안철수연구소 대표 "성수대교 무너진 것과 마찬가지"
"15년간 겪은 최악의 사이버테러"
안철수연구소 김홍선 대표이사는 9일 이번 분산서비스거부(DDoS) 공격에 대해 "15년간 보안업계에서 일하는 동안 겪은 최악의 사이버테러"라며 "피해규모가 1999년 CIH바이러스 사건보다 커질 수 있다"고 말했다.
김 대표이사는 이날 서울 여의도 본사에서 가진 연합뉴스와 인터뷰에서 "앞으로 바이러스와 해킹 공격의 매개체가 PC 뿐 아니라 IPTV, 인터넷전화도 될 수 있다"며 "이번이 우리사회가 보안 인프라를 갖출 마지막 기회"라고 강조했다.
다음은 김 대표이사와의 일문일답.
--이번 DDoS 공격 양상이 기존과 어떻게 다른가.
▲굉장히 조직적이고 집요하게 설계됐다. 동시다발적으로 여러 군데 목표를 바꾸는데다 심어진 악성코드도 굉장히 복잡하게 구성됐다. 지능적이고 기술적이다.
15년간 보안업계에서 일하는 동안 겪은 최악의 사이버테러다. 만약 좀비 PC가 내부 시스템 파괴를 일으킬 경우 1999년 국내 110만대 가량의 PC를 감염시킨 CIH 바이러스 사건보다 큰 피해가 날 수 있다.
현재 감염PC의 규모도 파악되지 않는다.
--C&C서버로 원격조정되지 않는다는 점에서 구식이라는 지적도 있는데.
▲원격조정하면 추적되니까 일부러 방식을 바꾼 것이다. 결코 구식이 아니다. DDoS 공격 패턴은 기존과 크게 다르지 않은데 좀비PC 규모와 악성코드 설계구조를 보면 오랜 기간 준비된 것 같다. 1인 해커라기보다는 조직적인 것으로 보인다.
--상당수 사이트가 보안장비를 갖추고도 피해를 입었는데.
▲DDoS 공격은 하드웨어 보안장비만으로는 막을 수 없다. DDoS 공격으로 정보 유출 피해가 없다는 점에서 다른 해킹보다 단순하다고 생각하는데 이번처럼 스케줄을 잡아서 진행되는 DDoS 공격은 대응이 쉽지 않다.
공격 패턴을 분석해 실시간으로 대응하지 않으면 안 된다. 실시간 관제 시스템이 필수적이다. 주소(URL) 우회 방식도 임시방편일 뿐이다.
보안업체로서 최선을 다하고 있다. 민간업체인데 무료로 백신을 배포하고 있지 않느냐. 악성코드의 다음 스케줄을 분석하느라 직원들이 밥도 못 먹고 일하고 있다.
--변종은 몇 종이나 되나.
▲URL 리스트만 조정하는 줄 알았는데 아니었다. 1.2차 악성코드는 겹치는 부분도 있지만 다른 부분도 있다.
어떤 형태로 변형될지, 여러 개 파일이 나눠서 작동하기 때문에 파악에 시간이 걸린다.
--앞으로 공격이 어떻게 진행되나. 3차 리스트 공개 뒤 공격 목표가 바뀔 가능성은 없나.
▲현재로서는 알 수 없다. 언제까지 계속될지도, 글로벌로 발전할까 걱정된다. 우리 관측으로는 DDoS 공격 악성코드는 분명히 국내에서만 발견됐다. 좀비 PC를 망가뜨릴 조짐이 있나 주시하고 있다.
공격 목표도 바뀔 수 있다. 공격의 방향이나 시나리오는 기술적으로 판단하기가 쉽지 않다.
--3차 이후 공격은.
▲스케줄러에는 없었다.
--우리 사회의 보안의식을 어떻게 보나
▲이번 DDoS 공격은 성수대교 무너지는 것과 같다. 민항기를 빼앗아 빌딩을 무너뜨린 9.11 테러와 다를 게 없다. PC와 웹서버 취약점을 방어할 보안 인프라가 갖춰지지 않은 것이다. 하지만, 우리 사회는 사이버테러를 심각하게 생각하지 않는다.
선진국은 정부 IT예산의 5∼12%를 보안에 배정하는 데 우리는 1%도 안 된다. 보안전문가도 부족하다.
