최근 3월 4일(3.4 디도스공격) 정부의 주요 기관 및 대기업들의 웹사이트가 2009년 7월 7일(7.7 디도스공격)에 이어 다시 대규모 분산서비스거부(디도스, DDos) 공격을 받았다. 최근의 이러한 가상공간에서의 고도의 전면적 도발은 과거의 보안 파괴와는 다르게 범국가적인 접근과 새로운 형태의 첨단 방어기술을 필요로 하고 있다. 7.7 디도스 공격에서는 115,044대의 좀비를 만들어 청와대, 백안관 등 한국과 미국의 정부와 주요 기업 23개를 공격하였으나 3.4 디도스 공격에서는 116,299대의 좀비로 국내에 있는 40개의 목표 웹사이트를 공격했다.

두 공격에서 우리가 눈여겨 볼 점은 모두 개인들이 파일을 공유하거나 저장하는 P2P사이트를 통해서 악성프로그램이 유포되어 좀비 컴퓨터를 확보한 점이다. 또한 대처를 어렵게 하기 위하여 7.7 디도스 공격에서는 공격명령 C&C서버 없이 공격계획이 자체 내장된 봇(bot, robot의 약자로써 인터네상에서 작동하는 프로그램 로봇임)을 사용하였으나, 이번 7.7 디도스 공격에서는 공격명령 C&C서버를 사용하여 봇을 조종하였다. 한편 지난 7.7 디도스 공격에서는 정부나 민간이 전혀 대비하지 못한 상태에서 실재로 일부 공격이 성공하기도 하였으나 이번 3.4 디도스 공격에서는 모든 공격계획을 사전에 신속히 탐지하고 민관이 체계적으로 대응함으로써 좀비 컴퓨터 725대의 하드디스크가 손상된 것 외에는 피해가 전혀 발생하지 않은 것이 차이를 보인다.

■ 디도스의 탄생
디도스의 개념은 1998년 5-6월경에 미국에서 지하세계에서 비밀리에 한대의 개인용 컴퓨터로 상대방의 웹사이트를 공격하는 것보다 약간 더 나쁜 도구 정도로 개발되었다고 한다. 이후 그러한 기술이 미국 연방정부의 컴퓨터 침해사고대응팀(CERT)에 탐지되어 추적과 감시를 받아오다 2000년 2월 7일부터 11일까지 미국의 야후, 이베이, 아마존, CNN 및 이트레이드 등의 웹사이트를 공격하여 웹사이트를 한동안 정지시킨 일이 발생함으로써 세상의 주목을 받게 된다.

최근의 디도스 공격은 돈이나 개인적 목적보다는 대체로 정치적, 군사적 및 국가적 이해와 관련된 일종의 전자전(Electronic Warfare)으로 발전하고 있다. 2008년 미국의 어는 언론사의 기자가 공개석상에서 중국인과 중국 제품에 대하여 혹평하였다가 웹사이트에 디도스 공격을 받아 아시아로부터의 통신망을 임시로 차단한 적이 있다. 최근 우리나라에 대한 두 차례의 공격의 경우에도 공식적으로 발표된 사실은 없으나 군사 적대적인 상황에서 발생한 것으로 추정되고 있다.

디도스 공격은 현대 정보화 시대의 약점을 이용하여 적은 비용으로 공격 목표에게 최대한의 공포감과 피해를 주는 것이 목적으로써 두 가지 형태로 나누어 볼 수 있다. 컴퓨터가 작동하지 못하게 하고 작업수행 능력을 떨어뜨리는 논리적 파괴 공격과 컴퓨터나 통신망의 자원을 비정상적으로 소비시킴으로써 정상적인 작업요청에 대응하지 못하게 하거나 대응 속도를 급속도로 떨어뜨리는 자원 고갈 공격으로 나누어 볼 수 있다.

■ 디도스의 공격의 기술적 과정
공격자는 크래커(Cracker) 혹은 해커(Hacker)로 불리우기도 하는데 엄밀하게 구분하여 크래커는 악의적인 의도를 가지고 있는 공격자를 말한다. 디도스 공격에서 크래커는 모든 컴퓨터를 일일이 직접 조종하지 않고 사전에 악성프로그램을 퍼뜨려서 컴퓨터의 주인이 모르게 컴퓨터에 악성프로그램을 설치하여 두고 자동화 프로그램을 통하여 동시에 여러 대의 숙주 서버에 명령을 내린다. 악성프로그램에 감염된 컴퓨터는 공격을 위한 좀비가 되어 크래커의 명령에 따라 마치 군대에서 사령관의 지시에 의해 병사들이 전투에 임하는 것처럼 공격에 가담한다.

