디도스 대란 악몽 재현? Slowloris DDoS에 대비하라!

선린인터넷고 심화용 군 “일반적인 디도스 방어장비로 탐지 어려워”

디도스 공격의 일상화·다변화추세...효과적인 방어대책 마련 필요성

[보안뉴스 권 준] 점차 대중화·지능화되고 있는 디도스(DDoS : Destributed Denial of Service) 공격의 위험성에 대한 경고음이 울리고 있다. 2차례에 걸친 디도스 대란으로 인해 디도스란 용어가 일상화됐고, 청소년들을 비롯한 많은 사람들이 장난삼아 또는 금전이득 등을 목적으로 디도스 공격을 수행하고 있기 때문이다.

특히, 2009년 7.7 디도스 대란과 2011년 3.4 디도스 대란 등 최근 홀수 해에만 반복해 발생했던 대규모 디도스 공격의 전례를 비춰볼 때 올해 그 위험성이 더욱 높아지고 있는 것 아니냐는 우려도 커지고 있다.

이런 가운데 지난 20일 진행된 Security2U 세미나에서 선린인터넷고등학교 정보통신과에 재학 중인 심화용 군이 발표한 ‘Slowloris DDoS’ 관련 내용이 보안종사자들에게 큰 관심을 끌고 있다.

심 군은 디도스 공격의 심각성 및 피해와 관련해 실제 디도스 공격으로 인한 트래픽 유통경로를 그래픽으로 소개하면서 디도스 공격에 대한 경각심을 높히는 것으로 발표를 시작했다.

디도스 공격 유형(Slowloris DDoS 공격은 세 가지 유형 가운데 웹서비스 지연(Http Flooding)에 해당).

무엇보다 최근 발생되는 다양한 유형의 디도스 공격 가운데서도 Slowloris DDoS 공격이 많이 이루어지고 있는 것으로 나타났다. 이로 인해 Slowloris DDoS 공격에 대한 정확한 정보공유와 함께 효과적인 대응방안이 요구되고 있는 것이다.

Slowloris DDoS 공격은 지난 2009년 6월 17일 HTTP 서버의 연결제한을 모두 소진시키도록 설계된 ‘Slowloris’라고 하는 새로운 DoS 도구가 발표된 이후, 공격의 위험성이 알려지기 시작했다.

특히, Slowloris(슬로 로리스)는 아시아에서 처음 발견된 공격유형으로, Slowloris라고 불리는 이유는 적은 양의 대역폭과 트래픽을 사용하기 때문으로 알려졌다. 이 때문에 일반적인 안티 디도스 탐지 시스템으로는 Slowloris 디도스 공격의 탐지가 어렵다는 게 심 군의 설명이다.

이와 관련해 심화용 군은 “Slowloris DDoS 공격을 분석해본 결과 MS ISS 웹 서버는 이 공격에 취약하지 않지만, Apache는 취약한 것으로 알려졌다”며, “이 도구를 활용할 경우 상대적으로 적은 양의 대역폭만 사용해도 공격을 성공적으로 수행할 수 있다”고 우려했다.

디도스를 탐지하는 보안장비의 경우 정책설정 기준이 대부분 ‘pps/제한시간’이라고 할 수 있다. 평균유입 pps로 임계값을 정하고, 패턴을 통해 초당 유입하는 pps로 정책 임계값을 설정한 후, 임계값 이상으로 트래픽이 들어오면 이벤트 로그가 뜨고 이를 바탕으로 차단이 이루어지는 형태다. 그러나 Slowloris처럼 저대역폭으로 보내면 임계치에 걸리지 않기 때문에 보안장비를 무사통과할 가능성이 높아진다는 얘기다.

이러한 Slowloris DDoS 공격의 대응방안과 관련해 심 군은 “Slowloris DDoS 공격 은 볼륨성 공격이 아닌 L7 공격 즉, 애플리케이션 계층공격이기 때문에 별도의 하드웨어 장비가 없어도 방어가 가능하다”면서 “가장 많이 알려진 게 타임아웃(timeout) 설정을 변경하는 것이고, 이와 함께 iptables 설정에서 소스당 세션 리밋(limit)을 걸어 차단할 수 있는 방법”이라고 밝혔다.

덧붙여 그는 “timeout 설정과 iptables 설정을 변경해서 Slowloris DDoS 공격을 막을 수 있지만, 이러한 방법이 궁극적이고 완벽한 방어를 의미하는 것은 아니”라며, “최신 보안장비의 경우에는 임계값 설정만으로 뚫렸을 때를 대비해 마련된 여러 가지 정책 및 메커니즘을 통해 막을 수 있다. 특히, 요즘 나오는 보안장비들은 L7 전용 패턴을 분석해 주기적으로 업데이트하는 데 이를 통해 대부분 방어할 수 있다”고 설명했다.

지난 20일 개최된 Security2U 세미나에서 Slowloris DDoS에 대해 발표했던 선린인터넷고 심화용 군.

이러한 Slowloris DDoS 공격처럼 디도스 공격의 경우 각종 보안장비 및 대책을 우회하거나 뚫기 위해 다양한 방법으로 진화되고 있다. 이에 공공기관·기업의 보안담당자들도 다양한 디도스 공격유형을 분석하고 각각의 유형에 따른 보안대책을 마련해 적용해야 할 것으로 보인다.

한편, ‘Slowloris DDoS’ 공격의 위험성을 지적하고 대응방안을 설명한 심화용 군의 발표자료는 http://prezi.com/1z3lmn1l8xzw/copy-of-slowloris-ddos에서 확인할 수 있다.

[권 준 기자(editor@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)