세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
Home > 전체기사
[특별 주말판] 올해로 서른 살 된 모리스 웜에 대한 회상
  |  입력 : 2018-11-17 12:52
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
1988년 11월, 인터넷의 10%를 마비시킨 웜 돌연 등장
알고 보니 한 대학원생의 실수...그날의 기억을 추적하다


[보안뉴스 문가용 기자] 1988년 11월 3일. 미셸 구엘(Michele Guel)은 깊이 잠들어 있는 상태였다. 새벽 3시 30분, 전화가 울리기 시작했다. NASA 에임스 연구 실험소의 선 마이크로시스템 파일 서버들과 워크스테이션들에 정체 불명의 바이러스가 침투해 각종 디지털 자산들을 침식하기 시작한 것이다. 시스템은 느려지다 못해 멈추기 시작했다. 시스템 관리자였던 미셸은 아직 해도 뜨지 않은 시간에 실험소를 향해 차를 몰았다. 당연히 팀원들도 전부 소집된 상태였다. 도착한 사람들은 수동으로 모든 장비들의 전원을 차단했다. “실험소 온 곳을 돌아다니면서 시스템을 한 대 한 대 손으로 꺼버렸어요.”

[이미지 = iclickart]


바이러스는 NASA에 있는 컴퓨터 장비들의 메모리를 소모시키고 있었고, 디지털 이큅먼트 코퍼레이션(Digital Equipment Corp.)에서 만든 백스(VAX), 실리콘 그래픽스 유닉스(Silicon Graphics Unix), 크레이(Cray)와 같은 슈퍼컴퓨터 장비들 사이에서 빠르게 번지고 있었다. 바이러스가 목표로 삼고 있었던 것은 4 BSD 유닉스 운영체제였기 때문이다. 감염이 진행되면서 센드메일(Sendmail)이라는 이메일 애플리케이션과 핑거(Finger)라는 네트워크 사용자 검색 애플리케이션의 취약점이 익스플로잇 됐다. 뿐만 아니라 한 시스템의 사용자가 비밀번호 입력 없이 다른 시스템도 사용하게 해주는 유닉스 체제의 기능도 남용되고 있었으며, 비밀번호 크래킹을 위한 브루트포스 공격도 진행됐다.

“가능한한 많은 사람의 지원이 필요한 상태였습니다. 워크스테이션을 복구시키는 것만이 아니라, 다시는 감염되지 않도록 강화시켜서 NASA의 과학자들이 최대한 빠르게 일상 업무로 복귀할 수 있도록 해야 했기 때문입니다.” 구엘의 설명이다. 캘리포니아 마운틴뷰(Mountain View)에 있었던 슈퍼컴퓨터 시스템들은 NASA에서만이 아니라 보잉(Boeing) 등과 같은 조직들에서도 사용하고 있었다. 우주 캡슐 로켓 설계와 같은 프로젝트들이 여기서 진행되고 있었던 것이다.

사실 그 날 공격을 당한 건 NASA만이 아니었다. 미국 국방부, 하버드대학, 로렌스리버모어국립연구소(Lawrence Livermore National Laboratory), MIT 대학, UC버클리, 스탠포드대학 등 다수의 대학 기관과 정부 연구 시설들이 같은 공격에 당했다. 당시 막 태동하고 있던 인터넷에 연결된 이곳의 서버들과 워크스테이션들이 웜 하나에 휘청거렸다. 학계와 연구자들, 개발자와 군 관계자들이 전부 아무 것도 못하고 패닉에 빠졌다.

다행히 이건 소련이나 쿠바와 같은 미국의 적국에 의한 공격이 아니었다. 코넬대학의 컴퓨터 과학 학과 대학원생이었던 로버트 타판 모리스(Robert Tappan Morris)가 실험을 하다가 일이 꼬여버린 것이었다. 인터넷을 통해 웜을 최대한 넓게 퍼트리는 것이 실험의 목적이었다. 물론 피해를 일으키거나 시스템을 마비시키려는 의도는 없었다. 그러나 결과적으로는 이 실험 때문에 미국 전역에서 6천 여개의 유닉스 기반 장비들이 최소 2일간 고장났다. 당시 기준으로 인터넷 전체의 10%가 마비된 것이다.

