[보안뉴스 김정완] DDoS공격은 해커가 인터넷에 산재해 있는 좀비화된 봇(Bot), 즉 좀비PC들에 공격명령을 내려 특정 네트워크나 서버로 대용량의 트래픽을 발생시키는 방식이다. 따라서 봇마스터 역할을 하는 해커와 중계 시스템으로 이용되는 C&C(Command & Controller), 그리고 개별 봇으로 이용되는 좀비PC들을 신속히 찾아내는 것이 우선이라 하겠다.

하지만 보안에 취약한 상태로 노출된 사용자 PC를 은밀하게 봇으로 만들고 C&C를 경유해 공격을 감행하는 해커를 인터넷서비스제공업체(ISP) 단독으로 찾기란 어려운 것이 사실이기 때문에 ISP는 외부로부터의 DDoS공격의 유입을 신속히 탐지·차단하고, 관련 공격 정보를 유관기관에 신속히 통보하며 ISP 내부 네트워크에 존재하는 좀비PC들을 찾아내고 조치하는 것이 가장 현실적인 대안이란 것이 보안전문가들의 의견이다.

그런 점에서 지난 5월 31일 저녁 약 2시간 가량 국내 ISP들을 대상으로 발생한 UDP 공격기법으로 발생한 DDoS공격에 각 KT, SK브로드밴드, 통합LG텔레콤 등 ISP들은 DDoS 방어체계가 미리 구축돼 있어서 큰 피해는 없었다. 하지만 이번 공격은 효과적인 DDoS공격이긴 하지만 탐지가 잘 되는 UDP공격기법을 사용해 좀비PC들을 활용했다는 점에서 후속 DDoS공격이 발생할 수 있는 만큼 그에 대한 대비가 필요하다는 것이 보안전문가들의 의견이다.

이에 한 보안전문가는 “DDoS공격은 잠복기를 거쳐 후속 공격들이 이루어지는 만큼 최소 1주일에서 10일 정도 후에 발생할 수 있을지 모를 후속 공격에 대한 대비가 필요할 것”이라고 말하고 “이번에는 ISP만을 대상으로 공격이 이루어졌지만 실상 작년 7.7 DDoS대란에서처럼 불특정 다수에 대한 공격에 사용자는 물론 인터넷 관련 서비스를 제공하는 컨텐츠 제공자, 기업 등의 모든 사업주체들 역시 대비할 필요가 있겠다”고 강조했다.

또한 국내 ISP 한 관계자는 “이번 국내 ISP들을 대상으로 2시간 동안 DDoS공격에서 각 ISP들이 잘 대응해 실질적인 피해는 없었지만 지속적인 모니터링을 통해 대비하고 있다”고 말하고 “이후에 2차 DDoS공격이 이루어질지는 확신할 수 없지만 그에 대한 사전예방 차원의 활동은 필요할 것”이라고 말했다.

그리고 이와 관련 방통위 한 관계자는 “지난 5월 31일 ISP를 대상으로 한 DDoS공격은 평상시 일반적인 수준보다 트래픽양이 유사시간 대비 다소 많았던 것은 사실이지만 100G급 이상의 트래픽은 아니었던 것으로 파악하고 있다”며 “작년 7·7 DDoS공격 후 DDoS 유형별 대응방안 및 상황별 표준매뉴얼을 갖추고 있으며, DDoS공격을 100% 완벽하게 막을 수는 없겠지만 피해를 최소화하기 위한 대응책을 수립해 대비하고 있다”고 밝혔다.

한편 한 보안전문가는 DDoS공격의 탐지와 차단을 ISP의 상용 네트워크에서 구현하고자 할 때는 “DDoS공격 유입 가능한 외부 연동 네트워크의 규모가 작게는 수십 기가급에서 많게는 테라급에 이른다는 것과 최신의 DDoS공격 패턴을 신속히 반영하고 다른 ISP와 방통위 등 유관기관과 DDoS 정보를 교환할 수 있는 정보의 공조체계를 구축해야 한다”며 “공격의 탐지와 차단이 기존 네트워크 서비스에 영향을 주지 않기 위해 네트워크 규모만큼 커질 수 있는 DDoS 탐지·차단 시스템들의 통합적인 관리가 가능해야 한다”고 조언했다.

[김정완 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>