코드레드라는 새로운 웜이 인터넷에 배포돼 9시간 만에 전세계 25만대의 윈도우 시스템을 감염시키고, 채 하루도 지나기 전에 윈도우 서버 40만대를 감염시키면서 네트워크를 마비시켰다.
네트워크 보안 솔루션인 방화벽과 침입탐지시스템(IDS)만 믿고 있던 사용자들은 인터넷을 통해 확산되는 웜을 보면서 속수무책일 수밖에 없었다.
코드레드의 위력은 가공할 만했다.
지난해 7월19일 처음 나타난 코드레드는 백악관 웹사이트를 공격한 뒤 잠복기에 들어갔고, 이보다 전파력과 피해 규모도 훨씬 더 큰 코드레드Ⅱ가 8월4일 퍼지기 시작하자 8월6일 월요일 업무를 시작하려던 많은 사람들은 네트워크 마비로 일손을 놓을 수밖에 없었다.
안철수연구소는 이 코드레드 웜을 진단, 탐지, 복구할 수 있는 전용 솔루션을 서둘러 제작해 인터넷에 배포했는데, 하루 동안 6만회 이상의 다운로드를 기록할 정도였다(진단용 스캐너 2만3419회, 실시간 탐지툴 1만2588회, 복구용 전용백신 2만6086회). 불과 하루 전에 공지한 코드레드 긴급대응 세미나에는 기업 네트워크 보안 담당자 500여명이 참석해 문제 해결을 위한 토론을 벌일 정도로 코드레드의 위협은 대단했다.
하루하루 코드레드에 관한 정보를 입수하고 대응을 하면서 웜의 불길은 조금씩 줄어들기 시작했다.
안철수연구소가 인터넷 데이터센터 IBR과 함께 코드레드 웜을 계속 모니터링해보니, 코드레드가 스스로 동작을 멈추게 되어 있는 2001년 9월30일 마지막 순간까지 세계적으로 4만마리 이상의 웜이 꿈틀댔다는 것을 확인할 수 있었다.
코드레드는 두달 2주일 만에 스스로 사라질 때까지 세계적으로 26억달러의 피해를 끼쳐, 단일 인터넷 피해사례로는 최대 규모를 기록했다.
이처럼 지난해 후반부터 코드레드, 님다 등 다양한 인터넷 웜이 나타나 큰 피해를 주고 있고, 앞으로는 더욱 진화된 형태의 웜이 나타나 우리에게 큰 위협을 안겨줄 것으로 예상된다.
컴퓨터 바이러스는 일반적으로 다른 실행파일에 기생하는 형태로 존재하므로 독립적인 프로그램이 아니다.
그러나 인터넷 웜은 사용자의 도움이 없어도 스스로 동작해 복제해나가는 자가복제 능력을 지니고 있고, 이 때문에 전파속도도 매우 빨라 인터넷 전체에 큰 피해를 줄 수 있다는 게 특징이다.
인터넷 웜의 진화과정을 살펴보고, 미래에 발생할 수 있는 사건에 대비하기 위한 대응책을 정리해본다.
모리스 웜- 최초의 자가복제 웜 1988년 인터넷에 최초의 웜이 등장했다.
84년 켄 톰슨이 ‘톰슨 컴파일러’라는 자가복제 코드의 원리를 제안한 지 4년 만의 일이었다.
코넬대학 출신의 로버트 모리스가 연구실에서 실험삼아 만든 웜을 인터넷에 배포한 순간, 썬과 백스의 시스템 6천대가 감염돼 시스템이 마비됐다.
컴퓨터 보안 전문가들은 원인을 파악하고 웜을 찾아 분석한 결과를 서둘러 내놓았고, 이 사건을 통해 보안위협에 대응하기 위해 미국 정부의 지원으로 CERT(Computer Emergency Response Center:컴퓨터 비상 대응팀)가 생겨났다.
e메일 웜- e메일을 통한 전파 e메일을 통한 웜의 전파로 서버시스템뿐만 아니라 개인 사용자에게까지 웜의 피해가 확산됐다.
99년에는 e메일을 통해 반자동적으로 전파되는 멜리사 웜이 배포됐다.
이후 e메일을 통한 웜이 많이 등장했다.
이는 사회공학적 기법과 결합되면서 피해 규모가 훨씬 커졌다.
연애편지를 위장해 2000년 한해 동안 악명을 떨쳤던 ‘러브레터’와 2001년 2월 발견된 ‘안나쿠르니코바’와 같은 e메일 웜 등이 이에 해당한다.
밀레니엄 인터넷 웜- 세기말 다시 등장한 활성 웜 88년 이후 잠잠하던 활성 웜은 세기말이 되자 다시 나타나기 시작했다.
98년 ADM 웜, 99년 밀레니엄 인터넷 웜이 등장했고, 지난해에 웜은 전성기를 맞이했다.
지난 한해 동안 발생한 인터넷 웜은 이제까지의 모든 웜을 합친 것보다 많았다.
라멘, 리온, 아도르, 새드마인드, 치즈, 레드, 그리고 코드레드Ⅰ/Ⅱ, 님다 등이 이에 해당한다.
코드레드, 님다- 네트워크 보안 필요성 자각 코드레드는 윈도우 IIS(인터넷 인포메이션 서버)의 버그를 이용해 윈도우2000과 NT 계열의 시스템을 빠른 속도로 감염시켰다.
서버에는 기본적으로 IIS가 설치돼 있기 때문에 그 피해는 더욱 광범위했다.
서버 중심으로 전파된 웜은 웹 서비스를 마비시켰고 라우터, 프린터, 모뎀 등 예상치 않았던 시스템 다운도 일으켜 피해 범위를 넓혔다.
