DDOS 공격: 자네는 전술을 잘 못 선택했네! |
---|
김정운군이 요즘 뜬다. DDOS 해킹 공격을 주도한 것으로 추정된다. 할배들더러, 이렇게 말한 셈이다. "할배들! 나, 봐! 잘했지? 젊은 피 답지? 지도자 깜이 될 만 하지?" 에고. 이런 심뽀로 DDOS 공격을 한 거라면 정말 그 방법을 잘 못 선택해도, 한 참 잘 못 선택한 게다. 왜냐하면 DDOS는 여러가지 점에서 잘못 선택한 전술이기 때문이다. 이를 이야기하려면 DDOS에 앞서, 우선 DOS 가 무엇인지 좀 말 할 필요가 있다. DOS는 "서비스 거부"라고 번역되고 있는 데 이는 잘 못 된 번역이다. "서비스 먹통 만들기"가 제대로 된 번역이다. 인터넷 통신을 하게 되면 "TCP 세션"이란게 열린다. 예를 들어 지금 내 피씨와 nkd 사이트와 통신을 하고 있는데, 이게 바로 "TCP 세션"이다. 내 피씨가 처음 nkd 사이트에 접속하면, nkd 사이트의 서버는 내 피씨와 TCP 세션을 맺기 위해 "악수"를 하고 "몸풀기"를 한다. "악수" 절차와 "몸풀기" 절차가 끝나면 비로소 TCP 세션, 즉 "통로"가 뚫리는 게다. 순조로운 경우, 이는 1초도 되지 않아 완료된다. 하지만, 여차저차한 사정으로 순조롭지 않을 경우, nkd 사이트는 내 피씨와 세션을 맺기 위해 십초 내지 20여초 동안 계속 "악수"와 "몸풀기"를 시도한다. DOS는 "저랑 통신해요. 우리 TCP 세션 뚫어요"라고 아양을 떤 후에, 아무 조치를 취하지 않는 수법이다. 이런 아양을 순식 간에 수십번, 수백번, 수천번, 수만번을 떨면 상대방 서버 (예를 들어 nkd 서버)는 이게 다 진담인 줄 알고, 계속 헛되이 TCP 세션을 시도하게 되면서 다른 통신을 일체 하지 못 하게 된다. 이런 상태를 "되다만 세션" (hung session)이라고 부른다. 한마디로 DOS는 상대방의 성실한 대응을 악용해서, 상대방을 마비시키는 매우 저질, 악질 수법이다. DDOS는 내 혼자서 이런 아양을 떠는 게 아니라, 내가 조종하는 남들의 피씨(좀비 피씨)들을 동원에서, 한 날 한 시에 아양을 떠는 거다. 이는 선의의 피해자를 대량으로 만들어 낸다. 결국, DDOS가 뜻하는 바는 이렇다. 1) 상대의 성실함을 악용해서 상대방을 자빠뜨린다. 2) 상대의 성실함을 악용할 때에, 무수히 많은 무고한 희생양으로 삼는다. 음...이러고 보니까, 이게 바로 남한에 대한 북한의 정책 아닌감! 1) 남한의 성실함을 악용해서, 돈도 빨고 물자도 빤다. 2) 남한의 성실함을 악용할 때에, 무수히 많은 남북한 국민을 희생양으로 삼는다. 이러고 보니 김정운군은 실은 새로운 업적을 이룬 것이 아니라, 그 애비, 할배가 해오던 버르장머리를 "PC 방 판본(version)"으로 약간 비틀어서 사용하고 있는 것에 불과할 뿐임을 알 수 있다. 에고, 저 놈의 집구석은 어찌 3대가 다 저리 극악하누!
신고 0명
게시물신고
|
신문이나 뉴스 안보시죠? 아니면, 조중동에는 관련 내용이 기사화되지 않는 모양이군요.
뉴스 검색해 보세요. 그러면, 윗글을 삭제하고 싶을만큼 얼굴이 화끈거릴 겁니다.
이 신문에 따르면, 국정원은 이날 국회 정보위원회 간담회에서 “정찰국 산하 110호 연구소에서 (해킹) 프로그램을 개발하고, (해외에) 위장 해커 부대를 운영하고 있다”고 보고했다고 정보위 소속 한 의원이 전했다.
국정원이 보고한 내용에 따르면, 110호 연구소는 지난달 방송통신위원회 산하기관과 지방의 한 대학을 디도스로 공격하는 사전 모의훈련을 실시했다. 이 모의 훈련은 북한 군 당국의 지시에 의해 이뤄졌고 110호 연구소는 ‘남조선괴뢰 통신망을 순식간에 파괴하는 것’을 목표로 삼고 있다. 국정원은 북한이 중국과 동유럽 등지에 업체를 가장한 해커부대를 운영하고 있는 실태도 파악했다.
