바라며, 한글 번역을 임의적으로 해 보았습니다.

보안 산업에서 과대 선전(집중적 선전, 미디어 홍보)과 히스테리는 산업 모델의 본질적 요소의 하나로 정상적입니다. 그러나 전쟁을 위한 정당화로 이용되는 부분에 대해서는 무척 우려스럽습니다.

호전적이고 미치광스러운 근접국인 북한 때문에 이미 바늘방석에 앉아 있는 남한은 이번 사이버 공격의 시작을 북한으로 의심하고 있습니다.

그러나 그것은 바보같은 소리입니다.

나는 Bot이 북한으로부터 나왔다는 증거는 조금도 없는 것으로 알고 있습니다. 최초 소스(source) - 미국 플로리다, 독일에 위치한 악성코드 관련 IP - 확인을 통해 진지한 조사를 할 것입니다.

Bot이 60,000~100,000만대의 PC를 통해 DDoS 공격을 시작한 이번과 같은 공격은 보안 세계에서는 사소한 것입니다.

이전에 이런 일이 있었습니다. 러시아 정치인들이 사회 네트워크(인터넷)에 정치적 캠페인을 하면서 DDoS 공격을 사용한 적이 있습니다. 이것은 악성코드 세계에서는 흔한 일입니다.

지하 채널을 통해 누군가가 Botmaster(좀비PC를 컨트롤 하는 공격자)에게 접근할 수 있고 DDoS를 위해 돈을 지불할 수 있습니다. 또는 누군가가 C&C(명령) 서버를 구하여 DDoS 공격을 시작할 수도 있습니다.

미친듯이 보안제품을 구매하기 위해 돈을 낭비할 필요는 없습니다. MyDoom 악성코드는 2004년 1월에 발견되었고 변종 역시 잘 알려진 악성코드입니다. 자신이 사용하는 신뢰할 수 있는 보안제품들을 사용하며 최신 업데이트를 잘 하신다면 잘 진단할 수 있습니다. 그리고 Bot에 수백만명이 감염된 것이 아닌 전체 PC 사용자 중의 0.1% 미만이 감염되었다는 사실도 잊지 마시기 바랍니다.

전체적인 내용은 이번 DDoS 공격을 한국 정부에서 정치적으로 해석하는 것을 경계하면서 일부 인터넷 사용자들의 DDoS 공격에 이용된 악성코드이 특별히 주목할 부분은 아니라고 충고를 해주고 있습니다.

먼저 정치적인 부분을 살펴보면 과거의 경험을 근거로 이미 일부 국가에서는 정치적 목적으로 이용한 사례가 있으므로 아직까지 밝혀진 부분이 없는 것에 대해 단정적으로 해석하는 것을 전쟁으로 연결시키려는 의미로 걱정을 하는 것으로 보입니다.

붓넷은 이미 지하 세계에서는 돈만 주면 누구나 공격자가 될 수 있는 현실을 언급하며 이런 공격이 수시로 발생하는 현상임을 분명히 하고 있습니다. 또한 이번 공격을 통해 불필요하게 다양한 보안제품을 컴퓨터에 설치하는 부분에 대해서도 진정시키고 있습니다.

개인적으로 이번 DDoS 공격이 설사 북한을 통해 일어났다면 국정원에서 사전에 첩보를 입수했으면서 이를 관계 기관에 경고를 통해 알려주지 않고 발생한 후에 발표를 하는 것은 직무유기라고 생각합니다. 즉, 정치적 목적을 가지고 해석을 하고 대응을 하며 피해를 통해 자신들을 정당화하려는 목적이 있다고 생각합니다.

국가를 보호할 본연의 임무를 약간 비틀어서 교묘하게 이용하는 것은 북한만큼이나 정보 기관의 임무를 망각한 것이 아닐까 생각됩니다.

그 외에 NOD32 보안제품으로 유명한 ESET 업체에서 언급한 DDoS 관련 글입니다.

해당 글에서도 보안 전문가를 사이에서는 이번 공격이 북한이라는 부분에 대해서는 이해하기 힘들다는 입장인 것 같습니다.

참고로 국내 보안업체 하우리(Hauri)에서 공개(?)한 이번 DDoS 상세 분석 보고서가 영문으로 작성된 것을 확인하여서 링크(PDF 문서)를 걸었습니다. 관심있는 분들은 참고하시기 바랍니다.

반응형
  • 썬벨트의 글을 읽으면서 제가 다 부끄럽더군요;; 충분히 예측되었던 일에 대처하지 않다가 결국 당한 것인데 요란하게 변죽만 떨면서 정치적인 목적을 위해 사용하는 건 참 안타깝습니다. 정치권에서 앞으로의 대처 방안을 진지하게 모색하는 모습은 거의 찾아보기 힘든게 더 안타깝네요..

  • 진원지가 북한이라는 지금의 언론의 말을 잠시나마 믿었던 제가 다 부끄럽네요;;
    (물론 소문을 부풀린 쇼정도로만 들었지만서도....)