이후 나타난 님다 웜은 5개의 전파 경로를 가지고 서버뿐 아니라 개인 사용자들의 시스템까지 감염시키는 복합적인 공격방식으로 우리를 괴롭혔고, 지속적으로 변종 웜들을 낳고 있다.
코드레드와 님다에 대한 대응은 실패 사례였다.
코드레드는 서버 중심으로 전파되기 때문에 네트워크 속도와 서비스가 느려지는 것을 느낄 수는 있지만 사용자의 눈으로 직접 확인할 수 없어 원인 파악이 쉽지 않았다.
웜이 들어와 활동을 하고 있는데도 웜이 사라질 때까지 원인을 파악하지 못한 경우도 많았다.
님다 또한 발견해 치료를 한 후에도 e메일, 웹, 공유파일 등 다른 경로로 다시 감염이 되는 현상이 발생했다.
이와 같은 인터넷 웜은 네트워크 보안와 탐지·차단기술이 컴퓨터 바이러스 백신의 복구·치료기술 등과 함께 접목되어야 보안문제를 완벽히 해결할 수 있다는 중요한 교훈을 남겨주었다.
유해성 여부 판단하는 콘텐츠 필터기술 인터넷 웜의 기술은 계속 발전해가고 있다.
새로운 전파방식이 속속 등장하고 있고 감염범위, 피해규모 등이 커지면서 방어는 더욱 어려워지고 있다.
앞으로의 웜은 이전의 웜보다 더욱 다양한 보안 취약성(Multi-Holes)을 이용해, 다양한 전파경로(Multi-Modes)로 다양한 컴퓨터 시스템(Multi-Platform)을 감염시킬 것이다.
이와 같이 복합적인 공격방식을 사용하는 경우, 단일 보안 솔루션으로 방어를 하는 것은 어려워진다.
또 다형성 바이러스(Polymorphic Virus)와 같이 스스로 형태를 변화시킬 수 있는 웜이 등장할 수 있으며, 이로 인해 바이러스 발견과 차단은 더욱 난해해진다.
웜이 일단 넓게 전파된 후 논리폭탄과 같이 특정 시간이나 특정 순간에 동작을 하는 방식으로 목표물에 피해를 줄 수도 있다.
현재까지의 웜에는 하드디스크 삭제, 정보 변조, 시스템 파괴 등과 같이 직접적인 피해를 줄 수 있는 코드가 삽입되지 않았으나, 악의적인 코드를 가지게 되는 경우 상상을 초월하는 피해를 입힐 수도 있다.
코드레드 웜에 CIH 바이러스와 같은 시스템 파괴코드가 들어 있었다면 그 피해는 훨씬 컸을 것이다.
웜의 감염범위도 PDA, 휴대전화, 홈 네트워크에 존재하는 PC와 가전제품 등으로 확대될 것이다.
또 쇼크웨이브, 플래시 등 새로운 미디어와 인스턴트 메시지, 닷넷과 같은 새로운 플랫폼을 이용해 전파될 수도 있다.
웜의 전파속도도 훨씬 빨라지게 될 것이다.
지난해의 워홀 웜과 같이 웜의 전파 방식을 향상시키면 15분 만에 인터넷에 존재하는 모든 취약한 시스템을 감염시킬 수도 있다.
이렇게 급속도로 발전하는 인터넷 웜에 대응하기 위해서는 기업마다 보안요소를 재점검해 보안수준을 향상시키는 것이 기본적으로 필요하다.
중요한 데이터는 정기적으로 백업하고, 주요 시스템은 재난 이후에도 정상적인 서비스를 수행할 수 있도록 준비돼 있어야 한다.
컴퓨터 시스템의 보안 취약성을 정기적으로 살펴야 하고, 사용하지 않는 서비스는 외부에서 접근하지 못하도록 접속을 차단해 보안성을 향상시켜야 한다.
보안 솔루션을 이용해 시스템과 네트워크를 보호하는 것도 빼놓을 수 없다.
현재의 네트워크 보안 솔루션으로는 새로운 유형의 공격에 대응하기 어려운 점이 많으므로 새로운 보안기술 연구에도 더욱 박차를 가해야 한다.
코드레드나 님다와 같은 신종 웜을 발견하고 차단하기 위해서는 전달되는 콘텐츠를 보고 그것이 유해한지 아닌지를 판단할 수 있는 콘텐츠 필터 기술도 필요하다.
네트워크를 통해 다양한 경로로 다양한 플랫폼을 감염시키는 경우에는 침입을 탐지한 후에 차단까지 할 수 있는 기술이 필요하다.
현재의 침입탐지 시스템을 방화벽과 연동할 수도 있으나, 아직까지 침입탐지 시스템은 공격을 감지하는 정확도가 떨어지고, 방화벽은 침입탐지 시스템과 함께 연동하기 위해서는 더욱 유연한 구조가 되어야 한다는 약점을 지니고 있다.
침입의 경로도 e메일, 웹 등으로 다양화되고 있으므로 손쉬운 보안정책 관리시스템도 필요하다.
또 네트워크 안에서 한 대만이라도 바이러스에 감염되면 전체 네트워크가 무방비 상태가 되는 경우도 있으므로, 큰 네트워크는 작은 단위로 분리해 위험을 줄여야 한다.
이를 위해서는 네트워크용 분산 방화벽 개념이 인트라넷에 적용되어야 한다.
앞으로 해킹이나 웜의 전파속도는 사람이 발견한 후 대응하기에는 역부족일만큼 빨라질 것이므로 자동화된 방어방법을 연구하는 것도 필요하다.
저작권자 © 이코노미21 무단전재 및 재배포 금지
