My boys …
Chatel, France 2011
‘이상한’ 사이버수사대/방통위
지난 주말, 홍수처럼 쏟아져나온 보도에 의하면, 3.3 DDoS공격은 5개 웹하드 업체(쉐어박스, 수퍼다운, 파일시티, 보보파일, 지오파일)에서 유포된 악성코드가 7만7천여대의 개인PC를 감염시켜서 자행되었다는 것입니다.
당시 헤드라인을 일별하면 사태는 심각해 보입니다. “지능화되고 악랄해진 공격”, “디도스 피해 최대고비…좀피PC 하드디스크 파괴 시작”, “디도스 공격 당하면 하드디스크 파괴 명령 하달”, “디도스 악성코드, PC파괴 시작… 아침이 고비”
상식적으로, 이런 심각한 공격을 초래한 악성코드가 흘러나온 5개 웹하드 업체는 즉각 수사를 받았어야 당연할 것입니다. 고의로 악성코드를 유포했는지, 자신도 모르게 서버가 뚫렸는지, 어떻게 뚫렸는지, 어째서 5개 업체가 거의 동시에 뚫렸는지, 그 시기에 서버를 조작한 직원이 있는지, 서버 암호 관리 및 접근 통제는 평소 어떻게 하는지, 로그(log)파일 위,변조에 대한 방어책이나 관리는 어떻게 하는지(별도의 로그 서버를 운영하거나, 로그파일을 암호화하거나 등 여러 방법이 있습니다) …
그러나 이들 업체에 대하여 수사가 진행 중이라는 보도는 없습니다. 이제와서 뒤늦게 수사해 본들 만족스러운 수사가 될리도 없습니다.
사건 발생 처음부터, 그리고 수사도 해보지 않은 시점에 벌써 이들 업체는 영세 업체라느니, 전부 똑같이 서버를 엉망진창으로 허술하게 관리했지 않겠느냐는 둥 근거도 없는 모욕적인 추측을 내세우면서 이들 업체를 슬슬 감싸고 도는 모습은 뭔가 사리에 맞지 않습니다. 방통위가 이번 기회를 틈타 좀비PC법 통과 필요성을 홍보하는 것이야 방통위 마음이겠지만, 정작 악성코드 진원지에 대한 수사 의뢰도 하지 않는 것은 더욱 이상한 것입니다. 처음부터 수사할 필요도 없다는 결론을 내렸던가요? 왜요?
A whirlpool is seen near Oarai City, Ibaraki Prefecture, northeastern Japan, March 11, 2011. (REUTERS/Kyodo)
Unbelievable.
이상한 ‘DDoS 공격’?
7.7 DDoS와 3.3 DDoS는 방통위가 의욕적으로 추진하는 이른바 좀비PC법의 필요성을 역설하는 근거로 사용되었습니다. 그런데 이들 DDoS 공격은 좀 이상한 측면이 있습니다.
DDoS공격을 하려면 많은 수의 좀비PC 군단을 일단 확보해야 합니다. 공격자는 이 과정에 공을 많이 들이게 되어 있습니다. 적발되지 않도록 bot(악성코드)를 유포시키는 일이 쉽지 않고, 위험부담도 많은 일이기 때문입니다. 감염PC를 확보한 다음에는, 이것을 유지하는 것이 중요합니다. 자기 PC가 감염되었다는 사실을 유저가 감지하고 백신을 실행하여 악성코드를 제거하면 공격의 위력이 감소하거나 공격이 불가능하게 됩니다. 따라서 유저가 감염사실을 느끼지 못하도록 하는 것이 중요합니다. DDoS공격자는 단한번 공격하고 판을 접는 것이 아니라, 필요할 때 마다 공격 대상을 바꾸어서 자신이 지휘하는 좀비PC들에게 공격지령을 내릴 수 있기를 원하며, 심지어는 감염PC를 거래하기도 합니다.
