한 동안 화석 취급 받던 디도스 공격이 최근 몇 년 동안 주류 공격의 자리를 꿰찼다. 디도스를 응용하는 수많은 전략이 공격자들 손에서 바삐 개발되고 있다. 한 동안 이러한 패턴은 이어질 것이다.

[보안뉴스=챠즈 레버 보안 연구 수석 국장, Devo] 디도스 공격과 제로데이 취약점 공격이라는 건 보안 업계에서 늘상 듣는 말이며, 매우 흔하다. 그럼에도 이 과거의 유산과 같은 것들이 자꾸만 나타나는데, 이유는 간단하다. 통하기 때문이다. 오픈AI도 챗GPT 플랫폼에서 발생한 디도스 공격을 막지 못했다. 이 공격은 어나니머스 수단(Anonymous Sudan)이라는 핵티비스트가 실행한 것으로, 이들은 지난 10월에도 클라우드플레어(Cloudflare)에 디도스 공격을 가하기도 했었다.


디도스 공격이라는 것은 기본적으로 인터넷 프로토콜에 있는 취약점들 때문에 성립되는 것이었는데, 나중에는 사물인터넷 장비 쪽으로 옮겨갔다. 왜? 감염시키기가 더 쉬웠기 때문이다. 새로운 기술이라며 환호 아래 등장한 사물인터넷은 각종 설정 오류와 제로데이 취약점 등으로 효과적인 디도스 공격의 발판이 되어 주었고, 여전히 그렇다.

역사는 반복된다
디도스 공격자들이 사물인터넷 쪽으로 방향을 틀게 된 건 미라이(Mirai) 때문이다. 2016년과 2017년 큰 화제가 됐던 이 봇넷은 지금까지도 생생한 영향력을 발휘하고 있다. 디도스는 사물인터넷만으로 봇넷을 꾸려 디도스 공격을 하는 최초의 멀웨어로 기록되어 있다. 미라이 덕분에 디도스 공격이라는 수법마저 덩달아 새롭게 각광을 받았고, 현재까지 꾸준히 증가하고 있다. 2022년부터 2023년에 이르는 기간 동안 디도스 공격이 200% 증가했다는 분석 결과도 있을 정도다.

디도스가 증가하는 시기에 제로데이 취약점 익스플로잇 공격 역시 꾸준히 증가했다. 특히 얼마 전에는 아틀라시안(Atlassian) 솔루션들에서 대단히 심각한 취약점들이 연달아 발견되기도 했는데, 이 때문에 취약한 채 인터넷에 연결되어 있는 장비들이 다수 존재할 것으로 예상되고 있다. 시스코도 웹 UI에서 제로데이를 발견했는데, 이미 4만 대 이상의 장비들이 취약한 것으로 분석됐다. 앞으로도 사이버 공간에 많은 구멍들이 생겨날 것은 분명하다.

사물인터넷 생태계
이렇게 취약한 장비들이 늘어난다는 건 디도스 공격을 위한 재료들이 충분히 쌓이고 있다는 의미도 된다. 그렇다고 나아질 희망이 있는 것도 아니다. 아직 사물인터넷 환경은 규정이 느슨하며, 제조사들이 자정의 노력을 한다고 말하기 힘들기 때문이다. 그 말인 즉슨 당분간 디도스 공격자들 입장에서 최적의 환경이 계속해서 만들어져 갈 것이라는 뜻이다. 일각에서 ‘설계에 의한 보안’이라는 개념이 확산되고 있고, 매우 긍정적인 현상이지만, 아직 초기 단계다. 아무튼 지금 당장 사물인터넷 장비 제조사들이 보안 구멍 없는 장비들을 만들 이유가 없다.

동시에 이 새로운 분야에 뛰어드는 각종 스타트업들의 존재도 간과할 수 없다. 이들은 사물인터넷이 가진 잠재력에 반해 사업을 시작했으나 경험이 부족하다. 그러니 보안에 대해서는 더더욱 미흡할 수밖에 없다. 이런 사람들이 만든 장비들도 시장에 계속해서 나타나고 있으며, 그렇기에 디도스 공격은 한 동안 성행할 것이 분명하다.

