디도스 공격, 분야 막론하고 모든 사업체에 큰 영향 미칠 수 있어
웹스트레서 폐쇄했으나 디도스 공격 트래픽 다시 증가...올해 신기록 넘쳐

[보안뉴스 문가용 기자] 세상의 모든 조직들은 디도스 공격에 영향을 받을 수밖에 없다. 트래픽이 넘쳐나서 업무가 마비될 수도 있고, 믿고 있던 파트너사에서 치명적인 결함이 나타날 수도 있으며, 공급사가 약속을 못 지키게 될 수도 있다.


그러나 디도스 공격은 보안 업계에서 데이터 유출보다 덜 심각하게 다뤄진다. 사업이 몇 날 며칠 돌아가지 않을 때가 있어도 별다른 주목을 끌지 못하는 게 현실이다. 표적이 된 조직에 해코지를 하려는 목적으로 등장한 디도스 공격은 점차 심각한 사이버 공격 행위를 숨기려는 눈속임 장치로서 활용되고 있어 이에 대한 방비가 필요해 보인다.

지난 4월 영국의 국가범죄센터(NCA)와 네덜란드의 국립경찰 등의 정부 및 사법 기관들은 힘을 합하여 세계에서 가장 큰 디도스 마켓플레이스인 웹스트레서(Webstresser)를 폐쇄시킨 바 있다. 여기서 범죄자들은 디도스 공격을 사고팔았다. 등록된 사용자만 13만 6천명에, 약 4백만 건의 디도스 공격이 여기서 의뢰되고 합의되어 이뤄졌다.

그러나 안타깝게도 웹스트레서 하나 폐쇄됐다고 온라인 공간에서의 디도스 공격이 의미 있게 줄어들 것으로 보이진 않는다. 폐쇄 직후에는 디도스 공격이 크게 줄어들긴 했으나 4월 말 즈음부터는 다시 증가하기 시작했다고 보안 업체 코레로 네트워크 시큐리티(Corero Network Security)는 발표했다. “유럽뿐만 아니라 세계 전체에서 웹스트레서 폐쇄 1주일 만에 증가 추세를 보이기 시작했습니다.”

아무리 웹스트레서가 큰 마켓플레이스였다고 해도, 그저 하나의 거래 장소였을뿐이다. 디도스 공격은 여전히 싼 값에 거래되고 있다. 시만텍(Symantec)에 의하면 디도스 봇 소프트웨어의 경우 최저가가 15달러 정도이며, 디도스 서비스 1시간짜리 서비스는 5~20달러면 된다. 24시간이 넘는 공격도 10~100달러면 충분하다.

게다가 디도스 공격에 유용하게 활용되는 봇의 구성도 훨씬 쉬워졌고, 따라서 그 규모가 매일같이 더 커지고 있다. 이는 사물인터넷 기기들이 시장에 마구 들어오고 있기 때문이기도 하다. 스팸하우스 봇넷 위협 보고서(Spamhaus Botnet Threat Report)에 의하면 사물인터넷 봇넷을 제어하는 장치들은 지난 해 두 배 가까이 성장했다고 한다. 2016년 10월에 처음 발견된 사물인터넷 봇넷인 미라이(Mirai)가 가장 대표적인 사물인터넷 봇넷이다.

보안 업체 인포블록스(Infoblox)의 사이버 첩보 책임자인 스콧 티어니(Scott Tierney)는 봇넷들의 구성이 점점 혼합형으로 바뀔 것이라고 예측하고 있다. 즉 기존의 PC나 랩톱뿐만 아니라 사물인터넷 기기들까지도 한 봇넷 아래 소속될 것이라는 뜻이다. “이렇게 다양한 종류의 기기들이 한 봇넷 아래 섞여들게 되면 봇넷 트래픽을 정상 트래픽과 구분하기가 더 힘들어질 것입니다.” 게다가 사물인터넷 기기들 중 업데이트 기반이 아예 부재한 것들도 있어 봇넷의 미래는 매우 밝다고 티어니는 바라보고 있다.

그렇다고 모든 공격자들이 최첨단 사물인터넷 봇넷 만들기에만 급급한 건 아니다. 여전히 전형적이고 전통적인 방식의 디도스 공격이 극성을 부리고 있기도 하다. 올해 첫 사분기 동안 공격 시간이 매우 긴 롱테일 디도스 공격(long-tail DDoS attack)은 12일 이상 유지됐다. 이렇게까지 장기적인 디도스 공격이 마지막으로 탐지된 건 2015년의 일이다.

볼륨의 측면에서 올해 디도스 공격은 여러 가지 신기록을 수립하기도 했다. 최근 깃허브에서 발생한 디도스 공격은 무려 1.35 테라바이트의 트래픽을 선보이며 신기록을 세우더니, 바로 1주일 뒤에는 미국의 한 조직에서 멤캐시드(Memcached) 취약점을 악용한 1.7 테라바이트 규모의 디도스 공격이 발생했다. “디도스 신기록이 1주일도 가지 않은 적이 있었나요?”

원래는 인터넷에 노출되면 안 되는 멤캐시드 서버가 잘못된 관리 및 설정으로 공공 인터넷을 통해 접속이 가능하게 되면, 공격자들이 트래픽을 크게 증폭시키는 게 가능하게 된다. 따라서 멤캐시드 서버를 통해 디도스 트래픽이 발생하게 되면 그 용량은 대폭 늘어난다. 티어니는 “멤캐시드를 활용한 증폭형 디도스 공격은 이제 막 시작됐다”고 설명한다. “이를 막기 위해서는 레이트 리미팅(rate limiting)을 사용하면 되지만, 그것만으로 충분한 건 아닙니다.” 그래서 티어니는 디도스 공격에 대비하기 위해 다음과 같은 방법들은 권장한다.

1) 보안 정책을 마련하고, 이를 구체화하고 시행하라.
2) 보안 위협들로 발전할 수 있는 문제들을 추적하라.
3) 영업을 중단하지 않기 위한 위기 상황 복구 계획을 짜라.
4) 보안 위생 상태를 청결하게 유지하라.
5) 사건 대응 계획을 마련해 위 3)번의 위기 상황 복구 계획과 상호보충이 되도록 맞추라.
6) 다양한 방어 및 대응 시나리오를 마련하라. 그래서 디도스로 눈속임 당하고, 뒤에서 데이터가 도난당하는 일이 없도록 하라.
7) 가상 공격을 통한 훈련을 주기적으로 실시하라.
8) 외부 침투 테스터와 모의 해킹도 실시한다.
9) 사용자 보안 인식제고 훈련을 실시하라.
10) 디폴트 비밀번호를 하나도 남김없이 교체하라.
11) 공급망을 확실히 이해하고, 숨겨진 위험들을 제거하라.
12) 디도스 트래픽 완화 및 방어 서비스를 활용하라.

[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>