미래는 사이버 전쟁 1

 

 

 

미래는 사이버 전쟁 1  

 

 

                    

 

 제2차 세계대전을 끝으로 현실세계에선 60여년간 미국 중국 등 주요 강대국 간 물리적 충돌이 일어나지 않았다. 하지만 그 사이 온라인을 기반으로 한 가상세계에선 국가와 국가는 물론 특정단체 및 개인들의 '피 튀기는' 사이버 전쟁이 격화되고 있다. 사이버 전쟁은 대량살상무기만큼 수많은 사상자를 내지는 않지만 한 나라의 안보와 국가기밀에 관련된 천문학적인 정보가 한순간에 적국과 테러단체들의 손에 넘어갈 수 있다는 점에서 파괴력을 갖는다. 이 같은 정보가 테러집단이나 적성국가 등에 의해 악용된다면 실제 위험에 노출되는 건 시간 문제다. 각국 정부는 이를 막기 위해 해커가 뚫지 못하는 사이버 방어선을 구축하기 위해 해킹 보안 관련 정보기술(IT) 개발에 사활을 걸고 있다.

 

사이버 전쟁

 

사이버전쟁(-戰爭, 영어: cyberwarfare, cyberwar)은 인터넷을 비롯한 사이버공간에서 일어나는 전쟁을 말한다.

 

세계는 바야흐로 사이버 전쟁 시대로 접어들었다. 인터넷이 대중화되고 국가 공공기관도 인터넷이 필수 장비로 채택되면서 모든 정보의 교류가 인터넷을 통해서 이루어지고 있다고 해도 과언이 아닐 것이다. 이제 인터넷은 공공기관뿐만 아니라 인간생활에 필수불가결한 절대 생필품으로 등장하게 됨으로 인류의 문화 패턴을 완전히 바꾸게 되었으며 개인에게까지 개인 휴대 단말기가 개발.보급되면서 이동중에도 언제.어디서나 실시간의 모든 정보와 의사전달 수단으로 자리메김하게 되었다.

 

그러나 이러한 인터넷의 등장으로 모든 정보가 인터넷으로 교류되고 집중됨으로써 크래킹으로 인하여 사이비 보안에 대한 문제가 심각하게 거론되고 있다. 이러한 인터넷의 편리성과 효율성으로 인한 문명의 이기로 막대한 시간과 비용을 절감하는 반면 정보 노출로 인한 침투.복제로 불법적인목적으로 사용하거나 상대편 시스템을 마비시키는 등 엄청난 피해를 초래하는 사태가 발생하게 되자 사이버 보안이 심각하게 대두되기 시작하였다.

 

해킹(Hacking)

사이버 보안의 대표적인 단어가 해킹이다. 해킹(hacking)은 컴퓨터 네트워크의 보안 취약점을 찾아내어 그 문제를 해결하고 이를 불법적인 목적으로 이용되는 것을 방지하고자 하는 행위이다. 하지만 대한민국에서는 해킹에 대한 잘못된 인식으로 인해 '적법한 권한을 갖지 않고 다른 사람의 데이터 정보에 접근하여 이를 가져가거나 수정하는 것'으로 종종 오해되기도 한다. 그러한 의미를 갖는 단어는 해킹이 아니라 크래킹이다.

해킹이라는 것은 한 가지 분야에 창조적 실험 정신을 가지고 몰두하여 일을 하는 매우 좋은 작업 스타일을 의미한다. 이러한 뜻은 "핵(hacks)"이나 영특한 장난이 유행하던 MIT에서 유래했다. 자유 소프트웨어의 프로그래머들은 대개 이러한 옛날의 의미로 이 단어를 사용한다. (현재 자유 소프트웨어 프로그래머들을 '해커'라 일컫는다.)

 

해커 명예훼손 반대자 연합이라는 모임은 해킹을 잘못된 의미의 단어로 오해하는 것을 자제하고, 불법적인 전산망 접근을 뜻하는 말로 크래킹이라는 단어를 사용하자고 주장한다. 많은 정보보호 전문가들은 해킹이라는 것은 컴퓨터 프로그램을 좀 더 좋은 형태로 발전시키는 과정이라고 이야기한다.

