[경향과의 만남]“디도스 공격은 오프라인의 ‘성수대교 붕괴’와 같아” 2009년7월28일자 경향신문
글 임현주·사진 김정근기자 korearu@kyunghyang.com
ㆍ‘디도스 공격’ 피해예방 주도 안철수연구소 김홍선 대표
지난 7일 저녁 청와대를 비롯한 11개 기관·기업 사이트가 완전 마비됐다.
분산서비스거부(디도스·DDoS) 공격 때문이었다. 누가, 왜, 어떤 목적으로 감행했는지도 모르는 디도스 공격은 사흘 연속 계속됐다.
정부는 뒤늦게 공격이 발생하기 사흘 전인 4일 한·미 양국에서 디도스 공격을 감지했다고 설명했다. 위험 감지 직후 비상대책에 들어간 미국은 한국발 IP를 차단하며 신속한 대응에 들어갔다. 반면 초기대응에 실패한 한국 정부는 우왕좌왕했다. 국가정보원은 특별한 근거없이 북한 배후설 등을 제기하며 ‘사이버 북풍’으로 몰고갔다.
이 과정에서 컴퓨터 보안업체인 안철수연구소는 국정원, 방송통신위원회보다 발빠르게 디도스 공격의 행태 등을 분석해 추가 공격을 예고하는 등 해당 기관의 피해를 줄이는 데 결정적 기여를 했다.
사태 발생 보름을 넘긴 지난 22일 서울 여의도에 있는 안철수연구소 본사에서 김홍선 대표(49·사진)를 만났다. 김 대표는 온라인의 디도스 공격을 오프라인의 ‘성수대교와 삼풍백화점 붕괴’와 비견했다.
- 디도스 공격을 보며 어떤 느낌이 들었습니까.
“참담했습니다. 한국의 인터넷 서비스와 기술은 세계 선진국 수준이지만 보안만 놓고 보면 후진국이나 다름없습니다. 겉은 번지르르하지만 속은 부실공사 투성입니다. 언젠간 무너질 수밖에 없는 그런 상황이었습니다.”
- 3차 공격 예고는 물론 악성코드가 좀비PC의 하드디스크를 포맷시켜 PC를 파괴한다는 사실을 알렸습니다. 분석과정 좀 설명해 주시죠.
“샘플 분석결과 3차 공격 대상이 나왔고, 해당 사이트 관리자들이 미리 알리는 문제에 대해서는 고민을 많이 했습니다. 혹시 오인한 것은 아닌가 걱정도 했죠. 그러나 미리 알고 준비해서 나쁠 것 없다는 결론을 내렸습니다. 그래서 정보를 바로 공개했습니다. 하드디스크 포맷을 한다는 것은 8일 분석한 내용인데 시간은 정확하지 않습니다. 그런데 국정원에서 ‘10일 자정인 것 같으니 확인해달라’는 요청이 왔고, 가능성을 좁혀 분석한 결과 10일 자정이 맞았습니다.”
- 이번 디도스 공격 과정에서 정부의 컨트롤타워 부재(不在)에 대한 지적이 많습니다.
“사이버 보안 사고가 발생했는데 국가 차원의 컨트롤타워가 없다는 것은 홍수 났는데 재해대책본부 없이 재난을 눈 뜨고 지켜보는 것과 다름없습니다. 각 기관별로 정보가 투명하게 실시간 공유돼야 일사불란하게 대처하고, 대응할 수 있는데 조직이 흩어져 있으면서 정보공유도 안되고 서로 각자 확인한 얘기만 발표하다보니 혼란을 더 가중시켰습니다. 재난 대응은 결국 시간 싸움인데, 그 중요성에 대한 인식이 낮은 것 같습니다.”
- 정부는 사이버 대란이 터지면 민간 보안업체가 당연히 나서서 해결해야 하는 것처럼 인식하고 있는 것 같습니다.
