[특집 : Anti DDoS 서비스 활용]
[INTERVIEW]유병삼 오늘과내일 IDC운영팀장 
최근 UDP 플러딩 이용한 네트워크 소모성 공격 많아

인터넷에 필요한 모든 인프라를 제공하는 네트워크 서비스 전문기업이며 전문기술과 체계적인 시스템으로 컨벡센터 서비스 등을 제공하는 오늘과내일의 IDC운영팀을 맡고 있는 유병삼 팀장은 “DDoS 공격의 형태가 전에는 주로 TCP를 이용한 SYN공격을 주로 이용했는데 최근에는 대부분 UDP 플러딩을 이용한 네트워크 소모성 공격을 주로 하고 있다”며 “이 같은 공격을 받을 경우에는 Anti DDoS 방어장비의 도입과 서비스, 트래픽 우회 접속, 대역폭 증설, IP 차단(null 라우팅) 등, 가능한 모든 방법과 대책을 마련해야 한다”고 강조했다.

최근 DDoS 공격은 어떤 형태로 이루어지고 있나?

이전에는 주로 TCP를 이용한 SYN공격을 주로 이용했는데 최근에는 대부분 UDP 플러딩을 이용한 네트워크 소모성 공격을 주로 하고 있다. 공격자들이 UDP 플러딩을 애용(?)하는 이유는 가장 단순한 방법으로 큰 공격효과를 낼 수 있기 때문이다. 보통 공격이 들어오는 경우는 피해업체가 사용하는 네트워크를 마비시킬 목적으로 공격이 가해지는데 최근에는 1Gbps 이하의 공격은 찾아보기 어렵고 보통 2~3Gbps 좀 규모가 큰 업체의 경우는 수 G~수십 Gbps의 공격이 가해지기도 한다.

이렇게 대량의 트래픽을 발생시킬 수 있는 기반이 되는 원인 중에 하나가 국내 통신사들의 과도한 초고속인터넷 유치 경쟁을 들 수 있다. 일반 가정에서 사용하는 PC에까지 기가네트워크다, 광랜이다 하면서 대역폭이 늘어났기 때문에 수십 Gbps의 공격 트래픽을 발생시킬 수 있다.

물론 1차적인 원인은 PC가 bot에 감염되지 않도록 주의를 기울이지 않은 PC사용자에 있다고 할 수 있다. 그리고 이전에는 주로 금품을 갈취할 목적으로 사전 또는 사후에 공격사실을 알리면서 공격이 주로 이뤄졌으나 최근에는 특별한 요구사항이나 사전연락 없이 보복성 공격 등의 형태로 무작정 공격이 이뤄지는 경우도 있다.

DDoS 공격이 생소할 때에는 공격을 받는 업체가 피해를 고스란히 받아들일 수 밖에 없는 형태였으나 최근에는 공격에 대응할 수 있는 보안 장비들과 서비스가 많이 나와 있어 어느 정도는 막을 수가 있다.

기업들은 DDoS 공격 위협에 대해 어느 정도 준비하고 있나?

규모가 있는 기업들의 경우는 DDoS 공격에 대응하는 보안장비를 속속 도입하고 있다. 당사의 경우 장비에 대한 BMT(BenchMark Test)를 요청해 오는 업체들도 있으며 모의 네트워크상에서 공격테스트 등을 거친 후 장비 도입을 하고 있다. 하지만 가격이 수 천 만원을 호가하다 보니 선뜻 도입을 하진 않고 충분한 BMT를 거친 후에 도입을 하고 있다.

DDoS 공격 방어에 대해 중소기업에 효과적인 방안은?

앞서 말한 바와 같이 DDoS 방어장비의 가격이 워낙 고가이다 보니 중소기업에서 도입하기가 쉽지 않다. 임대 형태인 ASP 서비스로 한다고 하더라도 월 이용료가 몇 백 만원에 이르기 때문에 서비스 신청이 많지 않은 편이다.

UDP 플러딩 공격 같은 경우 대역폭이 충분히 확보되어 있으면 공격이 들어오더라도 어느 정도 받아들일 수 있는 수준이 되지만 일일 트래픽이 수 십 Mbps 밖에 사용하지 않는 고객사에서 공격에 대비해 수 Gbps의 회선 대역폭을 확보하여 월 사용료를 지불하며 사용할 수는 없다.