지난 4일 한·미 양국 2만대의 컴퓨터(한국 1만2000대, 미국 8000대)에 트래픽(traffic) 발생 등 사이버 테러의 첫 징후도 나타났다고 한다.
110호 연구소는 인민군 총참보부 정찰국 소속의 사이버 전쟁 전담 부대로, 기존의 ‘기술정찰조’와 ‘조선컴퓨터센터’(KCC) 등을 확대 편성한 것으로 추정된다. 사이버심리전 부대 등을 포함해 모두 500여명이 활동하고 있으며 해외에 기업을 가장한 해커부대도 운영하고 있는 것으로 알려졌다고 이 신문은 전했다.
이는, 집에 칼이 있다는 이유만으로 아무 증거도 없이 살인용의자로 지목하는 억지스러움과 진배없습니다.
더구나, 이번 사이버 테러의 배후에 대해 줄줄이 나오고 있는 기사들은, 이번 국정원과 정부의 판단이 얼마나 어이없는 것인지를 잘 말해주고 있습니다.
님께서 기사를 인용하셨으니, 저도 기사로 답해 드리겠습니다.
----------------------------------------------------------
"사이버테러 서버는 미국 IP", 국정원 당황
<쉬프트웍스> 발표, <NYT>도 "4일부터 미국내 공격 시작"
2009-07-09 14:38:31
사이버테러 공격자의 인터넷 주소가 미국 IP로 밝혀졌다는 주장이 나와, 북한 또는 종북세력 배후 의혹을 제기한 국가정보원을 당혹케 하고 있다.
국내 보안전문업체 <쉬프트웍스>의 홍민표 대표와 이대로 연구원은 9일 디오스 악성코드를 14시간 가량 직접 분석한 결과, 악성코드의 유포지가 미국 IP(75.151.XXX.XXX)임을 확인했다고 발표했다.
홍 대표는 “악성코드가 유포되는 흐름을 따라 들어갔더니 영문 윈도 서버 2000이 깔려있는 미국 인터넷주소의 가상서버였다”며 “그 프로그램 내용을 바꾸거나 해당 IP를 국내에서 차단하면 더 이상의 악성코드 유포는 막을 수 있다”고 말했다.
그는 공격자가 누구인지에 대해선 “누군진 알 수 없지만 서버를 찾기도 까다롭게 해놓고 서버에 접속한 로그기록을 전부 지운 걸 보면 아주 수준급의 실력자일 것”이라면서도, 국정원의 북한-종북세력 배후설에 대해선 “북한의 경우 외부 인터넷을 이용할 때 주로 중국 IP를 사용한다. 그렇지 않다 하더라도 이런 대규모 공격을 할 땐 IP를 세탁하기 때문에 북한 IP인지 알아채기 어렵다”고 반박했다.
그는 또 국정원이나 미 정부당국에서 북한 IP라는 근거자료를 내놓지 않는 것도 의심된다고 덧붙였다.
이들에 따르면 악성코드의 파일 안에는 ‘독립기념일을 기리며(Memory of the Independence Day)’라는 문구가 담겨 있으며 이를 열어보거나, 또는 감염 사이트에서 자동으로 다운 로드되면서 감염이 일어난다. 홍 대표는 “무엇보다 이미 악성코드에 감염된 PC 사용자들이 빨리 삭제프로그램으로 지워야 한다”며 “MS 윈도 취약점을 이용한 제로데이 공격인만큼 윈도 패치가 빨리 나오는 것도 중요하다”고 지적했다.
미국의 <뉴욕타임스>도 8일(현지시간) 인터넷판 기사를 통해 "이번 공격을 추적하고 있는 연구자들은 이러한 공격이 지난 4일부터 미국 정부 웹사이트의 소규모 그룹을 중심으로 시작되었으나 이후 미국 내 상업 사이트들까지 그 범위가 확대됐으며 이후 한국의 상업 및 정부 사이트까지 확대됐다고 말했다"며 진원지가 미국임을 분명히 했다.
이처럼 사이버테러 진원지가 미국내 IP로 밝혀질 경우 북한-종북세력 추정 의혹을 제기해온 국정원 등은 커다란 역풍에 직면할 게 불을 보듯 훤해 귀추가 주목된다.