“현재 우리나라의 백신 투자 규모는 미국의 20분의 1 수준입니다다. 선진국에서는 1년 예산의 7%를 보안에 투자한다면 우리나라는 1%도 아까워하는 상황입니다. 보안업계에 종사하는 사람들은 기본적으로 ‘공익성’을 최우선시합니다. 한 가지 걱정되는 것은 인력입니다. 정부도, 기업도, 개인도 보안에 대한 관심이 없다보니 인력도 부족합니다. 전부터 항상 얘기했던 것입니다. 디도스 사태가 끝났으니 디도스 장비 하나 사두면 디도스 공격 막겠지라고 하겠지만 결코 그럴 수 없습니다. 보안장비, 디도스 장비로 디도스는 절대 막지 못합니다. 계속해서 변종 디도스가 나오는데, 아직까지 우리는 장비만 교체하고 마련하면 된다는 하드웨어적인 마인드만 갖고 있습니다. 해커는 소프트웨어로 움직입니다. 왜 하드웨어 뒤에 숨겨진 근본적인 문제를 해결하려고 하지 않는지 모르겠습니다.”
- 디도스 대란으로 우리 사회에 보안에 대한 인식이 심어진 것 아닐까요.
“아닙니다. 지금까지 그래왔듯 항상 사고가 터지면 그때뿐입니다. 그나마 다행인 것은 이제 개인이 이용하는 PC가 남에게 피해를 주는 가해자가 될 수 있다는 사실을 인식하게 됐다는 정도입니다. PC는 승용차와 비슷합니다. 승용차는 자기 소유지만 운전하고 도로를 이용할 때는 법과 질서를 지켜야 합니다. PC도 개인 소유지만 인터넷 세상에서는 룰과 에티켓을 지켜야 합니다. 수많은 좀비PC 소유자들도 개인은 아무 잘못 없지만 자신이 소유한 PC가 해킹에 이용돼 남에게 해를 끼칠 수 있고, 범죄에 쓰일 수 있다는 인식을 가져야 합니다.”
- 인터넷 전화, IPTV 등 모든 서비스가 ‘올 IP’ 기반으로 가고 있는데, 그럼 이 모든 게 디도스 공격 대상이 될 수 있다는 말입니까.
“그렇습니다. 생각만 해도 끔찍하지요. 인터넷 보안도 제대로 틀이 잡혀있지 않은데 방송·통신 서비스는 너무 빠른 속도로 올 IP 기반으로 바뀌고 있습니다. 어느날 갑자기 전화가 불통되고, 방송이 안나오고 연결된 네트워크가 모두 마비되는 사고가 발생할 수도 있습니다. 지금은 PC지만 TV, 전화기로 확대되면 이런 것도 모두 공격 무기가 될 수 있습니다. 올 IP기반도 좋고, 중요하지만 IT에 대한 통찰력이 있어야 하는데 소프트웨어 측면은 무방비 상태입니다. 대기업이 아무리 좋은 하드웨어를 만들어도 소프트웨어 기반이 약하면 지금보다 더 심각한 상황이 벌어질 수 있습니다. 최근 글로벌 기업을 보면 CTO 출신 CEO가 많습니다. 그러나 우리나라는 기술자의 소외 현상이 심각합니다. 그중에서도 가장 심한 게 보안 분야입니다. 사회는 과학기술을 기반으로 하는 방향으로 나아가면서 기술을 가진 사람들은 소외되는 이상한 현상이 나타나고 있습니다. IT는 보안이 생명입니다. 보안 없는 기술 개발은 뿌리 없는 나무와 같습니다. 소프트웨어는 겉으로 흉내내서 할 수 있는 분야가 아닙니다.”
- 김 대표는 국내 보안업계에서 CTO 출신으로 CEO가 된 유일한 경우입니다. 지난 1년간 안철수연구소를 이끌어 오면서 성과는 무엇이었습니까.
“가장 가벼운 백신, 진단율 높은 백신을 만들기 위해 노력하고 있습니다. 최근 출시한 클라우드 보안 서비스(ACCESS:AhnLab Cloud Computing E- Security Service)가 그 결과물입니다. 고객이 원하는 제품을 만드는 데 초점을 맞췄습니다. 1995년 직원 3명으로 시작한 안철수연구소는 현재 500명이 넘는 인원이 근무하고 있습니다. 조직이 성장하는 과정에서 관료화된 부분을 개선하기 위해 노력하고 있습니다.”
