잡담: 사이버 테러, DDoS 공격으로부터 보호받을 권리

예전에 회사 서버가 DDoS 공격을 받았던 적이 있다. 이 공격이 거의 20여일 가량 지속이 되었는데, 그 기간 내내 보따리 장수처럼 서버를 들쳐 매고 여러 호스팅 업체에 전화를 해가며 IDC를 전전했던 기억이 난다.

나는 보안에 대해 전문가가 아니라 정확하게 이야기할 수는 없지만, 호스팅 업체 사람들의 말에 따르면 공격 수법이 다양했던 것으로 기억난다. 대략 이런 식이다.

0. DDoS 공격 발생

1. DDoS 공격 대응 보안 서비스를 하는 호스팅 업체와 미팅 (혹은 전화)을 한다.

2. 현재 상황에 대해 설명을 한다.

3. 설명을 들은 호스팅 업체 측은 자신있는 목소리로 '우리가 막을 수 있다'고 호언장담을 한다.

4. 서버를 이전, 설치한다.

5. 다시 DDoS 공격이 들어온다.

6. 호스팅 업체 측에서 이리저리 손을 써보다가 여러 가지 이유를 들며 '우리는 막을 수 없다'고 두 손을 든다.

7. 1번부터 반복

사실 호스팅 업체야 IDC로부터 트래픽을 사다가 장사를 하는 것이니 물량으로 밀어부치는 방식의 DDoS 공격은 솔직히 막기 어려울 수 있다고 생각되기도 한다.

또한 대부분 영세하기 때문에 새로운 공격에 대한 장비들을 미리 구비해 놓는 게 아니라 공격이 들어오면 그 후에 방어책을 마련하는 식의 업무 프로세스가 대부분이기도 하다. 창과 방패의 싸움이라면 일단 창의 공격이 먼저 있어야 하는 것이다.

회사 규모가 크거나 대기업의 경우 거금을 들여 각종 장비를 구비하고 시스템을 잘 구축해서 왠만한 DDoS공격은 넘어가기라도 하건만, 작은 업체들은 이런 프로세스 속에서 속절없이 당할 수 밖에 없다.

하지만, 이런 와중에 제일 황당했던 건 사이버경찰청 담당자분의 답변이었다.

서비스가 공격을 당하고 있으니 당연히 사이버경찰청에도 신고를 하고, 한국정보보호센터 (키사, KISA) 에도 문의를 하고, 아뭏튼 닥치는 대로 알아보는 게 당연한 것.

당시 회사 서버에 DDoS 공격이 들어왔을 때 익명의 인물로부터 돈을 요구하는 일종의 협박이 있었다. 거의 1주일 여 가까이 메신저를 통해 돈을 요구했었고, 사이버경찰청에도 이런 사실을 함께 알렸었다.

하지만, 담당자분 (직책은 형사였던 걸로 기억한다)으로부터 돌아온 답변은 이런 식이었다.

이런 유형의 범죄가 많이 일어나는데, 실제로 범인을 알아내거나 검거하는 것은 거의 불가능에 가깝다.

관할 구역별로 작은 쇼핑몰부터 큰 서비스 업체까지 매년 이런 범죄가 몇 십건 이상 신고가 이루어지지만 뾰족한 수가 없다. 미안하다.

다만 범인으로 추정되는 자가 금품을 요구해도 절대 입금은 하지 말아라. 대부분 대포 통장이어서 추적이 불가능하다.

당시는 미래에셋이 DDoS 공격을 받았다가 해결이 된지 얼마 되지 않았을 때였고, 여러 미디어를 통해 경찰의 도움을 받아 범인까지 검거했던 것이 알려져 있었다.

*                        *                        *

지나고 나니 이유가 어찌되었건 결국 사이버 테러로부터 보호받을 권리 역시 한정된 게 아닌가 하는 생각이 든다.

작은 기업체들은 이런 협박, 범죄에 시달려도 인원이 모자라고, 근본적인 해결책이 없다는 전제 하에 속수무책으로 두손 두발 다 들고 피해를 감수해야 하고, 큰 기업체나 정부 관련 부서들은 이런 일이 있을 때 미디어가 도와주고 공권력도 집중 투입이 되서 사건을 최대한 조기에 종결시키려는 노력이 이루어진다.

온라인은 점점 오프라인을 닮아가는데, 오프라인에서도 온라인에서도 공권력의 보호를 받지 못하는 개체들이 있다는 게 참 씁쓸하다.