김혜영 기자
박영선 의원이 밝힌 '국정원의 북한테러 추정 근거'
국정원 "보고 차원에서 말한건대 언론에 나가 오해 소지 있어"
2009-07-09 18:44:14
박영선 민주당 정보위 간사는 9일 당 고위정책회의에서 국가정보원이 사이버테러를 북한-종북세력 소행으로 추정하는 근거를 자신에게 어떻게 설명했는가를 공개했다.
박 의원은 "어제 DDoS 공격이 있었다는 기사가 많이 나서 내가 오전 중에 국정원 2차장에게 경위 파악을 위해서 전화를 했다"며 "'국정원에서는 어떻게 보고계십니까?'라고 질문을 드렸더니, 국정원 2차장님의 답변이 '북한으로 보인다. 그러나 수사 중이기 때문에 오후에 다시 보고 드리겠다' 하셨다"고 밝혔다.
박 의원은 이어 "기다리고 있었다. 오후에 제가 회의에 다녀왔더니 보좌관이 국정원에서 인편으로 서류가 와있다고 해서 서류를 제가 꺼내봤다. 2장짜리 서류였다. ‘사고개요, 공격주체 : 북한 또는 북한 추종세력 추정’ 이라고 써 있었다"며 "이와 관련된 근거에 대해서는 여기에 언급이 없었다"고 말했다.
박 의원은 "국정원 2차장님께 이 서류를 받고 다시 전화를 드렸다. '근거가 기재가 안 되어있는데 근거가 무엇입니까' 물었더니, '아직 수사 중이라 정확한 근거에 대해서는 담당으로부터 보고를 받지 못했다. 담당국장과 직접 통화할 수 있도록 연결하겠다'는 답변을 들었다"고 전했다.
그는 이어 "이후에 담당국장과 직접 통화를 했다. 담당국장의 설명은 국정원이 북한이나 북한 추정세력으로 보는 이유는 첫째, 지난 6월 16일에 국방부가 미국과 함께 사이버스톰 훈련에 참여하겠다고 발표를 했는데 이 발표에 대해서 북한 측에서 ‘사이버스톰 훈련참여는 북한에 대한 도발이다’는 반응이 있었고, 둘째는 지난 6월 27일에 조평통 성명을 통해서 ‘가만히 있지 않겠다’는 대변인 발표가 있었다는 것이다. 이 두 가지 사실과 해킹을 당한 사이트들이 대부분 보수를 지향하는 쪽인 것으로 봐서 북한이나 북한 추종세력으로 보고 있다는 설명이었다"며 "수사는 시간이 좀 걸릴 듯 하다고 답변했다"고 밝혔다.
그는 "그래서 내가 그렇다면 북한이나 북한 추종세력이라고 지금 이 시점에서 밝히는 것은 좀 부적절해보인다고 질의했더니, 국정원 담당 국장 답변이 '저희도 정보위원님들에게 경과보고 차원으로 말씀을 드린 것인데, 이것이 언론에 나가게 돼서 오해의 소지가 있을 수도 있겠습니다'라고 답변했다"며 "이게 통화내역의 전부"라고 전했다.
김동현 기자
국내 보안업체들 "국정원의 북한배후설은 무책임"
"마음만 먹으면 청와대 주소로도 조작 가능"
2009-07-09 17:30:38
이번 사이버 테러의 배후로 북한 및 추종 세력을 지목한 국가정보원 및 미국 정부 당국자의 발표에 보안업계가 의문을 제기하고 있다.
9일 A보안업체의 한 관계자는 "기술적으로 이번 사태의 배후를 찾을 수 있는지부터가 의문"이라며 "이번 공격은 기법상 추적이 사실상 불가능하다"고 말했다.
또 "IP 주소는 얼마든지 세탁이 가능해 범인의 단서로 의미가 없다"며 "마음만 먹으면 청와대 주소로도 조작이 가능한 것이 사실인 만큼 이를 근거로 북한 배후설을 주장하는 것은 무책임하다"고 덧붙였다.
B보안업체의 관계자는 "우리도 범인이 궁금하지만 아무런 근거를 발견하지 못하고 있다"며 "이번과 같은 대규모 범행을 저지른 집단이 IP 흔적을 그대로 남겼다는 것은 상식 이하의 추측"이라고 말했다.
이어 "적어도 범인을 지목하려면 제어 서버의 소재와 관리자라도 파악해야 하지만 이마저 사실상 불가능에 가까운 일"이라고 지적했다.
