‘정보보호의 날’ 유래가 된 7.7 DDoS 사태, 현재진행형인 디도스 공격

디도스 공격 등 해킹 피해 막기 위한 ‘사이버 안보’ 중요성 인식 필요
DDoS 피해 대응방안 14가지 등 각종 보안수칙 꾸준하게 실천해야

[보안뉴스 김영명 기자] 7월은 ‘정보보호의 달’이며, 둘째 주 수요일인 13일은 ‘정보보호의 날’이다. 정보보호의 날은 지금으로부터 13년 전, 우리나라의 정부기관 및 주요 홈페이지가 디도스(DDoS) 공격을 받아 큰 피해를 입은 것이 계기가 되어 제정됐다. 정보보호의 날을 앞두고 사이버 안보의 중요성을 일깨우게 만든 핵심 사건인 7.7 DDoS 사태를 중심으로 ‘DDoS 공격’에 대해 자세히 살펴보고자 한다.

[이미지 = utoimage]

2009년 DDoS 공격, ‘정보보호의 달’의 유래
‘정보보호의 달’과 ‘정보보호의 날’의 지정은 2009년 7월 7일을 기점으로 우리나라의 주요 정부기관, 포털, 은행 홈페이지 등이 분산 서비스 거부 공격(DDoS : Distributed Denial of Service)을 당해 서비스가 일시적으로 마비된 사건이 근거가 됐다.

DDoS 공격은 7월 7일 오후 6시경 1차 공격이 시작돼 24시간 동안 지속됐으며, 이때 청와대, 국회, 국방부 등 국가 주요기관과 함께 네이버, 옥션, 농협, 외환은행(현 KEB하나은행) 등 주요 언론사와 주요 정당, 포털 등이 공격을 당했다.

이어 2차 공격이 7월 8일 오후 6시에 시작돼 24시간 동안 지속되며 16개 사이트가 피해를 입었다. 3차 공격은 7월 9일 오후 6시에 시작됐으며, 국가정보원과 일부 금융기관 홈페이지가 먹통이 됐지만 약 3시간 만에 정상화됐다.

2009년 10월 29일, 당시 원세훈 국가정보원장은 국회 정보위원회 국정감사에 출석해 이번 DDoS 공격의 진원지가 조선민주주의인민공화국 체신청이라는 것을 확인했다고 발표했다. 원세훈 원장은 이날 국정감사 자리에서 사건 발생 며칠 후 DDoS 공격 내용을 파악했지만 국정원이 먼저 내용을 밝히는 것은 옳지 않다는 판단하에 언론에 알리지 않았다고 언급했다.

DDoS 공격 이후 정부는 국토해양, 국세, 국방, 외교, 경찰 등 5개 분야 범정부 DDoS 대응체계 구축 사업을 추진했다. 국정원은 자체적으로 DDoS 대응장비를 별도 지정했지만 시험평가 이후 최종 결과를 발표하지 않은 채 그냥 흐지부지되고 말았다.

DDoS 공격의 유형과 방법, 다양화되고 구체화돼
DDoS 공격은 공격 형태에 따라 크게 △대역폭 공격 △자원 소진 공격 △웹/DB 부하 공격 등으로 나눌 수 있다.

먼저 대역폭 공격의 특징은 높은 bps(bit per second)를 가지며, 동일 회선을 사용하는 모든 시스템을 접속 불가능하게 만든다. 공격 유형은 UDP Flooding 및 UDP 기반 반사공격(DNS, NTP, CLDAP, SSDP 등), Tsunami syn flooding, ICMP Flooding 등이 있다. 대역폭 공격은 일시적으로 대량의 트래픽을 발생시키기 때문에 회선 대역폭이 작으면 방어가 어렵다.

두 번째로 자원 소진 공격은 높은 pps(packet per second)와 높은 connection(데이터를 주고 받기 위해 클라이언트와 서버 간 서로 연결된 상태)을 갖는 것이 특징이며, 공격 유형은 TCP SYN, ACK Flooding 등으로 알라졌다. 피해 대상 서버, 네트워크 등의 과부하를 발생시키며, 대역폭 공격에 비해 적은 트래픽으로도 서버 과부하를 유발할 수 있다.

세 번째로 웹/DB 부하 공격은 높은 pps와 높은 connection의 특성이 있으며, GET Flooding, POST Flooding 등 유형으로 사용자를 공격한다. 정상적으로 세션을 맺은 후 과도한 http 요청으로 웹/DB 서버의 과부하를 유도한다.

DDoS 공격의 방법으로는 크게 △F5 연타 △좀비 PC 이용 △DDoS For Hire(웹 스트레서) 등이 있다. 먼저 F5 연타는 브라우저에서 특정 웹 페이지에 접속한 다음 키보드의 F5를 끊임없이 연타하면 서버에 해당 웹 페이지 크기와 F5를 누른 횟수를 곱한 만큼의 트래픽이 해당 사이트에 가해져 DDoS 공격을 당하는 것과 비슷한 효과를 내게 된다.