자기가 감염시킨 PC의 부트섹터(boot sector)를 손상시켜 PC를 먹통으로 만드는 행위는 DDoS 공격을 계획하는 자에게는 ‘자해 행위’에 해당합니다. 자기가 애써 마련한 ‘병력’을 스스로 죽이는 일이기 때문입니다. 이른바 ‘PC파괴’를 한다고해서 증거가 인멸되는 것도 아닙니다. 오히려 “이PC가 공격대상이었다”는 증거를 더욱 알기쉽게 제시하는 일입니다. 부트섹터를 손상시킨다고 해서, 하드디스크 나머지 부분의 정보가 지워지는 것도 아닙니다. 한마디로 공포분위기를 조성하고 관심을 끌어보자는 것이지, DDoS공격을 진짜로 해보려는 공격자가 하는 일은 아닙니다.
보통의 DDoS 공격은 유저들에게 보안 공포를 자아내지는 않습니다. 공격대상 웹사이트가 불안정하게 되거나 다운되는 것인데, 그 사이트에 접속할 일이 있는 유저라면 물론 불편은 하겠지만, 유저가 겁에 질리게 되지는 않습니다. 예를 들어, Wikileaks 에게 전달되는 기부금 돈줄을 끊은 Visa나 Paypal을 상대로 DDoS공격이 이루어졌습니다만, 그 사이트나 서비스를 그때 이용해야 할 필요가 없었던 유저는 아무 영향도 없고 겁에 질릴 이유도 없는 것입니다.
그러나 7.7 DDoS나 3.3 DDoS 는 유저의 하드디스크를 공격함으로써 (DDoS공격으로서는 ‘자해 코메디’에 가깝지만) 유저들에게 보안 공포를 불러일으키는 것이었습니다. 물론 이 ‘보안 공포’는 얼토당토 않게 감염의 위험을 과장하여 마치 온국민의 PC가 무조건 감염된 것처럼 호들갑을 떨어 댄 언론 매체가 부채질한 것이기도 했지만.
7.7 DDoS나 3.3 DDoS는 국내 유저들이 겁에 질려 백신을 내려받게 만드는 학습 효과를 거두는 것이지 실제로 DDoS공격을 지속적으로 감행하려는 것은 아니었습니다. 무시무시한 ‘PC파괴’(실은 부팅에 필요한 정보가 지워져서 부팅이 안되는 것일뿐, 컴퓨터가 물리적으로 부서지는 것은 아니지요)를 당했다는 컴퓨터의 실제 숫자도 전혀 밝혀진 바 없고, 오히려 안랩의 백신때문에 ‘PC파괴’를 당한 컴퓨터 숫자가 훨씬 많을 수도 있다는 보도도 있습니다.
물론 이 모든 것이 “북한의 소행으로 추정된다”고 하시는 연로한 어르신들이 권력의 핵심에 있지요. 소스코드에 “1번”이 적혀있더라는 기자회견이라도 여시면 금상첨화일듯.
‘좀비PC법’의 문제점 1
한선교.안홍준.손범규.김태원.정갑윤.유성엽.이인기.고승덕.김을동.김성동.강승규 의원이 2010.11. 발의한 악성프로그램 확산방지 등에 관한 법률안(일명 “좀비PC법안”)에 대한 정보는 국회 웹사이트에서 확인하실 수 있습니다. 법안 원문은 여기서 내려받을 수 있습니다.
이 법안은 다음과 같은 문제점이 있습니다.
