“여러 가상 중계서버 통해 실제서버에 접속하도록”

오래 전부터 게임사이트와 웹호스팅의 보안을 맡으면서 겪었던 경험 등을 바탕으로 최근의 DDoS공격에 대한 대응책의 문제점과 최선의 방안이 무엇인지에 대해 제안해 보고자 한다.

현재 큰 이슈가 되고 있는 DDoS공격은 오늘 내일의 일이 아니고 몇 년전부터 꾸준하게 있어왔고 관련 업계에서 일 하는 사람이라면 한 두번 이상 경험해 봤을 것이다. 더구나 현재 이슈가 되고 있는 DDoS공격보다 더 파괴적이고 지능적인 공격을 당해 봤을 것이다. 그런 관점에서 DDoS공격에 대한 대응책으로 많은 언론, 전문가, 종사자들이 아래의 방법들을 제안을 하고 있는데 그 문제점과 한계점에 대해 지적해 보도록 하겠다.

백신을 사용한 좀비 PC의 봇(Bot) 치료는 소 잃고 외양간 고치는 격

백신은 바이러스와 같이 일정한 패턴이 있는 파일을 치료하는데 봇도 마찬가지로 파일 형태로 컴퓨터에 설치되기 때문에 치료가 가능하다. 문제는 봇이 활동하기 전에는 알 수가 없다는 것과 파일의 변형이 생기는 경우에는 치료가 어렵다는 것이다.

이번 7.7 DDoS 대란의 경우에 대규모적인 피해가 발생하고 나서 백신회사에서 좀비PC를 수거해 어떠한 파일이 봇인지 알아 낸 후에 백신을 만들었는데 이렇게 하기까지 며칠이 걸리는 것을 볼 수 있었다. 그 전까지는 속수무책으로 공격을 당하고 있었고 일반 PC 사용자들이 자발적으로 치료에 나서기를 권고하는 방법밖에 없었다.

보안패치가 제대로 설치되었다면 이러한 피해가 없었을 것처럼 주장하지만 사실은 그렇지 않다. 그러나 계속적인 후속공격을 차단하기 위해서는 백신을 사용해 치료하는 것은 반드시 필요한 일이다.

현재의 DDoS공격, 10G급 DDoS 보안장비로도 막을 수 없다!

10G DDoS 전용보안장비가 있으면 막을 수 있었다는 기사를 읽었다. 하지만 실제로 대역폭 공격은 수십 기가이상으로도 공격을 해 오기 때문에 10G급 DDoS 보안장비로도 막기에는 역부족이다.

대한민국의 IT인프라가 지나치게 좋다는 것이 하나의 이유일 수 있다. 예를 들어 좀비PC의 성능이 오래 전의 슈퍼컴퓨터 정도로 좋아졌고 사용하는 네트워크 인터페이스(LAN 카드)의 속도 또한 100메가비트에서 기가비트로 업그레이드 되는 것이 일반적이 됐고 KT와 데이콤 등과 같은 ISP(인터넷서비스제공자)에서 서로 앞 다투어 100M라인을 일반 고객들에게 경쟁적으로 저렴하게 공급해 한 개의 PC에서 발생하는 트래픽이 최대 100메가비트 수준에 이르게 돼 특정 서버 또는 사이트를 공격하기에 아주 좋은 인프라를 가지게 된 것이다. 이러한 IT 인프라를 바탕으로 해커는 쉽게 수기가에서 수십기가의 대역폭 공격을 쉽게 할 수 있는 것이다. 얼마만큼의 좀비PC를 보유하느냐가 해커의 전투력이라고 볼 수 있다.

DDoS 공격 대응, 망사업자와 관계기관의 공조가 필요하지만 한계점 있어

IDC(인터넷데이터센터)에서는 오래전부터 보안서비스를 자체적으로 제공하고 있다. DDoS공격을 받는 사이트에 대해서 보안서비스를 제공하는데 완벽한 수준은 아니지만 대처방안이 별로 없기 때문에 많은 업체에서 이용하고 있다. IDC에서는 DDoS 공격이 들어오는 서버의 IP를 탐지해서 서버의 IP로 흐르는 트래픽을 각각의 라우터 단에서 널 라우팅을 하는데 공격을 받는 IDC에서만 할 수 있는 것이 아니고 물리적으로 연결된 다른 IDC 또는 ISP에서도 공조를 해야 한다.

