이번 DDoS 공격이 비교적 단순한 패턴이었음을 감안한다면 차후 대단위 공격이 있을 경우 피해 규모는 지금의 수백 배 규모가 될 수 있다. 제2의 ┖7.7대란┖을 방지하기 위해 이번 DDoS 공격의 방어에 대한 근본적 문제를 ┖인터넷 네크워크의 처음과 끝┖ 전체에 걸쳐 진단해 볼 필요가 있다.

인터넷 네크워크의 처음은 개개인의 PC부터 시작되어 ISP가 제공하는 인터넷서비스를 통해 네트워크에 접속하게 된다. 여기부터는 L2~L7 네트워크 장비가 있어 각각의 트래픽을 목적지에 분산, 배분, 연결해 준다. 최종 목적지로 네이버나 국민은행 등 포털과 웹사이트에 연결, 관련 서비스를 받게 된다.

또한, DDoS 공격의 본질은, 첫째 ┖좀비PC┖가 없다면 ┖DDoS공격┖도 없다는 것이고 둘째 힘없는 좀비가 네트워크상에 집결해서 엄청난 파괴력을 구사한다는 것이다. 바꿔 말하면, ┖좀비┖가 기생할 수 없는 PC환경이거나 ┖좀비┖가 집결하는 걸 막는다면 ┖DDoS 공격┖을 효율적으로 줄일 수 있다.

현재 많은 전문가들은 네트워크상의 최종 목적지인 포털과 웹사이트를 운영하고 있는 공공기관과 기업에게 DDoS 장비 도입의 시급성을 거론하고 있다. 그 동안 ┖네크워크의 보안┖을 등한 시 해 온 점을 감안한다면 당연한 제안이다. DDoS 장비를 도입하여 외부로부터 들어오는 연결 요청을 먼저 처리하여 해당 서버가 다운되는 것을 방지한다든지, 네트워크 대역폭을 늘린다든지 하는 처방이다.

의미 있는 안들이지만 이런 안들은 마치 ┖좀비PC가 어디 있는 지 찾기 어려우니 각자 자기 집 대문 앞에 왔을 때 들어오지 못 하게 더 크고 단단한 대문을 달자┖는 이야기다. 허나 이런 안들은 장기적으로 봤을 때 근본적인 처방이라고는 볼 수 없다.

결국 근본적 처방은 모든 네티즌들이 좀비PC가 되지 않도록 백신을 설치하고 업데이트하는 것이라고 전문가들은 이야기한다. 그렇지만 이 처방은 ┖자발성┖에 크게 의존한다는 ┖불완전성┖뿐만 아니라 통상 공격 후 24시간 후에 나오는 백신을 이용하게 되어 사후약방문이라는 ┖사후성┖이란 한계가 있다.

이에 따라 좀비가 집결하는 것을 미리 막을 수 있다면 더욱 효율적인 DDoS 공격에 대한 방어가 가능하다는 주장이 나오고 있다. 즉, 좀비PC와 가장 가까운 곳에 위치한 인터넷서비스제공업체(ISP) 단에서 좀비PC를 실시간 파악 및 차단하고 치료한다는 것.

세종텔레콤의 ISP서비스의 담당자인 장효선 시니어매니저는 “다른 DDoS 장비들의 경우 공격 후 사이트 다운을 방지하기 위한 방어여서 고객이나 인터넷서비스를 제공하는 업체 쪽에서는 공격이 일어나면 일단 크건 작건 물질적 피해를 당해야 했다. 무사히 방어한 후라도 좀비PC의 파악과 치료에 시간이 많이 들어 제2, 제3의 DDoS 공격의 여지가 있는 게 사실이다”고 말한다.

아울러 “이번에 세종텔레콤은 고객PC와 가장 가까운 지점에 설치한 보안 스위치의 보안기능을 사용해 좀비PC의 유해 트래픽을 ┖대단위 공격 이전┖에 초기 탐지, 차단했다”며 “심지어, ‘소스IP 변조 공격’이 시작된 3차 공격에서조차도 성공적으로 좀비PC를 파악, 차단하여 고객에게 좀 더 안전하고 차별화된 인터넷서비스를 제공했으며 우리 고객PC들은 좀비 청정지대가 될 수 있도록 실시간 조치를 취할 수 있었다”고 밝혔다.

현재 세종텔레콤은 국내 토종 기업인 한드림넷의 보안 스위치를 사용하여 고객들에게 인터넷서비스를 제공하고 있다. 이 제품은 국내 기술력만으로 특허를 획득하여 일본 등 외국에도 수출되고 있는 제품이다.  

한드림넷의 서현원 대표이사는 “공공의 이익을 위해 개인이나 기업이 할 수 없는 것에 대해 국가가 나서야 한다. 개개의 좀비PC의 공격과 치료를 ┖최전방┖의 ISP에서 막는다면 제2, 제3의 7.7 대란은 없을 것이다. ISP에서 공공의 이익을 위해 24시간, 365일 이런 역할을 할 수 있도록 국가적 차원의 지원이 있어야 한다”고 지적했다.   

한드림넷 기술지원팀 팀장인 김 도 부장은 “한드림넷의 L2 보안 스위치를 설치한 ISP 사업자의 탐지 차단 로그를 자체 분석한 결과, 한드림넷의 스위치가 좀비PC의 공격을 ISP단에서 성공적으로 탐지, 차단하였다. 또한, 제3차 공격의 로그 분석에서는 새롭게 나타난 형태의 소스 IP변조 공격까지도 탐지, 차단했다”라고 밝혔다.

IP변조가 일어나는 경우 ISP업체에서 좀비PC를 추적하여 치료하는 것이 거의 불가능함은 물론 IP주소가 외국으로 변조된 경우 외국으로의 공격으로 오인할 가능성도 있다.

보안 스위치를 이용하는 경우 네트워크 구조 상 좀비PC와 가장 가까운 곳에서 DDoS공격의 세부로그를 파악할 수 있어 공격의 출발지인 좀비PC와 목적지인 피해 예상 사이트 및 공격유형까지도 쉽고 빠르게 파악할 수 있어 실시간 대처가 가능하다고 설명했다.

[오병민 기자(boan4@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>