고성인터넷뉴스

  • [안철수 연구소]신종 악성코드는 희귀질환, 그 이유는?
  • 이동환 기자2011-06-23 오후 6:10:22
지난 5월 13일에 방영된 MBC휴먼다큐멘터리 ‘사랑’, ‘엄마 미안해’ 편의 주인공 서연이는 원인을 알 수 없는 출혈이 발생하는 희귀질환 환자이다.


생후 8개월부터 시작된 이 증상 때문에 4살 서연이는 위 전부와 소장 40cm를 떼어내야 했으며 생사의 고비도 여러 번 넘겼다고 한다.


아픈 자신의 모습을 걱정하는 엄마에게 서연이가 울면서 "엄마, 미안"이라고 하는 장면은 많은 시청자들로 하여금 눈물을 참을 수 없게 만들기도 했다.

 

▲ 휴먼다큐멘터리 ‘사랑’ ‘엄마 미안해’ 편  사진 출처: MBC

 

서연이를 보면서 희귀난치성 질환의 진단에 대한 일련의 흐름이 10여 년간 수행해온 악성코드 대응 과정과 많은 점이 닮은 것을 새삼 느끼고 있다. 앞으로도 많은 시간을 싸워가야 하는 서연이를 보며 병명조차 없었던 후천성 질환이 진단명을 부여받게 되기까지의 과정을 악성코드의 창궐과 종결의 과정에 대비해 이야기해 보겠다.


또한, 이를 통해 희귀난치성 질환이라는 단어가 주는 막연한 두려움보다는 옛날에는 감기도 희귀난치성 질환이었듯이 언젠가는 완치될 것이라는 희망을 품고자 한다.

 

▲ 후 플러스 164회 ‘아파도 참아라’ 죽음의 고통 CRPS

사진 출처: MBC

 

필자는 최근에 알려지게 된 ‘복합부위통증증후군(CRPS)’이라는 희귀난치성 질환을 13년째 앓고 있다. 하지만 필자는 이 병에 걸렸음을 작년에야 알게 되었다. 어떻게 13년간 자신의 병명조차 알지 못하고 살아가게 되었을까?


그것은 ‘희귀질환’이란 단어가 갖는 특성에 있지 않을까 생각한다.

 

 

사고의 시작


신종 악성코드는 최초로 감염된 사용자의 문의가 있기 전까지는 대응도, 분석도 할 수가 없다. 우리가 병원에 가기 전까지는 누구도 자신이 병에 걸렸는지, 새로운 질환이 창궐하였는지 알 수 없는 것과 같다.


필자는 13년 전 군 작전 중 사고를 당하게 되었고 `좌족저부 심부 열상에 의한 신경손상 및 근염, 근 파열`이라는 임시 진단명을 12년간 사용하게 됐다.

 

▲ 영화 <프리다>의 한 장면: 프리다 칼로는 CRPS로 고통받는

와중에 세기의 수작을 남겼다.

 

원인불명의 증상이 나타난다.

 

악성코드에 감염되면 몇 가지 특징적인 증상들이 나타나게 된다. OS에 치명적인 데이터의 손상이 발생하여 즉각적인 인지가 가능한 것도 있지만, 시스템이 느려지거나 이상한 창이 나타나는 등 평상시와 다른 불편함만 먼저 나타나는 경우도 있다.


예를 들어, 공격자의 제어에 이용되는 좀비 PC가 되는 악성코드는 사용자가 증상을 인지하기 어려우므로 지속적으로 피해가 발생하더라도 모르고 사용하게 된다.

 

필자는 전치 6개월의 진단을 받았지만, 시간이 지나도 통증은 오히려 커져갔다. 하지만 잘못돼가고 있다는 것을 인지하지 못했다. `생명을 위협하지 않으므로 살아 있을 수 있기 때문이다!`


진단의 시작, 시간은 점점 흘러간다.


신종 악성코드의 분석과 치료에 걸리는 시간과 인간의 질환에 대한 분석과 치료에 걸리는 시간의 차이는 매우 크며 완치에 필요한 요소의 위험성 또한 큰 차이를 보인다.