사이버 보안이라는 분야에서 발생한 첫 번째 대규모 보안 사고는 이렇게 젊은 인터넷의 순수함을 빼앗은 것으로 기록됐다. 그렇게 인터넷 상에서 자가증식하는 웜이라는 존재가 탄생하고 30년이 지났다. 당시를 회상하며 구엘은 “아무도 인터넷을 통해 그런 일을 할 수 있으리라고 예상하지 못했다”고 말한다. 현재 구엘은 시스코에서 수석 보안 아키텍트로 활동 중에 있다. “그 전까지만 해도 인터넷은 그냥 행복만 가득한 공간이었죠. 편리하기만 하고 새롭기만 한, 그래서 모두를 선하게 흥분시켰던 도구였습니다. 그런 때에 등장한 웜이라는 존재는 참으로 충격적이었습니다.”

제작자의 이름을 따라 ‘모리스 웜(Morris Worm)’이라고 불리기 시작한 이 웜은, 그러나 아직까지도 제대로 해결되지 않고 있다. 물론 아직도 인터넷 구석 어딘가에 모리스 웜이 남아있다는 소리가 아니다. 그 유산들이 유령처럼 인터넷을 돌아다니며 피해자들을 만들어내고 있다는 것이다. 모리스 웜 덕분에 보안이라는 산업이 태동했다고 볼 수도 있지만 인터넷을 통해 기계에서 기계로 옮겨다니며 자신의 흔적을 남기는 존재들 때문에 우리는 참으로 골치 아픈 시대를 살아가게 되었다.

게다가 오늘날의 웜들은 모리스 웜과는 비교도 되지 않을 정도로 위험하다. 그리고 대부분 악의적인 의도를 가진 자들의 손에서부터 탄생해 활동을 시작한다. 공격자들은 이제 스스로를 복제하는 웜을 사용해 자신들의 파괴적인 페이로드들을 퍼트린다. 이 중에는 2017년 전 세계를 떠들썩하게 만든 북한의 워너크라이(WannaCry) 랜섬웨어도 포함되어 있다. 혹은 러시아의 파괴적인 페이로드인 낫페트야(NotPetya)도 있다. 이런 유명 사이버 공격 무기들 모두 따지고 보면 모리스의 후예이며, 그 옛날 선조들을 선량하게 보이게 만들 정도로 악의로 가득하다.

인터넷의 도메인 이름 시스템(DNS)을 정립한 폴 빅시(Paul Vixie)는 “모리스 웜의 등장은 보안의 역사에서 가장 중요하다고 해도 무방한 사건으로, 그 사건 하나 때문에 현재의 인터넷 환경이 오늘날과 같이 변했다고도 볼 수 있다”고 말한다. “전 세계를 연결한 기술이, 전 세계를 취약하게 만들 수 있다는 걸 처음 일깨워준 사건이니까요. 하지만 얻은 게 없었던 건 아닙니다. 인프라와 장비마다 판이한 운영 체제와 시스템으로 구성되어 있을 때, 인터넷 전체가 마비되는 사태를 막을 수 있다는 걸 알게 된 것이죠.”

모리스 웜이 출현했을 때 빅시는 팔로알토의 DEC에서 근무하고 있었다. DEC의 컴퓨터 일부도 모리스 웜 때문에 느려지는 현상을 겪었다. 빅시는 당시를 떠올리며 “난생 처음 겪는 버퍼 오버플로우 공격이었다”고 말한다. “웜이 스스로 복제하면서 다른 시스템으로 퍼져가려고 애쓰면서 시스템 자원을 정말 많이 소모시켰어요. 다행히 이메일 시스템과 인터넷 게이트웨이는 정상적으로 작동했지만 어떻게 될지 모른다는 불안감에 밤을 꼬박 샜다. "당시 저 같은 사람이 많았어요. 그런 사람들하고 밤새 누가 당했고, 어떤 시스템에서 비슷한 현상이 나타난다는 등의 이야기를 메일로 주고받았죠.”

