구글의 인기 메일 서비스인 Gmail의 스팸방어막이 뚫렸다는 소식이 들렸다. 엄밀히 따지면 스팸메일 도메인이 Gmail로 되어있는 스팸이 저번달에 평소의 2배로 급증했다는 내용으로 스팸필터가 뚫렸다는 의미는 아닌듯 싶다.

Gmail에는 자동으로 가입하는 것을 막게해주는 CAPTCHA(Completely Automated Public Turing test to tell Computers and Humans Apart：자동가입방지)기능이 있다. Gmail에 가입할 때 반드시 거쳐야 하는 관문으로 봇이나 다른 프로그램에 의해 자동으로 가입하는 것을 막기 위한 장치다. 일반적으로 이미지와 텍스트를 섞어서 사람의 눈으로 확인해야 알 수 있도록 하여 컴퓨터가 가입하지 못하도록 막는 방법이다. Gmail 이외에도 야후 메일아니 핫메일에서도 사용하고 있으며 일부 게시판 댓글 시스템에도 도입되어 사용하고 있다.

서비스가 CAPTCHA 기술을 도입함으로 사용자는 약간의 불편함이 있지만 스팸업자들이 봇 등으로 자동으로 등록하여 스팸을 보내게 하는 프로그램 사용을 저지하는데 큰 효과를 발휘할 수 있었다. 그런데 이게 뚫렸다는 것이다.

스팸필터의 경우 스팸메일을 자주 보내는 도메인을 블랙리스트로 관리하여 막아버리는 경우가 많다. 그렇기 떄문에 스팸메일을 보내는 스팸업자들은 어떻게든 스팸필터를 통과할 수 있는 메일 도메인을 확보하는 것이 중요하게 되었다. Gmail의 경우 무료고 다양한 서비스를 사용할 수 있으며 gmail.com 도메인은 스팸도메인으로 등록될 확률이 낮기 때문에 스팸업자들에게 아주 매력적인 대상이 되고 있다고 한다.

이미 MS의 라이브 핫메일과 야후 메일은 뚫렸고 이번에는 스팸메일에 강하다는 구글의 Gmail마져 뚫렸다. 구글 담당자는 CAPTCHA가 뚫렸다는 부분에 있어서는 언급하지 않았지만 스팸메일이 많아졌다는 부분은 인정했다고 한다.

스팸필터가 뚫린게 아니라고 안심할 내용은 아닌거 같다. 구글의 스팸필터는 결국 Gmail 메일 도메인을 스팸 블랙리스트에 잘 넣지 않을 것이고 결국 그것은 스팸필터가 뚫린다는 것으로 연결되기 때문이다. 다른 스팸필터 역시 마찬가지다. Gmail 도메인은 그동안 그래도 안정적인 메일 도메인으로 알려졌기 때문에 Gmail로 보내진 스팸메일에 대해서는 속수무책으로 당할 수 있다는 이야기가 된다.

곧 구글에서 대책을 세워서 서비스에 적용을 하겠지만 스팸업자들은 또 다른 방법으로 이러한 방어벽을 뚫을려고 노력할 것이다. 보안과 해킹의 관계처럼 서로 먹고 먹히는 싸움이 여기서도 계속 일어나고 있는 셈이다.

* 관련뉴스 *
구글 지메일 스팸 방어막 뚫렸다 (ZDNet Korea)
Gmail falls prey to spam bots (CNet)

ZDNet Korea에서 외신 10대뉴스를 뽑아서 보여주고 있는데 다음의 기사가 눈에 띄었다.

[외신 10대 뉴스] 좀비PC들과의 치열한 사이버 격전 (ZDNet Korea)

보안의 필요성에 대해서는 누누히 얘기해도 지나치지 않을 것이다. 인터넷이 활성화되고 거의 대부분의 생활이 인터넷과 맞물리게 되면서 사이버 보안쪽에도 많은 관심을 갖기 시작했다. 예전에는 일부 전문가들의 영역으로만 여겼던 사이버 보안이 이제는 일반 대중들에게까지 관심의 대상이 되었다는 점은 그만큼 인터넷이 실생활에 엄청나게 많이 파고들었다는 것을 의미한다.

인터넷 뱅킹부터 시작하여 인터넷 쇼핑몰을 이용하여 물건을 사고 비행기 티케팅을 할 때도 인터넷 홈페이지에 접속해서 온라인 티케팅을 한다. 호텔을 예약할때도 그렇고 열차나 버스 예약 역시 인터넷을 통해서 한다. 또한 뉴스를 볼때도 인터넷을 통해서 보고 TV 드라마 다시보기 역시 인터넷을 통해서 한다. 이 외에도 수많은 일들을 인터넷을 통해서 하게 된다. 인터넷이 우리 생활에 얼마나 많이 접목되어 있는지 보여주는 내용이다.