 

한편, 대한민국의 정보통신망 이용촉진 및 정보보호 등에 관한 법률에서도 "침해사고"를 정의하면서, ""침해사고"란 해킹, 컴퓨터바이러스, 논리폭탄, 메일폭탄, 서비스 거부 또는 고출력 전자기파 등의 방법으로 정보통신망 또는 이와 관련된 정보시스템을 공격하는 행위를 하여 발생한 사태를 말한다."(제2조 7호)고 하고 있다.

 

해킹의 종류로는 시스템 해킹으로 리버스 엔지니어링, 버퍼 오버플로우 등이 있으며, 인터넷 네트워크 해킹으로 서비스 거부 공격(DoS 공격), 웹 해킹, 후킹, 이블 트윈 등이 있다. 또 소프트웨어 해킹으로 제로 데이 공격, 취약점 공격 등이 있으며  사이버 공간에서는 사이버 전쟁, 사이버테르리즘이 있다.

 

정보보안

정보보안에는 물리보안, 컴퓨터 보안, 인터넷 보안, 네트워크 보안, 소포트웨어 보안 등이 있으며, 그 중에서도 대표적으로 인터넷 보안이 가장 심각한 단계에 도달하여 있다고 판단된다.

 

인터넷 보안(-保安, 영어: Internet security)은 인터넷을 통해 권한이 없는 컴퓨터 시스템 접근이나 위험을 막는 것을 말한다. 대부분은 자료의 암호화와 암호를 통해 보호를 받는다. 데이터 암호화는 이해할 수 없는 형태의 데이터를 별도의 번역 장치 없이 번역하는 과정을 말한다. 암호는 특정한 프로그램이나 시스템에 대한 사용자 접근을 제공하는 비밀의 낱말이나 구문을 말한다.

 

안터넷 보안은 라우터, 방화벽, 바이러스 검사 프로그램, 악성 코드 검사 프로그램 등이 있다.

 

라우터는 네트워크 주소 변환(NAT)은 컴퓨터의 나가고 들어오는 연결을 제어한다. 소호의 경우, 소프트웨어 NAT는 인터넷 연결이 되어 있는 컴퓨터에 사용할 수 있다. 라우터와 비슷한 동작과 보안 수준을 제공하지만 비용이 낮고 그다지 복잡함이 없다.

 

방화벽은 컴퓨터의 들어오고 나가는 데이터의 포트 가운데 사용자가 허용하지 않는 포트를 막는 역할을 한다. 대부분 사용자는 운영 체제에 내장된 소프트웨어 방화벽을 사용하며, 라우터를 이용할 경우 자체 방화벽을 내장하고 있는 것이 보통이다.

 

다음과 같은 유형의 경우 보안을 위해 바이러스 검사 프로그램을 통해 치료를 받는 것이 좋다.

• 트로이 목마: 사용자가 바라지 않는 기능이 사용자로부터 숨어 있는 상태에서 실행된다. 표면적으로 보았을 경우, 아무런 문제가 없는 것처럼 보이므로 사용자를 속일 수 있다.
• 웜: 스스로를 복제하는 것은 바이러스와 비슷하지만, 웜의 경우 자체 코드를 서드파티 소프트웨어에 추가한다. 바이러스나 웜에 감염되면, 다른 프로그램이나 다른 컴퓨터를 감염시킬 수 있다.
• 바이러스: 컴퓨터 성능을 떨어트리고 시스템을 이상하게 만들며, 심각한 경우 컴퓨터에 해를 미치거나 부작용을 일으킬 수 있다.

 

악성 코드 검사 프로그램은 다음과 같다.

• 스파이웨어: 사용자의 허가 없이 컴퓨터에서 실행되는 소프트웨어이다. 사용자 컴퓨터의 개인 정보를 빼간 다음 이 자료를 인터넷을 거쳐 소프트웨어 제조업체로 건넨다.
• 애드웨어: 소유자의 동의 없이 컴퓨터에서 실행되는 소프트웨어로 스파이웨어와 비슷하다. 다만 정보를 가져가지는 않고, 백그라운드에서 실행되면서 팝업 광고를 띄운다. 대부분 컴퓨터를 느리게 만들며, 소프트웨어 충돌을 일으키기도 한다.

 

 

방지 시스템

방지 시스템으로는 샌드 박스, 방화벽, 인증, 공인인증서, 침입 탐지 시스템, 침입 차단 시스템, 네트워크 침입 탐지 시스템, 호스트 기반 침입 탐지 시스템, 안면 인식 시스템 등이 있다.

