초기 대응만 잘하면 속수무책으로 당하지는 않는다

인터넷 기업들은 DDoS 공격과 관련해서 협박을 받으면 대부분 해커들의 요구를 들어주거나 서비스를 포기하는 경우가 더러 발생하고 있다. 문제는 대응에 대한 준비가 안돼 있다는 것. 대응에 대한 준비가 안돼 있다면 공격에 속수무책으로 당하는 일이 빈번하지만 초기 대응과 응급처치에 대한 방법을 미리 알고 있다면 피해를 크게 줄일 수 있다. DDoS 공격 발생시 초기 대응할 수 있는 응급처치 방법을 알아보자.

최근에는 금품을 요구하는 중국 해커들이 인터넷 기업을 대상으로 하는 DDoS 공격이 늘고 있다. 특히 중국이 발신지로 의심되는 해커들이 국내 인터넷사이트를 대상으로 DDoS 공격을 퍼부은 다음 금품을 요구하는 악의적인 공격을 자주 일삼고 있다.

DDoS 보안장비 업체의 한 관계자는 “현재 유명 검색 사이트에서 특정분야에서 순위에 드는 인터넷 기업들이 중국 해커들의 주요 공격 대상”이라며 “순위권 인터넷 기업들은 순위에서 밀려나지 않기 위해 무정지 서비스를 원하고 있으며 직접적인 대응에는 시간과 공격에 대한 피해가 적지 않기 때문에 대부분 해커들의 금품 요구를 들어주는 경향을 보이고 있다”고 말했다.

이렇듯 인터넷 기업들 대부분은 어쩔수 없이 해커들의 요구를 들어주거나 서비스를 포기하는 경우가 더러 발생하고 있다. 문제는 대응에 대한 준비가 안돼 있다는 것이다. 대응에 대한 준비가 안돼 있다면 공격에 속수무책으로 당하는 일이 빈번하지만 초기 대응과 응급처치에 대한 방법을 미리 알고 있다면 피해를 크게 줄일 수 있다. DDoS 공격 발생시 초기 대응할 수 있는 응급처치 방법을 알아보자.

공격 트래픽을 파악하라

회사의 웹사이트에 트래픽이 급속으로 증가했을 경우 가장 먼저 대처를 해야 할 일은 바로 트래픽이 어떤 이유에서 발생했는지를 파악하는 것이다. 사실 많은 IT관리자들은 갑작스런 트래픽 증가가 DDoS 공격에 의한 것이라고 의심이 들더라도 공격에 대한 대응을 할 수 없다고 말한다. 그 이유는 DDoS 공격에 대한 대처가 쉽지 않아 섣불리 나설 수 없기 때문이다.

따라서 트래픽 분석에 의해 공격인지 아니면 웹사이트의 접속자가 갑작스럽게 많아져서 발생한 트래픽인지에 대한 파악이 필요하다. 이를 위해서는 평소 트래픽의 경향 자료가 필요하다. 이전에 트래픽에 대한 분석 자료가 있다면 평소와 다른 트래픽에 대해 문제가 있는 트래픽이라는 판단을 빠르게 내릴 수 있기 때문이다.

이대효 안철수연구소 제품기획 과장은 “라우터의 트래픽 사이즈를 분석해봐도 평소와 다른 트래픽을 구별할 수 있다”며 “패킷의 흐름이 평소와 다르게 진행된다는 것은 파악하는 것은 조기에 DDoS 공격을 구분할 수 있는 방법이 되기도 한다”고 말했다. 이런 방법 등으로 평소와 다른 트래픽을 확인한 후에는 DDoS 공격이라는 판단을 신속하게 내려 직접적인 대응해야 한다.

혼자 해결하려 하지 말고 도움을 요청하자. 

DDoS 공격을 확인하고 대응의 첫 번째 조치는 바로 유입의 경로를 차단하는 것. 하지만 경로를 완벽하게 차단할 수는 없다는 전제하에 최대한 공격의 유입을 막는 것이 중요하다.

한 보안 전문가는 “DDoS 공격을 혼자서 막아보려는 노력보다는 일단 ISP(인터넷 서비스 제공자)와 IDC(인터넷데이터센터)에 먼저 도움을 요청하는 것이 효과적”이라고 설명했다.

ISP의 협조를 받으면 해외 유입 경로를 차단해 피해를 줄일 수 있고 IDC에 입주한 기업이라면 IDC에서 제공하는 DDoS 서비스를 이용할 수 있다. 그리고 공격이 어디에서부터 오는지에 대한 로그를 확보하는 것도 빼놓지 말아야한다. 유입 경로나 공격성향을 파악할 수 있을 뿐 아니라 향후 이에 대한 조치를 취할 때도 이 로그가 있어야 KISA나 사이버수사대의 협조가 가능하기 때문이다.

