DDoS 공격에 대한 실전같은 방어훈련이 고객의 안전한 거래를 이끌어냈다.
9일 오후 서울 여의도 국민은행 IT전산센터 분산서비스거부(DDoS) 사이버테러 비상상황반. 국민은행은 이번 사이버테러의 주요 타깃이다. 5일에는 청와대·국민은행 두 곳이 집중 공격을 받았다. 금융당국과 금융ISAC(정보공유분석센터)은 현재 비상상황 종료를 선언하지 않았다.
기자가 찾은 당일 상황반 분위기는 예상과 달리 차분했다. 그럴만한 이유는 있었다. 과거 7·7대란처럼 이번 공격은 강했지만 은행이 사전준비를 충분히 하고 있어서다.
김정운 정보보안팀장은 “모의 훈련과 은행 내 각 팀들의 협조가 굉장히 중요하다는 것을 다시 한 번 깨달았다”고 말했다. 그는 모의 훈련의 효과에 대해 “사이버테러 공격을 받으면 뭘 어떻게 해야 할지 알게 됐다”고 덧붙였다. 국민은행은 매년 두차례 1주일간의 준비기간을 거쳐 하루 4시간 사이버테러 모의훈련을 실시한다. 이 도움으로 넋 놓고 지켜보는 상황은 없었다.
3월 3일 19:00. 국민은행 전산센터가 최초 DDoS공격을 감지한 시간이다. 2009년 두 차례에 걸쳐 구축한 DDoS장비의 상황등이 ‘붉은색’으로 바뀐 것. 다만 심각한 상황이 아니어서 관련자에게만 문자가 들어왔다. 이에 정보보안팀은 ‘주의’ 단계로 모니터링 강화에 나섰다. 얼마 후 보안업체 등에서 다음날 대규모 DDoS공격이 있을 것이라는 소식이 들려왔다. 이에 국민은행은 유석흥 부행장을 단장으로 비상상황반을 꾸릴 준비에 들어갔다.
3월 4일 10:00. 예상대로 대규모 공격이 들어왔다. 은행측은 연습했던 대로 비상상황 선언과 동시에 비상상황반 운영에 착수했다. 인원은 외부인력 수명을 포함한 30여명으로 구성했다. 이들은 침해사고대응팀을 위주로 DDoS 전용장비, 방화벽, 네트워크 모니터링을 이어갔고 동시에 실시간 보고도 이뤄졌다. 아울러 ISAC 등 외부기관과의 정보교류도 지속됐다. 공격 개시 1분 후, 최고 공격량을 기록했다. 공격규모가 얼마까지 늘어날지 알 수 없는 상황. 은행측은 자체 대응시스템인 ‘서비스 분산비율’ 조정에 착수했다. 여의도, 서울 염창동 그리고 목동IDC 3곳으로 거래를 분산하는 것. 이번 공격이 여의도로만 집중됐기 때문에 상당한 효과를 봤다. 일명 트리플액티브(Triple-Active)로 불리는 이 대응시스템은 인터넷뱅킹 거래규모를 조정한다. 오전 10시1분을 최고점으로 더 이상의 공격 확대는 없었다. 이날 오후 6시30분에 추가 공격이 있었지만 그 규모는 1차의 3분의2(최고치 기준) 수준이었다.
3월 5일 03:00. 변종 바이러스가 등장했다는 정보가 입수됐다. 이후 2시간여 후인 새벽5시25분 안철수연구소로부터 바이러스 분석결과 다음 공격은 ‘국민은행과 청와대’가 주요 대상이며 시간은 ‘오전 8시’가 될 것이라는 통보를 받았다.
3월 5일 08:00. 전날 1차 공격 최고치를 뛰어넘는 규모의 공격이 들어왔다. 이에 상황반은 대응 장비 임계치 조정, 서비스분산비율 두차례 추가 조정 그리고 내부 공격목표가 된 DNS 일시 삭제 등의 조치를 취했다. 자체 대응능력으로 수용이 가능한 수준이지만, 만약의 상황을 위해 이뤄졌던 것.
국민은행은 나흘간 추가공격이 감지되고 있지 않지만 여전히 비상상황반을 운영하고 있다. 24시간 모니터링 인력도 여전히 증원돼 있다. 은행측은 비상상황이 종료된 후 관계기관 및 업계와 회의를 갖고 추가 대응방안을 논의한다.
김정운 팀장은 “이번 상황에 참여했던 모든 인력들이 모여서 앞으로 어떻게 대응해 나가야할지 논의할 것”이라고 말했다. △사이버테러 공격을 어떻게 하면 더 빨리 감지할지 △공격패턴은 어떻게 변화했고 있고 이를 어떻게 차단할지 △모의훈련은 어떤 방식으로 정교화 해야 할지 등이 논의 대상이 될 것이라고 소개했다. 은행측은 이번 대응 상황 정보제공에 매우 민감해 했다. 그 이유에 대해 한 관계자는 “사이버테러 설계시 도움이 되기 때문”이라고 밝혔다.
<국민은행 DDoS 사이버테러 시간대별 상황 및 대응 현황>
*국민은행 관계자 발언 토대 작성
김준배기자 joon@etnews.co.kr