 

    

 

 

 

사이버 테러 사례

 

1·25 인터넷 대란

1.25 인터넷 대란은 2003년 1월 25일 대한민국 대부분의 인터넷 망이 마비된 사건이다. 마이크로소프트사 SQL 서버의 허점을 이용하는 슬래머 웜 이 일으켰다.

 

이 사건은 슬래머 웜에 감염된 PC들이 대량의 데이터를 생성해 KT 혜화전화국에 있는 DNS 서버에 인터넷 트래픽을 집중시키면서 시작되었다. KT 혜화전화국이 공격에 의해 마비되자, 전국적인 인터넷 트래픽이 다른 백본망으로 우회하기 시작했고, 다른 DNS 서버도 순차적으로 마비되어 갔다.

 

한편, 대기업의 인터넷 회선이 아닌 백본망을 빌리는 형태로 서비스를 제공하는 중소업체의 인터넷 회선은 대기업의 회선에 비해 마비의 정도가 덜했다.

이 사건으로 피해를 입은 인터넷 사용자들은 KT를 상대로 피해보상소송을 제기하기도 하였다.

 

 

 

원자력 발전소 해킹 사건

 

옥션 개인정보 유출 사건

2008년 2월 4일에 옥션은 외부인에 의해 자사의 정보가 유출된 사실을 감지하였고, 1081만여 명의 개인정보가 유출되었음을 밝혔다. 또한 그 중 900만명 이상은 아이디, 이름과 주민등록번호 등의 정보가 유출되었다. 금융정보는 유출되지 않았다고 하였으나 일부 거래 정보와 환불에 관한 정보도 함께 유출되었다.  하지만 이후 경찰의 추가적인 조사 결과 정보 유출 대상자는 당시 전체 회원인 1863만여 명으로 밝혀졌다. 이러한 경찰 조사 결과는 2010년 1월 말 옥션 측에 넘겨졌으나 옥션은 이를 2개월여가 지난 2010년 3월 25일에 발표하였다. 옥션 측에서는 피해 데이터를 일일이 수작업으로 확인하느라 발표가 늦어졌다고 해명했다.

 

이 사건은 중국의 해커에 의해 이루어진 것으로 추정되며, 사이트간 요청 위조(CSRF) 공격 방식을 이용한 것으로 알려졌다. 해커는 옥션의 관리자들에게 공격 코드가 포함된 전자 우편을 대량으로 송신하였다. 관리자가 전자 우편을 읽는 순간 거기에 포함된 코드를 실행하게 되었고, 그 결과 해커는 관리자의 인증 정보를 얻을 수 있었다. 해커는 이를 이용하여 옥션에 가입된 사용자들의 정보를 빼내었으며, 이후 유출된 개인정보를 인질로 옥션 측에 금전을 요구하였다.

 

7·7 DDoS 공격

7·7 DDoS 공격 또는 777 DDoS 공격은 2009년 7월 7일을 기점으로 대한민국과 미국의 주요 정부기관, 포털 사이트, 은행 사이트 등을 분산 서비스 거부 공격(DDoS, 디도스)하여 서비스를 일시적으로 마비시킨 사건이다.

 

2009년 7월 9일 국가정보원에서는 발생의 진원지가 조선민주주의인민공화국의 110호 연구소로 추정된다는 발표를 하였고, 보안 업체에서는 미국과 대한민국을 포함한 여러국가의 IP에서 발생이 시작된 것이라고 추정하였다.

 

7월 16일, 영국 IPTV 플랫폼업체인 GDB(Global Digital Broadcast)는 "DDos 공격에 사용된 마스터 서버를 미국의 협력업체가 보유하고 있는 것으로 확인됐다"고 발표했다. 이날 이강래 민주당 원내대표는 고위정책회의에서 "사이버 북풍 의혹의 실체가 북한이 아닌 것으로 밝혀졌다. 이 의혹을 제기한 국정원장과 관련자들은 실상을 밝히고 엄중한 책임을 물어야 할 것"이라고 밝혔다.