널 라우팅이라고 함은 라우팅을 하지 않는 다는 것 즉, 차단한다는 것이다. 그러면 어떻게 되겠는가? 서버 IP로의 접속이 안 된다는 것이다. 또한 IDC에서 24시간 관제하면서 공격을 탐지해 차단하기까지 빨라야 20분 정도이다. 이 동안에 서버의 관리자는 연락을 받고 IP를 다른 것으로 변경하거나 URL 우회변경 등의 방법을 동원해 서비스를 복구하려고 고생을 해야 한다. 이렇게 해서 복구하면 그나마 다행이지만 한 개의 IP로 공격하지 않고 IP가 있는 모든 대역에 대해서 공격을 한다면 IDC 내의 서버팜에서 피할 수도 없고 서버를 어떻게 해야 할까? 생각하고 싶지 않을 것이다.

이번 DDoS공격은 아마추어 수준, 모방범죄 이어지면 매우 심각한 문제

이번 공격을 통해서 DDoS 테러에 버틸 수 있는 사이트가 없다는 것을 대중들이 알 수 있었고 아마추어 수준으로도 마음을 먹으면 대형 사이트도 마비시킬 수 있다는 것을 알게 하는 계기가 됐다. 국정원의 발표에 의하면 북한 인민구 총참모부 정찰국 산하 110호 연구소를 이번 DDoS 공격의 배후로 지목한 것으로 전해지는데 공식적으로 누구에 의해 공격이 이루어졌는지 정확한 발표는 없다. 그만큼 좀비PC의 봇을 찾아냈는데도 불구하고, 배후가 누구인지 IP추적을 통해서 알아내는 것이 어렵다는 것을 알 수 있었다. 그렇다면 모방 범죄가 이어진다면 이번에는 공격 대상이 하드코딩된, 즉 사전에 정해졌었는데 그 대상을 마음대로 바꾼다면 현재의 상황으로 끝날 수 있을까?

그렇다면 우리에게 어떤 DDoS 방어전략이 필요한가? 지금까지 살펴본 바로는 해결책이 없는 듯 보이지만 그 동안의 DDoS 방어를 위한 솔루션 개발을 바탕으로 최선의 방안을 감히 제안하고자 한다.

현재의 네트워크 보안장비는 서버가 존재하는 서버팜 앞 또는 트래픽이 통과하는 곳에 인라인형태로 구축돼 인바운드와 아웃바운드 트래픽에 대해서 필터링을 해 공격트래픽과 정상트래픽을 분류한다.

공격트래픽에 대해서는 차단하고 정상트래픽은 통과시키는 것이다. 이러한 네트워크 보안장비의 전형적인 방법은 당연한 것이었고 공격트래픽 용량이 장비에서 처리할 수 있을 경우와 서버로 유입되는 대역폭을 초과하지 않는 경우에는 효과적인 방법이다.

그러나 앞서 설명한대로 수십기가의 공격트래픽이 들어오는데 어떻게 해야 하나? 이러한 방법은 통하지 않는다. 그래서 해커와 같은 생각을 했다. 해커는 수많은 좀비PC를 동원해 공격을 하는데 우리도 같은 방법으로 수많은 서버로 대항하면 되지 않을까? 이러한 발상으로 분산중계기술을 구현할 수 있었다.

분산중계기술이란 여러 개의 가상 중계서버를 두고 사용자들이 가상서버를 통해서 실제서버에 접속하도록 하는 것이다. 이렇게 하면 실제서버의 IP주소가 일반 사용자들과 악의적인 해커들에게 노출되지 않고 가상 중계서버의 IP주소만 알 수 있기 때문에 대규모의 대역폭 공격이 들어오는 경우에 제2, 제3의 가상 중계서버로 즉각적인 전환이 가능하다.

다음의 그림은 분산중계기술을 도식화한 것인데 일반적으로 웹사용자는 ① ? ④의 경로를 통해서 웹사이트에 접속하는데 분산중계기술을 적용한 경우에는 ① ? ② ? ③ ? ④의 경로를 통해서 접속한다.

 

 

따라서 웹사용자는 ①과 ②의 경로만 알 수 있기 때문에 관리자는 ②의 경로를 임의로 바꾸어 실제 서버의 IP를 노출하지 않고 보안을 수행할 수 있다. 경로변경은 관리자뿐만 아니라 관리서버 프로그램에서 자동으로 여러 개의 ISP 중에서 선택하여 변경할 수 있기 때문에 무인시스템도 가능하다. 또한 DNS 서버에서 TTL값을 조정하여 주기적으로 도메인에 대한 IP주소를 바꾸어 주면 분산하여 가상 중계서버에 접속하므로 공격이 분산되어 피해를 최소할 수도 있다.

이번 공격이 여기서 끝나는 것이 아니라 계속 이어질 수 있다는 것에 큰 우려를 하고 있다. 얼마든지 지능화된 공격이 앞으로도 발생할 수 있다. 더 큰 피해를 낳기 전에 빨리 대응 방안을 세워야 할 때이다.

[글 : 한승철 한세텔레콤 정보보안연구소장 seungchul.han@hansetel.com]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>