![[보안칼럼]인터넷 국제 관문에서부터 DDoS 방어를 시작하자](https://img.etnews.com/photonews/2202/1499676_20220215152905_769_0001.jpg)
은행을 방문해서 업무를 보기 원한다면 누구나 처음 해야 하는 것은 번호표를 뽑는 일이다. 그리고 순번이 될 때까지 기다려야 은행 업무를 볼 수 있다. 만약 누군가가 악의적으로 번호표만 1000장을 뽑고서 그냥 간다면 어떤 상황이 발생할까. 고객은 순번이 올 때까지 오랫동안 기다릴 것이며, 은행은 번호표를 넘기는 데 꽤 많은 시간을 사용할 것이다. 인터넷망에서도 이와 유사한 행위가 빈번하게 발생한다. 악의적 목적으로 인터넷 서비스 자원을 소모하는 것을 서비스 거부(DoS; Denial of service) 공격이라 한다.
![[보안칼럼]인터넷 국제 관문에서부터 DDoS 방어를 시작하자](https://img.etnews.com/photonews/2202/1499676_20220215152905_769_0002.jpg)
서비스 거부 공격은 한 명이 시도하는 것보다 다수가 동시에 다양한 방법으로 시도하는 게 효과적이다. 공격에 따른 피해 규모도 증가시킬 수 있다. 그러나 서로 다른 다수의 공격자가 동시에 같은 대상을 향해 서비스 거부 공격을 시도하는 게 쉬운 일은 아니다. 이와 같은 요인으로 공격자는 원격에서 동시에 움직일 수 있는 다수의 '공격지'를 만들기 위해 고민했고, 그 결과가 우리가 흔히 알고 있는 '좀비 PC'다. 디도스(DDoS, 분산 서비스 거부) 공격은 공격자가 다량의 좀비 PC를 만들고, 좀비 PC를 통해 공격 대상에게 서비스 거부 공격을 시도하는 사이버 공격 기법이다.
![[보안칼럼]인터넷 국제 관문에서부터 DDoS 방어를 시작하자](https://img.etnews.com/photonews/2202/1499676_20220215152905_769_0003.jpg)
2016년 9월 인터넷에 연결된 CCTV 14만대를 활용한 디도스 공격이 세상에 등장하면서 인터넷으로 연결 가능한 모든 장비가 디도스 공격에 활용될 수 있다는 게 알려졌다. 또 공격자는 사물인터넷(IoT) 단말이 사용하는 취약한 소프트웨어의 버전 정보만 알면 공개출처정보(OSINT; Open Source Intelligence)를 통해 세계에 해당 소프트웨어를 사용하는 단말의 주소(IP)를 쉽게 수집할 수 있어 더욱 효율적으로 좀비 IoT 단말을 만들 수 있는 환경이 됐다.
이전에는 정치적 목적 아래 정부 기관 또는 기업 대상으로 디도스 공격이 이루어졌다면 최근에는 기업(특히 금융기업) 대상 디도스 공격으로 협박하고 금전적 이익을 노리는 '랜섬 디도스(Ransom DDoS)' 공격이 주를 이루고 있다.
예를 들어 '팬시 베어'라는 해커 그룹은 자기 소개와 함께 디도스 공격을 예고하며 공격을 막고 싶다면 비트코인을 지불하라는 형태의 전자 메일을 전달한다.
'은신'을 가장 큰 무기라고 생각하는 공격자가 디도스 공격만큼은 외부에 적극적으로 알리는 이유가 무엇일까. 디도스 공격은 일반적인 트래픽과 구별하는 게 어렵다는 특징 때문이다.
예를 들어 좋아하는 연예인의 공연 티켓을 예매하거나 설 귀향 기차를 예매하기 위한 예매 홈페이지 접속이 급증해서 홈페이지가 마비된다고 접속을 시도한 사람이 악의적으로 디도스 공격을 시도했다고 할 수 없다.
실제 디도스 공격이라고 판단해도 디도스 공격을 수행한 단말은 좀비 PC에 감염된 가정집 PC, TV, 공기청정기이기 때문에 해당 장비의 소유자 역시 디도스 공격의 피해자다.
디도스 공격의 실제 진원지를 추적하기가 어렵다는 특징이 디도스 공격이 활개 칠 수 있는 근본 원인이며, 계속 새로운 좀비 단말을 만드는 이유라 할 수 있다.
기업 입장에서 디도스 공격은 단지 서비스가 일시적으로 멈추는 것일 뿐 중요 정보의 유출이나 서버가 마비되는 것이 아니다. 하지만 온라인 서비스가 멈춘다는 것은 곧 서비스의 신뢰성을 훼손하는 심각한 문제가 된다. 특히 우리나라와 같이 온라인 서비스가 보편화되어 있는 나라에서 온라인 서비스가 일시적으로 마비될 경우 사회 전반적으로 심각한 문제를 야기할 수 있으며, 이를 회복하기 위해서는 많은 사회적 비용이 소모된다.
기업이 디도스 공격을 받게 되는 것은 공격자가 다량의 비정상 트래픽을 온라인 서버에 유입시키기 때문이다. 만약 온라인 서버가 충분한 용량의 회선을 확보하고 있지 않다면 디도스 보안 설비를 아무리 잘 갖추고 있다 하더라도 용량 불충분으로 서비스 장애가 발생할 것이다. 이러한 이유로 온라인 서비스 회사는 필요 이상으로 과도한 회선 용량을 확보하고 유지하기 위해 많은 비용을 지불하고 있다.
즉 악의적으로 번호표를 많이 뽑는 것으로 인한 고객의 피해를 막기 위해 은행에서 필요 이상으로 많은 은행원을 고용하고 비용을 지불하는 것이다.
카스퍼스키사 공식 블로그 시큐어리스트(SecureList)의 디도스 관련 분석보고서에 따르면 좀비 PC에 공격 명령을 내리는 서버의 50% 이상이 미국과 독일에 있으며, 좀비 PC 또는 좀비 IoT 단말의 과반은 중국·인도·미국에 있다. 즉 국내에 발생하는 디도스 공격의 상당수는 해외에서 유입되는 것이라 할 수 있다.
해외에서 유입되는 디도스 공격을 국제망 인터넷 관문에서 대응할 수 있다면 개별 기업이 디도스 공격에 대응하기 위해 과도하게 회선을 증설하는 것은 감소시킬 수 있을 것이다. 따라서 해외에서 유입되는 디도스 공격을 국가적 차원에서 선제 대응한다면 중복 투자하는 디도스 대응 비용의 상당량을 절감할 수 있을 뿐만 아니라 디도스 공격으로부터 사회 안전을 가져오는 효과를 볼 수 있을 것이다.
김대연 윈스 대표 dan@wins21.co.kr