- 엔지니어 출신으로 기술력을 갖췄는데 척박한 ‘보안’을 택한 이유는.
“처음부터 보안이 돈이 될 것이라고 생각한 적은 없습니다. 엔지니어로 자기가 만든 제품이 다른 사람에게 도움이 되고, 남들이 그 제품을 썼을 때 느끼는 보람은 남다릅니다. 미국 유학시절 담당 교수님이 MIT 출신이셨는데 프로젝트를 수행할 때마다 이론에 그치지 않고 육군, 산업 분야 등 현장에서 뛰는 지인들을 소개해 주셨습니다. 그분들을 통해 도움도 많이 받았고, 기술을 어떻게 적용해야 하는지 깨닫게 됐습니다. 한국 보안시장은 미국이나 일본보다는 척박합니다. 인식도 부족합니다. IT는 빨리 바뀌지만 보안은 인프라만 잘 되어있으면 10년 이상도 쓸 수 있습니다. 인터넷에서 보안은 누구도 책임지지 않습니다. 보안은 지능형 소프트웨어이고, 소프트웨어가 기반이 돼야 한다는 마인드가 필요한데 그 두 가지가 결여되어 있습니다. 또 사람들은 보안은 돈 주고 사서 설치하는 게 아니라는 생각을 갖고 있는 듯합니다. 이 때문에 가짜 백신인지, 진짜 백신인지 모르고 설치하는 경우도 있습니다. 이 모든 것들이 보안사고가 발생하는 이유지요.”
- 보안 산업 발전과 관련해 조언을 부탁합니다.
“다시 한 번 강조하지만 사람이 가장 중요합니다. 일자리 창출은 중소기업이 훨씬 많이 합니다. 그런데 국내 시장에서는 중소기업과 대기업이 평등한 거래를 할 수가 없습니다. 아파트를 건설할 때 큰 건설업체가 하청업체에 일감을 주고, 그 하청업체는 다시 작은 하청업체에 재하청을 주듯 보안시장도 마찬가지입니다. 기업에서 어떤 프로젝트를 준비할 때 눈에 보이지 않는 소프트웨어는 헐값으로 가격을 후려칩니다. 기업이 보안에 투자를 하지 않는 것이지요. 해외에는 수많은 해커들이 있습니다. 1년 후에는 디도스보다 더 엄청난 사이버 재난이 터질 가능성이 있습니다. 사이버 공격 기법은 계속 진화합니다. 하드웨어적인 마인드를 버리고, 보안 전문 인력을 늘리는 데 기업, 정부 모두 앞장섰으면 합니다.”
◇ 김홍선은 누구
안철수연구소 창립자 안철수 박사와 함께 사이버 보안 1세대의 대표 인물이다.
안 박사가 개발한 백신 V3와 김홍선 대표가 개발한 방화벽 수호신은 국내 보안업계의 양대 산맥이다. 김 대표는 서울대 공대 전자공학과 및 동대학원을 졸업한 뒤 보안산업, 보안기술 연구를 위해 미국 유학길에 올랐다. 1990년 퍼듀대 전기공학부 컴퓨터 공학 박사 학위를 취득한 뒤 귀국해 4년 동안 삼성전자 컴퓨터사업부 선임연구원으로 활동했다.
95년에는 시큐어소프트를 설립해 국내 네트워크 보안시장에 국산 1호 방화벽인 ‘수호신’을 선보였다. 당시 수호신은 국내 공공시장의 95%를 석권할 정도로 대성공을 거뒀다. 그러나 2004년 사업 확장 과정에서 경영이 악화돼 결국 9년 동안 맡았던 대표직을 사임했다.
2006년 안철수연구소 기술고문, 2008년 8월 안철수연구소 대표 직무대행을 거쳐 그해 10월부터 대표직을 맡고 있다.