앞으로 바이러스와 해킹 공격의 매개체가 PC 뿐 아니라 IPTV, 인터넷전화도 될 수 있다. 이번이 우리 사회가 보안 인프라를 갖출 마지막 기회가 아닐까 생각한다.
김 대표이사는 이날 서울 여의도 본사에서 가진 연합뉴스와 인터뷰에서 "앞으로 바이러스와 해킹 공격의 매개체가 PC 뿐 아니라 IPTV, 인터넷전화도 될 수 있다"며 "이번이 우리사회가 보안 인프라를 갖출 마지막 기회"라고 강조했다.
다음은 김 대표이사와의 일문일답.
--이번 DDoS 공격 양상이 기존과 어떻게 다른가.
▲굉장히 조직적이고 집요하게 설계됐다. 동시다발적으로 여러 군데 목표를 바꾸는데다 심어진 악성코드도 굉장히 복잡하게 구성됐다. 지능적이고 기술적이다.
15년간 보안업계에서 일하는 동안 겪은 최악의 사이버테러다. 만약 좀비 PC가 내부 시스템 파괴를 일으킬 경우 1999년 국내 110만대 가량의 PC를 감염시킨 CIH 바이러스 사건보다 큰 피해가 날 수 있다.
현재 감염PC의 규모도 파악되지 않는다.
--C&C서버로 원격조정되지 않는다는 점에서 구식이라는 지적도 있는데.
▲원격조정하면 추적되니까 일부러 방식을 바꾼 것이다. 결코 구식이 아니다. DDoS 공격 패턴은 기존과 크게 다르지 않은데 좀비PC 규모와 악성코드 설계구조를 보면 오랜 기간 준비된 것 같다. 1인 해커라기보다는 조직적인 것으로 보인다.
--상당수 사이트가 보안장비를 갖추고도 피해를 입었는데.
▲DDoS 공격은 하드웨어 보안장비만으로는 막을 수 없다. DDoS 공격으로 정보 유출 피해가 없다는 점에서 다른 해킹보다 단순하다고 생각하는데 이번처럼 스케줄을 잡아서 진행되는 DDoS 공격은 대응이 쉽지 않다.
공격 패턴을 분석해 실시간으로 대응하지 않으면 안 된다. 실시간 관제 시스템이 필수적이다. 주소(URL) 우회 방식도 임시방편일 뿐이다.
보안업체로서 최선을 다하고 있다. 민간업체인데 무료로 백신을 배포하고 있지 않느냐. 악성코드의 다음 스케줄을 분석하느라 직원들이 밥도 못 먹고 일하고 있다.
--변종은 몇 종이나 되나.
▲URL 리스트만 조정하는 줄 알았는데 아니었다. 1.2차 악성코드는 겹치는 부분도 있지만 다른 부분도 있다.
어떤 형태로 변형될지, 여러 개 파일이 나눠서 작동하기 때문에 파악에 시간이 걸린다.
--앞으로 공격이 어떻게 진행되나. 3차 리스트 공개 뒤 공격 목표가 바뀔 가능성은 없나.
▲현재로서는 알 수 없다. 언제까지 계속될지도, 글로벌로 발전할까 걱정된다. 우리 관측으로는 DDoS 공격 악성코드는 분명히 국내에서만 발견됐다. 좀비 PC를 망가뜨릴 조짐이 있나 주시하고 있다.
공격 목표도 바뀔 수 있다. 공격의 방향이나 시나리오는 기술적으로 판단하기가 쉽지 않다.
--3차 이후 공격은.
▲스케줄러에는 없었다.
--우리 사회의 보안의식을 어떻게 보나
▲이번 DDoS 공격은 성수대교 무너지는 것과 같다. 민항기를 빼앗아 빌딩을 무너뜨린 9.11 테러와 다를 게 없다. PC와 웹서버 취약점을 방어할 보안 인프라가 갖춰지지 않은 것이다. 하지만, 우리 사회는 사이버테러를 심각하게 생각하지 않는다.
선진국은 정부 IT예산의 5∼12%를 보안에 배정하는 데 우리는 1%도 안 된다. 보안전문가도 부족하다.
앞으로 바이러스와 해킹 공격의 매개체가 PC 뿐 아니라 IPTV, 인터넷전화도 될 수 있다. 이번이 우리 사회가 보안 인프라를 갖출 마지막 기회가 아닐까 생각한다.
<저작권자ⓒ뷰스앤뉴스. 무단전재-재배포금지>