좀비 PC 이용은 불특정 다수의 PC에 악성코드를 심어 유사시에 공격이 가능한 좀비 PC로 만든 뒤 공격에 동원되는 방법이다. 악성코드에 감염된 수많은 좀비 PC가 공격자의 명령에 따라 일제히 서버에 대량의 트래픽을 전송하는 방식으로 이뤄지며, 서버가 허용하는 트래픽 용량을 넘어서게 되면 정상적인 클라이언트가 서버로 접속할 수 없게 된다.

DDoS For Hire는 일정 금액을 지불하고 봇넷 혹은 대용량 대역폭 서버를 가진 업체의 DDoS-For-Hire 서비스를 이용하는 방법이다. 이 방법은 매월 5달러~1,000달러 이상으로 가격이 형성돼 있으며, 낮은 가격으로도 큰 공격을 수행할 수 있다. 대개 Layer 4 에서 5~80Gbit/s의 공격을 지원하게 되는데, 일반적인 상황에서는 상상할 수 없을 정도로 큰 대역폭이다. 하지만 이 서비스는 제공은 물론 사용하는 것 모두가 불법이다.

주요 DDoS 공격 사건, 어떤 게 있었나
DDoS 공격은 특정한 날에만 국한되지 않으며 지금도 실시간으로 전 세계 곳곳에서 공격이 자행되고 있다. 우리나라에서는 경찰청 국가수사본부 산하 사이버수사대가 DDoS를 포함한 사이버 수사와 범죄, 테러에 대응하고 있다.

온라인 위키 웹사이트인 나무위키의 정보에 의하면, 국내의 DDoS 공격 사건은 크게 ‘정보보호의 날’의 유래가 된 2009년 7·7 DDoS 공격을 시초로 해 △2010년 삼일절 사이버 전쟁 △2011년 하반기 재보궐선거/선거관리위원회 공격 사건 △2011년 러시아 총선 사태 △2013년 6·25 사이버테러 △2016년 나무위키 DDoS 공격사태 등이 있다. 이 외에 국내 기록상 최초의 사건은 2003년 1월 25일 서울 혜화전화국 내 DNS 서버에 DDoS 공격이 가해진 사건을 꼽기도 한다. 그 유명한 1.25 인터넷 대란이다.

해외에서는 2016년 9월 21일, 미국 소재 글로벌 게임 기업인 블리자드(Blizzard)의 FPS 게임인 오버워치(Overwatch)가 DDoS 공격을 받아 오후 6시 30분부터 2시간 남짓 배틀넷 실행이 원활하지 못하고 게임 서버 내에 접속을 하지 못하는 사태가 발생하기도 했다. 이번 피해는 22일 이후로 복구됐다.

2018년 2월 28일, 미국 마이크로소프트사의 분산 버전 관리 툴인 깃 저장소 호스팅을 지원하는 웹 서비스인 깃허브(GitHub)가 20여분간 대규모 DDoS 공격을 받았다. 웹공격에 대비해 방어막을 상당히 잘 구축했었음에도 불구하고 간헐적인 사이트 접속 끊김이 발생했지만 그나마 공격 시간이 짧아 큰 피해는 없었다. 공격자는 memcached 프로토콜을 기반으로 하는 DRDoS 공격을 가했는데 초당 1억2,690만개의 패킷을 발생시켜 1.35Tbps에 달하는 천문학적인 공격 규모를 보여줬다.

2019년 1월 7일과 9일 2,400여개 언론사가 이용하는 인터넷 신문 서비스사인 ND소프트가 속한 서울 서초 IDC 전체 네트워크가 타 업체의 공격으로 한때 단절돼 접속 장애가 발생했으며, 같은 해 8월에는 핀란드 헬싱키에서 개최한 블리자드 엔터테인먼트의 온라인 게임 스타크래프트2 대회인 Assembly Summer 2019 결승전이 DDoS 공격으로 지연되는 사태가 발생했다.

2020년 8월 19일에는 중앙대 서버가 해외 IP에 의해 공격당해 오전 10시부터 진행된 2학기 수강신청이 중지되는 피해를 입었다. 극히 일부 성공한 학생들의 수강신청 내역도 취소됐으며, 오후 2시에 수강신청 진행을 다시 시도했지만, 같은 공격이 되풀이돼 재차 수강신청이 취소됐다. 다음 날인 8월 20일에는 고려대 2학년 수강신청을 앞두고 수강신청 사이트 서버도 DDoS 공격의 피해를 입었다. 중앙대처럼 오전 10시 1차 공격에 이어 오후 2시에 2차 공격을 당해 결국 학교당국은 당일 수강 신청건을 모두 취소했으며, 수강신청 일자도 8월 24일로 연기됐다.