<글 임현주·사진 김정근기자 korearu@kyunghyang.com>
지난 7일 저녁 청와대를 비롯한 11개 기관·기업 사이트가 완전 마비됐다.
정부는 뒤늦게 공격이 발생하기 사흘 전인 4일 한·미 양국에서 디도스 공격을 감지했다고 설명했다. 위험 감지 직후 비상대책에 들어간 미국은 한국발 IP를 차단하며 신속한 대응에 들어갔다. 반면 초기대응에 실패한 한국 정부는 우왕좌왕했다. 국가정보원은 특별한 근거없이 북한 배후설 등을 제기하며 ‘사이버 북풍’으로 몰고갔다.
이 과정에서 컴퓨터 보안업체인 안철수연구소는 국정원, 방송통신위원회보다 발빠르게 디도스 공격의 행태 등을 분석해 추가 공격을 예고하는 등 해당 기관의 피해를 줄이는 데 결정적 기여를 했다.
사태 발생 보름을 넘긴 지난 22일 서울 여의도에 있는 안철수연구소 본사에서 김홍선 대표(49·사진)를 만났다. 김 대표는 온라인의 디도스 공격을 오프라인의 ‘성수대교와 삼풍백화점 붕괴’와 비견했다.
- 디도스 공격을 보며 어떤 느낌이 들었습니까.
“참담했습니다. 한국의 인터넷 서비스와 기술은 세계 선진국 수준이지만 보안만 놓고 보면 후진국이나 다름없습니다. 겉은 번지르르하지만 속은 부실공사 투성입니다. 언젠간 무너질 수밖에 없는 그런 상황이었습니다.”
- 3차 공격 예고는 물론 악성코드가 좀비PC의 하드디스크를 포맷시켜 PC를 파괴한다는 사실을 알렸습니다. 분석과정 좀 설명해 주시죠.
“샘플 분석결과 3차 공격 대상이 나왔고, 해당 사이트 관리자들이 미리 알리는 문제에 대해서는 고민을 많이 했습니다. 혹시 오인한 것은 아닌가 걱정도 했죠. 그러나 미리 알고 준비해서 나쁠 것 없다는 결론을 내렸습니다. 그래서 정보를 바로 공개했습니다. 하드디스크 포맷을 한다는 것은 8일 분석한 내용인데 시간은 정확하지 않습니다. 그런데 국정원에서 ‘10일 자정인 것 같으니 확인해달라’는 요청이 왔고, 가능성을 좁혀 분석한 결과 10일 자정이 맞았습니다.”
- 이번 디도스 공격 과정에서 정부의 컨트롤타워 부재(不在)에 대한 지적이 많습니다.
“사이버 보안 사고가 발생했는데 국가 차원의 컨트롤타워가 없다는 것은 홍수 났는데 재해대책본부 없이 재난을 눈 뜨고 지켜보는 것과 다름없습니다. 각 기관별로 정보가 투명하게 실시간 공유돼야 일사불란하게 대처하고, 대응할 수 있는데 조직이 흩어져 있으면서 정보공유도 안되고 서로 각자 확인한 얘기만 발표하다보니 혼란을 더 가중시켰습니다. 재난 대응은 결국 시간 싸움인데, 그 중요성에 대한 인식이 낮은 것 같습니다.”
- 정부는 사이버 대란이 터지면 민간 보안업체가 당연히 나서서 해결해야 하는 것처럼 인식하고 있는 것 같습니다.
“현재 우리나라의 백신 투자 규모는 미국의 20분의 1 수준입니다다. 선진국에서는 1년 예산의 7%를 보안에 투자한다면 우리나라는 1%도 아까워하는 상황입니다. 보안업계에 종사하는 사람들은 기본적으로 ‘공익성’을 최우선시합니다. 한 가지 걱정되는 것은 인력입니다. 정부도, 기업도, 개인도 보안에 대한 관심이 없다보니 인력도 부족합니다. 전부터 항상 얘기했던 것입니다. 디도스 사태가 끝났으니 디도스 장비 하나 사두면 디도스 공격 막겠지라고 하겠지만 결코 그럴 수 없습니다. 보안장비, 디도스 장비로 디도스는 절대 막지 못합니다. 계속해서 변종 디도스가 나오는데, 아직까지 우리는 장비만 교체하고 마련하면 된다는 하드웨어적인 마인드만 갖고 있습니다. 해커는 소프트웨어로 움직입니다. 왜 하드웨어 뒤에 숨겨진 근본적인 문제를 해결하려고 하지 않는지 모르겠습니다.”
