본문 바로가기
AhnLab Inside

이상철팀장이 들려주는 디도스백신 제조과정

by 보안세상 2020. 3. 28.

2011.04.16

 

안녕하세요, 안랩인입니다. 보안전문가의 생생한 리얼스토리를 담은 악성코드, 그리고 분석가들’(지앤선, 2011)를 출간하신 ASEC 분석팀의 이상철 팀장이 들려주는 '3.4 디도스 백신, 그 제조과정과 비하인드 스토리' 속으로 출발해볼까요?

Q. 안철수 연구소에서 맡고 계신 역할을 설명해주세요.
현재 ASEC이라는 연구실 안에 분석1팀 팀장을 맡고 있으며 2003년 8월부터 악성코드 분석가로 업무를 하다가 2008년 1월부터 중국 상해에서 팀장을 하고 2010년부터 다시 본사에서 팀장을 맡고 있습니다. 분석1팀에서 하는 주요 업무는 아래와 같습니다.

 

-  악성코드 분석
-  엔진 코드 작성
-  인증업무(체크, VB, ICSA)
-  내부 분석 시스템 개발
-  보안 동향 연구

Q. 평소 디도스와 악성코드에 대해 어떻게 준비하고 계시나요?
DDoS 공격은 네트워크 트래픽 현상으로만 바라보는 것은 매우 좁은 시각입니다. 이번 3.4 DDoS 공격을 비롯해 최근 DDoS 공격의 양상이 고도화, 다양화하고 있는 만큼 네트워크 레벨에서 클라이언트 레벨까지 전 영역에 대한 전방위적 방어체제가 요구됩니다.

 

안철수연구소는 네트워크 트래픽 기반의 공격은 DDoS 공격 대응 전용 제품인 트러스가드(TrusGuard) DPX가 담당하고 있으며 클라이언트 레벨의 악성코드 탐지 및 치료는 V3 IS 8.0, V3 365 클리닉, V3 Lite 등 V3 제품군이 맡고 있습니다. 더불어 웹 페이지의 안전한 관리를 위한 웹 페이지 모니터링 솔루션, 사용자 기반 웹 보안 솔루션으로 악성코드 유포를 차단하고 있습니다. 즉, 네트워크 서버 측면에서뿐만 아니라 클라이언트 측면에서 좀비 PC 해결 및 DDoS 대응이 가능하다는 것이 안철수연구소의 강점이라 할 수 있습니다.

 

 

Q. 이번 3.4 디도스 백신은 어떻게 만들어졌나요?

 

이번 디도스 백신은 3월 3일 증후가 나타나기 시작했습니다. 그 시점에서는 현황 파악을 하고 자료와 통계를 수집하면서 시시각각으로 들어오는 데이터들을 분석하면서 DDoS를 예측하였습니다. 그리고 3월 4일 새벽에 DDoS 증후가 보이는 것을 눈으로 확인 후부터 ASEC를 주축으로 3일 동안 전사적인 대응이 시작되었습니다.

 

 

Q. 3.4 디도스 당시 비상근무를 하셨는지? 그때 상황은 어떠했는지?
3월 3일 날에 저희가 ASD(AhnLab Smart Defense)를 통해서 의심스러운 악성코드들이(이후 샘플) 돌아다닌 것을 포착했습니다. 우리는 곧바로 해당 샘플을 수집하여 분석을 시작했습니다. 당시에는 분석가들이 퇴근한 시간이라 대응팀과 함께 DDoS 증상여부, MBR/파일 파괴여부를 동적으로 테스트 했습니다. 재현은 곧바로 이루어지지 않았지만 2시간 정도 만에 DDoS 공격이 재현되었습니다. 그러나 정확한 공격시간 등과 MBR/파괴 시점과 같은 것들은 정밀한 분석을 해야 했기 때문에 긴급하게 분석가들이 새벽에 회사로 나와 분석을 하기 시작했습니다.
분석1팀 팀장을 맡고 있었던 저로서는 새벽에 있었던 일을 간단히 팀원들에게 브리핑 해주고 각 업무에 맡는 담당자를 지정해주었습니다. 예를 들면 아래와 같습니다.

 

-  메인 EXE 파일 분석 … 모책임 담당
-  메인 DLL 파일 분석 … 모책임, 모선임 담당
-  C&C 통신 모듈 분석 …모선임 담당
-  DDoS 통신 모듈 분석 …모책임, 모선임 담당
-  트위터, 블로그 모니터링 …모선임
-  문서 작성…모선임..
-  기타 등등

 

DDoS 일어난 4일 새벽부터 연구소 전체가 그 때부터 계속 날을 샜으며 라면, 햄버거, 피자, 등등을 시켜먹으면서 끼니를 때웠습니다. 그러나 DDoS 샘플들을 분석하면서 국민들의 위협을 막고 있다는 생각 때문인지 힘든 것은 전혀 없었습니다. 오히려 DDoS 공격들을 대응 할 때 마다 팀워크가 살아나고 분위기는 열정적으로 바꿨습니다.

 


Q. 향후 디도스가 더 업그레이드 되어 공격시 사회혼란이 더욱 가중될 수도 있다는데요, 어떻게 생각하시나요?

 

DDoS 공격을 하는 공격자들을 앞으로의 의도를 정확하게는 알 수는 없지만 7.7 DDoS 공격과 이번 3.4 DDoS 공격을 통해 향후를 조심스럽게 예측하자면 국가, 은행권, 공공기관들에 상대로 하는 타켓 공격은 지금보다 훨씬 늘어날 것으로 생각됩니다. 따라서 국민들에게는 작지만 실천할 수 있는 보안에 대한 계몽활동 또는 교육을 체계적으로 할 필요가 있으며 기업들에게는 보안교육을 활성화 할 수 있는 제도가 마련되어 할 것으로 보입니다.

 

 




 안철수연구소 분석1 이상철 팀장

[출처 : 방통위 웹진 신통방통 4월호 바로가기]

'AhnLab Inside' 카테고리의 다른 글

안철수연구소, 디도스 숨은 공신을 찾아라!  (0) 2020.03.28
안철수연구소, V3 IS 8.0을 향한 응원들  (0) 2020.03.28
안철수연구소, 여의도에서 봄이 오는 소식을 전하다  (0) 2020.03.28
안철수연구소 최전방에서 인턴으로 보낸 6개월  (0) 2020.03.28
3.4 디도스 사이버전쟁, 안철수연구소 전사들의 5박6일 <2>  (0) 2020.03.28

관련글

티스토리툴바