또한, 지난해 9월부터 10월 6일까지 미국 게임 스튜디오 이너슬로스에서 제공하는 온라인 다인용 소셜 디덕션 게임인 ‘Among Us’가 DDoS 공격으로 게임 속 공간에 참여를 하지 못하거나 게임 진행을 못하는 문제가 있었지만 금방 복구됐다.

지난해 크리스마스 즈음인 12월 20일 국내에서 익명의 소규모 개발자 그룹인 산타파이브가 ‘내 트리를 꾸며줘(Color My Tree)’라는 웹사이트를 개설했다. 가입한 사람들에게 디지털 크리스마스 트리를 만들어주고 타인으로부터 받은 크리스마스 축하 메시지를 트리에 걸린 선물과 장식으로 보여주는 무료 서비스다. 이 사이트가 개통됐을 당시 SNS 상에서 큰 화제를 모으며 최대 동시접속자 20만명, 2900만개의 메시지 전송 등으로 인기를 끌었다. 하지만 익명의 한 공격자가 개발자의 소스코드 공유 사이트인 깃허브(GitHub)에 ‘terror_tree’라는 이름의 공격용 코드를 올려 다수의 접속자가 피해를 입기도 했다.

DDoS 피해 대응방안 14가지 살펴보니
Digital Attack Map은 구글 아이디어스(Google Ideas)와 미국 애버(Arbor)의 자회사인 Avar Networks(애버 네트워크)사와의 협업으로 구축된 사이트로, 전 세계 DDoS 공격의 실시간 데이터를 시각화해서 보여준다. 특히, Digital Attack Map은 익명의 공격 트래픽 데이터를 표시해 사용자가 과거 DDoS 공격 추세를 탐색하고 특정 날짜에 발생한 공격 관련 리포트도 검색할 수 있다.

▲Digital Attack Map 사이트 메인 화면[이미지=Digital Attack Map]

이와 함께 한국인터넷진흥원(KISA)은 DDoS 공격이 시도되고 발생할 때 빠른 대응으로 피해를 최소화하기 위한 방법으로 14가지 대응방안을 제시했다.

1. 네트워크 서비스 제공 업체에서 제공하는 DDoS 방어 서비스를 인식하고 있어야 하며, DDoS 공격을 받으면 네트워크 서비스 제공 업체에서 조치하는 것이 대응이 빠르다.

2. DDoS 공격에 대한 방어서비스를 계약하는 것을 고려한다.

3. DDoS 공격이 발생하면 네트워크 서비스 제공 업체에 공격 IP 주소를 제공한다.

4. 허용된 트래픽과 거부된 트래픽에 대한 방화벽 로그를 확인해 DDoS 공격 발생 위치를 확인한다.

5. 방화벽 및 프록시 서버와 같은 주변 장치에서 ‘TCP keepalive’ 및 ‘최대 연결’을 설정해 SYN Flood 공격을 예방한다.

6. 네트워크 서비스 제공 업체에서 포트 및 패킷 크기 필터링이 가능한지 확인해 설정한다.

7. 공개 웹사이트의 기본 트래픽 패턴(볼륨 및 유형)을 파악하고, 이상 패턴이 발생하는지 정기적으로 확인한다.

8. 네트워크/보안 장비의 패치는 적절한 테스트 및 검증을 거친 후 적용한다.

9. 예약된 IP 주소, 루프백, 사설, 할당되지 않은 DHCP 클라이언트, 멀티캐스트 및 RFC 5735에 나열된 다른 주소에서 출발되는 인바운드 트래픽을 차단하도록 방화벽을 구성한다. 이 구성은 네트워크 서비스 제공 업체에도 요청되어야 한다.

10. 비즈니스 목적에 필요한 프로세스와 네트워크 대역폭을 파악하고, 서버에 설정을 반영한다.

11. 비즈니스 목적과 보안 정책을 고려하여 방화벽 설정을 한다.

12. 이상 징후 발생 시 즉시 인지할 수 있도록 방화벽 및 침입 탐지 서비스를 구성한다.

13. DDoS 공격으로 네트워크 서비스 장애가 발생할 것을 대비하여, 대체 연결 수단을 준비한다.

14. 중소기업 대상으로 DDoS 공격 대응 서비스를 무료로 제공하고 있는 DDoS 사이버대피소 이용을 고려한다.

한국인터넷진흥원은 “DDoS 공격을 막기 위한 방법으로 인터넷 회선 제공 업체(ISP)나 클라우드 서비스에서 제공하는 DDoS 방어서비스를 이용하거나, 백업 서버 구축, 내부망 분리 조치를 통한 공격 대상의 최소화 등의 사전 조치가 필요하다”고 제안했다.
[김영명 기자(sw@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)