특정시스템을 대상으로 무차별 공격트래픽을 살포해 서비스를 마비시키는 '분산서비스 거부'(DDoS) 공격이 올해 최대 보안위협으로 떠오르고 있다.
문제는 DDoS공격을 현재로선 완전하게 방어할 수 있다는 보장이 없다는 점이다.
지난 2006년부터 시작해 지난해부터 활발해지기 시작한 협박성 DDoS 공격으로 화상채팅사이트나 아이템거래사이트 등 소형 웹사이트를 비롯해 대형증권사·은행 웹사이트, 포털, 인터넷쇼핑몰, 언론사 홈페이지까지 알게 모르게 속수무책으로 당하면서 위협이 지속되고 있는 실정이다.
특히 최근에는 수십기가비트급 대규모 DDoS 공격으로 인한 ‘하반기 대란설’이 유포되면서 네트워크·IT보안담당자들의 간담을 더욱 서늘하게 하고 있다.
상황이 이렇게 되면서 국가 차원에서 DDoS 공격을 막기 위한 사업을 본격 개시했고, 다양한 DDoS 공격 대응 방법이 나오고 있다.
하지만 아직까지는 DDoS 공격을 막을만한 뚜렷한 대안은 보이지 않고 있는 것이 현실이다.
무조건적으로 수십 수억원대의 자금을 엄청 투입해 네트워크 대역폭을 늘릴 수만도 없고, DDoS 공격을 막는다는 안티DDoS 전용 제품이나 다양한 보안 제품을 여유롭게 혹은 선택적으로 구비해놓기에도 고민되는 상황이다.
<디지털데일리>는 오는 10월 1일 보안사용자그룹인 한국침해사고대응팀협의회(CONCERT)와 공동으로 국내 최초로 안티DDoS 전문 컨퍼런스인 ‘All about DDoS(DDoS 공격과 대응에 관한 모든 것)-DDoS 공격 막기 대작전’을 개최한다.
이에 앞서, 현재 DDoS 공격 현황과 모색되는 대응방안을 다루는 기획시리즈를 연재해 기업과 정부기관 IT·보안 담당자들의 고민을 함께 해보고자 한다. <편집자주>
<기획시리즈 목차> 1. 속수무책 당하는 무차별 DDoS 공격2. DDoS 공격 대응 국가·기관 나섰다3. 쏟아지는 DDoS 전용 보안 제품4. DDoS 대응은 네트워크 차원의 이슈5. 기존 보안 제품 활용 방안은6. 비용효과적인 IDC·호스팅 서비스 속속 등장7. 업체별 전략과 제품 (차별성 위주로)[기획/DDoS 방어 대작전①]
DDoS 공격에 속수무책 당하는 정부와 기업러시아와 전쟁 위기에 몰렸던 그루지야에서 지난달 20일부터 최근까지 대통령 웹사이트, 그루지야중앙은행(National Bank of Georgia)을 비롯한 정부·금융기관의 주요 사이트가 다운되거나 크게 손상되는 사건이 발생했다.
이 사고는 취약한 PC를 악성코드나 해킹툴에 감염시켜 한꺼번에 특정사이트를 무력화시키기 위해 공격서버로 이용하는 분산서비스거부(DDoS) 공격기법에 의한 것이었다.
<출처 : www.pbs.org/newshour> 이로 인해 그루지야 정부사이트 운영 서버가 해외로 옮겨지는 등 큰 홍역을 치룬 것으로 알려졌다.
◆러시아와의 전쟁 위기 ‘그루지야’, 사이버전서 이미 참패=뉴욕타임스 등 외신 보도에 따르면, 그루지야 정부사이트에 대한 이버 공격자는 아직 밝혀지지 않았지만 그루지야 정부는 그 배후에 러시아 정부가 있었을 것으로 예상하고 비난을 퍼붓기도 했다.
결국 그루지야와 러시아 간 총성은 더 이상 확대되지 않고 양국 대통령은 지난 14일 평화협정에 서명했다. 하지만 전문가들은 이 사고로 인해 결국 사이버 전쟁에서는 그루지야가 러시아에 참패한 것으로 결론내리는 상황이다.
그루지야의 이번 사고는 지난해 4월 에스토니아 정부와 은행, 언론사 등 국가의 주요 전산망이 DDoS 공격으로, 무려 3주 동안 서비스가 마비됐던 사건과 동일하다. 러시아와의 전쟁이 임박했던 그루지야에서 다시 한 번 현실화된 것이다.
DDoS 공격의 위협성은 이처럼 일단 공격을 퍼부으면 속수무책으로 당한다는 데 있다.
우리나라는 아직까지 그루지야나 에스토니아 사태처럼 정부나 금융기관 등 주요 기반시설이 운영하는 사이트가 한꺼번에 DDoS 공격을 당한 적은 없다.
하지만 지난 2006년 말부터 금전을 노리는 사이버 공격자들에 의해 많은 기업이 운영하는 웹사이트가 협박성 공격을 당했다. 그 공격 여파는 이들 웹사이트 운영서버가 입주해 있거나 관리되고 있는 IDC·호스팅 기업에까지 미쳤고, DDoS 공격 대응은 최대 현안으로 꼽히고 있다.
◆45~50기가비트 대규모 DDoS 공격 현실화되나= 2006년 말부터 시작해 지난해 들어 수백만원에서 수천만원에 이르는 금품을 요구하는 협박성 DDoS 공격이 두드러졌다.
초기의 공격 대상 웹사이트는 대개 피해가 발생해도 사법기관에 신고나 수사요청을 꺼려할 화상채팅이나 음성적인 성인사이트였다.
하지만 지난해부터 여행업사이트, 온라인자격증 홈페이지, 게임아이템 거래사이트 등으로 확대되는 경향을 보였고, 급기야는 올 초 미래에셋 홈페이지가 수 시간 동안 서비스가 중지되는 사고를 당했다.
공격트래픽 규모 또한 500~800Mbp(메가비트)에서 1~2Gbps(기가비트)로, 급기야는 10기가비트를 초과하는 공격이 주류를 이루는 등 공격규모가 지속적으로 증가하고 있다.
취약한 PC를 더욱 많이 악성코드에 감염시켜 좀비PC로 확보해 대량의 공격트래픽을 살포하고 있기 때문이다.
공격 방식 또한 TCP, UDP, ICMP, IGMP, HTTP 프로토콜 등으로 전방위 확대됐다.
미래에셋 사고 이후로는 대규모 공격이 크게 두드러지지 않았지만 많은 기업은 여전히 크고 작은 피해를 입고 있다.
최근에는 45~50기가비트에 달하는 대규모 DDoS 공격이 8월 이후 감행돼 DDoS로 인한 대란이 일어날 것이란 전망까지 나오고 있는 상태여서, 획기적인 대응책이 절실하다.
한국정보보호진흥원(KISA) 인터넷침해사고대응지원센터 노명선 팀장은 “소강상태를 보이는 듯 3월 이후로 대규모 공격이 감지되진 않았지만 사회적 현안과 결부된 형태를 포함해 DDoS 공격은 꾸준히 발생하고 있다”면서, “막대한 경제적 피해와 국가안보를 위협할 수 있는 DDoS 공격 대응을 위해서는 정부와 인터네서비스사업자(ISP), 기업과 개인 모두의 노력이 중요하다”고 말했다.
