[글 신동휘 스틸리언 연구소장]
[편집 최형주 기자]

보안 시장은 사고를 기반으로 발전하고, 도약하는 시장이다. 다시 말해 보안 영역에 필요한 제품 및 기능 개발은 발생한 사건/사고를 기반으로 만들어진다. 그러나 이 같은 현상이 나쁜 것은 아니다. 보안이라는 영역은 100%를 담보하는 것이 불가능에 가깝고, 비용 투자가 적을 수밖에 없다. 본 고에서는 주요 네트워크 사고 사례를 중심으로 보안 시장에 어떤 보안 기술이 등장했는지 알아본다.

1.25 인터넷 대란이 가져온 PMS 시장의 성장

‘1.25 인터넷 대란’은 국내 보안 시장에 네트워크 보안에 대한 경각심을 불러일으킨 사건이다. 2003년 1월 약 9시간여 정도 인터넷 접속이 불가능했던 이 사건의 1차 원인은 슬래머 웜(Slammer Worm) 공격이었지만, 피해를 키운 것은 늦은 서버 시스템 패치였다.

당시 시스템 관리자들에게 패치란 귀찮은 작업으로 인식 됐는데, 패치 시스템이 오늘날처럼 제대로 갖춰지지 않아 환경 자체도 불편했다. 1.25 인터넷 대란은 패치 관리 시스템(PMS)의 발전으로 이어졌고, 이후 PMS 시장은 성장을 거듭해 자동으로 패치를 적용하는 시스템과 프로토콜이 많은 시스템에 적용됐다.

PMS 프로토콜을 살펴보면 중앙에 올려놓은 패치를 클라이언트가 가져가 자동으로 패치하는 방식으로 동작한다. 따라서 많은 이들이 관리자 권한으로 원하는 프로그램을 다운로드 받아서 실행하는 프로토콜을 사용하고 있었는데, 이는 악성코드 중 다운로더(Downloader)와 동일한 프로토콜이다.

다시 말해 PMS라는 시스템의 관리도 최신 패치를 설치하는 것만큼이나 중요하다는 것이다. 만약 공격자가 PMS 시스템 권한을 탈취한다면 PMS 클라이언트를 대상으로 하는 원격 코드 실행 취약점을 찾은 것과 마찬가지다. 이 같은 프로토콜의 오류는 이후 언급할 ‘3.20 사이버 테러’ 또는 ‘네이트 개인정보 유출 사고’의 원인이 되기도 했다.

디도스(DDoS) 공격과 Anti-DDoS

7.7 DDoS, 3.4 DDoS, 10.26 선거관리위원회 DDoS, 3.20 사이버 테러 등의 사고에서 공통적으로 등장하는 단어는 DDoS(Distributed Denial of Service)다. 일련의 사건들로 대중에도 널리 알려지게 된 이 공격 기법은 보안 시장에 큰 변화를 가져왔다.

특히 DDoS 공격은 사용자가 정상적인 서비스를 제공받지 못하므로, 일반적인 사이버 공격과 다르게 사용자가 직접적으로 체감할 수 있다. 이에 정부와 업계는 DDoS 공격에 효과적으로 대응하기 위한 네트워크 보안 제품을 구축하기 시작했다.

위 사고들에서 사용된 DDoS 공격 기법은 네트워크 대역폭을 고갈시키는 방식이 아닌 가용한 세션을 소모하는 방식과 애플리케이션의 오류를 악용했다. 그러므로 L4에서 확인할 수 있는 정보만을 이용한 방화벽 기반의 대응 체계와 대량의 트래픽 처리에 최적화되지 않은 장비들은 자연스럽게 한계를 드러냈다.

이에 대한 자세한 이해를 위해서는 세션에 대해 알아야 한다. 세션이란 사용자가 서비스에 접근할 때 서버에서 할당하는 자원이다. 다른 IP에서 서버에 접근하면 서버는 사용자에게 새로운 세션을 할당한다. 애플리케이션에서 자원을 할당하고 할당된 자원의 반납을 잊거나 자원의 반납에 시간 여유를 주기도 한다. 할당된 자원이 반납되기 전에 다시 요청이 오면 반납하지 않은 자원을 재활용하는 것이 효과적이기 때문이다.

그러나 이는 자원에 대한 요청이 정상적일 경우에만 해당된다. 비정상적인 자원 요청의 경우 할당과 반납이 원활하게 이루어지지 않으면, 할당보다 반납의 주기가 짧기 때문에 가용 자원의 범위를 넘어서는 경우가 발생한다. 네트워크 세션 관리에 존재하는 이 같은 문제를 악용한 것이 앞서 언급한 DDoS 사고 사례들이다.