- 디도스 대란으로 우리 사회에 보안에 대한 인식이 심어진 것 아닐까요.
“아닙니다. 지금까지 그래왔듯 항상 사고가 터지면 그때뿐입니다. 그나마 다행인 것은 이제 개인이 이용하는 PC가 남에게 피해를 주는 가해자가 될 수 있다는 사실을 인식하게 됐다는 정도입니다. PC는 승용차와 비슷합니다. 승용차는 자기 소유지만 운전하고 도로를 이용할 때는 법과 질서를 지켜야 합니다. PC도 개인 소유지만 인터넷 세상에서는 룰과 에티켓을 지켜야 합니다. 수많은 좀비PC 소유자들도 개인은 아무 잘못 없지만 자신이 소유한 PC가 해킹에 이용돼 남에게 해를 끼칠 수 있고, 범죄에 쓰일 수 있다는 인식을 가져야 합니다.”
- 인터넷 전화, IPTV 등 모든 서비스가 ‘올 IP’ 기반으로 가고 있는데, 그럼 이 모든 게 디도스 공격 대상이 될 수 있다는 말입니까.
“그렇습니다. 생각만 해도 끔찍하지요. 인터넷 보안도 제대로 틀이 잡혀있지 않은데 방송·통신 서비스는 너무 빠른 속도로 올 IP 기반으로 바뀌고 있습니다. 어느날 갑자기 전화가 불통되고, 방송이 안나오고 연결된 네트워크가 모두 마비되는 사고가 발생할 수도 있습니다. 지금은 PC지만 TV, 전화기로 확대되면 이런 것도 모두 공격 무기가 될 수 있습니다. 올 IP기반도 좋고, 중요하지만 IT에 대한 통찰력이 있어야 하는데 소프트웨어 측면은 무방비 상태입니다. 대기업이 아무리 좋은 하드웨어를 만들어도 소프트웨어 기반이 약하면 지금보다 더 심각한 상황이 벌어질 수 있습니다. 최근 글로벌 기업을 보면 CTO 출신 CEO가 많습니다. 그러나 우리나라는 기술자의 소외 현상이 심각합니다. 그중에서도 가장 심한 게 보안 분야입니다. 사회는 과학기술을 기반으로 하는 방향으로 나아가면서 기술을 가진 사람들은 소외되는 이상한 현상이 나타나고 있습니다. IT는 보안이 생명입니다. 보안 없는 기술 개발은 뿌리 없는 나무와 같습니다. 소프트웨어는 겉으로 흉내내서 할 수 있는 분야가 아닙니다.”
- 김 대표는 국내 보안업계에서 CTO 출신으로 CEO가 된 유일한 경우입니다. 지난 1년간 안철수연구소를 이끌어 오면서 성과는 무엇이었습니까.
“가장 가벼운 백신, 진단율 높은 백신을 만들기 위해 노력하고 있습니다. 최근 출시한 클라우드 보안 서비스(ACCESS:AhnLab Cloud Computing E- Security Service)가 그 결과물입니다. 고객이 원하는 제품을 만드는 데 초점을 맞췄습니다. 1995년 직원 3명으로 시작한 안철수연구소는 현재 500명이 넘는 인원이 근무하고 있습니다. 조직이 성장하는 과정에서 관료화된 부분을 개선하기 위해 노력하고 있습니다.”
- 엔지니어 출신으로 기술력을 갖췄는데 척박한 ‘보안’을 택한 이유는.