이러다보니 역시나 문제는 보안이다. 1980~90년대에는 PC의 성능을 저하시키는 바이러스들이 활개를 쳤다면 2000년도 이후에 네트웍이 활성화되고 인터넷이 확산되면서 해커들은 일반 사용자들의 PC를 공격하여 자신들의 목적에 맞도록 조작하는 방법을 많이 사용하게 되었다. 바로 봇(Bot)을 이용한 공격이다.

해커들은 불특정 다수의 사용자 PC에 봇을 설치하고 그 설치된 봇을 이용하여 정부 기관이나 인터넷 서비스 서버를 공격한다. 또 봇이 설치된 PC에서 인터넷 뱅킹을 하는 경우에는 그 인증서 정보와 사용자 ID/PW까지 가로채서 금용 해킹 사고까지 만들어내기도 한다. 즉, 봇이 설치된 PC는 사용자의 PC이지만 곧 해커의 PC가 되기도 한다. 좀비 PC가 된다는 얘기다.

문제는 사용자들은 자신의 PC에 봇이 설치되어있는지 여부를 잘 알지 못한다는 점이다. 일반적으로 웹서핑을 하면서 특정 웹사이트에 접속하게 되면 그 웹사이트를 이용하기 위해 ActiveX 등의 설치를 유도한다. 사용자는 그 사이트를 원활하게 이용하기 위해 ActiveX를 설치한다. 그러면 자연스럽게 ActiveX가 설치되면서 봇도 설치가 된다. 웹사이트 뿐만 아니라 Email이나 메신져를 통해 봇 설치를 유도하기도 한다. 그런데 사용자는 내 PC에 봇이 설치되어있는지 인식을 못한다. PC가 느려진다던지 인터넷이 느려진다던지 하는 증상이 거의 안나타나기 때문에 사용자들은 봇이 설치된 채로 PC를 이용하게 된다(많은 봇이 설치된 PC의 경우는 좀 느려진다던지 하는 경우가 있기는 하다).

봇들이 서로 연결되어 봇넷을 이룬다. 엄청난 PC가 연결된 봇넷의 위력은 가히 상상불허다. 다량의 트래픽을 발생시켜 서버를 다운시킨다. 1대의 PC로는 만들어낼 수 없는 트래픽이지만 봇넷에 연결된 수만대의 좀비 PC에서 트래픽을 만들어낸다면 가능하다. 또한 무작위로 중요 서버들을 공격해서 사이버대란을 일으킨다. 솔직히 애드웨어, 악성코드들도 봇의 일종이기는 하지만 그것보다 더 무서운 상황을 일으키는 것이 해커들이 심어놓은 봇과 그 봇들이 연결된 봇넷이다.

봇의 종류는 다양하고 그 변종들도 다양해서 찾아내기가 쉽지가 않다. 게다가 최근에 이슈화되기 시작해서 바이러스 백신처럼 찾아내는 노하우도 많지 않은 편이다. 보통 국내에서는 악성코드 제거나 실시간 인터넷 감시 등으로 봇의 접근을 차단하고 있지만 거의 대부분 뚫리는 상황이다. 전세계적으로 국내 PC가 좀비 PC로 된 비율이 9.5%라고 한다. 즉, 봇넷 좀비 PC의 10대중 1대는 국내에 있다는 얘기다. 그만큼 보안에 취약하다는 의미가 된다.

최근 보안업계는 봇넷 방어에 주력하고 있다고 한다. 시만텍에서 노턴 안티봇을 내놓았다던지 MS에서 카네기 멜론 대학과 오퍼레이션 봇 로스트라는 방어체계를 구축했다던지 하는 것들이 모두 봇에 대한 방어노력의 일환이다. 국내에서도 안철수연구소에서 봇에 대한 방어을 위해 봇넷 샘플을 분석하고 있다고 한다. 아마 곧 국내 제품에서 봇 방어 제품이 나올 듯 싶다.