실제로 보안업계 일각에서는 이번 공격이 발생한 IP가 북한이 아니라 미국이라는 주장도 제기되는 등 IP를 둘러싼 논란도 제기되고 있다.
여기에다 북한은 국제인터넷주소관리기구(ICANN)이 관리하는 IP를 부여받지조차 못해 중국 인터넷서비스업체(ISP)의 서비스를 받는 상황에서 북한 IP를 찾아냈다는 주장은 더더욱 신빙성을 의심받고 있다.
정부기관의 한 관계자도 "기술적으로 북한이 진원지라는 근거는 나올 수도 없고 들어본 바도 없다"며 "근거 없는 주장일 가능성이 크다"고 말했다.
이명수 한국정보보호진흥원 인터넷침해사고대응센터장도 이날 기자들과 만나 북한 배후설에 대해 "들어본 적 없다"고 말했다.
그후 <김일 대학> 으로 명칭 교체..
소재지 : 평양시 형제산구역 제산리.
설립목적: 전자전을 위한 해커부대 양성
1980 년대부터 뛰어난 두뇌진들을 선발하여 양성.
무시못할 존재들임
"북한이 이번 공격의 배후에 있다 그러나 증거는 없다."라는 국정원의 말입니다.
기본적으로 일국의 정보기관이 아무런 증거를 제지사히 못하고 저런 경솔한 발언을 하는것 자체가 문제입니다. 정보력 부재의 무능력 사후처리 무능력 증거수집 무능력등을 대내외에 대고 실컷 자랑했지요. 이렇게 무능한 국정원장이라면 당장 모가지 날려야 정보기관이 제대로 돌아갈거라 봅니다.
또한 언론에 일종의 가이드라인을 제시한 것이죠. 조중동으로 대표되는 보수신문들의 헤드라인만 봐도 사실확인 없이 "북한이 배후다"라는 기사를 난발하고 있고 그 독자들은 그걸 믿는다는 것이죠. 최소한 언론이라는 말을 들으려면 국정원의 저런 경솔한 발언부터 문제 삼아야할 것들이 아예 한술 더뜬다는 거죠. 식사시간에 조선일보 헤드라인을 보니까 청와대와 참모진들이 집중적인 공격을 받았다고 하던데 만약 북한이 아니라면 얼마나 한심한 정부입니까? 따라서 어떻게든 배후를 북한으로 만들 수 밖에 없게 만들었죠. 이것으로 대북공세를 강화하는데 그친다면 그나마 다행인데 다음에 있을지도 모를 또다른 사이버공격에 대해 오판을 낳게 하겠죠. 결국 나라 전체로 보면 막대한 손실을 거듭자초하는 셈입니다.
생각해 보세요. 디도스 공격만큼이나 얼마나 엉뚱한 말이 많앗습니까? 참내 악성코드가 "하드포맷을 한데요?" 이거 뭐 컴퓨터에 컴자나 아는넘이 기사를 쓴건지 초등학교다니는 조카말듣고 기사를 쓴건지... IT강국이라는 나라의 기자란 넘의 컴터실력이 겨우 저정도의 기사를 쓰고 있으니 아주 나라의 얼굴에 똥칠을 한거죠. 국정원의 경솔한 한마디 말로 인해 보수신문은 어덯게든 사실로 만들려하고 또 그위험을 확대,과장하려다 보니까 별 같지도 않은 것이 기사가 되지 않습니까? 북한IP가 잡혓다고 했다가 북한은 제공된 IP자체가 없다니까 슬그머니 "그래도 배후로 추정한다?" 국정원이 갈릴레오도 아니고...
결론적으로 현재로선 공격을 누가 했는지 알 수 없고요.
한심스런 국정원의 경솔한 말장난에 온나라가 놀아나고 있다는 것이죠.
국정원 "해킹전담 115호 연구소
'남조선 통신망 파괴하라' 6월30일 첫 공격"
국가정보원은 한·미 주요기관에 대한 사이버 테러 공격 경로를 추적하는 과정에서 북한인이 확실한 해커 윤모의 IP를 확인, 이를 근거로 이번 테러가 북한측에 의해 저질러졌다는 심증을 굳힌 것으로 10일 알려졌다.
정부 당국자에 따르면 국정원은 그동안 북한의 해커 조직을 계속 추적해왔으며, 이번 사이버 테러 공격 경로를 파악하는 과정에서도 '눈에 익숙한' 북한인 해커 조직의 IP가 동원됐다는 사실을 알아냈다. 국정원은 이에 앞서 북한이 6월 중순부터 국내 정보분야 연구기관을 들락거리며 디도스(DDoS·분산서비스 거부) 관련 자료를 열람하고 있는 사실을 파악, 계속 감시 중이었던 것으로 전해졌다.
