디도스 공격은 여전히 증가 중이며 공격 방식도 다양해져

핵티비스트들만의 전유물 더 이상 아니고, 공격 대상도 늘어나

[보안뉴스 문가용] 하도 유명하고 널리 쓰이다보니 디도스 공격이라고 하면 많은 전문가들이 “아, 그 고리타분한 거?”라고 대수롭지 않게 생각한다. 게다가 디도스 공격이라는 것이 실제 금전적이거나 물리적인 피해를 입히는 것과는 거리가 먼 핵티비스트나 이제 막 해킹에 입문한 초보자들이 제일 많이 사용하는 것이기 때문에 이런 인상을 갖게 되는 것에도 딱히 무리가 있는 건 아니다.

하지만 그렇다고 그런 인상이 사실이 되는 건 아니다. 아직도 디도스 공격은 심각한 수준의 피해를 입힐 뿐 아니라 상당히 빈번하게 일어나고 있기 때문이다. 우리가 이를 화석으로 분류하건 생물로 분류하건, 공격자들은 디도스를 자주 사용하고 있으며 그러므로 우리에겐 여전히 무섭도록 살아있는 존재일 수밖에 없다. 그리고 이를 뒷받침해주는 연구결과가 최근 발표되기도 했다.

아버 네트웍스는 10주년을 기념하는 보고서를 위해 세계 곳곳의 기업과 조직들, 인터넷 서비스 제공업체들을 대상으로 디도스 공격에 대한 설문을 실시했다. 응답자의 90%는 광대역 연결망을 통한 공격(bandwidth-sapping)이 아니라 애플리케이션 층위(application layer)에서의 디도스 공격을 받은 경험이 있다고 답했으며 42%는 광대역과 애플리케이션 층위, 고갈 상태 공격(state of exhaustion) 등의 복합한 디도스 공격을 겪었다고 했다. 또한 애플리케이션 층위 공격에 있어 가장 빈번한 공격 대상은 Http와 DNS였음이 보고서를 통해 드러났다.

하지만 디도스 공격 중 가장 높은 사용 빈도수를 기록한 공격 방식은 볼류메트릭 공격(volumetric attack)이며, 이는 겨냥한 조직이나 인터넷 제공 업자의 네트워크를 거의 폭파시키는 수준의 피해를 입히는 것으로 알려져 있다. 실제 전체 디도스 공격이 2/3 가량을 차지하고 있다(2014년). 또한 방식이 어찌되었든 디도스 공격 자체가 늘어났다는 내용도 보고서에 포함되어 있다. 응답자의 약 38%가 2014년 동안 한 달에 21번 이상의 디도스 공격이 있었다고 대답한 것이다. 이는 2013년에 비해 두 배나 늘어난 수치다.

작년에 있었던 디도스 공격 중 가장 큰 사건은 1초에 400 기가바이트라는 놀라운 트래픽량을 기록했다. 똑같은 주제로 아버가 10년 전에 발표한 보고서와 비교했을 때 이는 비교조차 되지 않는 수치다. “정말 단 기간 내의 엄청난 변화죠.” 아버 네트웍스에서 솔루션 아키텍트로 근무하고 있는 개리 속라이더(Gary Sockrider)의 설명이다.

애플리케이션 층위 공격은 인터넷과의 연결고리 대신 서버의 리소스를 전부 장악해버리는 방법으로 디도스 상태를 만든다. 그러니 천천히 느리게 움직인다. “10G 이상의 속도가 나오는 인터넷 망과 연결되어 있고, 그 서버에서 애플리케이션을 돌린다면 해커가 단 1%의 리소스만 사용해도 10MB나 되는 공격을 할 수 있다는 소리입니다. 그리고 이 10MB로 서버의 리소스를 전부 말려버리는 건 충분히 가능한 일이죠.”

이런 류의 공격은 성공률이 높은 편인데, 이는 현존하는 디도스 감지 기술 태반이 애플리케이션 층위에서도 상층부 트래픽에서 발생하는 이상 징후를 감지할 수 없기 때문이다. 감지에 성공한다고 해도 경보를 발생할 정도로 심각하다는 인식은 하지 못한다. “보통은 볼류메트릭 공격과 합쳐진 상태로 나타납니다. 그리고 이 볼류메트릭 공격은 경보를 발생시키기에 충분할 정도로 강력하죠. 그러면 사용자들이 이 볼류메트릭 공격에 집중할 수밖에 없습니다. 그 사이로 애플리케이션 층위 공격이 슬며시 들어오는 겁니다.” 성동격서가 따로 없다.

게다가 디도스 공격을 제일 많이 사용하는 공격자 유형이 더 이상 핵티비스트들이 아닌 것으로 드러났다. 37%는 범죄 조직 사이의 다툼이 있었을 때 사용되고, 36%는 게이머들이나 기업 간 라이벌 관계에 놓인 자들을 응징할 때 사용하는 것으로 설문 조사결과가 나타난 것이다. 그밖에 34%는 플래시 크라우드 혹은 핵티비스트들에 의해, 28%는 다른 공격 및 정보 유출을 감추기 위해 디도스는 사용되고 있었다. 금융 시장을 노리는 디도스 공격은 25%, 괴롭히기 위한 목적은 24%로 나왔다.

그러나 디도스 공격의 세부 유형에 관해서는 다른 통계자료를 가지고 있는 보안 전문업체들도 존재한다. 디도스 공격이 전체적으로 늘어나고 있는 건 맞지만 그 중 애플리케이션 층위 공격이 늘어나고 있는 것 같지 않다고 아카마이(Akamai) 측에서 반박하고 나선 것이다. 아카마이의 조사에 의하면 2014년 마지막 분기에 발생한 애플리케이션 층위 공격은 전체 디도스 공격의 10%만을 차지했었다. 인프라 공격이나 볼류메트릭 공격이 90% 가까이 차지했다는 결과도 있었다.

디도스 관련 설문조사를 진행했던 또 다른 보안 업체인 인캡슐라(Incapsula)의 제이프만(Zeifman)은 기업의 45%는 디도스 공격을 받아본 경험이 있다며 “이제 기업 및 산업 환경에서 사이버 공격을 받는 건 당연하고도 일상적인 일이 되어버렸고, 그러니 그에 대한 전략 역시 당연하고 자연스럽게 수립해야 한다”고 풀이한다.

기업이나 인터넷 제공 업체 및 서버에 더해 최근 디도스 공격을 자주 받는 곳은 다름 아닌 클라우드다. 클라우드 서비스 업체 혹은 데이터센터 운영 업체 중 1/3이 넘는 응답자가 디도스 공격 때문에 인터넷 광역대가 잠식당했다고 했으며 44%는 실제 소득이 줄어들었다고도 답했다.

아버 네트웍스는 이번 설문을 위해 287개 업체를 조사했다.

@DARKReading

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>