지난해 7.7DDoS 공격을 시작으로 DDoS공격이 보안 본야에서 커다란 이슈가 되고 있다. DDoS공격의 근본적인 차단은 불가능하다는 것은 이미 잘 알려졌다. 하지만 근본적으로 Anti-DDoS 방어 장비의 도입이나 철저한 PC보안으로 봇의 감염 차단, 그리고 액세스 계층의 보안 구축 등이다.

필자가 DDoS 공격에 본격적으로 관심을 가지게 된 것은 지난 2000년 무렵으로 생각된다. 당시 야후를 비롯한 알타비스타와 같은 세계적인 포털 사이트들이 DDoS 공격에 의해 서비스가 중단되는 사건이 발생하면서 이른바 보안 분야의 뜨거운 감자로 떠오르게 된 시기였다.

당시 전 세계 해커들은 온라인 포럼을 개최하여 DDoS 차단을 위한 대책을 마련하기 위해 장기간 토론을 거쳤지만 결론은 “DDoS의 근본적인 차단은 불가능하다”는 것이었다. 그리고 안타깝지만 강산이 한 번 정도는 넉넉히 변했을 시간이 지남에도 불구하고 그 시절에 내렸던 결론은 지금 현재 시점에서도 유효하다.

그리고 마치 복고풍의 패션이 다시 한번 유행의 바람이 몰아치듯이 어느 순간 홀연히 나타난 DDoS의 공포는 또 한번 보안 분야에 커다란 화두를 던져주고 있다. 더구나 현 시점에서는 보안 업계뿐만 아니라 사회 전반적으로 커다란 관심의 대상이 되어 이전의 그것 보다는 더욱 뜨겁게 불타오르는 감자가 되어 우리 앞에 다가왔다.

현재 시점에서 DDoS 방어가 가능한가에 대하여 누군가 물어본다면 아쉽게도 긍정적인 답변을 할 수가 없다. 그렇다고 해서 아무런 대책도 없이 당하고만 있을 수는 없다. 따라서 DDoS를 방어하기 위해서 꼭 필요한 사항들에 대하여 몇 가지 언급하겠다.

첫째, Anti-DDoS 방어 장비의 도입이다. 앞서 말했듯이 Anti-DDoS 장비가 완벽한 방어는 될 수는 없으나 공격의 피해를 최소화할 수 있는 최선의 방어는 될 수가 있다.

둘째, PC 보안으로 DDoS를 발생시키는 것은 근본적인 원인을 제거해야 한다. 안티바이러스 프로그램을 반드시 사용하고 최신 패치를 이용할 수 있도록 관리하여 봇에 감염되지 않도록 한다.

셋째는 보안스위치 장비 도입이다. 최근 내부에서 발생하는 DoS 트래픽이 외부 사이트를 공격하는 것을 차단하기 위하여 L2 스위치에 보안 기능을 탑재한 장비로 안티바이러스 프로그램에서 탐지에 실패하여 봇에 감염된 PC에서 발생하는 DoS트래픽을 차단할 수가 있다.

DDoS 방어의 문제점- End-Point 보안의 한계

요즘 각종 인공지능 알고리즘으로 무장한 DDoS 장비들이 앞다투어 출시되고 있다. 10년 전 야후 DDoS 사건 당시 그 것에 대하여 별다른 대책을 마련하지 못한 것 치고는 지금이 그나마 희망적인 것처럼 보이기는 하다. 그러나 이 시점에서 다시 한 번 고민해야 하는 점은 10년 전에 해결하지 못한 DDoS에 대한 숙제가 해결되었는가라는 점이다.

현 상태에서 가장 진보된 DDoS 패턴은 7.7 DDoS에서 사용한 것이라고 볼 수 있다. 일반적인 HTTP 요청과 완벽하게 같은 형태의 데이터를 일정량 발생시킴으로써 종국에 여러 대의 PC에서 정상적인 형태의 트래픽이 모이고 모여 웹 서비스를 불능 상태로 만들어 버린다. 어찌보면 사용자 접속이 많아 서비스가 어려운 상태와 차이를 구분하기 어렵다.

이러듯 트래픽 패턴이 지극히 정상적인 형태로 진화하고 있다면, 현재 비정상 행위를 감지하는 인공지능 알고리즘은 그 효용성이 낮아질 것으로 예상된다. 그리고 아주 단순하게 1G 회선을 사용하고 있는 사이트에 1G 트래픽을 전송한다면 어떻게 될까? DDoS가 근본적으로 차단이 불가능하다고 말할 수 있는 점은 DDoS를 차단하는 장비들의 성능이 무한대의 트래픽을 처리할 수가 없다는 점이 그 이유라고 할 수 있다. 무한대는 고사하고 과연 수백만 pps의 성능을 보장하는 DDoS 장비가 과연 있을까도 의문이다. 또한 단순히 과도한 트래픽 유발로 회선에 병목현상을 발생 시키는 것에 대해서는 어떻게 막을 수 있을 것인가?