 

10월 말, 국정원에서는 진원지가 조선민주주의인민공화국의 체신청이라는 공식 조사결과를 발표했다. 11월 17일 미국의 보안업체 맥아피는 북조선이 만약 디도스 공격을 감행했다면 주한미군과 본토 지휘부 사이의 커뮤니케이션을 마비시키기 위한 전략에 따른 것일 수 있다고 보고했고, CNN 등 언론이 이를 인용하여 보도했다. 다만 실제로 배후가 북조선인지에 대해서는 밝히지 않았다. 12월 8일 중앙일보는 사설에서, 국정원이 디도스 공격을 북조선의 소행으로 단정했지만 구체적 조사 결과를 공개하지 않고 있음을 지적했다. 12월 28일 노컷뉴스는 검찰의 수사결과를 소개하면서, 국내 디도스 공격에 관여한 이들이 20명의 중고등학생이라고 밝혔다. 검찰은 이들이 대부분 전과가 없는 학생이라는 점을 이유로 입건을 유예했다.

 

공격은 여러 단계를 거쳐 변화되면서 진행되었다. 가장 처음의 공격은 미국 사이트들을 대상으로 이루어졌으며, 이에 미국에서는 7월 4일을 1차 공격으로, 대한민국에서는 7월 6일~7일을 1차 공격으로 명칭하고 있다.

 

공격 명령을 하달하는 C&C 서버(명령 제어 서버)가 없으며, 미리 지정해둔 스케쥴러에 따라 지정된 시간에 공격하게 되어있다. 따라서 대부분의 DDoS공격을 차단할 수 있는 IP차단 방식을 사용할 수 없었다.

 

한국 일부와 미국의 경우 이 공격을 1차 공격으로 명명하여 전체적으로 1차~4차의 4단계로 구분한다. 이 공격은 2009년 7월 5일, 미국 시간으로 2009년 7월 4일인 독립 기념일에 시작되었다. 백악관을 비롯한 미국의 27개 사이트를 공격했다.

 

2009년 7월 4일 국가정보원과 방송통신위원회는 대한민국과 미국에서 DDoS 공격 징후를 파악했지만, 적절한 대응을 하지 않았다는 것이 밝혀졌다.

 

1차 공격

대한민국을 타겟으로 한 1차 공격은 2009년 7월 7일 오후 6시 경에 시작되고 약 24시간동안 지속되었다. 대한민국과 미국의 주요 26개 사이트를 공격했는데, 청와대 및 백악관, 그리고 대한민국의 주요 언론사와 주요 정당, 포털의 홈페이지등이 공격리스트에 포함되어있었다.

 

2차 공격

2차 공격은 2009년 7월 8일 오후 6시에 시작되고 약 24시간동안 지속되었다. 1차 공격 리스트에 있었던 사이트 일부와 주요포털 사이트의 메일서비스를 대상으로 공격을 했다. 공격 대상이 된 사이트는 16개이다.

 

3차 공격

3차 공격은 2009년 7월 9일 오후 6시에 시작되었다. 이로 인해 국가정보원과 일부 금융기관 홈페이지가 장애를 빚었지만 약 3시간 만에 정상화되었다.

 

피해

공격에 사용된 웜 중 일부에서 감염된 컴퓨터의 하드 디스크를 파괴하는 코드가 발견되었으며 실제 피해 사례도 나타났다. 이 코드는 2009년 7월 10일을 기점으로 작동하며, 이 피해를 입을 경우 하드 디스크의 마스터 부트 레코드가 손상되어 부팅이 불가능하게 될 수도 있다.

 

안철수연구소는 1차공격 직후 바로 전용백신을 공급하였고 이어서 여러 백신 기업이 전용백신을 출시 하였다. 특히 안철수 연구소는 하드디스크의 파괴, 2,3차 공격까지 정확히 파악하여 여러 언론에게 알렸다. 공격을 받은 포털들도 대응이 빨랐다. 예를 들어 한 주소가 DDos 공격을 받으면, 바로 그 싸이트를 딴 주소로 옮겨 서비스 하게 하였다.

 

5개 분야 범정부 DDoS 대응체계 구축 사업과 함께 DDoS 대응장비를 별도지정하였다. 11월 29일, 국방부는 2010년 1월에 사이버방호사령부를 신설하기로 결정하였다.

 

2010년 대한민국 개인정보 대량유출사건

2010년 대한민국 개인정보 대량유출사건은 대한민국의 주요 사이트가 해킹을 당해 2,000만 건이 넘는 개인정보가 유출된 사건을 말한다. 이 사건은 수 년 전부터 계속 진행되었던 범죄이나, 2010년 3월에 일당이 검거됨으로 인해 큰 이슈로 번졌다.