새로운 프로토콜들의 어두운 단면
디도스 공격의 위험이라는 측면에서 봤을 때 사물인터넷만 문제가 되는 것은 아니다. 새롭게 등장하는 네트워크 프로토콜들도 요주의 대상이다. HTTP/2의 경우, 원래의 HTTP 프로토콜을 보완하기 위해 개발됐다. 하지만 HTTP/2에는 HTTP에 없던 새로운 오류와 리스크들이 존재한다. 특히 ‘고속 리셋 공격(Rapid Reset Attack)’이라는 것을 허용하는 것으로 현재 분석되고 있다. 이 문제 역시 관련 패치가 모조리 적용되기 전까지 한 동안 우리를 괴롭힐 것이다. 또한 HTTP/2를 대체하는 또 다른 프로토콜이 나오더라도 그것 나름의 문제를 내포하고 있을 것 역시 분명하다. 역사는 반복된다.

디도스 대처
이렇게 과거의 유물과 같았던 디도스와 제로데이 공격이 최근 몇 년 동안 부활해 기세를 떨치고 있는 가운데 사이버 보안 전문가들 역시 대책 마련에 고심이다. 2024년은 이런 면에서 전기가 마련되어야 할 텐데 그러기 위해서는 각 조직의 보안 담당자들이 조직 내 존재하는 모든 서비스와 장비들, 정책과 업무 절차들을 꼼꼼하게 파악하는 것부터 시작해야 한다. 상기했다시피 디도스 공격은 취약점 및 설정 오류 등과 깊은 관련이 있기 때문이다. 이런 구멍들을 파악해 틀어막아야 위험이 줄어든다.

보다 확실한 디도스 방어 전략을 수립하려면 다음 몇 가지가 필수다.
1) 확장성이 있는 인프라를 구축한다 : 부하 분산 장치(로드 밸런서)를 사용해 여러 서버로 트래픽을 고루 분산시킨다. 이 활동이 꾸준히 이어지면 디도스 공격으로 강력한 영향력을 발휘하는 게 힘들어진다.

2) 클라우드 기반 디도스 완화 서비스를 활용한다 : 기업 혼자서 모든 디도스를 감당하는 것에는 한계가 있다. 강력한 전문 서비스의 도움을 받는 것은 가치 있는 투자다.

3) 네트워크와 인프라를 설계할 때 문제가 발생할 것을 예상하고 ‘복구’를 중심 가치로 삼는다 : 결국 그 누구도 모든 공격을 예방할 수는 없다. 언젠가는 한두 번이라도 공격을 허용하게 된다. 그렇기 때문에 디도스 공격이 들어왔을 때의 시나리오를 상정해 복구를 위한 인프라를 구성하는 게 중요하다.

4) 트래픽을 모니터링하고 비정상 패턴을 탐지한다 : 디도스는 결국 트래픽의 폭발적인 증가라는 현상을 동반한다. 트래픽 모니터링은 디도스를 방어하고자 하는 조직에 있어 필수 중 필수다. 또한 트래픽에서 비정상적인 패턴이 발견되는 것도 주의 깊게 살펴야 한다. 당연히 맨눈으로 하면 안 된다. 이런 면에서 특화되어 있는 전문 장비의 도움을 받아야 한다.

5) 네트워크 보안을 강화한다 : 방화벽과 침투 탐지 및 예방 기능을 가진 장비들은 기본적으로 갖춰두어야 들어오는 트래픽을 어느 정도 거를 수 있다. 당연히 이 과정에서 악성 트래픽도 차단된다.

6) CDN 서비스를 활용함으로써 콘텐츠를 여러 지역에 고루 퍼트려 놓는다. 이렇게 하면 트래픽이 넓게 분산되고, 따라서 공격이 들어오더라도 상당량의 트래픽을 소화할 수 있게 된다. 한 마디로 트래픽 감당의 용량의 커진다고 할 수 있다.

인터넷이 존재하는 한 공격자들은 늘 나쁜 행위를 개발하고 실행하고 부활시킬 것이다. 디도스와 제로데이 취약점 공격도 지금 반짝 유행이 아니다. 설사 향후 몇 년 뜸해진다고 하더라도 또 어느 새 돌아와 우리를 괴롭히고 있을 것이다. 그러므로 한 번 간 위협이라고 해서 마음 놓지 말고, 늘 기본기를 다져놓는 게 중요하다. 왜 갑자기 기본기 얘기냐고? 방금 적어놓은 6가지 필수 요소들을 보라. 전부 기본기들이다.

공격의 유행이 돌고 돌지만 방어의 기본은 그대로 남아 있다. 다행스러운 일이 아닐 수 없다.

글 : 챠즈 레버(Chaz Lever), 보안 연구 수석 국장, Devo
[국제부 문정후 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>