지난 8월 7일부터 9일 사이 청와대, 국회, 네이버 등 한국의 주요 웹사이트들을 겨냥한 디도스(DDoS, 분산서비스 거부) 공격이 이뤄졌을 때, 언론사 웹사이트 중 유일하게 공격대상이 된 곳은 바로 조선일보의 인터넷 사이트 조선닷컴(www.chosun.com) 이었다. 조선닷컴의 개발 및 운영을 총괄하고 있는 디지틀조선일보 뉴미디어연구소 안윤주(48) 소장을 만나 당시 상황을 들어봤다. 안윤주 소장은 1993년부터 조선일보 전산본부 CTS부에서 근무했으며 2007년부터 디지틀조선일보 뉴미디어연구소 소장으로 재직 중이다.

사이버 공격이 시작된 7일 오후의 상황은 어땠나?
오후 6시20분 조선닷컴 인터넷 운영팀에서 이상 징후를 처음 발견했다. 사이트 접속요청이 평상시(초당 3000건)보다 80배나 많이(초당 25만 건) 몰려온 것이다. 곧이어 청와대 홈페이지도 이상하다, 국회 사이트도 안된다는 등의 보고가 속속 들어와 매우 난감했다.
KT에 유해트래픽을 차단해 줄 것을 요청하는 ‘관제보안서비스’를 요청하고 디도스 전문 방화벽 업체를 두 군데 섭외해서 2G용량의(다음날 15시에 10G로 교체) 디도스 전문 장비를 KT백본망(개별 랜에서 광역통신망으로 연결하는 회선들의 모음)과 조선닷컴 스위치(백본망과 조선닷컴 사이의 연결 장치)에 붙였다. 그러나 유해 트래픽이 너무 많아 밤 10시경에는 KT의 망 자체가 다운됐다.

서비스가 정상화된 것은 다음날인 7월 8일인데, 어떻게 정상화했나?
비정상적인 트래픽까지 소화할 수 있도록 서버 용량을 늘리고 ‘조선닷컴 다이어트 페이지’를 만든 것이 주효했다.  GS네오텍과 효성ITX라는 CDN업체에 분산서비스를 요청해 GS네오텍의 서버 7대와 효성ITX의 서버 20대가 순차적으로 설치됐다. 또 오후 6시부터는 편집본부인 조선닷컴 서비스운영파트에 요청해 광고나 이미지를 모두 빼고 텍스트 위주로 아주 간략하게 만든 ‘조선닷컴 다이어트 버전’을 만들어 서비스했다. 그 결과 오후 6시부터 오후 8시까지 두 시간동안은 어느 정도 원활한 서비스가 가능했다. 오후 8시부터 9시 사이에는 KT에서 조선닷컴 서비스 접속자체를 막아버린 일이 있었다. KT백본망을 같이쓰는 업체가 여럿 있는데 우리 때문에 다른 업체가 피해를 본다는 것이다. 항의를 한 끝에 접속이 재개될 수 있었다.

7월 9일 오후 6시에 재개된 3차 공격에는 어떻게 대처했나?
 GS네오텍으로부터 ‘크린팜(Clean Farm)’이라는 디도스 공격을 차단하는 전문서비스를 제공받기로 하고 오후 7시경부터 사이트 주소에 숫자 ‘1’을 추가해 www1.chosun.com 으로 바꿨다. 크린팜을 통해 이상한 접속시도를 걸러내고 정상적인 접속일 경우에만 새 주소를 통해 서비스를 볼 수 있게 한 것이다. 또 GS네오텍으로부터 서버 20대를 다시 추가받아 총 52대(GS 네오텍 27대, 효성 ITX 25대)의 외부 서버를 연결한 결과 사이트 접속이 정상적으로 이뤄졌다.
다음 날인 7월 10일부터 메인페이지는 완전히 정상화됐다. 그러나 11일, 12일에 재차공격이 있을지도 모르기 때문에, 추이를 지켜보다가 13일이 되서야 사고(社告)를 통해 서비스 정상화를 알렸다.

앞으로 이 같은 공격이 있을 경우 방어를 위해 어떤 대책을 세우고 있나?
이런 공격이 언제 또 있을지, 공격목적이 무엇인지를 아무도 모르기 때문에 대비 계획을 세우기가 어렵다. 시스템은 계속 52대의 서버를 연결한 상태로 운영하고 있고 메인페이지 주소도 www1.chosun.com 으로 유지하고 있다. 계속 외부 서버를 제공받을지, 이 기회에 자체 서버를 늘릴지를 조선일보 본사와 협의하는 중이다. 이번같은 막대한 양의 허위 트래픽을 모두 감당할 수준까지 자체 서버를 늘리려면 돈이 엄청나게 들기 때문에 자체 서버는 늘리더라도 제한적인 수준일 것이다.

왜 하필이면 조선닷컴이 공격받았다고 생각했나?
조선닷컴 사이트는 언론사 웹사이트중 1위다. 하루 평균 방문자수가 300만 명으로 2위인 조인스닷컴과 10~20만 명 정도 차이가 난다. 우리를 공격대상으로 삼은 것은 공격의 홍보효과가 크기 때문일 것이다.

조선닷컴이 이번 사건으로 입은 피해는 얼마나 되나?
언론사 사이트라 재무적인 피해는 크지 않았다. 메인화면에 쓰이는 광고를 3일 정도 못했을 뿐이다. 손해를 본 광고 비용을 정확히 산정하기는 어렵다.

서버를 늘리는데 든 경비도 피해액에 포함되지 않겠나?
서버를 추가할 당시에는 너무 급해서 비용 협상을 못했다. 그래서 현 단계에서 소요 경비를 정확히 추정하기는 어렵다. 앞으로도 외부 업체로부터 서버를 계속 제공받으면서 일정 비용을 지불할 것인지, 지금까지 서버를 대여한 비용만 지불하고 자체 서버를 늘릴 것인지 둘 중 어느 쪽을 택하느냐에 따라 비용은 얼마든지 달라질 수 있다.

다른 언론사가 이런 공격을 당한다면 기억해야 할 것은 무엇인지?
디도스 전문 방화벽을 설치하는 것은 한계가 있었다. 결국 서버 대수를 많이 늘리는 것이 가장 효율적인 방법이었다. 언론사들은 많은 서버를 평소 보유하고 있기가 어렵기 때문에 긴급 상황이 발생할 때는 CDN업체를 통한 분산서비스를 고려해 볼 필요가 있다. 앞으로 디도스 공격을 방어하기 위한 서비스가 개발된다고 하니 여기에 관심을 가지는 것도 좋겠다.


월간 <신문과방송> 2009년 8월호 화제의 인물

Posted by 비회원

댓글을 달아 주세요