“처음부터 보안이 돈이 될 것이라고 생각한 적은 없습니다. 엔지니어로 자기가 만든 제품이 다른 사람에게 도움이 되고, 남들이 그 제품을 썼을 때 느끼는 보람은 남다릅니다. 미국 유학시절 담당 교수님이 MIT 출신이셨는데 프로젝트를 수행할 때마다 이론에 그치지 않고 육군, 산업 분야 등 현장에서 뛰는 지인들을 소개해 주셨습니다. 그분들을 통해 도움도 많이 받았고, 기술을 어떻게 적용해야 하는지 깨닫게 됐습니다. 한국 보안시장은 미국이나 일본보다는 척박합니다. 인식도 부족합니다. IT는 빨리 바뀌지만 보안은 인프라만 잘 되어있으면 10년 이상도 쓸 수 있습니다. 인터넷에서 보안은 누구도 책임지지 않습니다. 보안은 지능형 소프트웨어이고, 소프트웨어가 기반이 돼야 한다는 마인드가 필요한데 그 두 가지가 결여되어 있습니다. 또 사람들은 보안은 돈 주고 사서 설치하는 게 아니라는 생각을 갖고 있는 듯합니다. 이 때문에 가짜 백신인지, 진짜 백신인지 모르고 설치하는 경우도 있습니다. 이 모든 것들이 보안사고가 발생하는 이유지요.”
- 보안 산업 발전과 관련해 조언을 부탁합니다.
“다시 한 번 강조하지만 사람이 가장 중요합니다. 일자리 창출은 중소기업이 훨씬 많이 합니다. 그런데 국내 시장에서는 중소기업과 대기업이 평등한 거래를 할 수가 없습니다. 아파트를 건설할 때 큰 건설업체가 하청업체에 일감을 주고, 그 하청업체는 다시 작은 하청업체에 재하청을 주듯 보안시장도 마찬가지입니다. 기업에서 어떤 프로젝트를 준비할 때 눈에 보이지 않는 소프트웨어는 헐값으로 가격을 후려칩니다. 기업이 보안에 투자를 하지 않는 것이지요. 해외에는 수많은 해커들이 있습니다. 1년 후에는 디도스보다 더 엄청난 사이버 재난이 터질 가능성이 있습니다. 사이버 공격 기법은 계속 진화합니다. 하드웨어적인 마인드를 버리고, 보안 전문 인력을 늘리는 데 기업, 정부 모두 앞장섰으면 합니다.”
◇ 김홍선은 누구
안철수연구소 창립자 안철수 박사와 함께 사이버 보안 1세대의 대표 인물이다.
안 박사가 개발한 백신 V3와 김홍선 대표가 개발한 방화벽 수호신은 국내 보안업계의 양대 산맥이다. 김 대표는 서울대 공대 전자공학과 및 동대학원을 졸업한 뒤 보안산업, 보안기술 연구를 위해 미국 유학길에 올랐다. 1990년 퍼듀대 전기공학부 컴퓨터 공학 박사 학위를 취득한 뒤 귀국해 4년 동안 삼성전자 컴퓨터사업부 선임연구원으로 활동했다.
95년에는 시큐어소프트를 설립해 국내 네트워크 보안시장에 국산 1호 방화벽인 ‘수호신’을 선보였다. 당시 수호신은 국내 공공시장의 95%를 석권할 정도로 대성공을 거뒀다. 그러나 2004년 사업 확장 과정에서 경영이 악화돼 결국 9년 동안 맡았던 대표직을 사임했다.
2006년 안철수연구소 기술고문, 2008년 8월 안철수연구소 대표 직무대행을 거쳐 그해 10월부터 대표직을 맡고 있다.
<글 임현주·사진 김정근기자 korearu@kyunghyang.com>
'기사 > 경제' 카테고리의 다른 글
| 한국 이동통신료, 가격차 줄이려 왜곡 보고 (0) | 2009.08.18 |
|---|---|
| 한국 이동통신료, OECD 평균 ‘훌쩍’ (0) | 2009.08.18 |
| 에릭슨 “15억달러 약속 안했다” (3) | 2009.07.17 |
| “디도스 공격 진원지는 영국아닌 미국 (1) | 2009.07.17 |
| “사이버 공격 진원지는 영국” (0) | 2009.07.17 |