당시 퍼듀대학의 소프트웨어 엔지니어로서 근무하던 유진 스패포드(Eugene Spafford)도 밤샘하던 사람 중 하나였다. 그는 “최근 컴퓨터 환경이 점점 획일화 혹은 일원화 되어 가는데, 참 걱정되는 현상”이라고 말한다. 모리스 웜을 겪은 사람으로서, “서로 다른 운영 체제를 사용했을 때의 장점 또한 뼈저리게 느꼈기 때문”에 할 수 있는 말이다. 그러면서 그는 “당시 네트워크 전문가들은 모리스 웜 사건으로부터 많은 것을 배울 수 있었다”고 설명한다. “그러나 그 때의 그 교훈들을 아직도 다 적용하지 못하고 있습니다. 그래서 아직까지 위험들이 사이버 공간에 도사리고 있는 것이죠.”

그가 말하는 “적용하지 못한 교훈”은 바로 시스템 다양화다. “퍼듀대학에 있던 컴퓨터들 중 4BSD 유닉스 체제가 아닌 것들은 모리스 웜 사태를 조용하게 지나갔습니다. 컴퓨터 과학 학부에 있던 선 솔라리스 스파크(Sun Solaris SPARQ)와 시퀀트(Sequent) 컴퓨터가 대표적인 사례였습니다. 당시 퍼듀대학의 컴퓨터 환경은 잘게 나뉘고 갈라진, 다분화된 상태였습니다. 그랬기 때문에 모리스 웜의 공격에서 큰 피해를 입지 않을 수 있었던 것입니다. 하지만 DEC VAX나 선 솔라리스 기계들은 느려지거나 마비됐습니다. 당시 웜은 이메일 서버에 대한 브루트포스 공격을 하고 있었고, 한두 학급에 있던 컴퓨터들이 작동하지 않은 것으로 기억합니다.”

모리스 웜의 가장 큰 특징은 기계에서 기계로 전파된다는 것이었다. 일단 한 번 감염에 성공하면 프로세스 이름과 임시 파일들을 삭제함으로써 눈에 띄지 않도록 하는 조치도 취했다. 뿐만 아니라 감염시킨 컴퓨터를 조사해 이미 웜에 감염되었는지 여부도 확인했다. 하지만 이 과정에 버그가 하나 있었고, 그래서 웜은 같은 기계 내에서 복제를 하기 시작했다. 이는 디도스 공격과 비슷한 효과를 낳았다.

NASA는 웜의 공격을 받으며 “물리 보안만으로 연구 자료와 각종 데이터를 보호할 수 없다"는 걸 깨달을 수 있었다”고 구엘은 회상한다. “저희가 연구를 진행하며 굳게 의지해왔던 시스템들이 마비됐습니다. 사실상 NASA의 에임스 연구 실험소의 존재가 사라진 것과 마찬가지였죠. 피해를 입은 조직들은 웜이 작동하기 시작한 게 늦은 저녁부터라는 사실이 그나마 다행이라고 말하더군요. NASA의 연구와 프로젝트는 24시간 쉴 새 없이 진행되는 것이 많아 이 덕도 보지 못했습니다. 크레이라는 24시간 운영되는 슈퍼컴퓨터도 다운되는 등, NASA는 많은 시간을 허비할 수밖에 없었습니다.”

어찌어찌 모리스 웜을 NASA의 모든 시스템으로부터 완전히 제거하고 나서 구엘에게는 새로운 임무가 주어졌다. NASA 최초의 보안 팀을 만들고, 최초의 공식 패치 절차와 강력한 비밀번호 정책을 수립하는 것이었다. 환경 설정 관리와 사건 대응 팀 구축도 그의 몫이었다. 오늘 날 보안 전문가들로 구성된 보안 팀의 하는 일과 대동소이한 일을 맡은 것이다. “현재 보안 팀들도 어려움을 호소하는 부분이죠. 시스템과 네트워크에 대한 24시간 모니터링 말입니다. 가시성과 인력 확충 때문에 모니터링 작업은 참으로 어려운 문제로 남아있습니다. 또한 요즘도 우리는 소프트웨어 패치나 어려운 비밀번호 설정 등의 기본적인 보안 '위생' 지키기에 실패하고 있지요. 그때도 마찬가지였습니다.”

