[인터뷰]호세 나자리오 박사 “한국DDoS 원인 중국 봇넷”

전 세계 네트워크 트래픽 모니터링으로 확인

이번 14일 막을 내린 KISA 해킹방어대회 컨퍼런스에는 많은 외국 보안전문가들이 참석해 국제적인 보안 동향과 최신기술을 발표했다. 보안뉴스에서는 DDoS 공격과 봇넷, 웜, 소스코드분석 툴, 데이터 마이닝 등에 관한 연구로 전 세계 인터넷 트렌드 연구에 상당한 영향을 끼치고 있는 아버네트웍스의 호세 나자리오 박사를 만나봤다.

그는 아버네트웍스에서 인터넷 보안 위협 분석과 악성 코드 리버스 엔지니어링, 소프트웨어 개발, 보안 메커니즘 개발을 담당하고 있다. 나자리오 박사는 블랙햇(Blackhat)을 비롯해 CanSecWest, PacSec, NANOG 등 전 세계 수많은 컨퍼런스의 강연자로 초청받고 있다. 한편 그는 아버네트웍스에 합류하기 전에는 독립 보안 컨설턴트로 활동하기도 했다.

- 이번 해킹 대회에서의 기조연설에 대해 간단히 소개해 달라.

2009년 중반에 들어서는 현재 봇넷의 조망에 관해 발표했다. 특히 현재 확인되고 있는 봇넷의 종류와 변화, 그리고 그에 대해 우리가 어떻게 지속적으로 대응할 필요가 있는지에 관한 전반적인 내용을 설명하고자 했다. 몇 년 전만 해도 대부분의 봇넷은 IRC와 일부 코드베이스들을 기반으로 했다. 그러나 현재 HTTP를 이용하는 봇넷이 나타나고 있으며 더욱 더 많은 봇넷들이 자체 프로토콜을 이용하고 있다. 그들은 또한 단지 DDoS나 소프트웨어 설치에 이용되고 있을 뿐만 아니라 종종 스팸이나 정보 탈취의 목적으로 이용되고 있음이 확인되고 있다.

- 최근 세계적인 DDoS 공격 트렌드?

작년 혹은 재작년에는 보다 교묘한 공격자들은 약 10년 전쯤에 그들이 DDoS 공격의 타겟으로 선택했던 것과 마찬가지로 다시 금전적인 이득을 노린 공격을 시작하고 있다. 그들은 ISP(인터넷서비스제공자) 업체들과 운영업체들의 핵심 장비를 공격해 사용자들과 주요 e-상거래 업체들에 대한 서비스 불능을 유발하고 있다.

또한 주요 호스팅 업체들과 클라우드 공급업체들을 공격하고 있어 수많은 사용자들에게 영향을 끼치게 된다. 아울러 또한 공격자 공격방식도 변화하고 있다. 상당수가 피해자의 광대역을 차지하도록 고안된 브루트-포스 공격(brute force flood)이 여전히 이용되고 있다. 더불어 공격자들은 애플리케이션 리소스를 소모하는 애플리케이션 공격으로 피해자의 서버를 공격하고 있는 것으로 확인되고 있다. 이것은 또한 백엔드 데이터베이스 서버 등 전체 서비스 인프라스트럭처에 영향을 끼칠 수도 있다. 이러한 공격은 특별히 빠른 속도가 필요한 것도 아니며 특히 정상 클라이언트와 구별하기가 어려운 점이 특징이다.

-일부에서는 한국이 유독 DDoS 공격이 많다고 하는데 그 이유가 있다면?

거의 모든 이들이 DDoS 공격의 위험에 처해있다. 한국은 수많은 온라인 서비스와 엄청난 온라인 이용자들을 보유하고 있어 DDoS 공격에 취약하다고 할 수 있다. 공격자들은 자신들이 상습적인 공격으로 인해 피해자들로부터 금품을 갈취할 수 있다는 것도 알고 있기 때문에 이러한 공격이 많이 발생하고 있다.

한국에서 가해지고 있는 대부분의 공격이 중국 봇넷으로부터 발생한 것으로 파악되고 있다. 실제로 전 세계 트래픽을 모니터링하고 있는 우리(아버네트웍스)는 중국 봇넷과 한국 트래픽을 모니터링 한 결과 수많은 중국 봇넷이 한국 사이트를 공격하고 있는 것을 확인했다.

하지만 한국뿐 아니라 미국에서도 은행 등을 대상으로 하는 DDoS 공격이 있으며, 이미 금품을 요구하는 DDoS 공격도 나타나고 있다. 그러나 현재 미국에는 인터넷 상 금융 거래(Financial Transaction)에 관한 엄격한 제재(strict rules)가 있어 대부분의 관련 사이트들에 대한 모니터링이 깨끗하다고 나오고 있다.

미국에서 이용하는 전자결제사이트인 페이팔(Paypal) 등은 공격자들의 주요 목표로 금품을 요구하는 공격을 수시로 받기도 했지만 이제는 이런 공격에 대한 대책을 충분히 세워놓고 있다. 특히 DDoS 공격으로 서비스 제공을 하지 못 하게 되는 것은 그들의 사업에 심각한 문제가 될 수 있기 때문이다.

-소셜 네트워킹 사이트가 북미 지역과 유럽 등에서 큰 보안 문제가 되고 있다고 했는데, 그 이유는 무엇인가?

페이스북이나 트위터와 같은 소셜 네트워킹 사이트들은 유럽과 북미 지역에서 가장 큰 위협이 되고 있다. 하지만 이런 소셜 네트워킹 사이트 자체를 직접 공격하거나 그 이용자들을 직접적으로 공격한다기보다는, 이런 사이트를 통한 스팸, 악성코드, 그리고 피싱 공격 등이 문제가 되고 있다.

즉, 스패머들이 스팸광고로 이메일을 이용했던 것과 같이 이제는 소셜 네트워킹을 이용하고 있다. 스패머들과 악성코드가 이러한 사이트를 이용해 전파를 시도하고 있는 만큼 한국에도 이 같은 문제가 곧 발생할 것이라고 생각한다. 문제는 사용자들은 이러한 네트워크 내에서 자신들을 보호하는 방법을 아직 모르고 있다는 것이다. 반면 공격자들은 이들 사이트가 사용자들을 공격하기 위한 새로운 땅(fresh ground)이라는 것을 잘 알고 있다.

[오병민 기자(boan4@boannews.com)]

AI 및 AI 보안 솔루션이 보안 인력의 업무에 어떤 식으로 영향을 미칠것이라고 생각하시나요
	부족한 인력 보충: 만성적인 인력 부족 문제를 해결하는 보완재 역할을 하고 있다(100% 대체는 불가)
	업무 영역의 분리: AI는 대량 데이터 처리를, 전문가는 고도의 전략적 판단을 맡는 등 역할이 완전히 다르다
	업무 총량의 전이: 단순 업무는 줄었으나, AI 모델 관리·검증 등 새로운 형태의 운영 업무가 발생해 전체 업무량은 비슷하다
	인력 대체 가능: 단순 반복 업무를 넘어 분석/판단 영역까지 대체하여 인력을 줄일 수 있다
	신뢰도 부족: 아직은 AI의 오탐이나 환각(Hallucination) 우려로 인해 사람이 일일이 재검토해야 하므로 실질적인 도움은 적다