DDoS 공격, 사전 대응책 마련과 사용자 주의가 최선

최근 증가하고 있는 DDoS 공격은 다양한 방법으로 이루어진다. 목표 사이트에 접속하여 지속적으로 Reload 버튼을 클릭해 정상적인 접속을 방해하는 단순하고 원시적인 형태에서부터 다수의 인원이 DoS 공격도구를 이용하여 공격하는 중간적인 형태, 그리고 최근 가장 문제가 되고 있는 Bot에 감염된 좀비PC를 활용하여 공격하는 형태까지 다양하다. 최근의 DDoS 공격은 대부분 금품을 목적으로 이루어지며 점차 대범화, 조직적인 사이버 범죄화 되어가는 추세를 보이고 있다.

‘97년 IMF 당시 해고된 은행직원들이 해고에 항의하는 의미로 은행창구 앞에 무리지어 무더기로 번호표를 뽑아서는 100원정도의 소액을 계속 입금했다가 출금하기를 반복함으로써 정상적인 은행의 창구업무가 이루어지지 못하도록 방해한 적이 있었다. 이렇게 의도적으로 운영 중인 시스템 또는 서비스 자원을 소모시켜 정상적인 서비스를 제공하지 못하도록 방해하는 행위를 DoS 공격(Denial of Service Attack, 서비스거부공격)이라고 한다.

DoS 공격이 소수에 의해서 이루어지는 경우에는 해당되는 공격자 몇 명만 출입하지 못하도록 함으로써 손쉽게 방어가 가능하지만 불특정 다수에 의해서 동시다발적으로 이런 공격이 이루어지는 경우에는 누가 정상적인 고객이고 누가 공격자인지 쉽게 판별할 수 없는 상황이 되어 방어가 쉽지 않다.

이렇게 분산된 다수가 동시에 공격하는 경우를 DDoS 공격(Distributed DoS Attack, 분산서비스거부공격)이라고 한다. 인터넷 상에서는 다수의 시스템이 공격자의 명령에 따라 동시에 대량의 유해 트래픽을 공격 대상 시스템에 전송하여 서비스 시스템 및 네트워크의 자원고갈을 유발하여 정상적인 서비스를 방해하는 형태로 이루어진다. DDoS 공격은 다양한 방법으로 이루어진다. 목표로 하는 사이트에 접속하여 지속적으로 Reload 버튼을 클릭함으로써 정상적인 접속을 방해하는 단순하고 원시적인 형태에서부터, 한·일 독도분쟁 당시의 ‘방법 2007’과 같이 다수의 인원이 DoS 공격도구를 이용하여 공격하는 중간적인 형태, 그리고 최근 가장 문제가 되고 있는 Bot에 감염된 좀비PC를 활용하여 공격하는 형태까지 다양하다. 앞의 두 가지 경우는 공격 IP를 차단하는 방법으로 손쉽게 방어가 가능하므로 본고에서는 논외로 하고 BotNet을 활용한 DDoS 공격에 대해서 중점적으로 알아보기로 한다.

일반적으로 공격자는 우선 BotNet에 명령을 전달하기 위한 C&C(Command&

Control, 명령&제어)서버와, 악성코드를 유포하기 위해 보안이 취약한 웹서버를 해킹한다. 악성코드 유포에 악용된 사이트 방문자 중 보안이 취약한 사용자의 경우, 사이트를 방문하는 것만으로도 Bot에 감염되게 되며 Bot에 감염된 PC는 좀비PC가 되어 C&C서버를 통한 공격자의 명령을 받아 DDoS 공격에 악용되게 된다. 물론 다른 PC를 감염시키거나, PC사용자의 개인정보를 유출하거나, 불법스팸을 발송하는 등의 행위들도 가능하다. 

이러한 방법은 몇 번의 해킹만으로 손쉽게 대량의 좀비PC로 이루어진 BotNet을 손에 넣을 수 있고 언제든 해커의 명령에 따라 다양한 불법행위를 할 수 있다는 점에서 최근에 가장 많이 활용되고 있다.