첫째, 모든 이용자에게 “백신소프트웨어를 설치·이용하고 주기적으로 갱신”하여야 할 법률상 의무를 부과합니다(제7조 제2항). 실제로 이용자(개인, 법인 등)들이 어떤 백신을 사용하는지 안하는지를 어떻게 확인하려는지, 어느 회사 제품을 써야 이 의무를 다하는 것이 되는지는 법률의 규정으로는 짐작하기 어렵고 대통령령으로 정하도록 하고 있습니다. 대통령령이 자기 회사 제품에게 유리하게 제정되도록 하기 위하여 치열한 로비가 이루어질 것으로 예상됩니다. 시장과 소비자의 사랑을 받기 위해 정당히 노력하고 경쟁하기 보다는 공무원의 사랑을 받아서 유리한 규정을 만들어 놓고 나면 그만이라는 지긋지긋한 한국형 IT산업 구도가 여기서도 반복될 것입니다.
감기 걸린 사람이 치료를 제대로 안하고 돌아다니면 다른 사람에게도 옮기는 등 “민폐”를 끼치는 측면이 분명히 있습니다. 그렇다고 감기(예방)약을 복용할 의무를 국민에게 부과하는 법률을 통과시키려는 나라는 없습니다. 과연 어디까지를 감기(예방)약으로 볼 것인지는 대통령령으로 정한다? 민간요법은 안되나요? 물론 그런 법이 통과되기를 열망하면서 대통령령 제정과정에서 로비 총력전을 준비하는 제약회사도 있겠지만.
둘째, 포털사이트나 인터넷 접속서비스 제공자가 이용자들에게 백신 소프트웨어를 제공할 수 있다는 규정(제8조)은 불필요 합니다. 그런 규정이 없어도 제공하면 됩니다. 지금도 포털 등이 백신소프트웨어를 제공하고 있습니다.
셋째, PC방 등 사업자들에게 백신 사용의무를 부과하는 규정을 보면, “대통령령으로 정하는 바에 따라 백신소프트웨어를 설치”해야 한다는 조항이 있습니다(제8조 제3항). 이것 또한 순식간에 독소 조항으로 변질될 것입니다. 대통령령으로 어떤 제품은 되고, 다른 것은 안된다는 식으로 정해져 버리는 순간 자유로운 경쟁은 불가능해집니다. 대통령령을 만드는 과정에서 자기 회사 제품에게 유리하게 규정이 제정되도록 하려는 치열한 로비는 당연히 생길 것입니다. 공무원은 이런 규정을 좋아합니다. 권력이 뭔지를 느끼게 해주니까요 ^^
여러 보안 기술 중 “공인인증서”는 되고 다른 보안기술은 안된다는 식의 규정도 지금껏 똑같은 짓을 해 왔습니다. 해당 분야 사업자들이 모두 공무원앞에 머리를 조아리도록 만드는 것입니다.
넷째, 방송통신위원회가 “중대한 보안상의 취약점이 있다”고 판단하는 소프트웨어에 대하여는 취약점 보완프로그램 배포를 명령할 수 있고, 이 명령에 응하지 않는 소프트웨어는 배포를 중지시킬 권한을 방통위에 부여하고 있습니다(제9조 제3항).
방송통신위원회는 공중이 이용할 수 있도록 제공되는 소프트웨어가 중대한 보안상의 취약점이 있는 것을 알게 된 경우에는 해당 소프트웨어의 제공자에게 대통령령으로 정하는 바에 따라 개선을 명할 수 있으며 이를 이행하지 아니하는 경우에는 제공의 중지를 명할 수 있다.
이 조항은 엄청난 문제를 안고 있습니다. 무엇이 보안상 취약점인지는 기술적으로 복잡 미묘할 수 있습니다. 얼마전 어떤 앱이 사용자의 IMEI 번호를 수집한다는 이유로 다른 회사의 백신이 그것을 바이러스로 검출하여 치열한 신경전이 벌어진 사안은 보도된 적도 있고, 각 회사의 백신들 마다 상호간에 오탐지도 빈번히 있습니다(보도되지도 않지만). 과연 무엇이 중대한지, 무엇이 보안상의 취약점인지에 대해서는 전문 기술인력간에 자연스럽게 형성되는 콘센서스에 기하여 시장이 유연하게 대응하는 것이 옳습니다. 그러나 이 조항은 방통위 공무원에게 이문제를 결정하도록 엄청난 권한을 부여하는 것입니다. 비유하자면, 암인지 아닌지를 보건복지부 공무원의 판단에 맡기고 공무원이 암이라고 하면 암이 되고, 그렇지 않으면 암이 아니라는 식의 황당한 규정으로 변질할 여지가 있습니다.