좀비는 마술사에 의해 넋을 잃고 통제되는 사람이라는 뜻에서 유래하여 크래커에 의해 바이러스, 웜 또는 트로이 목마 등에 감염되어 원격 명령에 따라 악성 임무를 수행하는 주로 개인용 컴퓨터를 말하며 소프트웨어의 시각에서 보면 봇에게 거주공간을 제공하고 있는 셈이다.

좀비 컴퓨터에 숨어 들어간 봇은 인터넷의 가상 공간에서 봇넷(botnet 또는 robot network)을 형성하여 공격을 위한 거대한 좀비 군대가 된다. 일단 좀비 컴퓨터가 되면 주인이 알지 못하는 사이에 대량의 스팸 메일의 발신에 이용되거나 디도스 공격에 이용된다. 또한 공격자가 원할 경우, 컴퓨터에 담긴 정보를 빼내거나 증거를 없애기 위하여 하드디스크를 손상시켜 시스템을 망가뜨릴 수도 있다.

■ 향후의 전망
국내외에서 정보시스템 보안기업들은 이처럼 진보하는 공격기술에 대응하여 앞다투어 해결책을 시장에 내놓고 있다. 대체로 기술적으로는 하드웨어에 프로그램을 탑재하여 자동화된 조기경보 및 퇴치를 기하고 또한 프로토콜 통계분석, 서비스 통계분석, IP 통계분석, 학습기반의 통계분석 등 여러 가지 기법을 적용하고 있다.

앞으로 정보시스템이 더욱 개인중심의 이동공간을 포함한 독립적인 운용환경으로 바뀌는 상황에서 조만간 기존의 유선 뿐만 아니라 무선 정보시스템망도 공격목표가 될 수 있음을 예상해야 한다. 또한 디도스 공격 기술이 아직 성숙되지 않았다고 보는 견해도 있다. 우리의 해결책은 방어의 기술이 공격자의 기술적 진보성과 상상력을 앞서가도록 노력하는 것이다.

앞으로도 통신망사업자(ISP)를 포함한 업계의 수준 높은 방어 노력, 개인들의 조심 그리고 법을 엄격하게 적용함으로써 최소한 국내에서는 악당들의 설 땅을 주지 말아야 한다.

※ 내 컴퓨터가 좀비가 되지 않게 하는 방법

1. 윈도우 및 적용업무프로그램(에플리케이션)의 최신 보안패치를 적용한다. 2. 최신판의 백신을 설치하고 수시로 검사하고 악성프로그램을 실시간으로 차단한다. 3. 인터넷 이용 시 신뢰할 수 있는 기관에서 제공하는 ActiveX 및 기타 프로그램의 경우에만 설치에 동의한다. 잘 모르는 프로그램은 답하지 말고 아예 질문 창을 닫는다. 4. 정품 소프트웨어를 사용한다. 5. 웹하드와 P2P사이트에서 제공되는 공유 화일을 내려 받을 때 반드시 백신으로 검사한다. 6. 인터넷 포털사이트에 가입된 계정의 비밀번호는 문자와 숫자를 조합하여 6자리 이상으로 사용하며 정기적으로 비밀번호를 바꾼다. 7. 발신자가 불분명하거나 수상한 파일이 첨부된 이메일은 열어 보지 않고 지운다. 8. 윈도우에 사용되는 기본공유폴더를 해제하고 공유폴더의 권한을 “읽기”로 설정하고 사용후에는 공유를 해제한다. 9. 메신저 및 트위터, 페이스북 등 SNS를 이용할 때 링크 URL은 믿을만한 곳이 아니면 함부로 클릭하지 않는다. 10. 스마트폰 및 테블릿 PC 사용 시 일반 컴퓨터를 이용하는 것과 동일한 주의를 한다. 11. 사태 발생 시에는 정부의 기관이나 주요 보안업체에서 권고하는 사항을 시행한다.