악성코드의 분석과 치료에는 가상 테스트 환경을 이용할 수 있다. 하지만 질환의 분석과 치료에서는 실제 생체 실험이 뒷받침돼야만 하고 인체에 대한 연구의 위험성과 결과 관찰에 걸리는 시간적 문제를 간과할 수 없다.


이름이 갖고 싶다.


우리는 종종 진단명 자체가 사건의 시작과 종결에 얼마나 큰 영향을 미치는지 간과할 때가 있다. 단순한 명칭에 불과할 수 있지만, 진단명은 진단과 치료에 매우 중요한 요소가 된다.


악성코드로 의심되는 증상이 접수되면 분석 작업의 열쇠가  되는 샘플코드라는 일련의 코드가 부여된다. 의심 증상을 나타내는 파일을 suspicious 파일(의심파일)이라고 하며 이 파일의 특성을 통해서 진단명을 부여한다.


또한, 악성코드는 하나의 파일로만 구성되지 않는 경우가 많고 다양한 변종이 존재하므로 대표 진단명이라는 것을 사용한다. 이를 통해 다음과 같은 방향성을 얻을 수 있다.


- 객관적인 판정기준을 세울 수 있다.


악성코드는 대표증상, import 된 함수의 종류, 입출력 데이터 종류를 통해 대표 진단명에 부여된 기준이 되는 항목을 충족하면 해당 진단명으로 추정한다.


CRPS라는 질환은 통증의 종류, 이영양성 변화(근육, 손발톱의 변화 등), 3 Phase Bone Scan (3상 뼈 스캔) 결과의 비대칭성, 체열의 비대칭성 등 일련의 검사 결과의 충족 여부를 통해 해당 진단명으로 추정한다.


즉, 새로운 진단법이 개발되기 전에 기존에 존재하는 검사항목들을 이용해 의심 사례에 적용하여 충족항목에 따라 그루핑을 하면 임시적인 구분을 할 수 있다. 또한, 객관적 지표를 사용하므로 분석가/의사의 오진단/미진단 가능성 여부를 획기적으로 줄일 수 있다.


- 명확한 원인이 밝혀지지 않아도 Syndrome으로 구분할 수 있다.


3.4 DDoS, 7.7 DDoS는 특정한 진단명을 사용하지 않고 하나의 사건으로 부르고 있다. 이는 다양한 악성코드 모듈들이 한번에 동작해서 발생한 증상이기 때문이며 사건을 조종한 배후 실체는 아직 명확하게 밝혀지지 않았다.


이 때문에 미결상황이며 이때 사용된 기법들을 응용하여 유사한 사건이 계속 발생하고 있다. CRPS(Complex Regional Pain Syndrome)도 syndrome(증후군)이란 용어를 사용한다. 이는 아직 명확한 실체가 드러나지 않고 현상만으로 판별 및 연구 중인 질환이기 때문이다.


희귀난치성 질환에는 Syndrome이란 용어를 사용한 진단명이 많다. 아직 딱 꼬집어 말할 수 있는 실체가 드러나지 않았지만, 현상은 분명하게 존재하기 때문이다.


아는 것과 모르는 것의 차이점


악성코드에 감염됐다 하더라도 치명적인 시스템 손상이 동반되지 않을 경우 일정 기간 불편함을 감내하면 해당 장비의 사용이 가능하다. 하지만 백신검사결과 진단되는 파일이 발견된 순간 사용자는 충격을 받게 되고 장비 사용에 대한 거부감을 느껴 작업이 위축되는 것을 경험했을 것이다.


필자는 1998년 사고를 당한 뒤 장애인이 됐다. 하지만 2010년 초 CRPS라는 진단명을 받았을 때 또 다른 정신적 충격과 삶의 변화가 발생했다.


