[단독 2보] 31일 대규모 DDoS 공격 발생...어떤 공격이었나!

후속 DDoS공격에 대한 대비책 마련 필요

[보안뉴스 김정완] 5월 31일 저녁 9시 30분부터 11시 30분까지 대략 2시간여 동안 KT, SK브로드밴드, 통합LG텔레콤 등 국내 주요 인터넷제공업체(ISP)를 대상으로 한 100G급 DDoS공격에 사용된 주공격기법이 UDP 플로딩 공격인 것으로 알려져 여전히 다량의 좀비PC가 존재하고 있는 것으로 파악돼 후속 DDoS공격에 대한 대비가 필요하겠다.

업계에 따르면, 이번 국내 ISP를 대상으로 한 DDoS공격은 UDP(User Datagram Protocol) 공격기법이 사용돼 60~180G급에 이르렀다고 한다. 즉 인터넷에서 정보를 주고받을 때, 서로 주고받는 형식이 아닌 한쪽에서 일방적으로 보내는 방식인 UDP 기법의 60~180G급 DDoS공격 트래픽을 유발시키기 위해서는 다량의 좀비PC가 필요했을 것이기 때문이다.

UDP는 사용자 데이터그램 프로토콜의 줄임말로 인터넷상에서 서로 정보를 주고받을 때 정보를 보낸다는 신호나 받는다는 신호 절차를 거치지 않고, 보내는 쪽에서 일방적으로 데이터를 전달하는 통신 프로토콜이다. 인터넷 아이콘을 누르는 것과 동시에 자동적으로 중앙컴퓨터 서버와 연결돼 정보를 보내는 쪽과 받는 쪽이 서로 의사소통을 할 수 있도록 설계된 통신 프로토콜인 TCP(Transmission Control Protocol)와 상대되는 개념으로, UDP는 TCP와 달리 데이터의 수신에 대한 책임을 지지 않는다.

즉 송신자는 정보를 보냈지만, 정보가 수신자에게 제때에 도착했는지 또는 정보 내용이 서로 뒤바뀌었는지에 관해서 송신자는 상관할 필요가 없다는 말이며, TCP보다 안정성면에서는 떨어지지만 속도는 훨씬 빨라 과거부터 일반적으로 사용해온 공격기법이다.

이에 한 보안전문가는 “UDP 패킷은 특정서버를 대상으로 하는 것이 아니라 불특정 목표지에 대한 트래픽을 대량으로 유발시키기 때문에 DDoS공격에서도 효과적인 공격기법으로 많이 사용되지만 다수의 좀비PC가 필요하며 탐지가 잘 된다”고 말하고 “그런 점에서 이번 DDoS공격에 대해 ISP들이 효과적으로 잘 대응할 수 있었던 것 같다”고 말했다.

또한 ISP의 한 관계자 역시 “최근까지 유례가 없는 두 시간 동안의 대규모 DDoS공격을 받았지만 예전과는 달리 DDoS공격에 대한 대비를 미리 하고 있었기 때문에 트래픽을 분산시켜 큰 피해 없이 대응할 수 있었다”고 말했다.

한편 이와 관련 KISA 한 관계자는 “UDP공격은 대량의 트래픽을 유발시키는데 가장 효과적인 기법 중 하나인데 다수의 좀비PC가 필요하다는 점에서 이번 공격이 큰 피해가 없었다고는 하지만 트래픽양을 봤을 때 여전히 좀비PC들이 많이 존재하고 있음을 시사하고 있다”며 “단순한 UDP공격 이후 감행될지 모를 후속 DDoS공격에 대해서도 대비를 할 필요가 있을 것 같다”고 말했다.

즉 좀비PC가 여전히 존재하는 것도 문제지만 인터넷환경이 잘 발달돼 있는 우리나라의 경우에는 훨씬 더 위협적인 DDoS공격이 이루어질 수 있다는 점에서 그에 대한 대비책이 필요하다는 것이 보안전문가들의 지적이다.

[김정완 기자(boan3@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)