• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

은행권 DDoS 선방, 체계적인 DDoS 방어 부각 2009.07.13

은행권의 체계적인 DDoS 방어와 시사점


국가적인 디도스(DDoS : Distributed Denial of Service, 분산서비스거부) 공격으로 IT강국의 면모에 흠집을 입었다. 그 와중에도 금융권은 이번 공격에 선방한 것으로 나타나, 금융권 DDoS 대응 체계에 대한 관심이 높아지고 있다.


이번 공격 이전에도 디도스 공격은 게임사이트 등 개별사이트를 대상으로 간헐적으로 발생해 왔으나 이번처럼 전 국가적으로 핵심사이트에 대해 대량의 공격이 이루어진 것은 처음이며 그 피해 또한 적지 않다.

 

과거에는 금품을 목적으로 디도스 공격이 이루어진 경우가 많았으나 이번에는 금품의 요구없이 3일간 공격하고 난 뒤 스스로 하드디스크를 삭제토록 하여 그 배후가 더욱 궁금해 지고 있다. 이번 디도스 공격을 살펴볼 때 앞으로는 더욱 용의주도한 공격이 있을 것으로 예상되며 이에 대한 대비 또한 철저히 해야할 것으로 보인다.


이번 디도스 공격에서 관심을 가지고 주목해야할 부분은 이번 공격의 주요 대상이 되었던 은행권의 대응이다. 과거에는 불법이체사고나 장애로 인하여 자주 언론의 대상이 되었으나 대량의 공격 트래픽이 은행권으로 집중되었음에도 불구하고 이번 공격에서는 여타 기관에 비해 대응이 잘 된 것으로 평가되고 있다.


1차 공격인 7월 7일 3개 은행, 2차 7월 8일 4개 은행, 마지막 3차 1개 은행이 공격을 받아 총 7개 은행이 이번 디도스 공격의 대상이 되었다. 이번 디도스 공격에서 많은 기관의 홈페이지가 장시간 접속 중단되는 사태가 발생하였으나 은행권의 경우 일시 접속중단이나 지연이 있었으나 홈페이지 전면폐쇄 등의 심각한 장애는 일어나지 않았다.


이에 대해 은행권의 한 관계자는 “은행권의 경우 금융결제원을 중심으로 은행권 통합보안관제센터를 운영함으로써 24시간 전자적 침해사고 발생 여부를 모니터링하여 만약의 사태에 대비하고 있었으며 작년 10월에는 디도스 공격 탐지시스템, 올해 1월에는 디도스 공격 차단시스템을 공동으로 구축하여 미리 대비하여 온 것이 효과를 발휘한 것으로 볼 수 있다”고 말했다.


7월 7일 디도스 공격이 처음으로 발생하였을 때 금융결제원 통합관제센터는 이를 즉시 탐지하여 해당은행으로 통지하는 한편 디도스 공격 차단시스템을 가동해 공격 트래픽을 차단하는 한편, 국정원 사이버안전센터, KISA, 보안업체 등 유관기관과 공조해 공격에 적극 대응한 것으로 나타났다.


올해 1월 설치된 디도스 공격 차단시스템도 큰 역할을 했다. 물론 설치된 이후 실제 상황에서 가동되는 것은 이번이 처음이어서 약간의 튜닝 과정이 있었지만, 비교적 효과적으로 공격을 차단했다고 평가받고 있다. 아울러 2차, 3차 디도스 공격에서는 24시간 동안 계속되었음에도 홈페이지 및 인터넷뱅킹 이용 등에 큰 불편이나 혼란은 없었다.


이번 은행권의 대응은 세 가지로 요약할 수 있다. 먼저, 디도스 공격전용 차단시스템을 효율적으로 이용했다는 점이다. 디도스 공격은 대량의 트래픽을 발생시켜 서비스를 마비시키는 것으로, URL을 변경하거나 네트워크 장비만으로 대응하기는 역부족이며 디도스 전용 차단시스템을 통해 효과적으로 대응할 수 있다. 실제 이번 공격에서 은행권은 일시적인 홈페이지 접속 중단이나 지연이 있었지만 공격이 24시간동안이나 지속되었음에도 큰 피해를 입지 않은 것은 디도스 차단시스템을 통한 대응이 주효한 것으로 보인다.


둘째로 디도스 공격 여부를 신속히 탐지하고 공격 패턴을 분석하여 대응할 수 있는 통합보안관제 체계의 운영이 필수적이다. 언제 공격이 발생할지 모르는 사이버공격의 특성상 은행권처럼 24시간 모니터링/사고대응 체제를 운영하는 것이 필요하며, 실제 공격이 발생하였을 경우 공격패턴을 신속히 분석하고 다양한 공격 시나리오에 적절하게 대응해 피해를 최소화 했던 것으로 평가되고 있다.


셋째로 국가적인 정보공유 체계의 정비가 필요하다. 이번 공격에서 알 수 있듯이 여러 기관을 대상으로 한 디도스 공격의 특성상 한 기관의 시스템이나 보안 솔루션으로 100% 막을 수 없으므로 그 피해를 최소화하기 위해서는 국가정보원 사이버안전센터를 비롯하여 KISA, 금융ISAC, 보안업체 등 각 분야별로 분석/대응한 정보를 공유하고 유기적으로 공동 대응하여야 피해를 최소화 할 수 있었다.


업계의 한 전문가는 “3일간 IT 강국의 자존심에 흠집을 낸 디도스 공격에 대해 이제는 좀 더 체계화된 대응준비를 갖추어 나가야 할 것이며, 이번 공격을 계기로 IT 인프라의 확산에만 집중하여 온 관심을 이제는 IT 강국의 면모를 유지하고 지키기 위한 보안 인프라로 옮겨야 할 때”라고 주장했다.

[오병민 기자(boan4@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>