그래도 필자는 운이 좋게 이미 12년을 장애인으로 살아가며 사회와 직장에 적응할 시간적 여유가 주어졌지만, 최근에 CRPS에 걸리게 된 환우들은 준비할 시간조차 주어지지 않았기에 필자조차 그분들에게 미안함을 느낄 정도로 큰 충격과 삶의 변화를 겪고 있을 것이다.


분석과 치료에 위험성이 공존한다.


악성코드에 대한 테스트는 치명적인 부작용이 발생하더라도 복구할 수 있다. 그러나 인간은 포맷이나 리부팅을 할 수 없다. 컴퓨터의 경우, 의심프로세스 또는 의심파일에 대한 접근과 삭제 시 OS 파일에 대한 손상으로 치명적 오류가 발생하면 복원할 수 있다.


따라서 분석과 치료에 대한 부담이 적다. 반면 인체에 대한 치명적 부작용은 신체의 결손 또는 생명을 잃게 되므로 분석과 치료에 대한 부담이 매우 크다.


필자는 2004년 신경손상 부위에 발생한 신경종으로 의심돼 재수술이 고려된 적이 있었다. 이때 고려된 위험성은 환부를 다시 절개해야 하며 재활에 1년 정도 소요돼 직장생활이 어려울 수 있다는 것이었다.


게다가 통증을 유발하는 족부를 절단하게 되면 환지통 발생이라는 치명적 부작용이 발생할 수 있다는 위험성이 있었으며 질환의 원인이 불명확한 상태이므로 결과에 대한 보장이 없고 필연적으로 한쪽 다리를 상실하게 된다는 점 때문에 수행되지 않았다.

 

 

시간이 지날수록 피해는 증가한다.


악성코드를 내버려둘 경우 논리적, 물리적 피해가 증가한다. 시스템 가용성의 감소 또는 장비의 오동작 피해뿐만 아니라 하드웨어적 부하 유발로 장비의 수명이 줄어드는 경우도 발생한다.


재감염과 시스템 내 다른 파일로의 감염으로 말미암아 복구 불가한 데이터의 발생이 시간에 비례해 증가한다. 감염력이 있는 악성코드는 이동식저장매체 또는 네트워크를 통해 확산한다.


DDoS와 같은 비감염자의 피해가 발생하고, 개인정보가 유출된 경우 비밀번호의 변경을 이른 시일 안에 수행하지 않으면 금융사고피해를 입을 수 있다.


감염력이 있는 질환은 매개체를 통해 확산된다. 사회 전체적인 불안감이 확산하고 비감염자들의 활동이 위축된다.

 

▲ 필자의 환부와 체열측정 사진: 심한 부위는 좌우 측 간 6도의 온도 차가 발견됐다.

 

질환 방치 시 합병증이 발생한다. `아파서 우울한 것인가? 우울해서 아픈 것인가?`라는 말이 있다. 필자의 경우 진통제 대신 우울증치료제를 복용한 적이 있다.


취침 시 통증유발 부위에 자극이 가해져 정상적인 수면이 불가하거나 평상시 행동을 조심해도 불시에 찾아오는 자발통으로 인해 삶의 질이 낮아졌던 것이다.


통증과 우울감의 의학적 메커니즘은 유사하다고 한다. 신체의 불균형에 따른 추가 합병증도 발생한다. 통증이 유발될까 봐 환부에 대한 의도적 사용기피와 교감신경의 불균형으로 근육 강직과 골다공증, 좌측전반적인 체열의 비대칭이 발생했다.

 

 

누구나 피해자가 될 수 있다.


희귀난치성 질환 중 상당수는 어쩌면 인류의 시작과 함께 존재했고 걸린 사람이 너무 적기 때문에 관심을 받지 못했을지 모른다. 희귀난치성질환에 대한 진단과 치료가 어려운 것은 너무 늦게 알게 되고 걸린 사람이 너무 적어서 진단기준과 임상실험을 하기 어렵기 때문일지 모른다.


