2016년부터 큰 변화 겪은 디도스 공격...전략적 사용 눈에 띄어
인바운드 트래픽만 유의했다면 이제 아웃바운드까지 살펴야

[보안뉴스 문가용 기자] 한 번은 보안 업체 넷스카우트 아버(Netscout Arbor)의 엔지니어링 총괄 토니 테오(Tony Teo)에게 한 고객이 이런 말을 했다. “얼마 전 디도스 공격 시도가 있었어요. 그런데 몇 백 메가바이트 수준이더라고요. 해커가 실력이 좀 별로였나봐요. 하하.”


토니 테오는 펄쩍 뛰었다. 왜냐하면 지금은 디도스 공격의 파괴력을 ‘크기’로 가늠하던 때가 더 이상 아니기 때문이다. “공격자들이 서비스나 사업 행위를 중단시키거나 방해하기 위해 디도스를 사용하는 것만은 아닙니다. 그것만이 목적이라면 디도스의 크기가 정말 중요하죠. 하지만 요즘 공격자들은 디도스를 통해 시선을 끌고, 진짜 공격을 뒤에서 실시합니다. 그러면 꼭 클 필요가 없습니다. 그러니 테라바이트 단위의 디도스가 아니라고 해서 경계를 늦추거나 우습게 봐서는 안 됩니다.”

토니 테오에 의하면 디도스 공격과 APT 공격은 현재 긴밀한 관계에 놓여 있다. “공격자들은 공격 대상을 정하고 제일 먼저는 정찰을 합니다. 취약점이나 약한 고리에 대한 정보를 수집하는 것이죠. 그 다음 디도스 공격을 일으켜요. 수백 메가바이트 단위의 작은 공격일 수도 있습니다. 그러면서 간을 보는 거죠. 방어를 어떻게 하는지, 샌드박스와 같은 장치가 있는지 파악합니다. 그래서 공격 대상이 디도스에 집중하는 때에 최초 침투를 감행하는 것이 목적입니다.”

그것만이 아니다. 침투 공격에 성공한 후에도 APT 공격자들은 디도스를 일으킨다. “침투에 성공했다고 공격자들이 조용히 있는 것만은 아닙니다. 네트워크 내에서 횡적으로 움직이며 여러 정보를 빼내면서도 디도스를 사용합니다. 왜냐면 디도스를 계속 발생시키면 노이즈 때문에 방화벽이나 기타 시스템에서 로그가 꽉 차기 때문입니다. 그러면 파일이나 데이터를 빼낼 때, 수상한 기록이 남지 않거든요. 방화벽에 의해 탐지가 되더라도, 디도스로 사실상 마비시켜 아무런 흔적도 남기지 않을 수 있게 되는 겁니다. 그런 식으로 포렌식을 방해하기 위해서도 디도스를 일으키기도 합니다.”

그렇기 때문에 현대의 디도스 방어는 무수히 들어오는 트래픽을 관리하는 것만으로 해결할 수 있는 공격이 아니다. “예전엔 그랬어요. 누가 우리 네트워크를 마비시키려고 계속 요청을 내부로 보낸다고 해도, 그것만 막으면 이상 없이 사업과 서비스를 진행시킬 수 있었습니다. 하지만 지금은 안에서 밖으로 나가는 트래픽도 모니터링 하는 것까지도 디도스 방어에 포함됩니다. 공격자들의 디도스 이용 전략을 안다면 당연한 변화겠죠.”

그래서 토니 테오는 디도스를 방어하기 위해서는 첩보의 수집과 공유까지 포함한 심층적이고 총괄적인 방어 체계가 중요하다고 강조한다. “디도스 방어 전문 애플리케이션 하나 설치한다고 해서 디도스를 온전히 방어할 수는 없습니다. 단순 방해 및 파괴 행위를 위한 예전 디도스였다면 괜찮았을 수도 있습니다만 전략적으로 다양하고 복잡해진 요즘의 디도스 공격은 보다 종합적인 방어가 필요합니다. 생태계가 하나 구성되어야 하죠.”

토니 테오에 따르면 디도스가 가장 크게 변한 건 2016년이다. 미라이(Mirai)라는 사물인터넷 봇넷이 당시 기록적인 디도스 공격을 일으키며 주요 인터넷 웹사이트들을 마비시키면서 디도스 공격은 큰 변혁을 맞이했다고 그는 설명한다. “미라이는 당시 큰 충격이었죠. 그해 9월 20일에는 크렙스온시큐리티(KrebsOnSecurity)라는 보안 블로그에 620Gbps의 공격을, 바로 다음날에는 OVH에 990Gbps짜리 디도스를 일으켰습니다. 한 달 후인 10월 21일에는 딘(Dyn)의 DNS 시스템을 마비시켜 인터넷 내 주요 웹사이트들이 마비됐고요. 그달 31일에는 라이베리아에 600Gbps 디도스 공격이 있었습니다. 역시 미라이였죠.”