하지만 무엇보다도 봇에 감염되지 않기 위해서는 사용자들의 각별한 주의가 필요하다는 것이 전문가들의 의견이다. 대부분이 ActiveX를 이용해서 감염되는 경우인지라 웹사이트에 돌아다니면서 이것저것 ActiveX 설치를 유도한다고 죄다 설치하는 어리석은 웹서핑은 지양해야 한다는 것이다. 솔직히 인증받은 ActiveX도 불안한데 인증받지 못한, 믿을 수 없는 ActiveX의 설치는 당연히 지양해야 한다. 또한 메신져나 Email을 통해서 번지는 악성코드에 대해서도 주의를 기울여야 한다.

또한 대부분의 윈도 사용자이니만큼 MS에서 제공하는 윈도 보안패치는 늘 최신을 유지하고 사용하고 있는 백신 역시 늘 최신 엔진을 유지하는 것이 중요하며 좀 불편하더라도 방화벽(윈도에서 제공하는 것이던지 개인 방화벽이던지)은 켜두는 것이 좋다고 한다. 여하튼 보안관련 제품들은 늘 최신의 것을 유지하고 불필요한 ActiveX 설치는 삼가하는 것이 중요하다는 이야기다. 참고로 파이어폭스나 오페라와 같은 비 IE 웹브라우저를 사용한다면 ActiveX를 사용하지 않기 때문에 그나마 덜 위험할 수 있다는 일부 전문가들의 이야기도 있음을 밝혀둔다.

내 PC가 좀비 PC가 안되기 위해서는 결국 스스로 주의를 기울여 인터넷을 이용해야 한다는 것이다.

* 관련글 *
2007/02/13 - [IT Story/IT 이슈] - 국내PC가 해커들의 도구로 쓰이는..
2007/08/13 - [IT Story/IT 이슈] - 내 PC도 범죄에 악용된다?
2007/08/16 - [IT Story/IT 이슈] - 가트너「위험을 수반하는 가상 세계 열풍」
2007/08/30 - [IT Story/IT 이슈] - 스파이웨어 제거 프로그램, '무용지물' 논란
2007/09/11 - [IT Story/IT 이슈] - MS가 권하는 PC 보안 3대 수칙
2007/12/03 - [IT Story/IT 이슈] - 사이버 공격, 이제는 개인에게까지 노린다

최근 해커들이 트로이목마와 같은 바이러스를 이용하여 해킹을 시도하고 있다. 문제는 사용자는 전혀 알아채지 못하는데 있다.

내 PC도 범죄에 악용된다? (ZDNet Korea)

기사는 미국의 해커인 제임슨 안치타에 대해서 다루고 있다. 안치타는 미국 해군 시스템에 PC 조작을 위한 트로이목마를 심었고 이 트로이목마는 특정 사이트의 광고를 무수히 클릭을 하게 했으며 트래픽이 올라감에 따라 광고주는 엄청난 돈을 지불했으며 그 돈은 고스란히 안치타에게 넘어갔다는 이야기다. 금액은 대략 4만달러, 여기에 사용된 PC는 무려 40만대 이상. 문제는 PC 사용자들은 이 사실을 전혀 모르고 있었다는 점이다.

이 사건은 바로 봇(Bot)을 이용한 사례다. 좋은 의미로는 에이전트(Agent)라고 부르지만 해커들의 입맛에 맞춰서 PC를 제어하기 때문에 로봇(Robot)에서 따와서 봇이라고 부른다. 그리고 봇은 말 그대로 설치된 PC의 제어권을 봇을 설치한 해커에게 준다. 그러나 봇이 설치된 PC의 사용자는 봇의 존재를 알지 못한다. 속도에도 전혀 지장이 없고 겉으로 보이는 어떤 바이러스 증상도 나타나지 않기 때문이다. 이러한 봇은 OS의 취약점을 파고들어 PC에 침투하게 된다. MS가 매달 정기적으로, 혹은 비정기적으로 보안 패치를 제공하는데 이러한 봇의 침투를 막는 보안 패치도 거의 매달 제공되고 있는 상황이다.

이러한 봇에 대한 문제점은 2005년부터 논의되어 왔으며 각 안티바이러스 SW에는 이러한 봇에 대한 대비책들이 세워져있다. 그러나 이러한 논의와 대비책에도 불구하고 그러한 보안 방어를 뚫고 유유히 PC들을 위협하고 있고 현재 보안 업계의 최대 이슈로 떠오르고 있다. 기사에 따르면 정부 기관을 위협할 만큼 강력한 존재로 다가오고 있다는 것이다.

여기에는 한국도 피할 수 없다. 시만텍의 최근 보고서에 따르면 봇 감염 PC가 가장 많은 국가를 순위로 매겼는데 한국이 6위라고 한다. 1등은 말할것 없이 미국이고 중국이 2등을 먹었다. 국내 인터넷 인프라와 허술한 PC 보안에 맞물려 봇 네트워크(봇이 설치된 PC들의 집합체가 봇 네트워크다)가 생성할 수 있는 최적의 상태인 것이다.

