컨텐츠 바로가기

12.19 (목)

이슈 IT기업 이모저모

[김주한 교수의 정보의료·디지털 사피엔스]페이스북과 디도스 공격의 추억

댓글 첫 댓글을 작성해보세요
주소복사가 완료되었습니다
전자신문

김주한 서울대 의대 정보의학 교수·정신과전문의


코스매치(CourseMatch)는 '코딩의 신'으로 불렸던 하버드 신입생 마크 저커버그가 만든 수강신청 도우미 프로그램이었다. 학생들의 좋은 수강과목 선택을 지원하기 위해 여러 선후배가 각 수강과목들을 비교하며 생성한 평가 순위 정보를 제공하는 일종의 '집단지성' 프로그램이었다.

마크 저커버그는 페이스북을 창업하며 하버드를 스스로 중퇴했지만, 2학년 때 이미 학교에서 퇴출될 위기를 겪은 일이 있다. 코스매치 '실연판'에 해당하는 페이스매시(Facemash) 프로그램을 배포한 스캔들 때문이었다. 영화 '소셜 네트워크'에서는 연애에는 별 소질이 없던 하버드 신입생으로 묘사된 저커버그가 에리카라는 한 여학생과의 만남에서 마음의 상처를 입은 날 기숙사로 돌아와 하룻밤 만에 페이스매시를 개발하는 '폭파' 장면이 흥미진진하게 그려진다.

당시 하버드는 학생 명부를 기숙사별 웹사이트에 게시하기 시작했다. 2003년 10월 저커버그는 자신이 머물던 커클랜드 기숙사를 포함한 하버드의 8개 기숙사 학생들의 얼굴 사진과 간단한 인적 정보들을 해킹해, 긁어모은 얼굴 사진을 좌우로 두 명씩 매칭해 보여줬다. “누가 더 '매력적'으로 보이는가”하는 투표 사이트 페이스매시를 만들었다. 이른바 하버드판 '내가 매력적인가 아닌가(Am I Hot or Not)'이었다. 저커버그는 몇 친구들에게 페이스매시 주소를 보내서 의견을 구했는데, 곧 이어 하버드의 주요 리스트 서버들에 링크가 올라가기 시작하며 악몽이 시작된다. 접속과 투표가 급증하며 당일 저녁 10시에는 이미 450명이 방문해 최소 2만2000건의 투표가 진행됐다. 페이스매시 서버는 다음날 아침 차단됐다. 하버드의 네트워크 스위치를 마비시켜 버렸기 때문이었다. '외모품평'이나 '초상권 침해' 등 여러 윤리적 논란으로 학사 심의를 받았다. 다행히 저커버그는 퇴출되지 않았다. 그는 매우 유명해졌다. 아이비리그 대학 전체 클럽으로 확장한 페이스북을 창업하며 저커버드는 하버드를 자퇴하고 실리콘밸리로 떠났다.

'의도한 것은 아니었지만' 페이스매시 사례처럼 동시에 다수의 접속자가 서버에 접속할 때 서버나 네트워크가 마비되는 DoS(Denial of Service) 현상을 사이버공격에 처음 응용한 시도는 1996년 파닉스에 대한 SYN flood 공격이었다. 1997년에는 DEF CON이 라스베이거스 스트립을 한 시간 이상 마비시켰고 전국으로 퍼져갔다. DoS 공격은 가장 단순한 형태라서 방어는 오히려 더 어렵다. 거대 클라우드 출현 등으로 왠만한 공격은 감당하게 되었지만, 미리 컴퓨터 바이러스를 감염시킨 수많은 '좀비 컴퓨터'들에 동시다발적 공격명령을 내리는 분산 디도스(DDoS) 공격의 가공할 파괴력은 야후도 무너뜨렸다. 역사상 최대의 디도스 공격은 2017 구글에 대한 초당 2.54 테라바이트 규모 공격으로 알려져 있다.

필자도 하버드 네트워크를 마비시켰던 악몽이 있다. 2000년 어느 날 대량의 분산 분석 코드를 돌려놓고 퇴근했다. 다음날 모든 컴퓨터의 인터넷 접속이 막히고 화면엔 무슨 경고문도 떠있길래, “무슨 일들이 있나보군”하며 따사로운 햇볕 아래 찰스강 산책으로 하루를 만끽했다. 1990년대 생명과학의 급속한 발전으로 미국 바이오테크정보센터(NCBI)가 제공하는 생명 데이터베이스의 규모와 형식이 폭증했다. 분석해야 할 유전자나 단백질의 숫자도 급증했다. 신생 학문인 생명정보학의 태동기였다. 방대한 인간 유전자 분석을 위해 수많은 연구 디비를 오가며 연결했는데, 내친 김에 전체 디비의 통합분석을 자동화하는 스크립트를 완료한 게 악몽의 시작이었다. NCBI는 이 천진난만한 코드를 대규모 사이버 공격으로 판단, 하버드 롱우드 캠퍼스 전체를 차단했다. 필자 뿐 아니라 다양한 '의도하지 않은 공격'들이 급증하던 시점이었을 테다. 당시 웃으며 불길한 소식을 전해주고 방어까지 해준 아이잭 코하니 교수가 얼마 전 NEJM AI를 창간했다. 범인은 색출됐고 퇴출되지는 않았다. 이후 주요 생명과학 데이터베이스들은 검색 화면 외에 전체 데이터의 파일 다운로드 기능을 허용하기 시작했고, 현재는 표준 프로세스가 됐다. 친절해서가 아니다. 서버가 더는 견딜 방법이 없었기 때문이다. 오늘날 비전문가를 통한 '의도하지 않은 공격'들은 더 많아졌다. '광클 군단'이 아이돌의 공연 티켓 구매에 참전했다. 일명 'VIPDoS'는 유명 셀럽의 게시물이 '의도하지 않은 공격'을 촉발하는 현상이다. 2009년 마이클 잭슨의 사망 소식은 트위터와 구글도 함께 무너뜨렸다.

김주한 서울대 의대 정보의학 교수·정신과전문의 juhan@snu.ac.kr

[Copyright © 전자신문. 무단전재-재배포금지]


기사가 속한 카테고리는 언론사가 분류합니다.
언론사는 한 기사를 두 개 이상의 카테고리로 분류할 수 있습니다.