이 결정 과정에서 공무원 앞에 머리를 조아리고 벌벌기는 소프트웨어 사업자들은 십중팔구 “국내 사업자”일 것입니다. IE6에 엄청난 보안 취약점이 발견되고 여러달이 넘도록 패치가 배포되지 않는다고 해서(이때까지 실제로 그래왔지요) 방송통신위원회가 IE6 배포 중단을 명령할까요? 방통위에게 특정 소프트웨어 배포 중단 명령권을 부여하는 이 규정은 만만한 국내 S/W사업자들을 상대로 방통위가 주먹자랑이나 해보자는 것으로 변질될 우려가 많습니다.
다섯째, 웹사이트 운영자가 악성코드를 발견하였을 때 즉시 삭제해야 한다는 조항(제10조 제1항)을 둘 필요는 없습니다. 악성코드를 발견하고서도 그것을 삭제하지 않는 웹사이트운영자는 고의로 그 코드를 유포시키는 자입니다. 현행 법에도 이런 자를 처벌하는 규정은 널려있습니다. 웹사이트게시판에 악성코드가 있음을 방통위가 발견하면 웹사이트 운영자에게 그것을 삭제하도록 명할 수 있다는 조항(제10조 제2항)도 필요가 없습니다. 악성코드는 현행법 하에서도 “불법 정보”입니다. 방통위가 불법정보 삭제와 관련하여 현행법 하에서 가지는 막강한 권한으로 충분할 뿐 아니라, 그런 정보가 발견되었다는 점을 웹사이트 운영자에게 “통지”해 주기만 하면 웹사이트 운영자는 즉시 그것을 삭제할 의무가 현행법령 하에서도 생깁니다(알고도 삭제하지 않으면 고의로 악성코드를 유포하는 행위로서 처벌될 수 있기 때문입니다).
여섯째, 악성프로그램에 감염되었다고 방통위가 판단하기만 하면, 방통위는 그 “컴퓨터에의 접속을 해당 이용자에게 요청할 수 있다”는 규정은 기술적으로도 불필요하고, 법리적으로도 용납될 수 없는 개인의 기본권 침해의 소지가 있는 위험한 규정입니다(제12조 제1항).
방송통신위원회는 침해사고 대응, 원인조사 등의 조치가 필요한 경우에는 전자적 침해행위를 받거나 악성프로그램에 감염된 컴퓨터에 대한 접속을 해당 이용자에게 요청할 수 있다.
방통위가 개인의 컴퓨터에 “접속”한다는 말은, 그 컴퓨터를 완벽히 장악한다는 말입니다. 그 컴퓨터의 모든 파일을 읽을 수 있고, 복제본을 만들수도 있고 하여간 그 컴퓨터는 완전히 발가벗게 됩니다. 그래서 제12조 제4항에는 해당 컴퓨터의 정보를 “해당 업무 목적 외로 열람·이용하거나 침해·훼손·누설하여서는 아니 된다”는 규정을 두고 있지만, 이 규정은 방통위(정부)가 개인의 컴퓨터에 접속한다는 것이 얼마나 엄청난 일인지, 남용의 위험이 큰지를 암시할 뿐입니다.
법안을 설명하는 서론 부분(제3면)에는 “이용자의 동의를 얻어 악성프로그램 감염 컴퓨터에 대한 접속 및 자료의 수집.조사를 할 수 있도록 함(안 제12조)”이라고 해 두었지만, 막상 제12조를 보면 “이용자의 동의”라는 표현은 빠져 있을 뿐 아니라 접속요청을 거절할 수 있는지에 대한 언급도 없습니다.
