홍석범 팀장 “DDoS 공격, DNS에 집중될 것…대비해야!”
한국의 가장 큰 보안문제는 보안정보 공유채널 없다는 것
국내 보안현실은 한마디로 답답하다는 전문가들이 많다. 자기 것은 공개하지 않고 숨기면서 다른 곳은 어떻게 하는지 궁금해 하는 이율배반적인 모습들이 만연해 있기 때문이다. 공개되고 활발하게 논의가 되지 않고 있기 때문에 비슷한 방법으로 여기저기서 계속 당하는 것이다. 홍석범 씨디네트웍스 시스템팀 팀장도 답답하긴 마찬가지라고 한다. 역삼동에 있는 씨디네트웍스로 찾아가 홍 팀장과 이런저런 이야기를 나눴다.한국의 가장 큰 보안문제는 보안정보 공유채널 없다는 것
◇내 정보는 숨기고 남 것은 알고 싶고=홍 팀장은 “오픈 되지 않는 한국의 보안문화가 가장 큰 문제인 것 같다”는 말로 대화가 시작됐다. “보안이슈나 보안사고가 발생하면 실무에 있는 보안담당자들은 뒤늦게 뉴스를 통해 알게 되는 경우가 많다. 또 해외 사이트나 개인적 친분관계를 동원해 알음알음 정보를 취합하는 경우가 대부분 보안전문가들의 현실”이라며 “알고 싶은 것을 물어볼 때도 없고 모두들 정보 노출을 꺼리고 있어 답답한 상황이다. 정보도 늦고 모르기 때문에 비슷한 공격에 또 당하는 경우가 다반사”라고 한국의 보안현실을 꼬집었다.
보안 때문에 서로 정보 노출을 꺼리는 것이 결국 보안에 득이 되는 것이 아니라 부메랑이 되어 결국 자신에게 피해로 돌아올 수 있다는 것을 모르고 있다는 지적이다.
“예전에 KISA 운영하던 ‘sec-info@’ 라는 대표적인 정보공유 양방향 메일링리스트가 있었다. 활발하게 운영되다 어떠한 이유로 운영이 중단돼 버렸다. 새로운 취약점도 공유하고 해킹당한 기업에서 어떻게 해야 하는지 질문도 올리고 답도 해주는 사이트였다. 800여 명이 회원으로 활동하고 있었고 대부분 보안실무자들이 회원이었다”며 “하지만 지금은 그런 오픈된 사이트가 한국에서는 찾아 볼 수 없다. 모두가 단절돼 있고 소극적이다. 아마 대부분 보안담당자들이 답답함을 느끼고 있을 것”이라고 말했다.
예를 들어 “7.7이나 3.4 DDoS 공격이 발생하면 담당자들은 뉴스를 통해 먼저 접하게 된다. 하지만 뉴스에서는 기술적 정보를 얻기 힘들다. 그리고 내가 가지고 있는 취약점 정보 등 최신 정보를 공유하고 싶은데 마땅히 공유할 수 있는 채널이 없다”며 “해외의 경우 시큐리티포커스나 북아메리카 망운영자 그룹인 나노그(nanog / mailman.nanog.org/pipermail/nanog), 시스코에서 운영하는 NSP, 클로즈드로 운영되는 cymru.org 등 공유할 수 있는 채널들이 다양한데 한국은 몇 개가 있긴 하지만 거의 유명무실하다”고 말했다.
사실 컨퍼런스 같은 경우도 민감한 정보를 공유하기는 무리다. 그냥 수박 겉핥기 식으로 끝난다. 7.7과 3.4 때도 국정원은 국가기관에게만 정보를 공유하고 금융쪽은 자기내들끼리만, 보안업체는 자기 고객사들에게만 민감한 정보를 공유하는 식이었다. 거기에 속하지 않는 기업들은 정보도 없고 무방비로 당할 수밖에 없다. 리눅스와 윈도우를 비교해 봐도 좋다. 리눅스는 오픈해서 같이 취약점도 찾고 정보를 공유하는 반면 윈도우는 폐쇄적이다. 그럼에도 불구하고 보안문제는 윈도우에서 더 많이 발생하고 있는 것만 봐도 알 수 있다.