공격을 받을 경우 대응하는 방법으로는 방어장비 도입(Anti-DDoS Zone 서비스 류 포함), 트래픽 우회 접속, 대역폭 증설, IP 차단(null 라우팅) 등이 대표적이다. 이 중 IP차단을 제외하고는 모두 비용이 발생하는 부분이라고 보면 된다.

사실 이전까지는 돈이 되는 곳만 공격을 했기 때문에 중소기업들은 공격의 대상이 아니었다.

하지만 앞서 언급한 것과 같이 이러한 현재는 DDoS 공격이 금전적인 이득을 취하기 위한 것만이 아니다. 또한 공격방법이 매우 전문가적인 지식을 필요로 하지 않고 약간의 지식만 있으면 아무나 할 수 있을 정도로 일반화됐고 공격을 할 수 있는 툴 등을 인터넷 상에서 비싸지 않은 가격에 쉽게 구할 수 있기 때문에 중소기업이라고 해서 DDoS 공격에 안전하다고 볼 수 없다. 이에 따라서 공격을 받을 경우에는 ISP 및 IDC, 사이버수사대, KISA 등 전문가들의 협조를 받아 공격에 대응해야 한다.

중소기업에서 서비스를 도입해 피해를 성공적으로 방지한 사례가 있다면?

2008년 초반 A증권사는 DDoS 공격자들로부터 웹서버에 UDP & TCP SYN 공격을 수차례 받아 증권사 이미지에 심각한 타격을 입었다. 공격자들은 공격을 중단하는 조건으로 5000만원을 요구했다. 이후 당사의 IntruGurad IG2000 도입 후 수 차례에 걸쳐 UDP, TCP SYN, Spoofing 등 다수의 공격들이 복합적으로 들어왔으나 IntruGurad IG2000이 이를 완벽하게 차단한 사례가 있다.

또한 B저축은행은 실제 DDoS공격이 들어오지는 않고 있었으나 DDoS 공격 피해의 심각성을 알고 고민하던 중 IntruGurad IG2000의 기존 레퍼런스 사이트와 BMT 결과 만족스러운 성능을 확인하고 IntruGurad IG2000을 도입해 DDoS 공격에 대비하고 있다.

그리고 국내 최고 중고자동차 포털 사이트인 C사는 DDoS 공격자들로부터 수 차례, 수 시간에 걸쳐 UDP, TCP SYN, Spoofing 등 DDoS 공격을 받아 서비스가 마비되어 금전적으로 수 천 만원의 손실을 가져왔다. 공격자들은 공격을 하지 않는 조건으로 수 백 만원을 요구했으나 이후 IntruGurad IG2000 도입 후 수 차례에 걸쳐 UDP, TCP SYN, Spoofing, CC 등 다수의 공격들이 복합적으로 들어왔고 현재도 공격이 수 차례 들어오고 있으나 IntruGurad IG2000가 이를 완벽하게 차단하여 원활한 서비스를 하고 있다.

또 한 예로 국내 가격 비교사이트 중 1, 2위를 다투는 D가격비교 사이트는 2008년 후반 DDoS 공격자들로부터 웹 서버가 공격당해 장시간 서비스가 마비되는 피해가 발생했다. 이로 인한 수억원의 금전적 손실 발생했고 이후 IntruGurad IG2000 도입 후 지속되는 DDoS 공격에 원활한 서비스가 가능했다.

DDoS 방어 서비스의 특징은?

현재 서비스 중인 Anti DDoS Zone 서비스는 IntruGurad IG2000를 이용해 서비스를 하고 있다. 네트워크는 일반 코로케이션 네트워크와 분리하여 별도의 네트워크를 구성하여 서비스 하고 있으며 몇 개의 웹 서비스 업체가 ASP 형태로 서비스를 받고 있다.

ASP 서비스이므로 초기 장비 도입에 따른 비용 부담이 적으며 전문 엔지니어가 24시간 감시를 하고 있다. 공격 발생시 즉각 탐지 및 방어가 가능하여 안전하게 서비스를 받을 수 있다.

오늘과내일의 Anti DDoS Zone 서비스는 10년 이상의 네트워크서비스 노하우를 바탕으로 질 높고 안정적으로 고객들의 서버를 DDoS 공격으로부터 보호하고 있으며 고객들은 이를 통해 안정적으로 자사의 서비스를 고객들에게 제공할 수 있게 된다.

<글 : 정보보호21c 편집팀>

[월간 정보보호21c 통권 제105호 (info@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>