스패포드의 이야기
1988년 11월 2일, 스패포드는 결혼기념일을 맞아 하루 휴가를 받고 아내와 분위기 있는 저녁식사를 즐기고 있었다. 그리고 11월 3일 아침, 일찍 일어나 집에 있는 컴퓨터를 켜고 이메일을 확인했다. 뭔가가 잘못된 것을 한 눈에 확인할 수 있었다. “실험실에 있던 기계가 말도 안 되는 수의 프로세스를 돌리고 있더군요. 그래서 기계를 재부팅시키고, 재부팅 되는 동안 출근하기 위해 준비를 시작했습니다. 다시 컴퓨터로 와보니 프로세스 로드 수는 오히려 더 빠르게 늘어나고 있었습니다. 뭔가 잘못된 걸 알 수밖에 없어습니다.”

그래서 스패포드는 퍼듀대학의 사무실로 급히 차를 몰았다. 도착해서는 대학 내 여러 컴퓨터에서 비슷한 문제가 발생하고 있다는 걸 알 수 있었다. 그래서 네트워크에서 컴퓨터들을 분리시켰다. “일단 여기 저기 파편처럼 흩어진 상황 정보들을 모아서 도대체 무슨 일이 일어나고 있는지를 파악했습니다. 오후 즈음 웜이 다른 기계를 감염시키지 않도록 하는 안정적인 방법을 알아냈고, 사용자들에게 차례로 컴퓨터를 켜고 네트워크에 연결시키라고 말했습니다.”

같은 시각 버클리대학(UC버클리)의 컴퓨터 전문가들과 MIT의 전문가들은 공격에 대한 정보와 분석 결과를 공유하고 있었다. 하지만 원활치 않았다. 모리스 웜 때문에 이미 인터넷의 주요 부분들이 마비됐고, 따라서 온라인에 접속하거나 이메일을 열어보는 게 어려웠기 때문이다. “당시 인터넷이나 컴퓨터 전문가들끼리는 온라인 상에서 서로서로 어느 정도 교류하고 있었습니다. 하지만 전화번호를 교환할 정도까지는 아니었죠. 그래서 공격이 진행되는 동안 정보 공유가 많이 어려웠습니다. 인터넷 외의 안정적인 통신 체계를 마련해야 할 필요가 있다는 걸 절실히 깨닫게 되었습니다.” 스패포드의 설명이다.

“이랬든 저랬든 아무튼 당시 저희가 가장 알고 싶었던 건 ‘공격자가 누구인가’였습니다. 그 다음은 ‘왜’였고요. 그리고 이 소식을 세상에 어떤 식으로 공개를 해야 하는가도 적잖은 걱정거리였습니다.” 그래서 스패포드는 곧바로 온라인 포럼을 하나 만들었다. 이름은 페이지 리스트(Phage List)였다. 사건을 조사하면서 추가되는 정보를 사람들끼리 공유하기 위한 것이었다. 얼마 지나지 않아 고등연구계획국(DARPA)이 카네기멜론대학에 있던 컴퓨터 긴급 대응 팀에 자금을 대기 시작했다. 이 팀은 이듬 해인 1989년, 사이버 공격이 발생했을 때 조직적인 대응을 할 수 있게 해주는 역할을 담당하려 CERT라는 이름으로 문을 열고 활동하기 시작했다.

88년 당시에는 소프트웨어를 분석할 수 있는 툴을 구한다는 게 쉽지 않은 일이었다. 그런 툴에 접근할 수 있는 사람들은 오직 역어셈블러 혹은 디스어셈블러 뿐이었다. 스패포드는 “그래서 당시 모리스 웜을 분석한다는 건 수동 디버깅을 뜻했다”고 회상한다. “정말 힘들고 지난한 과정이었습니다. 오늘날의 멀웨어 분석만을 해본 사람들은 상상도 하지 못할 겁니다.”

