2000년부터 보안컨설팅, 보안관제, 모의해킹 등등 여러 전문 보안기업에서 업무를 했었다. 대충 시늉한 것이 아니라 전력을 다해 하나를 해도 제대로 했었고, 나름 만족도도 있었다. 일정 수준의 발전 이후 정체됨을 느끼고, 발전 없는 산업 부분에 대해 답답함을 가질 수밖에 없었다.
변화를 주기로 결심하고 국가기관과 IT업체에 지원을 하고 결과를 기다리다 인터뷰를 하게 되었는데, 인터뷰에서부터 문제를 어떻게 해결해야 할지 자문을 요청하는 이상한 인터뷰를 겪게 되었고, 이후 계속되는 질문과 문의들에서 난감함을 가지게 되었다. 호기심이 나를 지옥으로 이끈 셈이었다. NHN으로 입사를 하고 여기에서 포털인 네이버와 한게임의 보안을 담당하게 되었는데 보안인력은 나 자신이 전부였다. 여러 일들이 있었지만 이 당시에만도 보안기술은 공격 기술을 감당할 수 있는 수준이 아니었고 IT 기업들은 밀려 들어오는 중국발 해킹으로 그 어느 곳도 감당하지 못하는 황야의 무법자 시대라고 할 수 있었다.
직접 들여다본 내부는 처참했고, 운영에만 급급한 상황이며 이미 여러 차례 많은 문제들이 발생해 있는 상태였었다. 이 문제를 해결하기 위해 방안을 강구해야 했으나 도저히 답이 없는 상황. 매일 새벽에 퇴근하고 1~2시간 뒤에 다시 알람이 오면 출근하는 상황이 근 3개월간 이어졌고 이게 삶인가? 하는 처참함에 정말 그만두고 싶었던 것 같다.
이 무렵에는 보안인력을 갖추고 있는 IT 서비스나 기업들이 거의 전무하였으며, 보안 전문인력들도 중구난방에 경험이 없기는 마찬가지였다. 모든 게 걸음마 같은 상황이었으나, 벌어지는 현상은 듣지도 보지도 못한 기묘한 공격들과 다양한 방식으로 전체를 난도질하는 상황에서 할 수 있는 것은 없어 보였다. 수습과 개선은 투트랙으로 나누어서 진행하였으며, 내부에 대한 정리 이외에도 서비스에 대한 보호를 중심으로 하게 되었다.
- 내부적으로 정리한 것들에 대해서는 여기서 언급할 필요는 없을 것 같다. 다만 정말 큰 과정을 거쳤다는 점은 명확하게 이야기할 수 있다. 이 부분들로만 해도 책으로 한 권은 나올 수 있을 것이다. 이후 여러 발표 및 기고를 통해 일정 부분은 공개하여 활용할 수 있도록 하였으니 별도의 언급은 하지 않는 게 좋겠다.
좀 길게 상황설명을 했는데, 이 당시만 해도 대부분의 보안기업들이 업력 5년을 넘지 못했고 백신을 제외한 다른 보안 서비스 부분들은 거의 초보적인 단계에 머물러 있었으며, 보안에 대한 인식 자체를 서비스 분야에서 전혀 인식하지 못했다는 부분은 알고 있어야 해서 좀 설명을 했다.
1. 악몽의 시작
하나의 사고를 조사하면서 정말 특이한 부분을 발견하게 되었다. 내부로의 공격도 있었지만, 서비스 방문자들에 대한 공격도 병행하도록 이루어진 공격. 요즘에야 Drive by download라는 용어로 정리가 되지만 이 당시엔 설명할 용어조차 없었다. 이해를 시키기도 정말 어려웠는데 "방문하면 감염" 정도로 정리할 수밖에 없는 상황. 공격 파일을 다운로드하여 살펴보니 정말 IE 브라우저로 접근하면 바로 Exploit 이 실행되고 권한을 획득당한 후 자동으로 좀비 PC가 된다. 그리고 사용자의 ID/Password를 바로 탈취하여 중국으로 전달하도록 구성되어 있었다. 이 당시엔 좀비 PC라는 용어도 없어서 설명하기가 매우 어려웠었다. 모든 것이 백지상태였으며 공격은 상상을 넘어서고 있었다.