DDoS를 차단하는데 있어서 공격받는 대상에서 조치를 취하는 것은 앞에서 언급 했듯이 한계는 매우 명확하다. 다시 말하면 이미 DDoS 공격은 시작되었는데 그것을 최후방에서 막아 보겠다는 것은 흔히 말하는 ‘소 잃고 외양간 고치는 격’이라고 할 수 있다. 어렵지만 결국 관점을 전환하여 공격이 목적지로 오기 전에 검출하고 차단해야 한다. 결국 액세스 계층에서 보안을 구축해야만 DDoS 공포로부터 해방이 될 수가 있다.

액세스 계층에서 DDoS 보안

• 봇넷 차단 : DDoS 공격은 봇을 통하여 이루어진다. 따라서 최근 중국에서 제작된 DDoS agent기능이 탑재된 봇에 대하여 분석하고 DDoS agent와 Master 사이의 통신을 차단한다든가 하는 보다 근원적인 부분에 대하여 차단 방법에 대한 연구도 진행해야 하며 진화가 빠른 봇의 특성상 분석된 연구 결과의 공유와 중앙집중적인 관리도 필요하다. 봇의 탐지·차단을 위한 방법은 PC 안티바이러스 프로그램이 대표적이라고 할 수 있다. 안티바이러스 프로그램에서 봇을 종종 탐지하지 못하는 경우가 발생하는데 최근에는 봇의 트래픽 패턴을 분석하여 네트워크에서 탐지 및 차단하는 장비가 출시되기도 했다.
• 액세스 계층 DoS 차단 : 기업 내부에서 발생하는 DDoS 트래픽을 차단함으로써 근본적으로 공격의 근원을 차단하는 것이 중요하다. 그리고 ISP간 연계를 통하여 중앙집중 관리형 액세스 계층의 DDoS 보안을 구축하고 공격 패턴에 대한 실시간 공유 시스템을 구축하는 것이 가장 이상적인데 작금의 DDoS 공격은 그 위력이 상당부분 축소될 것이다. 하지만 이러한 방법이 근본적으로 쉽지 않은 것은 기업간의 이해관계가 얽혀있다는 점일 것이다. 액세스 계층의 보안이라는 것은 단편적으로 말하면 내부의 PC에서 어딘지 모를 타기업 사이트를 공격하는 것을 차단하는 보안일 것인데 엄밀히 말하면 기업에서 액세스 계층 보안에 투자가 직접적으로 기업의 이익으로 이어진다고 보기 어렵다. 과연 기업에서 투자를 해야 할 이유가 있을까?

피해자가 아닌 이상 자기 업체를 위해서가 아닌 타업체를 위해서 자금을 지출해야 한다는 것에 대해 단순한 논리로는 설득력이 없을 것이다.

범국가적 차원의 적극적 대처 필요

앞서 말했듯이 DDoS 차단을 위해서는 액세스 계층에서 보안이 절실하게 요구되고 있는데 이것은 기술적인 부분보다 사회적인 전반적인 합의와 공감대를 형성하는 것이 더욱 중요하다. 결국 기업주도의 자발적인 해결을 요구하기 보다는 정부 주도하에 DDoS 차단을 위한 체계적인 정책을 수립하고 지원이 있어야만 할 것이다. 인터넷은 이제 단순한 취미 정도를 뛰어 넘어 업무와 생활의 필수요소가 되었다. 이제 DDoS는 이제 단순히 보안과 IT에 관심이 있는 사람들만의 이슈가 아니다. 만약 은행의 인터넷 뱅킹이 정지된다면 혹은 증권사의 HTS가 정지된다면 공격을 당한 금융사뿐 아니라 많은 사람들이 커다란 금전적인 손실을 입을 수도 있다.

이외에도 우리가 인터넷을 통해 할 수 있는 모든 것들이 누군가의 의도에 의해서 손쉽게 정지될 수 있다는 것에 대하여 심각하게 생각할 필요가 있다. 결과적으로 DDoS의 피해는 국가적 국민적 손실로 발생 할 수가 있다는 점에 대해서 충분히 인식을 하고 범국가적인 차원의 적극적인 대처가 DDoS 공격을 방어하는 근본적인 방법이 될 것이다.

<글 : 김태한 파이오링크 보안컨설팅 팀장(teran@piolink.com)>

[월간 정보보호21c 통권 제119호(info@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>