 

개인정보를 팔아넘기려던 3명의 해커그룹이 2010년 3월 경찰에 검거되었으며, 이들의 진술에 따르면 직접 해킹을 하거나 중국의 해커등으로부터 개인정보를 사들이는 등으로 자료를 획득했다고 밝혔다.

 

이로 인해 대한민국 국민 5명 중 2명꼴로 개인정보가 유출되었다. 이 사건으로 인해 그동안 대한민국에서 지속적으로 개인정보 유출문제가 제기되어 왔지만 후속조치가 미흡했다는 비판도 같이 나오고 있다.

 

피해를 입은 기업 중 신세계몰은 사과문을 게재하기도 하였다. 또한 대한민국 정부는 이번 해킹의 타겟이 된 25개 업체들에 대해 특별단속을 실시하겠다고 했으며 , 신세계몰은 개인정보 관리 수위를 더 높이겠다고 발표하였다. 또한 이번 사건과 직접적인 관련이 없는 인터넷 쇼핑몰 업체들도 개인정보 관련 보안을 강화하겠다고 발표하였다.

 

2010년 삼일절 사이버 공격

2010년 삼일절 사이버 공격은 2010년 3월 1일에 대한민국의 웹사이트 디시인사이드의 유저들을 중심으로 하는 네이버의 ‘정당한 테러 대응 카페’ 회원들이 일본의 웹사이트 2채널을 공격한 사건을 말한다. 디시인사이드와 2채널 이 두 사이트는 2004년 이후 크고 작은 싸움을 벌여왔다. 3월 1일은 대한민국의 경축일인 삼일절이며, 2010년도 경술국치가 된지 딱 100년이 되는 해이기도 하다.

 

2009년 겨울, 러시아로 유학 간 한국인 학생이 러시아인에게 구타 당해 숨진 사건에 대해 '개가 죽었는데, 왜 뉴스에?', '더 죽여라!', '그 러시아인들에게 훈장!', '한국인이 나빠서 그런거야.', '한국인이 죽는 건 당연.' 등의 발언을 한 사건, 그리고 2010년 2월 23일에 벤쿠버 동계올림픽에서 김연아가 피겨 스케이팅 부분에서 금메달을 따자 2채널에서는 심판에게 뇌물을 주었다는 등 김연아를 비방하는 게시물이 올라왔고, 이러한 반응이 디시인사이드 코미디 프로그램으로 흘러들어간 사건 등이 발단이었다.

 

디시인사이드와 웃긴대학은 삼일절에 맞춰 2채널을 공격하기로 정하고, 오늘의유머, 루리웹, 다음 아고라 등등 여러 커뮤니티를 설득하여 그 결과 네이버에 "정당한 테러 대응 카페"(이하 테대연)가 개설되며 단 하루만에 회원 수 1만 2천 명을 돌파했다. 결국 테대연 연합은 3월 1일 오후 1시에 일제히 F5리로드 등의 방식으로 일제히 공격을 가해 2채널 전 서버가 다운되었다.이로 인해 2채널의 관리회사와 미국의 공공기권 등 다수의 사이트에 피해을 입어 샌프란시스코 주 경찰과 FBI가 수사하는 단계까지 발전했다.

 

3월 2일 현재 파악된 피해 금액은 약 250만 달러 이상으로 추정된다. 2채널의 "한국 비방 게시판"(주로 한국의 중앙일보에서 인용), "vip게시판", "뉴스속보게시판"이 공격대상이 되었다.

 

2채널을 서버를 관리하는 미국의 서버관리 회사 패시픽 인터넷 익스체인지사의 발표의 따르면 3월 1일 오전 11시 40분경부처 2채널의 일부 서버가 대한민국에서 봇을 이용한 대량 어세스에 의해 서버 및 네트워크의 부하가 상승하였으며, 이 회사가 운영하는 미국 국적 기관의 서버를 포함한 2채널 이외의 사이트에도 피해가 생겼다.

 

같은 날 저녁 PIE사는 2채널의 서버를 전부 중지하고 공격 발원지의 ip를 모두 차단 조치했다. 그 후 대한민국의 국경일인 삼일절이 지나가며 공격이 종료되었다.