[인터뷰] 김영찬 아버네트웍스코리아 대표

[보안뉴스 김정완] 지난 2009년 7월 7일부터 나흘 동안 대한민국과 미국의 주요 정부기관 홈페이지, 포털 사이트, 은행 사이트 등을 분산서비스 공격해 홈페이지를 다운시키고 개인 PC를 손상 시킨 사이버 테러가 발생했었다. 일명 7.7DDoS대란이 그것이다.

어느덧 2년이라는 시간이 흘렀다. 7.7DDoS대란이 발생한 지 2년이란 시간이 지나 당시의 기억은 이미 잊혀진 듯 하지만 그 사건은 국민에게 ‘디도스(DDoS)’라는 단어를 각인시켜 주었고 국민 모두에게 보안의 중요성을 일깨워 주었다는데는 이견이 없다.

이에 지난 7.7DDoS대란이 발생한지 2주기를 맞아 당시 긴박했던 상황을 회상함은 물론 2년여가 지난 지금 DDoS공격은 어떤 변화·발전 등이 있었는지에 대해 김영찬 아버네트웍스코리아 대표를 만나 들어봤다.

- 지난 2009년 당시 7.7DDoS대란에 대한 회상?

아버네트웍스 장비가 정부통합전산센터에서 운영되고 있던 터라 긴장 속에서 본사의 공격 분석과 해결방안을 즉시 전달받아 적용하였고 점차 사태가 진정 되는 것을 보고 안도의 숨을 내쉬었었다.

신문 방송에서는 연일 특집 기사를 앞 다퉈 쏟아냈었고 원인 파악과 향후 방안을 마련하기 위해 국정원, 행정안전부, 방송통신위원회 등 회의에 연속으로 참석했는데 그 때가 살아오면서 단기간 동안 가장 많은 회의를 한 기억으로 남는다.

사건이 적지 않은 사회적 파장을 일으켰기 때문에 보안 전문가들의 의견과 제안을 토대로 정부 관계자들은 재발 방지를 위한 대안을 마련하겠다고 약속 했었고 누구도 해결책이 마련될 것이라는 의심의 여지가 없었다.

하지만 내가 어떤 매체에 기고하면서 우려 했던 대로 대형 사건에서도 늘 그래왔듯이 이렇다 할 명쾌한 결론을 내리지 못한 채, 커다란 사회적 이슈가 되었던 7.7DDoS공격 사건도 한달 여가 지나자 사람들의 관심 속에서 멀어져 가고 있지 않았었나 생각한다. 하지만 보안의식의 중요성을 일깨워 준 사건임에는 틀림없었으며, 특수를 노린 업체들의 출현이 봇물을 이루는 계기가 되기도 했었다.

- 현재까지의 DDoS공격 양상은 어떠한가?

우리가 현재까지 알고 있는 DDoS공격 유형은 디스크나 데이터, 시스템을 파괴하는 공격, 짧은 시간에 많은 접속을 통해 서버가 처리 할 수 있는 리소스를 고갈시켜 다른 정상 사용자가 접속을 하지 못하게 하여 서비스를 방해 하는 공격, 대용량 트래픽을 보내서 네트워크 자원을 고갈 시키는 Flooding공격 등으로 크게 나눌 수 있다.

최근의 공격 유형은 이중 특정 한가지만을 이용해서 공격을 하는 경우보다는 여러 가지 복합적인 형태로 공격을 시도하기 때문에 DDoS 미티게이션(Mitigation)을 더욱 어렵게 만들고 있다.

이중 가장 중요한 공격 형태는 아버네트웍스가 매년 발표하는 세계 보안 동향 보고서에서도 발표했듯이 모든 공격 형태 중에 60%이상인 Flooding공격이다. 즉 수백 기가에 이르는 대용량 트래픽을 일시에 보내 정상적인 서비스를 마비시킨다. 이러한 공격인 경우 대부분 운영자가 라우터에서 모든 트래픽을 드롭(Drop) 시키고 있지만 공격 트래픽과 함께 정상적인 트래픽까지 모두 드롭됨으로, 공격시간이 길어질 경우 서비스 가용성 확보에 심각한 문제가 발생하게 된다. 다른 공격 형태는 계속 증가 추세를 보이고 있고 7.7DDoS공격을 통해 학습했듯이 이와 유사한 컨넥션 공격 형태이다.

