지난 2월14일 국내 웹호스팅 업체인 ㅅ기업의 전산 시스템이 갑자기 멈추었다. 인터넷에 연결된 이 회사 서버에 초당 1기가 비트(0과 1로 이루어진 최소 디지털 단위 10만개)가 넘는 데이터가 한꺼번에 밀려들자 컴퓨터 시스템이 데이터를 처리하지 못하고 손을 들어버린 것이다. 이 서버에 접속해 업무를 처리하려던 내부 직원과 외부 고객들은 전산 관리자에게 전화를 걸어 불만을 토로했다.

전산 관리자는 자사 서버에 접속 요구 건수가 짧은 시간 동안 엄청나게 늘어난 것을 발견하고 서비스 거부(Denial of Service, DOS) 공격을 받고 있다는 것을 깨달았다. 이 전산 관리자는 서버 운영을 중단하고 한국정보보호센터에 신고했다. 한국정보보호센터 정현철 연구원은 “시스텝 접속 데이터나 공격에 동원된 외부 서버를 살펴보아야 자세한 내용이 나오리라 보지만 최근 미국에서 야후와 e베이 시스템이 당한 것과 비슷한 서비스 거부 공격을 받았음에 틀림없다”라고 말했다.

지난 2월7일 세계 최대 웹사이트인 야후가 서비스 거부 공격을 받아 3시간 동안 서비스가 중단되고 8일에는 세계 최대 전자 상거래 업체 바이닷컴, 사이버 경매업체인 e베이, CNN, 최대 가상 서점 아마존의 사이트가 잇달아 서비스나 판매가 지연되었다. 인터넷 증권 사이트인 E트레이드닷컴이나 다텍온라인홀딩스도 예외는 아니었다.

국내외 유명 인터넷 업체를 파상 공격하는 서비스 거부는 해킹의 초보 기술에 불과하다. 몇 가지 해킹 도구와 네트워크에 대한 기초 지식만 있으면 실행할 수 있다. 서비스 거부 공격 프로그램(해킹 프로그램)은 해킹 전문 사이트나 인터넷 해킹 동호회에서 어렵지 않게 내려받을(다운로드) 수 있다. 따라서 서비스 업체의 고객 데이터베이스에 접근할 수 있는 고도의 해킹 프로그램을 만들 필요도 없고 네트워크에 대한 전문 지식을 갖출 필요도 없다.

공격 수법은 간단하지만 위력은 엄청나다. 하루 방문객이 1억 2천만 명이고 접속 페이지 뷰(접속한 이가 보는 페이지) 4억6천만 건을 처리하는 야후의 서버도 서비스 거부 공격 앞에서는 속수무책이었다. 더욱이 일단 공격을 받기 시작하면 시스템을 끄지 않고서는 방어할 수단이 없다. 미국 보안·인증 기관인 CERT(www.cert.org)는 서비스 거부 공격 방지와 대처 방안(솔루션)을 제공하고 있지만 실효를 거두지 못하고 있는 실정이다.

서비스 거부 공격을 실행하기 위해서는 몇 가지 단계가 필요하다. 관련 사이트에서 내려받은 해킹 프로그램을 대학이나 연구소처럼 보안 시스템이 취약한 중·대형 서버에 깔아야 한다. 서버를 비롯해 컴퓨터 시스템은 운영 체제나 통신 프로토콜(규격)을 비롯해 갖가지 프로그램이 지시하는 명령에 따라 작업을 처리한다. 따라서 프로그램은 명령어의 집합체라고 볼 수 있다. 프로그램을 채우고 있는 명령어에 따라 순차적으로 작업이 처리(루틴)되면 해킹 프로그램이 제 기능을 발휘하지 못한다. 하지만 프로그램은 완전하지가 않다. 해킹 프로그램은 프로그램의 허점을 파고들어 시스템에 침입한다.