그는 “사물인터넷 봇넷을 통한 디도스 공격은 당분간 우릴 계속 괴롭힐 것”이라고 전망한다. “2017년 기준으로 사물인터넷 장비는 전 세계에 270억 대 있는 것으로 추정되고 있습니다. 2030년에는 1250억 대로 늘어날 겁니다. 디도스 공격은 용량이 작아도 전략적으로 사용할 수 있긴 하지만, 그래도 크면 클수록 효과가 좋은 법입니다. 사물인터넷 봇넷으로 일으킨 디도스 공격은 미라이의 사례에서도 봤듯이 규모가 큽니다. 사물인터넷 장비가 늘어나는 미래에는 더 커지겠고요. 그러면서 사용 방법도 다양해지겠죠.”

다행히 넷스카우트 아버의 고객들은 미라이로부터 피해를 입지 않았다고 한다. 토니 테오는 “사물인터넷 봇넷이 형성될 것과, 그것을 통한 디도스 공격의 가능성은 이미 이론 상 존재했었습니다. 공격자들의 행동 패턴을 관찰하면서 첩보를 모으다보니 그런 흐름을 읽어낼 수 있었죠. 또한 기술의 발전 상황도 심상치 않았고요. 그래서 사실 저희는 이미 대비가 되어 있었어요. 조만간 사물인터넷 기기들로부터 디도스 공격이 발생할 거라고 예상하고, 실제로 미라이를 막을 수 있었던 것입니다.”

그래서 그는 “첩보 수집도 방어의 중요한 전략에 포함되어야 한다”고 설명한다. “보안 장비나 앱들 중 좋은 것들이 많습니다. 그러나 그런 장비나 솔루션이 단독으로는 온전한 방어를 할 수가 없습니다. 층층이 방어 체계를 쌓아올려서 종합적으로 보안 사고를 해결해야 합니다. 방화벽도 그러한 방어의 층 중 하나고, 백신도 하나의 층이며, 첩보 수집과 디도스 앱도 그 중 하나씩을 맡고 있는 것이죠.”

넷스카우트 아버는 아버 엣지 디펜스(Arbor Edge Defense, AED)라는 포괄적인 디도스 방어 솔루션을 고객에 제공하고 있다. “라우터와 방화벽 사이에 구축되어 인바운드와 아웃바운드 트래픽을 탐지하고 차단합니다. 또한 아버 아틀라스(Arbor ATLAS)라는 평판 기반 위협 첩보 데이터베이스와 연계되어 작동해 보다 정확하고 지능적으로 방어가 가능합니다. 아버가 말하는 ‘심층적인 방어’ 혹은 ‘다계층 방어’에 부합하는 솔루션입니다.”

그러나 층층이 보안 시스템을 쌓아올리려면 돈이 많이 든다. 중소기업의 보안은 일단 장비 하나, 앱 하나로부터 출발할 수밖에 없는 게 현실이다. 최근 미국은 NIST가 중소기업의 보안 강화를 위해 움직이도록 하는 법을 제정하기도 했다. 토니 테오는 “제일 먼저 어떤 사업을 하며, 어떤 자산이 가장 위험한가를 따져야 한다”고 제안한다.

“그리고는 공격이 얼마나 자주, 심각하게 발생하는지를 이해해야 합니다. 온라인 도박이나 게임 사이트처럼 매일처럼 디도스가 발생하면 돈이 좀 들더라도 투자를 해야 사업을 할 수 있습니다. 그러나 1년에 한 번 일어날까 말까 한다면 디도스에 집중 투자할 필요는 없겠죠.”

그러면서 “싸다고 무조건 보안 장비나 앱을 사는 것은 지양해야 할 태도”라고 지적한다. “필요한 것에 투자해야 합니다. 그게 가장 경제적인 보안 투자에요. 초기 비용이 부담스럽다면 우선순위를 정해서 하나하나 늘려가는 게 중요합니다. 그것부터가 보안의 전략입니다.”

토니 테오는 디도스 공격을 심장마비에, APT 공격을 암에 비유한다. “심장마비는 예측할 수 없이 갑자기 발생합니다. 그리고 눈에 확 띄죠. 디도스 공격이 이와 같습니다. 반면 암은 서서히 들어와서 대부분 너무 늦을 때까지 발견하지 못합니다. 초기에 발견해 빨리 처리하는 게 중요하죠. 해커들은 조직에 디도스 공격을 함으로써 심장마비를 일으키고, 그래서 시선을 분산시킬 때 암세포를 주입하고 있습니다.”


그래서 기본기가 중요하다고 그는 강조한다. “평소 건강 관리를 종합적으로 해야 심장마비와 암의 가능성을 낮출 수 있듯이, 보안도 그렇게 해야 합니다. 결국 기본기가 방어에서는 가장 중요해요. 저희가 말하는 층층이 보안도 그런 기본기를 쌓는 것과 맥락을 같이 하죠. 방화벽도 쓰고, 앱도 깔고, 공격자들의 행태도 파악하고, 직원들 대상 보안 교육도 병행해야 한다는 겁니다. 기본이 겹겹이 탄탄한 조직이 가장 꺾기 어렵습니다.”

3줄 요약
1. 과거의 디도스 공격은 서비스와 사업 방해를 목적으로 이뤄짐.
2. 현대의 디도스 공격은 시선 분산용. 진짜 공격은 그 다음에 일어남.
3. 첩보 수집과 교육도 포함된, 보다 종합적이고 통합적인 방어 전략 필요.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>