감염 Exploit 은 세 종류가 주로 이용되었고 , 새로운 공격 기법이 나오면 즉시 활용되는 상태였다. 물론 windows patch는 나와 있었지만 이 당시의 MS의 정책은 불법복제 윈도에는 패치를 허용하지 않았으며, 패치 조차도 사이트에서 사용자가 다운로드하여 직접 설치해야 하는 야생의 시대였었다.
다운로드 속도도 최악이었으며, 이걸 일일이 찾아서 다운로드해서 설치를 했어야 한다. 당연히 지금의 Windows Update와 같은 친절함은 있기도 이전이었다. 설치가 잘못되면 롤백도 알아서 해야 하고 문제가 생겨도 사용자가 감당해야 했던 시대. 여기에 공격자들은 몇 단계 위의 자동화된 공격 기법으로 국내 대부분의 서버들을 유린하던 시절.
아마도 몇몇은 기억할 것이다. 중국 IP 대역을 차단하는 것만이 유일한 대책이었던 그때를.. 그 이후에도 공격자들은 상당히 많은 변신을 했으며 이걸 계속 관찰하다 도저히 지켜볼 수 없어서 나와서 뭔가를 했던...
너무 많이 아는 것도 병이 되고, 현상이 드러나기 전에 해결하면 아무런 일도 없었던 것이 된다는 것을 절실히 깨달았던 시기였다.
2. 문제의 본질에 접근하다.
사용자의 PC들은 수많은 국내 서비스들에서 감염이 되고 ( 이 서비스들은 모두 권한이 외부에 있었던..) 감염된 사용자 PC들은 계속해서 계정 정보를 탈취당하고 이윽고 본인의 자산이 그대로 사라지는 현상. ( 이후엔 은행계좌로 옮겨갔지만 처음 시작은 게임 정보 탈취였다.)
해결을 위해 고민했던 내용은 다음과 같다.
- 계정에 대한 정책 적용 ( IP 변경 시 제한 등등)
- 사용자 PC 보호 방안 강구
- 근원적인 해결책?
- 취약점의 제거
- 패치를 설치할 수 없을까?
- 만약 문제가 생긴다면?
여러 가지 고민지점이 있었지만 정신없는 와중에도 현재 사용자가 어렵게 느끼는 패치를 만약 우리가 ActiveX를 통해 자동으로 설치해 준다면? 또 설치된 악성코드들을 찾아서 제거해 준다면? 온라인 상에서 그게 가능할까? 등등 여러가지 고민들이 있었고, 근원적인 해결책은 패치 외엔 없다는 결론에 도달하여 진행을 하게 되었다.
또한 한국 MS와 협의하여 불법복제 윈도에도 제한 없이 패치를 설치할 수 있어야 한다는 것도 협의했었던 것 같다. 그리고 사용자 PC에 문제가 생기면 책임은 누가질 것인가에 대해.. 경위서를 쓰기로 하고 했었던 것도 생각난다.
야생의 시대에서 매번 기사와 권고를 통해 패치 설치를 하라고 이야기했지만 국내의 패치 비율은 극악스러운 수준이었고, 사용자 불편을 고려하지 않은 형식적인 권고는 매번 무시당하고 있을때였다. 그 당시 사용 PC는 2500만대 수준이였고, 이중 90%가량이 패치되지 않은 상태에서 이용되고 있는 실정이었다. 그만큼 유명 서비스를 통한 감염 비율은 폭발적이었고 그 규모가 몇십만 대는 훌쩍 넘는 상태가 매번 반복되고 있었다. 심지어는 A, B 간의 공격 그룹이 서로의 악성코드를 제거하고 자기 것을 설치하기 위해 경쟁하는 상황도 목격하며 현실의 문제에 대해서 심각한 회의감이 들기도 했었다.
과연 변화시킬 수 있을까?라는 고민부터 왜 이런 일들을 국가가 아닌 민간에서 해야 하는가?
왜 또 나인가? 하는 쓸데없는 고민까지.