홍 팀장은 “7.7이나 3.4 때 여러가지 대응방안이 있었다. 각 기관마다 몇가지식만 대응방안을 가지고 있었다. 만약 서로 공유했다면 베스트안이 도출됐을 것”이라며 “서로 의사소통이 안되고 클로즈 돼 있어서 최상의 방안이 나오기 힘든 것이다. 오픈된 정보를 악의적 공격자가 악용할 수 있다는 인식 때문에 오픈과 공유를 꺼리는 것은 어리석은 발상이다. 그런 생각 때문에 너무 많은 것을 잃고 있다. SK컴즈 같은 사고가 SK컴즈에서만 발생했을까. 서로 정보 주고받으면서 최상의 해답을 찾아야 하는데 그렇지 못해 같은 문제로 계속 당하고 있다”고 답답해 했다.
◇공신력 잃어가고 있는 보안 자격증=대화는 자격증 문제로 넘어갔다. 그는 “다른 IT 자격증들은 급수에 따라 어떤 레벨을 따면 어느 정도 수준이라는 것을 공인할 수 있는데 유독 보안자격증은 자격증 취득자라 할지라도 어느 정도 수준인지 판단이 안선다”며 “해당 자격증의 어떤 레벨을 취득하면 이 사람은 이 정도 수준이라는 명확함이 없다. 그런 이유 때문에 보안관련 자격증 무용론이 나오는 것 같다”고 지적했다.
한편 모 보안 실무 자격증은 출제 문제 감수자들이 대부분 교수들이 담당하고 있다. 감수자가 총 6명이면 그 중 4명 정도가 교수들이다.
그는 “사실 교수들이 실무경험이 부족하다. 그럼에도 불구하고 실무적 문제를 감수하고 별 문제없다고 체크한다. 실무자 입장에서 보면 답답할 때가 많다”며 “그래서 문제 출제에서 퀄리티가 떨어지고 있다. 처음 디자인 할 때는 실무 중심 자격증을 만들자는 것이었는데 교수들이 관여하다 보니 처음 취지와는 다른 방향으로 가고 있는 것 같다”고 지적했다.
그래서 실제 기업에서 보안담당자를 채용할 때 보안 자격증 보다는 네트워크 자격증이나 리눅스, 윈도우 자격증 등을 보고 판단하는 경우도 많다고 한다.
또 “자격증이 공신력을 얻으려면 관장 하는 기관이 충분한 리소스를 가지고 있어야 한다. 재정적 지원도 중요하다. 영세하고 전문 담당자도 없다면 문제다. 어떤 경우 담당자가 보안에 대해 잘 모르는 사람이 담당하는 경우도 있다”며 “더욱이 보안이슈는 새롭게 계속 나오고 있는데 출제 문제는 몇 년 전 것을 그대로 사용하는 경우가 많다. 문제 출제에 드는 비용이 만만치 않겠지만 공신력을 유지하기 위해서는 지속적인 관리가 필요할 것”이라고 덧붙였다.
◇중소기업 사무실 보안, 심각한 상황=기업들 보안현실에 대해서도 여러가지 이야기가 나왔다. “최근 개인정보보호법 시행으로 많은 기업들이 보안컨설팅을 의뢰하고 있다. 그래서 중견 중소기업들은 컨설팅을 받고 싶어도 6개월 이상 기다려야 하는 실정”이라며 “모 중견기업 보안관련 자문을 하면서 느낀 것이다. 사무실 보안과 서버 운영 실상을 보니 심각한 상황이었다. 대기업을 제외한 대부분 기업들이 공인IP를 그대로 사용하는 경우가 많았다. 이럴 경우 사무실 내 한 PC가 좀비가 되면 모든 PC가 좀비화되는 것은 시간문제다. 서버보안이나 네트워크 보안 자료는 많은데 중소기업 사무실 보안은 구체적으로 어떻게 해야 하는지 체계적으로 설명해주는 자료들이 부족하다는 것을 느꼈다”고 밝혔다.
100명 정도 규모의 중소기업 사무실에서 필요한 보안조치는 무엇인지 모르고 있는 기업들이 의외로 많다는 것이다. 그는 “실질적으로 사무실 보안은 백신설치가 유일한 방법이다. 하지만 중앙에서 관리하지 않으면 무용지물”이라며 “직원들이 임의로 백신을 끄거나 삭제하지 못하도록 관리하는 것이 중요하다”고 조언했다.