최근 조직화·다양화 추세 

최근의 DDoS 공격은 대부분 금품을 목적으로 이루어지며 점차 대범화, 조직적인 사이버 범죄화 되어가는 추세를 보이고 있다. 특히 국내 사이트들을 대상으로 이러한 협박 및 공격이 빈번하게 이루어지는 이유는 대부분의 공격자가 중국에 존재하는 점에서 찾을 수 있다.

중국은 인터넷의 급속한 발전에 비해 최근에서야 중국정부에서는 해킹을 불법으로 규정할 정도로 해킹에 대하여 미온적으로 대응하기에 수사공조가 쉽지 않고 관련 법제도의 정비가 미흡하여 C&C로 활용할 수 있는 사이트도 많다. 무엇보다도 중국 내의 조선족을 이용하여 별도의 어학능력 없이도 협박이 용이한데 기인한다.

과거에는 성인 관련이나 도박 사이트 등 신고가 어려운 불건전 사이트를 대상으로 이루어지던 공격이 점점 웹하드 업체, 일반 쇼핑몰, 여행 예약사이트, 아이템 거래사이트, 정부기관 및 금융기관까지도 공격대상으로 삼는 등, 사회 전반의 모든 시스템을 대상으로 광범위하게 공격이 이루어지고 있다. 또한 조직적으로 역할을 분담하여 금품을 요구하는 범죄적 양상이 심화되고 있다.

DDoS 공격용 악성코드 제작자, 유포자, 협박자, DDoS 공격자 등 각기 고유한 역할을 가진 조직화된 사이버 범죄로 발전되고 있으며 일회성으로 끝나지 않고 특정 시즌을 겨냥하여 해당업체의 경제적 파급효과 및 고객과의 관계까지 감안하여 공격대상을 선정하는 등 날로 지능화되어가고 있다.

공격 트래픽의 규모도 BotNet을 활용함으로써 기존의 수십 Mbps에서 수십 Gbps로 급격하게 증가하고 있다. 대부분 수 Mbps에서 수십 Mbps 정도의 회선용량을 사용하는 국내 사이트가 이러한 형태의 공격을 방어하는 것은 거의 불가능하다는 점에서 커다란 문제로 작용한다. 이는 마치 수백 명을 수용할 수 있는 은행에 수만 명의 좀비들이 동시에 몰려든 형국으로 아무리 경비시스템이 잘 정비되어 있다고 하더라도 정상적인 서비스가 불가능함은 물론 주변의 도로나 건물(ISP 및 연동 ISP의 백본망, 동일 IDC 입주 업체 등)에도 심각한 피해를 주게 되어 국지적, 전국적인 소통장애까지도 유발할 수 있게 된다. 마지막으로 사회적 갈등의 온라인 표출 수단으로써 DDoS가 활용되고 있는 점을 들 수 있다. 이는 한·일 독도분쟁으로 인한 네티즌 간의 사이버분쟁 등 과거에도 활용되어 온 방식이지만 최근 포털 사이트의 한 카페에서 강퇴당한 10대 청소년이 이에 앙심을 품고 보복성 DDoS 공격을 시도하여 불구속 입건된 사례에서도 알 수 있듯이 최근에는 중국 등에서 만들어진 공격도구가 국내에 유포되어 누구나 간단한 조작만으로도 DDoS 공격을 할 수 있게 되었다는 점에서 주목할 만하다.

적절한 DDoS 공격 대응 방안

앞서 언급한 ‘BotNet을 활용한 DDoS 공격 개념도’를 기준으로 본다면 DDoS에 효과적으로 대응하기 위한 포인트는 크게 4가지로 구분된다.

● 대응 포인트 1 - 공격자

공격자는 모든 DDoS 공격의 원인이 되므로 적극적인 수사 및 체포활동이 필요하다. 이를 위해서는 국제적인 수사공조체제를 강화하고 처벌을 강화하는 등의 대책이 요구된다.