물론 방통위는 유저가 접속 요청을 거절할 수 있고, 그럴 경우에는 접속 시도를 안할 것이라고 말할 것입니다. 하지만, 방통위의 접속이 정말로 이용자의 “자유롭고 진정한 동의”가 있는 경우에만 이루어질 것이라면 왜 이런 규정을 두려고 하겠습니까? 자발적으로 내컴퓨터 좀 봐주세요라고 동의하는 사람에게 접속해서 필요한 작업을 수행하는데에는 굳이 별도의 법규정이 필요없습니다.
유신 시절 “임의 동행”이라는 것이 어떻게 악용되었는지를 기억하는 분들이 아직 많을 것입니다. 법 조문을 보면 경찰관의 동행 요청를 거절할 수 있도록 되어 있습니다. 실제로 어땠던가요? 온갖 얼토당토 않은 짓거리가 “임의동행”이라는 허울을 쓰고 저질러졌지 않습니까?
진정으로 유저의 “자유로운 동의”가 있을 때에만 유저의 컴퓨터에 접속하겠다는 생각이 방통위에게 조금이라도 있다면, 이따위 기만적인 규정을 집어넣으려는 얕은 수를 쓰지는 않을 것입니다. 규정이 없어도 진정으로 동의하는 유저의 컴퓨터에 접속하는 것은 아무 법적 문제가 없기 때문입니다.
이규정은 기술적으로 더욱 황당한 측면이 있습니다. DDoS공격에 사용되는 악성코드는 매 공격마다 바뀔 수는 있지만, 하나의 공격에서 컴퓨터마다 제각각 다르게 행동하는 악성코드가 사용되는 것은 아닙니다. 감염된 PC마다 bot가 다르다거나, 그 bot가 PC마다 다른 행태를 보이는 것이 아니므로 현재 발생한 DDoS 공격에 대한 대응을 위해서는 다수의 감염된 PC를 일일이 다 들어가 봐야하는 것도 아니고, 연구에 필요한 한도에서 실험용 PC로 직접 감염되도록 해서 분석하면 되지, 왜 굳이 불특정 시민의 PC에 방통위가 접속하려고 이런 해괴한 규정을 두는지 도저히 상식으로는 설명될 수 없습니다.
방통위 직원 PC한 두대로 시험해봐도 될 터이고, 방통위가 움직일 때 쯤이면 십중팔구 백신 회사에서 이미 bot 의 패턴 분석까지 다 끝냈을 터인데, 어째서 방통위가 애꿎은 시민의 PC를 또 접속해봐야 한다는 것인지 누가 좀 속시원해 설명해 주셨으면 하네요. [계속]
텀블러 - 트윗팅 블로그?
리트윗, 펌, 리블로깅, 텀블러: 마구 섞여 돌아가는 텀블 드라이어?
마구 섞이는 와중에 뭔가 떠오르겠지.
Copyright? 그게 그렇게 중요하면 텀블러/트위터하지 말고 종이책 찍어 팔면 되지 않을까? (팔릴만한 내용이라면 살 사람 있겠지)
자유로운 섞임/펌/리믹스 공간인 트위터/텀블러에 굳이 들어온 다음에 저작권 어쩌구 징징짜는 loser 는 밥맛. 새로운 세상의 도래를 막으려는 saboteur라고나 할까.
저작권을 무기로 내세워 돈벌이하고 싶은 자는 이런데 아예 오질 말어. 괜히 들어 온 다음, 아무 돈벌이 할 생각 없이 자유롭게 리블로깅하고 서로 주고받는 다른 사람들에게 저작권 어쩌구 하면서, 내글 건들지마라 협박질해서 돈뜯어내려 하지 말고.
내 트윗은 내가 저작권을 가지니까 리트윗하지 말라고 징징 짜는 것처럼 웃기는 것이 있을까?