적극적으로 대처하라.

현재까지 많은 인터넷 기업들은 중국 해커들의 협박에 의한 DDoS 공격을 대외적으로 드러내는 것을 꺼려왔다. 일단 DDoS 공격을 받았다는 것을 대외적으로 알리는 것은 자체 보안 수준을 드러내는 것 같다는 이유에서이다.

게다가 DDoS 장비나 솔루션 도입비용에 비해 해커들의 금전요구가 크지는 않다는 것도 대외적으로 드러내지 않는 이유 중 하나다.

또한 사이버수사대에 신고를 할 경우 로그 및 이벤트 정보와 더불어 여러 부분에서 협조를 해야 하지만 대부분 영세 인터넷 기업들은 보안 담당자가 따로 없거나 IT인력이 많지 않기 때문에 이런 협조조차 버거워 신고를 꺼려하고 있다. 하지만 전문가들은 감추려고 하는 것 보다는 적극적인 대응이 향후 또다시 찾아올지 모르는 공격을 미리 막기 위해서 꼭 필요하다고 조언했다.

앞서 피해 사례에서 언급한 네띠앙을 모체로 하고 있는 아레오닷컴의 경우, 해커의 협박내용을 녹취해 공개하고 적극적으로 대처해 많은 관련업계에서 응원을 받았다. 이 회사 역시 DDoS 공격을 드러내는 것이 회사의 보안수준을 드러내는 것 같아 쉽지 않았지만 오히려 공개한 이후 많은 다른 기업들과 이용자들의 지지를 얻을 수 있었던 것.

그러나 DDoS 대응 장비를 갖췄다고 해서 방심해서는 안 된다. 일부의 기업들은 DDoS 장비를 갖추고 해커들의 공격을 그냥 넘기는 경우가 많은데 조직적으로 공격을 시작하게 되면 웬만해선 방어하기 힘들다는 것이 업계의 중론이다.

IDC의 한 관계자는 “DDoS 공격을 모니터링 해보면 보통 1G 미만의 트래픽이 대부분이지만 금품을 요구하려는 조직적인 DDoS 공격의 경우 적게는 4G에서 많게는 10G 공격을 하기도 한다”며 “사실 일반적인 중소기업이 10G 공격을 막는 것은 불가능하다”고 말했다.

10G의 트래픽이라면 웬만한 DDoS 장비로도 방어하기가 쉽지 않다는 것. 따라서 ISP와 IDC 그리고 사이버수사대, KISA 등의 지원이 필수라고 볼 수 있다. 이를 위해서는 DDoS 공격을 공개하고 적극적으로 대응할 필요가 있다.

DDoS 공격에 대해 숨긴다면 일시적으로 공격을 멈추게 할 수는 있지만 공격이 또다시 시작되면 울며 겨자 먹기로 해커들의 요구를 들어줘야하기 때문이다.

꾸준한 DDoS 방어 투자 필요.

일단 DDoS 공격에 대한 예방은 없다고 말한다. 다만 DDoS 방어 장비를 갖춘다면 일단 안심이라고 할 수 있다.

문제는 장비들의 가격이 중소기업입장에서 본다면 매우 비싸다는데 있다. 보통 외산 DDoS 장비의 가격은 대부분 8천만원에서 1억원을 호가한다고 알려져 있다. 이런 가격은 일반적인 영세 중소기업의 입장에서는 꿈도 못 꿀 가격이라고 생각한다.

하지만 꼭 장비를 구입하지 않아도 방법은 있다. 보통 DDoS 서비스를 제공하는 업체들의 경우 월별로 200~300만원에서 500만원의 가격으로 서비스 임대를 이용할 수 있다.

이 또한 부담이 된다면 저렴한 DDoS 기능을 갖춘 장비들도 작은 공격에 대한 대응은 가능하기 때문에 일단 보안에 대한 투자가 필요하다는 인식이 필요하다고 설명한다.

한 보안 전문가는 “많은 중소기업들은 영세하다는 이유로 보안에 신경을 끄는 경우가 적지 않은데 이런 상황에서 DDoS와 같은 보안위협이 찾아온다”면서 “기업이 작더라고 규모에 맞는 DDoS 장비가 있기 때문에 관심을 가지고 투자해야 할 것”이라고 조언했다.

<글 : 정보보호21c 편집자 주>

[월간 정보보호21c 통권 제105호 (info@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>