• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

교묘해지는 디도스, ISP 표적 삼아 트래픽 잘게 쪼개 전송해 2019.01.23

3사분기부터 보이기 시작한 새 전략...트래픽 나눠서 여러 곳에 보내고
트래픽 크기를 기반으로 한 디도스 탐지는 소용이 없어...ISP도 대비해야

[보안뉴스 문가용 기자] 대형 인터넷 서비스 제공자들을 노린 디도스 공격이 작년 3사분기부터 크게 늘어났다. 그러면서 공격자들의 새로운 전략이 드러나기도 했다. 디도스 트래픽 차단 시스템을 우회하기 위한 것이라고 보안 업체 넥서스가드(Nexusguard)가 공개했다.

[이미지 = iclickart]


넥서스가드가 분석한 바에 의하면 2018년 3사분기부터 공격자들은 자신들이 노린 사이트들을 디도스로 마비시키거나, 아예 해당 사이트가 사용하는 ISP 전체를 마비시키고 있다고 한다. 그러면서 공격 트래픽을 다수의 IP 프리픽스에 걸쳐 보낸다.

“일반적인 볼륨 기반 디소스 공격은 한 개의 IP 주소를 대상으로 합니다. 하지만 최근 저희가 발견한 공격은 조금 달랐습니다. 공격자들이 수백 개의 IP 주소에 작은 양의 정크(junk)를 계속 보냄으로써 정상 트래픽을 오염시키고 있더군요.” 넥서스가드 측의 설명이다.

“각 IP 주소로 보내지는 정크 트래픽은 너무 작아서 디도스 탐지 툴들에 대부분 발각되지 않습니다. 평균 공격 수위는 33.2Mbps밖에 되지 않습니다. 이 정도 크기면 디도스 탐지 툴이 무시하는 수준입니다. 하지만 집중되면 표적이 된 사이트를 마비시키기엔 충분하죠.”

넥서스가드가 추적하고 분석한 지난 3사분기의 디도스 공격은 총 159개의 자율 시스템을 표적으로 삼고 진행됐다. 대다수가 ISP 조직이 보유한 것들이었다. 공격자들은 본격적인 공격 이전에 정찰을 통해 ISP 네트워크의 지형도를 살피고, 치명적인 IP 주소의 범위를 파악한 것으로 보인다고 넥서스가드는 설명했다.

“가장 큰 규모의 공격의 경우, 트래픽이 38개의 IP 프리픽스에 분산됐습니다. 프리픽스 한 개 당 표적이 된 IP 주소는 최고 많은 경우 252개까지로 밝혀졌으며, 평균은 141개였습니다.” IP 주소 하나 당 공격의 크기는 가장 클 경우 300Mbps, 가장 낮은 것은 2.5Mbps였으며, 평균은 33.2Mbps였다. “IP 프리픽스 하나에서 발생한 공격 중 가장 큰 것은 2.48Gbps였는데요, 그렇게 된다면 인터넷 회선의 용량이 예를 들어 10Gbps 미만일 때 인터넷 업체 자체를 마비시킬 수 있게 됩니다.”

넥서스가드의 제품 책임자인 도니 총(Donny Chong)은 “이제는 사용자 기업이라고 하더라도 인터넷 제공 업체의 디도스 탐지 및 완화 기능을 확인할 수 있어야 한다”고 주장한다. “트래픽 양만을 기준으로 디도스를 탐지하고 완화하는 방식은 이제 충분하지 않습니다. 실제로 저희가 분석한 공격은 디도스 트래픽 양이 너무 작아서 탐지가 되지 않았고요. 상당히 많은 수의 IP 주소들이 공격에 관여되기 때문에 기존의 트래픽 블랙홀링(traffic blackholing)과 같은 방법도 제대로 작동하지 않기는 마찬가지일 것입니다.”

이 공격은 인터넷 통신사들에 경종을 울리고 있다고 총은 주장한다. “인터넷 서비스 제공업체들의 보안 강화가 필요한 시점입니다. 기존의 디도스 방어 기재로는 불충분하거든요.”

한편 넥서스가드는 디도스 공격과 관련된 또 다른 통계자료도 공개했다. “수천 건의 디도스 공격을 분석했을 때, 약 66%가 인터넷 서비스 제공업체를 노리고 있는 것이었습니다. DNS 증폭 공격의 한 유형인 심플 서비스 디스커버리 프로토콜(SSDP) 증폭 공격은 2사분기에 비해 7배나 증가했습니다.” 하지만 작년 3사분기에 발생한 디도스 공격의 대부분이 ‘작은 트래픽’을 사용했기 때문에 평균 공격 크기는 2사분기에 비해 줄어들었다.

넥서스가드는 “디도스 공격의 진화가 끝없이 이어지고 있는 추세”라고 경고했다. “특히 디도스 방지 툴을 몰래 지나쳐가기 위한 기술과 전략 개발이 놀라울 정도로 일어나고 있습니다. 그러면서 공격이 고급화되고 있고, 용량은 더 커지고 있으며, 다양한 전략을 통해 추가 피해를 발생시키고 있습니다. 다크웹에는 각종 디도스 공격 툴이 돌아다니고 있어 누구나 이런 고급 디도스 공격을 할 수 있다는 것도 심각한 문제입니다.”

그러면서 총은 “2019년에도 이런 식의 ‘몰래’ 디도스 공격이 계속 발견될 것”이라고 예측한다. 디도스 방어 전문 업체인 넷스카웃(NETSCOUT) 역시 이번 달 블로그 게시글을 통해 “디도스 공격 툴이 더 나올 것”이라고 전망하며 “공격자들은 이런 툴들을 가지고 DIY 디도스 공격을 진행할 것”이라고 예측했다.

3줄 요약
1. 늘 새로워지는 디도스 공격, 작년 3사분기부터 또 다른 변신 있음.
2. 그 변신의 핵심은 ISP를 직접 노린다는 것과 공격 트래픽을 작게 쪼개 여러 IP로 보낸다는 것.
3. 기업들 스스로도 디도스 방어를 해야 하지만 ISP 역시 디도스 완화 조치를 취해야 함.
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>