매일 수천, 수만 개의 신종 악성코드가 등장하고 있다. 그리고 각 IT 보안업체의 내부에는 더 많은 의심파일과 사건케이스가 조용히 쌓여 있다. Stuxnet의 경우 치명적인 위험성을 가진 악성코드였지만 여러 IT 보안업체에서 의심파일로만 가지고 있는 상태로 몇 개월간의 시간이 흘러갔었다. 만일 해당 악성코드가 재분석되지 않았다면 잠복해있던 많은 산업시설에 피해가 발생했을 것이다.


암과 같은 질환은 많은 관심을 받아 활발한 연구가 이루어지고 있다. 이는 전염병과 같이 확산하지는 않더라도 독립적으로 발병한 환자 수가 매우 많기 때문이다.


반면 희귀질환은 발병한 환자 수가 매우 적기 때문에 상대적으로 관심과 연구가 더디게 이루어지고 있다. 따라서 희귀질환의 촉발원인이 확산하여 급속도로 발병하게 되면 매우 큰 피해를 주게 될 것이다. 이것이 희귀질환의 위험성이고 우리의 관심이 필요한 이유다.


당하고만 있지 않는다.


악성코드에 감염된 피해자들이 느끼는 감정 중 하나는 억울함이다. 악의적 목적을 가진 공격자에 의해 자신의 시스템이 파손된 것뿐만 아니라 다른 사용자에게 피해를 전파시켰다는 오해와 불이익을 받게 되기 때문이다.


또한, 악성코드 제작자를 알 수가 없으므로 분노에 대한 투사와 적절한 보상을 받을 수도 없다. 이 때문에 IT 보안에 대한 사회적 관심과 사용자에 대한 기본적인 보안교육이 수행되고 사법기관의 수사 체계의 수립과 조기대응 체계가 만들어지게 됐다.


필자는 해당 질환이 사회적으로 잘 알려지지 않은 시기에 앓게 됐지만 군 작전 중 사고인 관계로 군 생활 중 지휘관들과 동료의 적극적인 도움으로 만기 전역을 할 수 있었고 국가보훈처와 보훈병원, 그리고 현재 재직 중인 안철수연구소라는 울타리 속에서 보호받을 수 있었기에 덤덤하게 이야기할 수 있는 것일지 모른다.


다만, 질환이 주는 피해보다는 `희귀성`이란 특징으로 이미 다양한 치료법과 약이 개발됐음에도 접할 수 없었다는 `억울함`이 또 다른 후유증으로 다가왔다.


사고는 우리가 선택할 수 없고 자신의 억울함을 투사할 대상이 없으면 상처는 때로는 분노를 가져온다. 사회적으로 이러한 질환이 존재한다는 것이 적극적으로 알려진다면 지금도 원인도 모르는 체 고통 받고 있는 알려지지 않은 `희귀난치성질환자` 분들이 의학의 울타리 속에 들어와 새로운 삶을 살 수 있게 될지 모른다.


의학감수 (가나다순)

- 서울대학교병원 마취통증의학과 김용철 교수

- 서울성모병원 마취통증의학과 문동언 교수

- 종합법률사무소 서로 (http://www.seolaw.kr)

- 한국 복합부위통증증후군 환우회 (http://www.crps.co.kr)

 

 
안형봉 엔진QA

 

 

 

  안철수연구소의 시큐리티대응센터에서 엔진QA를 담당하며 병렬테스트시스템, 컨텐츠배포네트워크시스템(CDN) 개발을 진행하고 있다. "보안기술 전문지인 ASEC Report의 편집장과 안랩 칼럼리스트"로 활동하며, 일반인들에게 보안 사건, 사고의 원인을 네트워크단에서 해석한다. 최악의 네트워크상태인 곳에서도 안정성과 속도가 유지되는 배포시스템을 설계하는 아키텍트가 되는 것을 목표로 하고 있다. 많은 실무 경험을 통해 학생들에게 보다 생생한 교육을 할 수 있는 날을 준비하고 있다.

 

 

  * 고성방송은 olleh(QOOK)-TV 에서 볼 수 있습니다.

olleh-TV 신청은 080-077-5555, 070-7092-0174

 

목록으로