구독상품안내
기자가 찾은 아침 시간은 실시간 대응센터가 가 장 바쁜 시간이었다. 직원들은 커피 한 잔 나눌 시 간도 없이, 출근하자마자 전날 밤 접수된 신고내용을 꼼꼼히 살피고 있었다. 새로운 신고가 가장 많은 시간 도 아침이다. 회사원들이 일제히 컴퓨터를 켜서 보안 점검을 받기 때문이다. 잉카인터넷의 보안 프로그램 인 ‘엔프로텍트’와 ‘게임가드’는 사용자가 1억 명이 넘는 다. 센터에 설치된 상황판에는 전날과 오늘의 신고현 황을 비교해놓고 있었다. 기자가 찾아간 1월 16일에도 수십만 건이 넘는 PC가 악성코드에 감염됐다.
센터를 책임지는 정영석 이사가 기자를 반갑게 맞 았다. 정 이사는 잉카인터넷의 창업 멤버로 구수한 부 산 사투리가 매력적이었다. 정 이사는 “직원들이 한수 원 사태 때 나흘 동안 집에 못 들어가 아직도 피로가 남아있는 상태”라고 털어놨다. 당시 몇몇 직원들은 크 리스마스도 반납하고 한수원에 찾아가 직접 보안점 검을 했다. 사실 해커들의 공격은 연휴나 밤낮을 가리 지 않는다. 대부분의 악성코드는 보안 프로그램 자체 에서 일차 방어와 대응을 하지만 분석가가 직접 점검 해야 할 때도 있다. 대응센터 직원들은 항상 ‘액티브 레디(active ready)’ 상태다. 해커의 공격으로 노곤해 진 몸을 이끌고 다시 회사로 들어오면 지치지 않느냐 는 기자의 질문에 정 이사는 “예전에는 사명감이라는 멋진 말로 포장하곤 했지만 이제는 몸이 먼저 반응한다”라고 대답했다. 그는 이 회사에서만 15년째 근무 중 이다.
『타닥타닥. 키보드 소리만 들렸다. 큰 소리로 명령을 내리는 사람도 없었고, 날아다니는 총알이나 포탄도, 피를 흘리는 부상자도 없었다. 하지만 이곳은 매일 수십만 회 이상 전투가 벌어지는 전쟁터다. 최근 해킹 위협을 받은 한국수력원자력을 포함해 국내 수많은 기업과 기관의 보안을 지키고 있는 잉카인터넷사의 실시간 대응센터를 찾아 세상에서 가장 조용한 전쟁을 직접 지켜봤다. 』
‘엔프로텍트’의 금융 보안 시장 점유율은 80%가 넘는다.
정영석 이사는 그 비결로 ‘최적화’와 ‘상대적으로 적은 용량’을 꼽았다.
대응센터의 오후는 신고된 악성코드 의심 파일을 분석하는 것으로 시작된다. 분석가가 직접 프로그램 을 열어 코드를 살펴보거나 가상 운영체제에 악성코 드를 실행해서 증상을 살펴본다. 분석에 시간이 많이 걸리지만 일단 분석만 되면 치료법은 금방 나온다. 악 성코드의 종류는 수만 개라도 치료법은 몇십 개가 넘 지 않는다. 가장 대표적인 방법은 악성코드를 삭제하 는 것인데, 더욱 영리해진 악성코드들은 이 방법만으 로는 해결이 안 되는 경우가 많다. 어떤 악성코드는 운 영체제가 작동하는 데 필수적인 파일을 감염시킨다. 단순히 삭제했다가는 컴퓨터가 먹통이 된다. 이를 막 기 위해서는 먼저 정상 파일을 복원한 뒤 악성코드를 삭제해야 한다. 이렇게 새로운 악성코드 하나를 해결 하는 데 평균 4~6시간 정도 걸린다.
특별히 까다로웠던 프로그램은 없을까. 정 이사는 북한 악성코드를 ‘사이코패스’라고 불렀다. 일반적인 악성코드는 사용자의 정보나 금전을 훔치기 위해 동 작한다. 사용자 몰래 개인 정보를 보내거나 관리자 권 한을 훔친다. 분석가들은 이런 특징을 이용해 악성코 드를 분석하는데, 북한 악성코드는 전혀 다르다. 오로 지 파괴만을 목적으로 하는 경우가 많다. 보통 악성코 드가 ‘사용자 몰래’ 나쁜 짓을 하는 데 초점을 맞췄다 면 북한 것은 ‘막무가내’로 나쁜 짓을 하는 것이다. 정 이사는 “북한 악성코드는 감정이 없는 것 같다”며 북 한 악성코드를 사이코패스에 비유했다.
분석 과정이 끝나면 잉카인터넷은 하루에 두 번, 오 전과 오후에 새로운 악성코드 백신을 업데이트한다. 업데이트가 끝나야 비로소 분석가들은 맘 편히 퇴근 을 한다. 이런 날이 365일 반복된다. 이들의 노력 덕분 에 하루에 수만 명이 금융사기로부터 구제를 받는다.
▼관련기사를 계속 보시려면?
INTRO. 사이버 백년전쟁
PART 1. 미국은 왜 북한을 지목했나
PART 2. 기상천외한 해킹기술 5
Epilogue. “북한 악성코드는 사이코패스”
