근본치유 없어...공격 트래픽 식별, 제거로 피해 최소화
'7·7 DDoS(Distributed Denial of Service, 분산형 서비스 거부) 대란'이 국내 IT 산업계를 휩쓴 지 약 2개월의 시간이 흘렀다. 국내 보안 시장은 이를 계기로 활기가 넘치고 있다. 즉, 각종 장비를 우후죽순처럼 발표하는가 하면 새로운 제품 개발에 박차를 가하고 있다. 그러나 어느 것 하나 해커들의 공격을 막을 근본적인 솔루션이나 장비는 없다. 다만 피해를 최소화하거나 공격 트래픽을 식별해 사전에 제거하거나 차단시킬 뿐이다. 문제는 7‧7 DDoS 공격보다 더 큰 공격이 예상된다는 게 대다수 전문가들의 공통된 지적이다. 정부나 기업 등 컴퓨터 사용자들은 이를 막기 위한 뚜렷한 방안을 마련하지 못하고, 우왕좌왕 하고 있다는 것이다.
본지는 이에 따라 DDoS와 같은 예상되는 해커들의 공격에 대응할 수 있는 최선의 방법은 무엇이고, 장비와 솔루션들은 어떤 것들이 있으며, 이들의 특장점은 무엇인지 등에 대해 심층 취재했다.
'7·7 DDoS 대란'은 7월 4일 미국의 주요 웹사이트를 공격하면서 시작됐다. 국내에는 7월 7일부터 3일 간 국내 주요 공공기관과 이용자 방문이 많은 포털 사이트, 금융 사이트 등 총 26곳을 공격해 웹 페이지를 열 수 없게 만들었다. 결과적으로 수 십 개의 사이트에 상당한 재정적 피해를 입힘과 동시에, 그 동안 등한시 되어왔던 국내 보안 현실을 되돌아보게 하는 결과를 낳았다.
DDoS 공격의 형태
DDoS는 해킹수법의 하나로, 악성코드에 감염된 여러 대의 컴퓨터(좀비PC)를 이용해 특정 사이트에 대량의 접속(트래픽)을 유발함으로써 사이트를 마비시키고 시스템이 더 이상 정상적인 서비스를 할 수 없도록 만드는 공격 방법이다.
즉, 특정 사이트를 공격하기 위해 공격자(해커)가 서비스 공격을 위한 도구들을 여러 컴퓨터에 심어놓고 목표 사이트의 컴퓨터 시스템이 처리할 수 없는 엄청난 분량의 패킷을 동시에 보내면 네트워크의 성능 저하나 시스템 마비를 가져온다. 다시 말해 DDoS는 시스템 과부화를 유발함으로써 정상 고객들이 접속을 할 수 없는 상태로 만드는 것이다.
이같이 단순한 공격이지만 공격 감행 시 정상적인 서비스가 다운되는 치명적 피해를 초래하며 이미 오래전부터 알려진 공격이다. 최근에 '7·7 DDoS 대란' 이후 이슈가 되고 있지만, SQL 인젝션은 수 년 전 등장해 많은 매체에서 거론됐고 이미 오래전부터 사용되어 간헐적으로 발생해 왔던 공격 방식이다.
▲ <표 1> 해외 DDoS 피해 사례
DDoS 피해 급증
DDoS 공격 툴은 인터넷에서 누구나 쉽게 구매할 수 있다. 게다가 구입가격은 싸고 공격 효과는 큰 특징을 갖고 있어 악용되기가 쉬운 공격 툴이다. 현재 전 세계적으로 매일 6,000건 이상의 공격이 가해지고 있는 실정이다.
국내에서는 금품을 요구하는 공격이 많았다. DDoS는 일단 공격을 시작하면 일반 해킹에 비해 외부에 손쉽게 알려지게 되는 경우가 많아 기업의 경우 고객이탈, 이미지 실추, 주가하락, 매출감소 등의 피해로 확산되기 쉽다. 이를 염려하는 기업을 상대로 금품을 요구하는 것이다.
연도별로 살펴보면 2007년엔 성인, 도박, 화상 채팅사이트 등이 주로 공격을 받았으며, 2008년엔 P2P, 웹 하드, 일반쇼핑몰, 일반회사까지 확대되었다. 올 들어서도 금품을 요구하는 공격이 늘어나고 있다.
DDoS, 갈수록 거대화‧지능화
지난 '7·7DDoS' 공격은 상당히 치밀하고 정교한 준비를 했다. 공격에 사용된 PC의 수가 최대 20만대 이상 동원됐다는 조사가 나오고 있다. 최근 2년의 경우 공격에 사용된 PC 수가 300대 이하였던 것과 비교하면 규모 면에서 상당히 대조된다.
공격 방법의 경우도 국내뿐만 아니라 미국 다수의 주요 사이트가 동시에 공격대상이 되었는데, 이는 스케줄링 정보 파일을 통해 DDoS 공격이 진행되었다는 사실을 말해 준다. 스케줄링 정보 파일을 사용하면 좀비 PC를 제어하는 명령 서버가 없이도 자체적으로 예약된 시간에 정해진 사이트 공격이 가능하다. 게다가 C&C 서버(마스터서버)의 은닉을 가능하게 만들어 역추적이 어려워진다. 이외에도 특정 사이트만을 노린 것이 아니라 여러 사이트를 동시에 공격, 여러 파일의 형태로 기능이 나뉘어져 있다는 점 등 이전에는 볼 수 없었던 상당히 지능화된 공격 방법이다
▲ <표 3> DDoS 공격 진화 양상
완벽한 방어는 불가능
DDoS 공격은 높은 수준의 해킹 능력과 시스템 이해도 내지는 높은 수준의 기술이 필요한 공격이 아니다. 단지 TCP/IP 프로토콜 스택의 연결 성립 매커니즘에 구조적으로 내포된 취약점을 활용하는 공격이다. 그렇기에 대용량의 정상적인 트래픽과 대용량의 비정상적인 해킹 트래픽을 구분하기는 매우 어렵고, DDoS 공격으로부터 완전하게 자유로울 수가 없다.
또한 DDoS 공격은 트래픽 폭주성 공격이므로 회선속도의 Throughput 및 스위치 급의 지연시간을 보장하는 동시에 공격발생 시 즉시 차단하여야 한다.
그러나 현재 이러한 기능 및 성능을 갖춘 제품은 거의 없다. 고객들이 좋은 DDoS 전용 방어제품을 선택했더라도 대역폭 이상의 DDoS 공격을 완벽하게 방어하는 것은 기술적으로 불가능한 일이기 때문이다.
이 때문에 구분이 모호한 트래픽에 관한 명확한 분석 알고리즘과 네트워크 및 시스템의 가용성을 보장하기 위한 여러 가지 보완책이 필요하며, DDoS 피해 최소화를 위한 최선의 대응책을 마련해두는 게 바람직하다. 자세한 내용은 컴퓨터월드 9월호 참조.....
서영태 기자
syt1207@itdaily.kr