이에 대한 대비책은 기존 보안 장비들과 DDoS 장비가 유기적인 공조를 통하면 가장 효과적인 대비를 할 수 있다. 좋은 예로 7.7DDoS공격 때에도 IPS장비에서 미티게이션을 담당하려다 보니 오히려 IPS 장비가 다운되는 일이 발생하였다. 그래서 IPS에서 파악한 시그니처를 DDoS 전용장비에서 미티게이션하도록 설정해 효과적인 미티게이션을 하였다.

보안 장비들은 각자 장비가 담당해야 하는 룰(Role)이 있지 만능이 되기는 어렵다. IPS장비와 파이어월(Firewall)은 DDoS 장비와는 다르다는 보안 장비의 특성을 정확히 이해하는 일과 자신들의 네트워크 구조에 어떤 방식들이 적합한지 이해하는 일, 이것만으로도 이미 다양한 공격에 대해 충분한 대비를 하고 있다고 생각한다.

- 향후 DDoS공격의 진화 형태는 어떠할 것으로 예상하는가?

최근의 공격 형태는 매우 정교하고 다양화되고 있다. 대용량 트래픽 공격이나 자원 고갈 공격, 정상 웹 접속을 통한 공격도 꾸준히 증가하고 있지만 이를 조합한 변형된 공격형태가 다양하게 나타나고 있다.

또한 새롭게 나타나는 공격 형태들은 바이러스나 해킹을 통해 확보한 좀비PC를 관리하기 위해 별도의 프로그램을 사용하지 않고, 지정된 시간에 대상을 자동으로 공격한 후 자폭하는 형태를 띤다.

그리고 지난 7.7DDoS공격 때 이용된 좀비PC는 짧은 시간에 확보한 10여만대의 PC가 이용 되었다고 한다. 하지만 최근 R-U-D-Y나 Slowloris공격 형태를 보거나 DDoS 공격 시연에서 보면 그러한 공격 형태도 빠르고 다양하게 진화될 가능성이 높은 것으로 보인다.

흔히 구할 수 있는 DDoS공격 툴을 사용해 PC 10여대를 좀비화 한 후 기업 망을 공격했더니 완전히 마비시킬 수 있었다. 스마트폰을 이용한 시연에서도 수십에서 수백대 정도를 이용해 공격했더니 일반 사이트 하나 정도는 쉽게 마비시킬 수 있었다. 이것은 마음만 먹으면 누구든지, 언제든지, 어느 곳에서든지 많지 않은 좀비PC를 이용해 쉬운 방법으로 공격 대상에 피해를 줄 수 있다는 DDoS공격의 심각성을 단적으로 보여 주고 있다.

- 사용자들은 어떠한 주의가 필요한가?

공격과 정보탈취는 이미 인터넷 상에서 일상적으로 일어나는 활동이고 지금도 매우 심각한 상태로 발생되고 있고 이에 따른 서비스 가용성을 확보하지 못하고 있다. 우리가 지난 경험을 통해 안 것처럼 DDoS공격은 악성코드 유포지로 웹하드 등 P2P사이트가 이용됐다.

이런 사이트들은 보안에 매우 취약한 구조를 가지고 있다. 정부 관계자들도 이들 사이트에 대한 보안 점검을 강화하겠다고 밝힌바 있듯이 일반 이용자들도 자신의 PC가 좀비로 악용되지 않기 위한 노력이 필요하다. 유사한 사이트 접속을 자제하고 자신들의 컴퓨터가 악성코드에 감염되지 않도록 자동 백신업데이트 및 보안 수칙을 유념해야 할 필요가 있다.

- 마지막으로 덧붙여 주실 말씀?

창과 방패라고 할까! DDoS공격 형태는 횟수를 반복할수록 교묘해지고 지능화될 수밖에 없고 그에 따른 방어 형태도 고도화 되어가야 한다. 그러려면 장비를 도입 전에 꼼꼼히 따져 보아야 한다. 기존에 있는 IPS, Firewall이 오히려 DDoS공격 목표가 되기 때문에 이 또한 보호 받아야 할 대상이라고 생각해야 한다.

BMT에서 좋은 결과가 나왔어도 실제 망에 구축하면 전혀 다른 결과가 나올 수 있다는 것을 생각해서 상용 망에서 검증되지 않은 장비들은 경계를 해야 실패가 없다. DDoS 장비 하나가 만능이 아니기 때문에 기존에 구축된 보안 제품이 있다면 공조 방안을 마련하고 단계적인 방어를 생각해야 한다. 나아가 즉각적인 DDoS공격에 대응할 수 있고, 글로벌 지원 체계를 구축하고 있는 업체와의 연계가 DDoS공격 피해를 최소화 할 수 있을 것으로 본다.

[김정완 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>