핵티비스트, 백악관 웹사이트 접속자 모으고 있어
보안 전문가, “코드가 한 줄만 들어가도 불법 공격 행위”
[보안뉴스 문가용 기자] 미국 차기 대통령인 도널드 트럼프의 취임식 당일에 사이버 공격을 통한 시위가 벌어질지도 모른다. 이를 위해 시위 전문 사이트인 Protester.io의 창립자 후안 소버라니스(Juan Soberanis)가 직접 사람들을 모으고 있다. 백악관까지 직접 갈 수 없다면 WhiteHouse.gov 웹사이트에 대한 디도스 공격도 해야 한다고 목소리를 높이고 있는 것이다.
소버라니스는 샌프란시스코에 거주 중인 소프트웨어 엔지니어로, Protester.io를 개설해 트럼프 취임을 최대한 소란스럽게 만들 계획을 세우고 있다. “꼭 백악관까지 가야만 싸울 수 있는 건 아닙니다. 백악관 홈페이지를 마비시키면서 트럼프에게 우리의 메시지를 전달할 수 있습니다.” 하지만 이러한 내용을 담은 그의 포스팅은 현재 사라진 상태다.
소버라니스는 Protester.io를 통해 “2017년 1월 20일 최대한 많이 백악관 웹사이트인 WhiteHouse.gov에 접속하라”고 독려했다. 접속하고 끝나는 게 아니라 새로고침을 반복적으로 실행하라고도 권장하고 있으며, 이를 하루 종일 지속해야 한다고 주장했다. 동시에 자동으로 새로고침이 실행되도록 하는 방법을 알려주기도 했다.
웹 보안 업체인 임퍼바(Imperva)의 CTO 아미카이 슐만(Amichai Shulman)은 “이러한 행위도 디도스 공격으로 볼 수 있다”고 말한다. “수많은 사람들이 한 사이트에 접속해 새로고침을 반복적으로 실행할 경우, 뭔가가 필요해 해당 사이트에 접속해 실제 서비스를 받아야 할 사람들이 제대로 원하는 바를 얻지 못하게 됩니다. 백악관 웹사이트 서버는 수많은 새로고침 요청으로 아무 것도 못하겠죠.”
다만 백악관 웹사이트가 어느 정도의 요청까지 처리할 수 있을지는 미지수다. “백악관 웹사이트의 네트워크 대역폭에 관한 정보가 공개된 적은 없습니다. 또한 소버라니스의 이런 움직임에 대하여 어떤 조치를 취했다는 소식도 없고요. 공격이 성공할 수 있을지 없을지 아무도 예측할 수가 없습니다.”
하지만 슐만은 “백악관 측에서 조치를 취할 것이 분명하다”는 입장이다. “안티디도스 서비스를 받을 겁니다. 제 예상은, 트래픽이 기계적으로 발생하는 건지, 진짜 사람이 발생시키는 건지를 구분해주는 안티디도스 솔루션이 적용되지 않을까 하는데요, 이 솔루션만으로도 새로고침을 자동으로 하는 공격을 구별해낼 수 있습니다. 그러면 실제 백악관 웹사이트 접속이 필요한 사람들도 원활한 서비스를 제공받을 수 있게 됩니다.”
그러나 소버라니스의 말에 동원된 사람들이 정성껏 하루 종일 새로고침을 직접 수동으로 하게 된다면, 이 솔루션은 무용지물이 된다. “그런데 정말 아주 많은 사람들이 동시에 하지 않는 한 손으로 실시하는 새로고침 요청으로 서버가 터져나가는 일은 없을 겁니다. 결국 문제는 소버라니스가 얼마나 많은 사람을 동원시킬 수 있느냐입니다.”
또 하나 중요한 건 이 사이버 시위에 참가할 때 코드를 한 줄이라도 썼느냐 안 썼느냐가 중대한 법적 차이로 이어진다는 것이다. “만약 백악관 웹사이트를 공격하고 싶어서 브라우저를 열고 계속해서 새로고침을 한다고 해봅시다. 이걸 손으로 다 하면 일반 시민으로서 할 수 있는 시위의 범주에 속합니다. 하지만 여기에 소프트웨어를 동원하면, 그건 불법적인 공격이 됩니다. 법적으로 이는 매우 큰 차이점입니다.”
사이버 보안 전문가가 아니라 한 시민으로서 슐만은 이런 식의 공격방법이 큰 의미를 갖기 어렵다는 의견이다. “시위의 목적은 자신의 메시지를 누군가에게 전달하거나 대중의 관심을 끄는 것이죠. 하지만 백악관 서버를 다운시켰다고 해서 어떤 메시지가 전달되고, 어떤 이목을 끌 수 있을까요? 어차피 금방 복구될 것이고, 디도스 공격이야 이제 흔하디 흔한 것이 되어버렸는데요. 전 솔직히 회의적입니다.”
보안 전문업체인 도메인툴즈(DomainTools)의 카일 윌호이트(Kyle Wilhoit)도 비슷한 의견이다. “이미 미국 정부 기관은 세계 최고 전문가들의 공격을 수차례 받아왔습니다. 즉, 다른 나라 범죄자 및 반대 세력들의 공격을 막는 데에 자원을 투자해야 하는 입장인 거죠. 이런 와중에 국민들이 알아서 디도스 공격을 일으켜주면, 자원이 다른 곳으로 투자됩니다. 국가적인 손해일 수밖에 없는 이런 일을 왜 기획하는지 잘 모르겠습니다. 별로 성공할 것 같지도 않지만요.”
