‘Security FORECAST 2011’에서 향후 DDoS 대응방안 논의
▲ ‘Security FORECAST 2011'의 DDoS 대응 패널토의 현장 사진
2009년 7.7 DDoS 공격 이후, 최근 다시 DDoS 공격이 발발해 사회적으로 큰 이슈가 됐다. 이에 16일 한국침해대응협의회와 금융보안연구원이 공동 개최한 'Security FORECAST 2011'에서는 3.4 DDoS 공격을 긴급 진단하고 향후 대비책에 대해 논의하는 자리를 가졌다.
이날 금융보안연구원 성재모 본부장의 진행 하에 방통위 박철순 팀장, 안철수연구소 이호웅 실장, 씨디네트웍스 홍석범 차장, 다음커뮤니케이션 구자만 팀장 등 업계 전문가들이 한자리에 앉아 "3.4 DDoS 공격 분석과 향후 대응 방안"을 주제로 패널토의를 했다.
먼저 3.4 DDoS 공격 정황에 대해 공격자가 의도한 공격은 3월 4일 금요일 저녁 6시 30분이었으며, 공격자는 보안담당자들이 퇴근해 대응이 어려울 것을 노린 것으로 추정된다. 하지만 3월 3일 국내 40개의 주요 사이트에서 공격이 포착되어 대응이 신속하게 이뤄지면서 공격자는 공격시간을 3월 4일 10시로 변경했던 것으로 분석됐다.
또한 계획된 10일 좀비PC의 하드웨어 파괴를 막기 위해 사용자는 로컬 PC의 시간을 그 이전으로 변경해야 하는데, 공격자가 이를 예상하고 로컬 시간을 변경할 때 하드웨어가 파괴되도록 직접 파괴 시간을 조절하는 치밀함을 보였다.
사전 대응력 강화와 법제도적 보완장치 마련 필요
3월 15일 종료된 이번 공격은 좀비PC 총 11만 6천대가 동원됐고, 7개 P2P사이트를 통해 악성코드가 유포됐다. 7.7 DDoS 공격과 비슷한 규모의 공격이었으나 사이버 치료체계를 통한 신속하고 체계적인 대응, 악성코드 분석/수집과 DDoS 투자를 통한 사전대응 능력의 향상, 악성코드 샘플과 분석내용 공유 등 민간 공조체계가 잘 이뤄져 피해가 미미했던 것으로 평가했다.
실제 피해 사이트들도 겟플루딩 공격이 집중적으로 이뤄졌기 때문에 이번에는 비교적 쉽게 대응이 가능했으며, 지난 2년간 사용자들의 좀비PC 예방에 대한 학습효과로 대규모 피해를 줄일 수 있었던 것으로 전해진다.
방송통신위원회 박철순 팀장은 "3.4 DDoS 공격으로 일부 사이트의 접속지연이 있었던 것을 제외하고 거의 피해가 없었다. 장애라고 보기도 어려운 정도며, 7.7 DDoS 공격에 비해 PC손상도 미미했다"며 "7.7 DDoS 수준의 공격으로 이번에 효과를 보지 못한 공격자가 앞으로 더 큰 공격을 가할 것으로 전망된다. 보다 지능적인 대규모의 사이버 공격이 예상됨에 따라, 지속적인 DDoS 투자와 모바일까지 포함한 종합적인 대응체계 강화, 웹하드 업체들에 대한 보안강화 조치 등의 철저한 준비를 해야 한다"고 강조했다.
또한 안철수연구소 시큐리티대응센터의 이호응 센터장은 "백신, DDoS 방어장비 등의 제품 하나하나만을 가지고 더 이상 공격을 방어하기 힘들다. 전 방위 서비스와 대응 프로세스가 제대로 갖춰져야 한다"며 "예측 불가능한 DDoS 공격에 대응하기 위해서는 악성코드 샘플을 수집하기 위한 센서를 확대해 적극적인 샘플을 수집해야 하고, 샘플 분석 등에 있어 민·관의 공조를 강화할 필요가 있다. DDoS 공격 자체는 원천적으로 막기 힘들겠지만, 최대한 사전에 방어할 수 있는 인프라를 갖춰야 하며 공격에 선제적으로 대응할 수 있도록 새로운 공격 방식에 대한 고민을 해나가야 할 것"이라고 말했다.
한편, 현재 정부는 DDoS 공격을 대응하기 위한 법 제도적인 보완장치를 마련 중이다. '악성프로그램 확산 방지에 관한 법률(일명: 좀비PC법)'이 문방위에 계류 중이긴 하나, 3.4 DDoS 공격을 계기로 오는 4월 법안 상정 등 입법화 추진이 탄력을 받게 될 전망이다.
김정은 기자
jekim92@itdaily.kr