    권력에게 장악당하고 이제 부에까지 장악당하게 된다면,
    우리나라 언론을 믿을 수 있을지 정말 걱정스럽기만 합니다.

    허위보안업체는 이런 사건을 기회로 삼아 마케팅까지 하는걸 보면 가관이더군요 ㅡ.ㅡ;

  • 악성코드를 초기부터 보고 대응해 본 입장으로서..기존의 일반적인 악성코드와는 다른 점이 참 많았던 것이 사실입니다.

    악성코드 내부적인 요소와 기술적인 부분이 일반 악성코드 제작자와는 다소 거리가 있다는 부분이 다르긴 합니다.

    크게 의심되는것은 저 역시 사실이기도 하지만 근거없는 확정은 좀 배제하여야 겠지요.^^

    국정원은 보통 모든 내용을 욕을먹더라도 일반에 공개하지는 않을겁니다.^^ 제가 만나본 국정원 분들은 대부분 그런것 같아요.

    • 지켜야할 비밀이 있지만 반드시 공개해서 사회의 혼란을 막을 의무도 있다고 생각합니다.

      가끔보면 정보기관이 권력을 먼저 생각하는 경향이 있지 않나 생각도 듭니다.

  • 손띵구리 2009.07.11 20:12 댓글주소 수정/삭제 댓글쓰기

    쯔압. 이번 사건이 언론의 상당한 스팟을 받으면서... 컨트롤타워 논의도 자리싸움으로 되지 않을까 염려스럽네요. 머 파리들이 꼬입니다. 국정원발 추정들은 정치적 색칠하기로 보이며 안타깝기만 하고요.

    이미 있었던 30일자 사건까지 추정에 추정으로 넣으면서 열심히 북한 끼워맞추기로 밖에 보이지 않습니다. 그러고 싶을 수 밖에 없어 보입니다.

    그리고 욕을 먹더라도 어떠한 내용인지 모르겠지만, 근거없이 추정으로 이야기하는 것은 일부당의 비공개회의와 특정 언론사 보도는 국정원의 정치개입으로 밖에 보이지 않습니다. 국정원의 민간사찰과 정치 개입 등은 국정원장 퇴출감입니다.

    • 북한이 했을수도 있죠. 단지 문제는 누가 근거없이 주장하면 고소하면서 누구는 객관적 증거를 제시하지 못하면서 또 다른 혼란을 야기하는 것도 좀 웃기다고 봅니다.

  • 트랙백을 보낼 수 없다고 나오네요^^:

  • DDoS 공격이 국정원 자작극이 아닐가 생각해 봅니다. 물론 국정원과 동일 지능 수준에서 판단했을때 말이죠... ㅎㅎ
    정치적 이용 의도가 없었고 객관적인 자료를 토대로 한 것이라면, 벌새님 말씀처럼 반드시 확실한 증거를 공개해야 할 듯 합니다.^^
    아무튼 이거 완전 국정조사 대상인 것 같습니다.

    • 재미있는 상상은 만약 이번 공격이 다음, 민주당, 진보신당 등의 사이트를 중심으로 이루어졌다면 쉽게 저런 말이 나왔을지 궁금합니다.

  • 손띵구리 2009.07.12 00:24 댓글주소 수정/삭제 댓글쓰기

    물론 북한 가능성을 배제하자고 말하는 것은 아닙니다. 온전한 사람이 아니겠지요. 민주당, 진보신당 중심 공격은 받지 못하였지만 다음은 2차 공격대상이었던 것 같네요.

    추정에도 나름 근거를 제시하면서 추정하겠지요. 그 추정의 근거들이 너무도 미천한 논거이거나 설득력이 없어 그렇습니다. 한국내 관공서 서버주소까지도 (잘) 알고 있다는 것을 넘어가지 않네요.

    헤더에 한국어 인코딩이 들어있다거나, 하나워드 확장자로 관공서 문서 파기 대상이었다거나... ㅋㅋ
    이러한 근거는 이미 한국 관공서를 공격했으니 북한 추정이다라는 것에 묻어가고도 남는 근거지요. 이미 과잉된 언론 초점에 과거 사건비추어 신중하자는 반면 그러하지 못하고 소스를 제공하는 곳도 있나봅니다. ㅋ

    그리고 수사기관에서의 추정이라면 범인을 잡기 위해 나와야 할 것 같기도 한데... 과연 언론에 흘려놓은 국정원발 자기내 추정들이 범인 잡는데 도움이 되기나 할까란 생각이 듭니다.

    차라리 그런식 추정이라면,예네들 진짜 메세지는 'Memory of the Independence Day' 이게 아닌지. 난 왜 미국내 자본주의 회의와 함께 영국 중앙은행 해방된 독립일을 기념하는 자국내 어둠의 세력이 아닌지. 추정은 하지만 물론 근거는 없습니다. ㅋ