[국제부 문가용 기자(globoan@boannews.com)]
보안 전문가, “코드가 한 줄만 들어가도 불법 공격 행위”
[보안뉴스 문가용 기자] 미국 차기 대통령인 도널드 트럼프의 취임식 당일에 사이버 공격을 통한 시위가 벌어질지도 모른다. 이를 위해 시위 전문 사이트인 Protester.io의 창립자 후안 소버라니스(Juan Soberanis)가 직접 사람들을 모으고 있다. 백악관까지 직접 갈 수 없다면 WhiteHouse.gov 웹사이트에 대한 디도스 공격도 해야 한다고 목소리를 높이고 있는 것이다.
소버라니스는 샌프란시스코에 거주 중인 소프트웨어 엔지니어로, Protester.io를 개설해 트럼프 취임을 최대한 소란스럽게 만들 계획을 세우고 있다. “꼭 백악관까지 가야만 싸울 수 있는 건 아닙니다. 백악관 홈페이지를 마비시키면서 트럼프에게 우리의 메시지를 전달할 수 있습니다.” 하지만 이러한 내용을 담은 그의 포스팅은 현재 사라진 상태다.
소버라니스는 Protester.io를 통해 “2017년 1월 20일 최대한 많이 백악관 웹사이트인 WhiteHouse.gov에 접속하라”고 독려했다. 접속하고 끝나는 게 아니라 새로고침을 반복적으로 실행하라고도 권장하고 있으며, 이를 하루 종일 지속해야 한다고 주장했다. 동시에 자동으로 새로고침이 실행되도록 하는 방법을 알려주기도 했다.
웹 보안 업체인 임퍼바(Imperva)의 CTO 아미카이 슐만(Amichai Shulman)은 “이러한 행위도 디도스 공격으로 볼 수 있다”고 말한다. “수많은 사람들이 한 사이트에 접속해 새로고침을 반복적으로 실행할 경우, 뭔가가 필요해 해당 사이트에 접속해 실제 서비스를 받아야 할 사람들이 제대로 원하는 바를 얻지 못하게 됩니다. 백악관 웹사이트 서버는 수많은 새로고침 요청으로 아무 것도 못하겠죠.”
다만 백악관 웹사이트가 어느 정도의 요청까지 처리할 수 있을지는 미지수다. “백악관 웹사이트의 네트워크 대역폭에 관한 정보가 공개된 적은 없습니다. 또한 소버라니스의 이런 움직임에 대하여 어떤 조치를 취했다는 소식도 없고요. 공격이 성공할 수 있을지 없을지 아무도 예측할 수가 없습니다.”
하지만 슐만은 “백악관 측에서 조치를 취할 것이 분명하다”는 입장이다. “안티디도스 서비스를 받을 겁니다. 제 예상은, 트래픽이 기계적으로 발생하는 건지, 진짜 사람이 발생시키는 건지를 구분해주는 안티디도스 솔루션이 적용되지 않을까 하는데요, 이 솔루션만으로도 새로고침을 자동으로 하는 공격을 구별해낼 수 있습니다. 그러면 실제 백악관 웹사이트 접속이 필요한 사람들도 원활한 서비스를 제공받을 수 있게 됩니다.”
그러나 소버라니스의 말에 동원된 사람들이 정성껏 하루 종일 새로고침을 직접 수동으로 하게 된다면, 이 솔루션은 무용지물이 된다. “그런데 정말 아주 많은 사람들이 동시에 하지 않는 한 손으로 실시하는 새로고침 요청으로 서버가 터져나가는 일은 없을 겁니다. 결국 문제는 소버라니스가 얼마나 많은 사람을 동원시킬 수 있느냐입니다.”
또 하나 중요한 건 이 사이버 시위에 참가할 때 코드를 한 줄이라도 썼느냐 안 썼느냐가 중대한 법적 차이로 이어진다는 것이다. “만약 백악관 웹사이트를 공격하고 싶어서 브라우저를 열고 계속해서 새로고침을 한다고 해봅시다. 이걸 손으로 다 하면 일반 시민으로서 할 수 있는 시위의 범주에 속합니다. 하지만 여기에 소프트웨어를 동원하면, 그건 불법적인 공격이 됩니다. 법적으로 이는 매우 큰 차이점입니다.”
사이버 보안 전문가가 아니라 한 시민으로서 슐만은 이런 식의 공격방법이 큰 의미를 갖기 어렵다는 의견이다. “시위의 목적은 자신의 메시지를 누군가에게 전달하거나 대중의 관심을 끄는 것이죠. 하지만 백악관 서버를 다운시켰다고 해서 어떤 메시지가 전달되고, 어떤 이목을 끌 수 있을까요? 어차피 금방 복구될 것이고, 디도스 공격이야 이제 흔하디 흔한 것이 되어버렸는데요. 전 솔직히 회의적입니다.”
보안 전문업체인 도메인툴즈(DomainTools)의 카일 윌호이트(Kyle Wilhoit)도 비슷한 의견이다. “이미 미국 정부 기관은 세계 최고 전문가들의 공격을 수차례 받아왔습니다. 즉, 다른 나라 범죄자 및 반대 세력들의 공격을 막는 데에 자원을 투자해야 하는 입장인 거죠. 이런 와중에 국민들이 알아서 디도스 공격을 일으켜주면, 자원이 다른 곳으로 투자됩니다. 국가적인 손해일 수밖에 없는 이런 일을 왜 기획하는지 잘 모르겠습니다. 별로 성공할 것 같지도 않지만요.”
[국제부 문가용 기자(globoan@boannews.com)]
Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