● 대응 포인트 2 - C&C 서버

BotNet을 이용한 DDoS는 공격자가 C&C서버에 명령을 전달하고 이 명령이 수많은 좀비PC로 전달됨으로써 이루어진다. KISA에서는 DDoS 공격이 신고되면 공격 로그를 분석하여 국내 공격 IP를 파악하고 해당 사용자에게 협조를 요청하여 악성코드를 수집·분석함으로써 C&C서버를 파악한다. 그리고 나서 이를 신속하게 ISP에 전달하여 차단하도록 함으로써 좀비PC들이 더 이상 C&C로부터 공격명령을 수신하지 못하도록 조치함으로써 DDoS 공격을 방어하고 있다.  

● 대응 포인트 3 - 악성 Bot 유포 사이트

공격자는 보안에 취약한 사이트를 해킹하여 악성 Bot을 은닉시켜 놓음으로써 보안에 취약한 사용자가 해당 사이트를 방문하는 것만으로도 악성 Bot에 감염되도록 한다. KISA에서는 자체 개발한 악성코드 은닉사이트 탐지시스템인 MC-Finder를 활용하여 매일 12만 5천여 개의 사이트를 실시간 점검함으로써 국내 홈페이지가 악성코드 유포에 악용되고 이로 인해 일반 인터넷 이용자가 악성코드에 감염되는 것을 선제적으로 예방하고 있다.

● 대응 포인트 4 - 좀비PC

Bot에 감염된 좀비PC가 없다면 BotNet을 이용한 DDoS는 불가능해진다. 그러나 이는 사용자의 인식제고 및 주의가 요구되는 분야로 정부나 KISA의 노력만으로는 해결하기가 어려운 실정이다. KISA에서는 사용자가 Bot에 감염되었는지의 여부를 손쉽게 알 수 있도록 “악성 봇 감염 확인 서비스”를 보호나라 홈페이지(www.boho.or.kr)를 통해 서비스하고 있으며 NHN, 다음, 네이트온, 엔씨소프트 등과의 협력을 통하여 보다 많은 사용자가 서비스를 받을 수 있도록 서비스 대상을 확대하고 있다.

● 기타의 대응노력

KISA에서는 ‘08년부터 ISP의 연동구간인 IX단에 DDoS 탐지·차단장비를 설치함으로써 IX단에서 DDoS와 관련된 유해트래픽을 차단하는 시범사업을 시행하고 있다.

정부의 노력과 더불어 업계의 자체적인 노력도 진행되고 있다. 자체적으로 웹서버 및 보안장비를 운영하기 어려운 업체를 대상으로 IDC서비스를 제공하고 있듯이 KT, LG데이콤, SK브로드밴드 등에서는 DDoS에 대응하기 위한 충분한 대역폭 및 DDoS 대응장비를 갖추기 어려운 업체를 대상으로 DDoS Clean Zone 서비스를 유료로 제공 중에 있다.

다만 현재는 DDoS에 대한 피해 경험이 없는 업체의 경우 추가적인 비용을 지불하면서 해당 서비스를 이용해야하는 필요성을 느끼지 못하고 있어 활성화까지는 다소 시일이 소요될 것으로 생각된다.

향후 DDoS 공격 지속

불행하게도 앞으로도 금품을 목적으로 하는 DDoS는 지속적으로 증가할 것으로 예상된다. 더불어 DDoS 공격을 위한 악성코드의 성능 및 유포기법 역시 지능화, 고도화될 것으로 보인다. 이러한 위협에 근본적으로 대응하기 위해서는 정부나 관련기관의 노력도 중요하지만, 무엇보다도 사용자 스스로가 악성코드에 감염되면 자신도 모르게 남에게 피해를 줄 수 있다는 사실을 인지하고 보안업데이트를 생활화하고 백신프로그램을 설치하여 주기적으로 검사하는 등의 노력이 반드시 필요하다.

<글 : 이명수 KISA 인터넷침해사고대응지원센터 본부장(msrh22@kisa.or.kr)> 

[월간 정보보호21c 통권 제105호 (info@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>