공격이 발생하고 수 시간이 지났다. 버클리대학의 컴퓨터 시스템 연구 그룹(Computer Systems Research Group)은 임시 패치를 개발하는 데 성공했다. 그래서 일단 웜의 확장을 막을 수는 있게 되었다. 나중에는 4BSD 유닉스 운영체제에 대한 소프트웨어 패치를 발표했다.

현재 퍼듀대학의 정보보증보안교육연구센터의 책임자이자 컴퓨터과학과 교수로 근무하고 있는 스패포드는 “모리스 웜이 지나간 후 생겨난 현대 보안의 문제 대부분은 사실 잘 알려져 있고, 미리 막는 것도 가능하다”고 주장한다. “다만 보안 문제를 해결하려면 돈이 들어가고, 이는 많은 사람들의 사업행위에 방해가 되는 것이죠. 단도직입적으로 말하면 아직 보안의 가치가 높지 않은 겁니다. 너무 가치가 낮다보니까 보안 업계조차도 위험을 막기 위한 조치를 알아서 취할 수 없는 것이고요.” 가치가 낮은 이유 중 하나로 그는 “가치를 객관적으로 측정할 방법이 충분치 않아서”라고 짚었다.

“예를 하나 들어보죠. A라는 조직이 랜섬웨어에 걸렸다고 합시다. 그래서 피해가 이만저만이 아니었어요. 그래도 어쨌든 사업을 지속시켜야 하니까 조치를 취해야 합니다. A는 어떤 행동을 취할까요? 당장 마비된 시스템을 복구시키고 랜섬웨어 공격에 대해 잊어버릴까요, 아니면 조직 전체의 보안에 대해 다시 한 번 검토하고, 공격이 성공할 수 있었던 모든 구조적 결함들을 새롭게 고칠까요? 대부분 전자입니다. 그게 더 싸고 간단하며 시간도 덜 걸리니까요. 그만큼 보안에 뭘 투자한다는 게 아까운 겁니다. 가치가 낮다는 소리죠.”

스패포드는 “보안을 중요하게 생각한다고 하는 조직들도 ‘최소한의 비용’이라는 철칙을 유지한다”고 설명한다. “모리스 웜으로부터 우리가 제대로 교훈을 얻지도 못했고, 학습하지도 못한 게 아닙니다. 다만 그 때부터도 잘못된 문화 혹은 보안에 대한 낮은 가치가 확인되었던 겁니다.” 이에 대해서는 빅시 역시 비슷한 의견이다. “사실 우리가 사용하고 있던 장비가 썩 안전하지는 않다는 느낌을 저희 모두 가지고 있었어요. 인터넷에 연결하면 안 되는 것 아닐까, 하는 의심이 마음 한 구석에 다 있었죠. 그 불안이 현실로 이뤄진 게 모리스 웜 사태이고, 오늘 날의 보안 사고들입니다.”

그렇다면 주인공인 로버트 모리스는?
너무 옛날에 일어난 일이라 모리스 웜이 발생시킨 피해액은 미스터리로 남아있다. 대략 10만 달러에서 1천만 달러 사이 어디 즈음에 있을 것이라는 추산치만 있을 뿐이다. 그러나 로버트 모리스 개인에게 무슨 일이 있었는지는 명확히 알고 있다.

올해로 53세가 된 로버트 모리스는 그 동안 언론이나 세간에 별다른 노출 없이 살아왔다. 그 사건으로 모리스는 컴퓨터 사기와 남용에 관한 법(Computer Fraud and Abuse Act - 사건이 일어난 다음 해인 1989년에 만들어졌다)에 의해 기소된 최초의 미국 시민이 되었다. 그는 1990년 유죄 판결을 받았다. 물론 감옥에 가거나 한 건 아니지만 3년 간의 보호 관찰에 처해졌다. 또한 사회봉사활동 400 시간과 10050 달러의 벌금형도 받았다.