서비스 거부 공격에 사용되는 해킹 수단도 프로그램의 허점을 이용한다. 시스템 사이에 통신 업무를 처리하는 프로토콜(일종의 통신 프로그램)에는 매개 변수라는 것이 있다. 매개 변수는 처리할 용량에 한계가 있다. 이 매개 변수가 감당할 수 없는 엄청난 양의 데이터를 외부에서 집어넣으면 프로그램이 정해진 명령어 순서를 벗어나 엉뚱한 명령어 집합체를 실행한다. 이 엉뚱한 명령어의 집합체가 해킹 프로그램이다.

해커는 시스템에 침투한 해킹 프로그램을 이용해 시스템 관리자(루트) 권한을 접수한다. 시스템에 관해 절대 권한을 갖게 된 해커는 서버에 접속된 컴퓨터(클라이언트)에 해킹 프로그램(마스터)의 지시를 받는 데몬이라는 하위 프로그램을 설치한다. 설치된 해킹 프로그램들은 곧바로 실행되지 않고 시스템 프로그램 안에서 잠복한다. 해커가 명령 내리기를 기다리는 것이다. 같은 방법으로 용량이 큰 중·대형 컴퓨터에 해킹 프로그램을 깔아놓는다. 이 정도면 준비 작업은 일단락.

그 다음 공격 대상을 선정한다. 미국 인터넷 증권 업체인 E트레이드가 공격 목표로 정해졌다고 치자. 해커는 인터넷에 접속한 후 해킹 프로그램이 깔려 있는 서버들에게 E트레이드를 공격하라고 명령한다. 그러면 서버에 숨어 있던 해킹 프로그램이 일제히 활동을 개시한다. 해킹 프로그램은 그 서버에 접속한 모든 컴퓨터(클라이언트) 속의 데몬에게 E트레이드에 접속하라고 명령한다. 이 명령에 따라 컴퓨터들이 일제히 E트레이드에 접속하려 든다. 야후 침략에 동원된 샌터바바라 캘리포니아 대학(UCSB)의 서버에 접속된 수없이 많은 컴퓨터가 일제히 야후 사이트에 접속을 요구한 것과 같다. 공격받은 서버는 폭주하는 접속 요구를 처리하지 못하고 서비스를 중단하고 만다.

서비스 거부 공격에 동원되는 수단은‘스태첼드래트(Stacheldraht;독일 말로는 ‘가시 철사’라는 뜻)’라고 불린다. 이것은 크게 트리누(trinoo)와 TFN(Tribe Flood Network)으로 나뉜다. 트리누는 선마이크로시스템스가 생산하는 중형 서버인 솔라리스 2.x를 공격한다. 솔라리스 서버는 중형 서버 시장에서 가장 많이 팔려나가는 제품으로 알려져 있다. 웬만한 국내 업체들도 솔라리스 서버를 사용하고 있다. 따라서 국내에서 발견되는 서비스 거부 공격은 트리누 방식이 많다.

국내에서는 트리누 방식 성행

국내에서 첫 발견된 서비스 거부 공격 사례도 트리누 방식에 의해 이루어졌다. 솔라리스 서버를 사용하는 ㄱ기관의 시스템 관리자가 지난해 8월10일 자사 서버가 인가되지 않은 사이트에 불법 접속한 사실을 발견하고 한국정보보호센터에 신고해 서비스 거부 공격 사례가 알려졌다. 한국정보보호센터 정현철 연구원은“ㄱ기관의 시스템을 조사한 결과 통신 프로그램이 가진 취약점을 이용해 관리자 권한을 얻은 해커가 트리누 프로그램을 시스템에 설치한 것을 확인했다”라고 말했다. 지난해 10월 국내 한 대학 전산망은 트리누에 감염되어 특정 사이트를 공격하는 데 이용되기도 했다.