솔직히 국내 PC들은 이러한 봇에 대해서 거의 무방비 상태로 노출되어 있다. 대부분 안티 바이러스가 설치되어 있지만 강력하지 못한 것이 사실이다. 바이로봇이나 V3와 같은 안티 바이러스들은 봇의 공격에 쉽게 대응하지 못한다고 한다.

그렇다면 해결책은 없는가?

PC 자체 보안 뿐만 아니라 네트워크에서도 각기 레이어(Layer)단에서도 보안을 철저하게 해서 봇의 침투를 최대한 막아야 한다. 대부분의 PC에서 자체 방화벽을 끄고 사용하는 경우가 많다(내 경우부터 그렇다). 방화벽을 작동하면 PC가 느려지기 때문이고 안티 바이러스 프로그램을 믿어서 그럴 수도 있다고 본다. 하지만 가급적이면 최대한 보안 프로그램들은 띄워놓는 것이 좋다고 할 수 있겠다. 저런 봇들의 공격에서 자유로울려면 말이다. 아니면 바이러스에서 윈도보다는 좀 더 자유로운 리눅스나 맥으로 OS를 갈아타는 것도 하나의 방법일 수 있겠다(만 이렇게 되면 사용상 상당한 지장이 있기 때문에 이것은 최후의 방법이겠다).

여하튼간에 나도 모르는 사이에 내 PC가 해커들에 의해서 범죄에 악용될 수 있다는 점은 분명히 알아야겠다.

다음이 검색엔진 시장에 들어온듯 싶다. 웹검색엔진 말이다.

다음, 검색엔진 자체 개발 (ZDNet Korea)

왜 나는 지금까지 다음에 검색엔진이 있었다고 생각했을까? 여하튼 그것은 그렇다고 치고.

우 리가 흔히들 얘기하는 검색엔진은 해외에서는 구글, MSN, 야후를 치고 국내에서는 네이버, 엠파스, 네이트, 다음, 파란을 이야기하곤 했다. 그런데 해외의 경우 거의 구글이 독식을 하는 가운데 국내에서는 네이버, 엠파스, 다음, 파란의 4파전이라고 볼 수 있겠다.

그런데 웹검색엔진에 대해서는 틀리다. 구글이나 MSN은 크롤러라는 웹검색 에이젼트(로봇)가 전세계의 웹을 돌아다니면서 정보를 수집해서 DB에 저장해서 검색하는 방식을 쓰고 있고 야후는 사용자가 등록한 사이트들에 대해서 검색해주는 것으로 알고 있다. 즉, 사용자가 등록한 내용에 대해서만 검색을 하는가, 아니면 자동화된 로봇 검색을 통해서 검색할 것인가의 차이다. 아마도 웹검색은 전자에 속하지 않을까 생각이 든다. 국내도 그렇다. 내가 알기로는 네이버는 자체 DB에 있는 데이터만 검색하는 것으로 알고 있다. 등록된 사이트에 한해서 검색을 하는 것이다. 엠파스와 네이트도 그런것으로 알고있다. 자신들의 DB에 등록된 사이트에 한해서 검색을 하는 것으로 말이다. 그래서 어떻게든 검색사이트에 등록할려고 많은 사이트들이 노력하고 있는 것이다(SEO 방법에 각 검색사이트에 등록하기가 있는 것만으로도 알 수 있다). 다음도 그런 방식이었다가 이번에 아마도 웹크롤러(구글이나 MSN과 같은)를 이용한 웹검색을 지원할려고 하는것 같다.

진정한 검색엔진은 솔직히 내부DB에 저장된 데이터만을 검색하는 것이 아니라 자동으로 가능한 모든 사이트(등록여부에 상관없이)들을 검색해서 신뢰할 수 있는 결과를 보여주는 것이라고 생각이 든다. 그래서 구글이나 MSN이 각광을 받고있지 않는가 하는 생각도 든다.

물론 위의 의견은 내 개인적인 생각일 뿐이다. 사람에 따라서는 구글에서 보여주는 결과보다는 네이버에서 보여주는 결과(네이버가 저렇게 보여주는 것이 가능한 이유는 자기들 DB에서만 검색하기 때문에 검색결과를 이쁘게 꾸밀 수 있다는 장점때문이 아닐까)를 더 좋아할 수 있다. 개인차이니까 말이다.