3. 기획과 실행
문제를 파악하고 현안을 이해한 후 빠르게 적용하기 위해 그 당시만 해도 스타트업 규모도 아니었던 곳을 찾아 주문 사항을 주고 직접 실행하기 위해 빠른 방안 수립에 착수한다. 논의 시작하고 검토한 지 5개월 만에 이런 중요하고 영향이 매우 클 수밖에 없는 서비스를 전격적으로 실시하였다. 고생은 고생대로 하고 짤리더라도 후회 없이 하자는 각오였다고 생각한다. 패치를 사전에 검토하고 다양한 PC 환경에서 테스트 그리고 문제없는 상태에서만 cdn 업로딩. 그 이후 사용자가 서비스에 접근하면 동의를 얻고 ActiveX를 설치하고 여기에서 PC의 패치 상태 확인. 필요한 패치를 받아서 자동으로 설치. 지금의 Windows update가 하는 일을 그대로 했다고 보면 된다.
지금에서야 보면 정말 간단한 구성이고 당연한 구성이지만 서두에 언급했듯이 MS의 패치는 수동으로 다운로드하여야 했으며, 그 속도가 극악이라 사용자 누구도 설치하려 하지 않았다는 점. 그래서 문제는 끝없이 되풀이되었다는 점이다.
2005년 12월. 서비스를 시작하면서 가장 떨렸던 것은 과연 이 방식이 공격자들에게 영향을 줄 것인가 였다.
서비스 시작 후 5개월 만에 2500만 대중 500만대 이상에 패치를 적용하게 되었고, 그 결과 공격은 극적으로 줄어들게 되었다. 전 세계 국가 패치 비율에서도 극단적으로 높은 상태를 가지게 되었고, 공격은 다른 방향으로 전이가 된다.
이후 1년 정도 지나 천만 대가 넘었을 때는 새로운 취약성이 나오기 이전까지 공격이 멈추는 상황이 있기도 하였다. 그럼에도 불구하고 서비스들에 대한 직접적인 공격들은 계속되었고 이 부분은 또 다른 기획을 추진하게 되기도 하였다. 또 악성코드 삭제 관련된 서비스로 이어져 또 다른 기획이 연이어 발생되기도 했고. 이런 부분들을 진행하면서 관련 기업 담당자들에게 때아닌 원성을 많이 듣기도 했다. 왜 괜시리 일을 벌여서 우리도 힘들게 하느냐고.. 그러나 어쩌랴 아무도 하지 않았던 것을.
지금 MS의 Windows Update 시작은 한국에서 먼저 했다고 봐야 할 것이다.
패치 비율을 극단적으로 높인 사례로 한국 MS 담당이 승진하기도 했으니. 또한 수동으로 이루어지던 업데이트가 자동으로 전환되게 끔한 시발점이었다고 본다. 정작 나에게 남은 건 시말서뿐이였다. ㅋㅋ
단언하건대 두 가지 지점에 대해 큰 영향을 주었다고 생각한다.
MS의 글로벌 패치 정책 변화
- 불법 복제 OS도 설치 가능하게 바뀜.
- 수동 업데이트에서 자동 업데이트로의 정책전환
아마 아무도 몰랐겠지만 그렇다는 거다.
찾다 보니 2006년에 인터뷰한 기사가 있어서 참고해서 보시라고 링크 넣어둔다.
https://www.boannews.com/media/view.asp?idx=2325&page=1&kind=3
'Security Indicator > Insight' 카테고리의 다른 글
[히스토리-3] 개발과 보안의 간극 그 해소에 대해 (0) | 2022.02.23 |
---|---|
[히스토리-2] 그들의 방식으로 섬멸하라.(온라인 보안서비스) (0) | 2022.02.22 |
corona-19 이후 Security Industry의 변화 (0) | 2020.04.27 |
구글 악성링크 차단 공개 ( 궤도위성의 탐지와 새로운 대안에 대해 ..) (0) | 2015.03.28 |
Fireeye에서 발표한 Callback 순위 (C&C)를 통해 보는 한국의 수준 (0) | 2014.06.02 |