또 “많은 기업들이 서버접속시 공용계정을 사용하고 있다. 서버별로 계정을 관리하기란 힘들기 때문에 주로 공용계정을 사용한다”며 “거기서부터 문제가 발생한다. 사고발생하면 로그를 봐야 하는데 공용계정이라 접근자가 정확히 누군지도 모르는 경우가 태반이다. 반드시 중앙집중 계정관리를 통해 패스워드 정책을 관리해야 한다”고 강조했다.
그리고 “VPN 운영 기업은 주의해야 한다. VPN 정보는 한번 노출되면 그것을 통해 모든 자원에 접근이 가능하다”며 “최근 대기업에서 아이디, 패스워드 이외 추가로 OTP를 도입해 인증을 강화하고 있다. VPN 아이디 패스워드를 알면 사내 모든 정보가 유출될 수 있기 때문에 인증 절차를 투 팩터로 하는 것이 좋다”고 조언했다.
◇DNS가 DDoS 공격의 주요 타깃될 것=DDoS 공격에 대한 그의 견해도 들어봤다. “지금까지 DDoS 공격은 99% 웹에 집중돼 있었다. 그래서 몇번 당한 경험 때문에 웹을 통한 공격은 잘 막고 있다”며 하지만 “DNS를 통한 DDoS 공격에는 현재 무방비 상태다. 공격자 입장에서는 사이트를 마비시키기 위해서는 웹서버 접속이나 DNS를 무력화 시키는 방법뿐이다. 웹 공격이 먹히지 않으면 이제 남은 방법은 DNS 공격이다”라고 경고했다.(사진이미지. www.flickr.com / by The Official CTBTO Photostream)
그는 “지금까지 공격자들이 웹 공격에 집중한 것은 타깃을 직접적으로 공격할 수 있고 즉각적인 효과가 있기 때문이었다. 반면 DNS 공격은 몇십분 혹은 몇시간 뒤 장애가 발생한다. 하지만 이제 공격자들의 선택은 DNS 공격에 집중할 것”이라며 “DNS서버에 UDP플로딩 공격을 가하면 스위치나 라우터 등 백본에서 막을 수 없어 트래픽이 액세스단까지 내려오게 된다. 한 좀비PC에서 평균 30M 공격이 들어온다면 1000대 좀비 PC만으로도 30기가 이상의 트래픽을 발생시켜 액세스단까지 내려오게 되는 것”이라고 설명했다.
이렇게 되면 “7.7과 3.4 공격에서 사용된 좀비 PC는 10만대였다. 만약 10만대 좀비로 특정사이트의 DNS를 공격하면 국내 어떤 사이트도 살아남을 수 없다”며 “현재 호스팅 서비스 업체들은 DNS서버 하나에 몇만개의 도메인을 넣고 사용한다. 이러한 곳에 DNS 공격이 가해지면 국내 대부분 사이트는 초토화될 수밖에 없다”고 말한다.
실제로 얼마전 공격자가 특정 사이트에 DDoS 공격을 가하면서 호스팅 서비스업체에 해당 사이트 도메인을 삭제하라고 협박한 일이 있었다. 호스팅 업체는 처음에는 도메인 삭제를 거부하다 공격자가 DNS에 DDoS 공격을 가하겠다고 하자 바로 해당 도메인을 삭제하고 서비스를 거부한 일이 있었다. 이렇듯 DNS 공격은 향후 국내 인터넷 환경에 가장 큰 위협으로 다가올 전망이다.
홍 팀장은 “현재 국내는 DNS 공격을 막을 솔루션이 없다. 아직 공격이 수면위로 올라오지 않았기 때문이다. 반면 중국과 미국은 DNS 공격을 계속 받고 있기 때문에 이에 대한 대비와 연구를 계속하고 있다”며 “사실 한국의 상황은 살얼음판이다. DNS 공격에 대한 인식이 확산돼야 하고 이에 대한 대응방안도 집중적으로 연구해야 한다”고 강조했다. [데일리시큐=길민권 기자]
■ 보안 사건사고 제보 하기
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★
저작권자 © 데일리시큐 무단전재 및 재배포 금지