지금은 어떻게 지내고 있을까? 현재 MIT의 종신 교수이자 컴퓨터 과학과 인공지능 실험실(CSAIL)의 회원이다. 1995년에는 웹 소프트웨어 업체를 공동 창립하기도 했는데, 이는 훗날 야후에 매각되기도 했다. 2005년에는 투자 회사인 와이 컴비네이터(Y Combinator)라는 회사를 공동 창립했다. 하지만 인터뷰에는 응하지 않았다.

스패포드는 “그 후 모리스 자신에게 일어난 일은 사이버 범죄자들의 표본이 되고 있다”고 설명한다. “모리스는 자신이 한 일을 확실하게 인정하고, 그에 대한 대가를 치렀습니다. 그리고 나서 다시 자신이 원래 하던 일, 자신이 원래 있었던 분야로 돌아갔죠. 잘못된 때에 잘못된 행동을 하고, 사이버 범죄자의 표본처럼 된 인물입니다.”

사실 모리스가 악의적으로 인터넷 일부를 마비시킨 건 아니다. 코딩을 하던 와중에 실수를 했고, 이 실수가 그처럼 치명적인 결과를 낳은 것이다. “소프트웨어에도 실수들이 있죠. 모리스의 실험용 웜에도 그런 버그가 하나 있었던 것뿐입니다. 아마 스스로도 사건이 터지자 놀랐을 겁니다. 뭘 어떻게 해야 할지 몰라서 혼란스러웠던 건 그도 마찬가지였을 거라고 생각합니다.” 구엘의 설명이다.

보안 업체 테너블 네트워크(Tenable Network)의 CEO인 론 굴라(Ron Gula)는 모리스 웜 사건 당시 고등학생이었다. 그는 “사건이 끝나고 모리스 웜의 공개된 일부를 공부할 기회가 있었는데, 그 때문에 정보보안이라는 분야에 흥미를 갖게 되었다”고 말한다. “웜의 익스플로잇에 대한 메일링 리스트를 읽다가 재미를 느꼈고, 그러면서 혼자서 취약점과 익스플로잇을 수집하고 목록화하기 시작했습니다. 그게 쌓여서 저는 침투 테스터가 됐고, 그러면서 보안 전문가의 길로 들어서게 됐습니다.”

굴라는 “인터넷에 연결된 장비들에 대한 원격 감염이 가능하다면 웜 자체가 사라지는 일이 없을 것”이라고 말한다. “저는 역사상 그 어느 때보다 지금 이 시대에 보안이 탄탄한 컴퓨터가 제일 많다고 생각합니다. 동시에 그 어느 때보다 안전하지 못한 컴퓨터도 제일 많다고 봅니다. 그렇다는 건 봇과 웜을 만들거나 사용하는 사람들에게 이상적인 생태계가 형성됐다는 뜻입니다. 웜은 당분간 우리의 사이버 공간 곳곳에 돌아다닐 겁니다.”

3줄 요약
1. 30년전 등장한 모리스 웜. 대학생의 실수로 인터넷의 10% 영역이 마비됨.
2. 모리스 본인은 3년 동안 보호 관찰을 받고 사회봉사 400시간을 채우고 벌금도 꽤 냄.
3. 당시 배울 수 있었던 교훈 많았지만, 보안의 낮은 가치 자체를 변화시키진 못함.

[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 배너 시작 18년9월12일위즈디엔에스 2018WD 파워비즈 2017-0305 시작파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2019년은 4차 산업혁명을 이끌 보안기술들이 본격적으로 상품화될 것으로 기대되고 있습니다. 2019년에 선보이는 다양한 보안기술 중에서 어떤 기술이 가장 주목을 받을 것이라고 생각하시나요?
실시간 위협탐지·대응 기술 EDR
빅데이터 기반의 인공지능(AI) 보안기술
음성인식·행동인식 등 차세대 생체인식기술
차세대 인터넷, 블록체인 기반 보안기술
보안위협 분석 위한 인텔리전스 보안기술
대세는 클라우드, 클라우드 기반 보안기술
IoT 기기를 위한 경량화 보안기술
IP 카메라 해킹 대응 개인영상 정보보호 기술