국정원은 이 같은 감시를 통해 북한이 6월 30일 한국기계연구원 광주전산망을 첫 디도스 공격한 것을 확인했으며, 중국 선양에 있는 북한인 해커 조직이 저지른 것으로 파악했다. 정부 당국자는 "국정원은 당시 이용된 악성 프로그램의 '확장자'도 북한 해커들이 종전에 많이 썼던 MLS(*.mls)인 것을 확인했다"고 했다. 그는 "국정원은 오랫동안 북한인으로 추정되는 해커들의 IP 대역을 추적했으며 북한 해커부대의 IP 대역도 파악한 상태"라며 "국정원이 북한 소행을 자신하는 이유는 이런 IP 대역을 근거로 추적할 수 있기 때문"이라고 했다.
당국자에 따르면 국정원은 이번 공격을 북한군 총참모부 정찰국 산하 115호 연구소(평양 소재로 추정)가 주도한 것으로 보고 있다. 115호 연구소는 사이버전(戰)과 해킹을 전담하는 북한군 조직으로 알려져 있다. 당국자는 "국정원이 6월 7일 이 연구소의 전략 문건을 입수했는데, 북한 해커조직에 '남조선 괴뢰 통신망을 순식간에 파괴할 수 있는 프로그램을 개발하라'고 지시하고, '소프트웨어 개발을 통해 연구소 성격을 위장한다'는 내용 등이 있었다"고 했다.
당국자는 또 국정원이 '북측 소행'이라고 판단하는 정황 증거로, "국정원은 6월 16일 국군 기무사가 주최한 '국방정보보호 콘퍼런스'에서 국정원측 참석자가 '한국과 미국이 공조해 사이버 방어망(사이버 스톰)을 구축해야 한다'고 한 뒤 6월 27일 북한 대남기구인 조국평화통일위원회(조평통)가 한·미의 사이버 공조를 강하게 비난한 것을 민감하게 지켜보고 있었다"고 했다. 국정원은 지난달 초 북한 해커부대가 동명정보화대 컴퓨터와 한국정보진흥원에 접속해 모의 공격 연습을 실시한 사실을 알아냈으며, 중국 선양과 베이징에 있는 북한 보위부 직원이 운영하는 위장 업체를 통한 것으로 추정하고 있다고 이 당국자는 덧붙였다.
국정원은 이 같은 사실을 이날 국회에서 한나라당 지도부와 가진 비공개 간담회에서도 보고한 것으로 알려졌다.
한편 국정원은 이날 국회 정보위원회 간담회에서는 이번 디도스 공격에 대해 "한국과 중국, 일본, 미국, 과테말라 등 19개국의 92개 IP를 통해 사이버 테러가 감행된 것으로 파악한다"고 밝혔다. 또 19개국에 북한은 포함돼 있지 않지만 "북한 또는 북한 추종세력이 감행한 것으로 추정한다"고 밝혔다. 정보 관계자는 "북한 해커조직은 중국 등 제3국에서 활동하기 때문에 북한 IP가 없는 것은 당연한 것 아니냐"고 했다.
괜히 똑같은 글 갖다 붙이기 하지 말자구요. 그냥 아랫글로 통합합시다.^^
그래야만이 국가최고 정보기관으로서 국내외적으로 공신력을 인정받을수 있습니다.
따라서 이번 사이버 테러의 배후는 북한 이라는 심정적 확증은 100% 가지고 있더라도 물적 증거가 100% 확인 되지 않았다면 대내외적으로 공표해서는 안됩니다 국가 최고정보 기관으로서 공신력에 치명적 손상을 입을뿐 아니라 우리정보 수집력의 약점을 김정일정권 에게 드러내 보이기 때문입니다
따라서 잘못하면 정치적으로 악용될소지가 많은 이런 미숙한 행동을 한 국가정보원은 국민들 한테 욕을 한 대여섯 바가지 쳐들어도 할말이 없을겁니다.
북한의 사이버 테러 위협에 대한 대국민 경각심 제고 하는 변명 제외하더라도 국정원은 스스로의 공신력을 스스로 높일 필요가 있습니다.
된장은 된장이고 고추장은 고추장입니다.
사실 여부를 떠나 이번 국정원의 발표는 너무 성급하고 아마추어적이었습니다.
이런 것은 우리나라의 전체의 공신력에 큰 영향을 주는 것인 바, 마땅히 보다 신중해야 합니다.