트리누는 솔라리스 2.x를 공격하는 데 그치지만 TFN은 IBM이나 휴렛패커드 같은 업체가 생산하는 서버도 공격한다. 따라서 TFN은 진보된 서비스 거부 공격 방식이라 할 수 있다. 지난 2월7∼10일 세계 유명 전자 상거래 사이트를 공격한 것도 TFN 방식으로 알려지고 있다. 공격 방식과 절차는 트리누와 비슷하지만 서버의 종류를 가리지 않고 공격할 수 있어 국내 전자 상거래 업체들도 이에 대한 대비책을 세워야 할 때이다.

서비스 거부 공격에 맞서기 위해서는 스태첼드래트 프로그램을 탐지하고 제거하는 수밖에 없다. 우선 전산망 감시를 소홀히 하지 않아야 한다. 서버가 서비스 거부 공격에 이용되거나 공격받으면 전산망 접속 수가 빠르게 늘어난다. 갑자기 접속 수와 주고받는 정보량이 많아지면 탐지 프로그램으로 통신 프로토콜이 증가하는지를 검사하고, 검사 프로그램을 활용해 해킹 프로그램을 탐지한다. 해킹 프로그램이 탐지되면 제거해야 한다. 한국정보보호센터나 미국 CERT 사이트에 접속해 제거 프로그램을 내려받아 실행하면 된다.

서비스 거부 공격을 막는 방식은 쉽지만 실행하기는 어렵다. 해킹에 이용되는 서버와 공격받는 서버가 다르기 때문이다. 평소 보안 시스템을 제대로 갖추지 않은 교육·연구 기관은 자기 서버가 직접 피해를 보지 않으므로 서비스 거부 공격을 민감하게 취급하지 않는다. 더욱이 야후 해킹처럼 해커가 인터넷에서 접속점을 바꾸어 가면서 공격에 이용되는 서버에 접근하면 해킹의 시발점이 된 컴퓨터를 찾아내기가 쉽지 않다. 세계 최고의 해커 추적 기술을 보유한 미국 연방수사국(FBI)과 국가안전국(NSA)은 사건이 발생한 지 1주일이 지나도록 해커가 처음 이용한 시스템도 찾지 못하고 있는 실정이다.

따라서 중·대형 서버를 갖춘 기관이나 업체에 서비스 거부 공격 프로그램을 막는 보안 프로그램을 설치하거나 정기적으로 시스템을 검사하는 것을 의무화하는 것밖에는 뚜렷한 대책이 없다. 이 방안도 인터넷에 접속한 모든 서버가 함께 움직이지 않으면 효용이 없다. 그러나 일제히 신뢰할 만한 보안 시스템을 갖추라고 강제할 수단은 많지 않다.

국내 전자 상거래 시장은 빠르게 성장하고 있다. 하지만 국내 전자 상거래 사이트들은 서비스 거부 공격에 무방비 상태로 노출되어 있다. 미국 전자 상거래 사이트와 달리 암호화 알고리듬(기계 처리 순서)이 단순한 국내 전자 상거래 사이트는 해커 침입에 취약하다. 뛰어난 해킹 기술을 갖춘 범죄 집단이 국내 전자 상거래 업체의 고객 데이터베이스에 침투했을 때 일어날 파장은 상상하기 힘들 정도로 엄청나다. 사이버 공황이 발생할 우려도 배제할 수 없다. 국내 전자 상거래 업체들이 회원 수와 컨텐츠(내용)를 확충하기 전에 신뢰할 수 있는 보안 시스템을 먼저 갖추어야 한다는 전문가의 지적이 꾸준히 나오는 것도 이 때문이다.

세계 유명 전자 상거래 사이트가 서비스 거부 공격에 노출된 것은, 21세기 정보 산업이 번창하기 위해서 넘어야 할 난관을 해결하기 위해 전세계가 공조하는 계기가 될 수 있고 인터넷 산업의 몰락을 알리는 예언이 될 수도 있다. 다행히 그 선택권은 아직 인간에게 있다.

서비스 거부 공격이라는 간단한 해킹 기술에 의해 세계 유명 사이트가 침해 당한 사례는 인터넷 보안이 얼마나 허술한지를 보여준다