디도스 관점에서 정리해보는 2014년과 2015년

올해 발생한 주요 디도스 공격 및 유형 분석해보니...

[보안뉴스 김경애] 올해는 굵직굵직한 사이버보안 이슈로 다사다난한 한해였다. 상반기에는 개인정보 유출사고로 전국이 발칵 뒤집히더니, 하반기에는 디도스 공격, 텔레뱅킹으로 인한 현금 무단인출 사건, 금전탈취를 목적으로 하는 파밍이 기승을 부리는 등 다양한 유형의 보안사고들이 끊이지 않고 있다.

그 가운데서도 디도스 공격(DDoS: Distribute Denial of Service)이 갈수록 빈번해지면서 주요 사이버 보안위협으로 주목받고 있다. 이에 본지는 한해 동안 발생한 주요 디도스 관련 사건과 이슈들을 짚어보고, 디도스 공격 대응의 문제점과 개선방안에 대해 살펴보고자 한다.

디도스 공격, 2014년엔 얼마나 있었나?

올 한해 동안 발생한 국내 주요 디도스 사건을 살펴보면, 먼저 지난 4월 방위사업청 국방전자조달시스템 웹사이트가 디도스 공격을 당했다. 국방전자조달시스템은 군수품 조달업무 전 과정을 인터넷 상에서 처리하는 전자조달시스템이다. 현재 중앙행정기관인 방위사업청에서 운영하고 있으며, 주요 대민 시스템 중의 하나다.

이후 지난 7월 24일에는 넥슨코리아가 서비스하는 축구 온라인 게임 피파온라인3가 새벽 시간에 30여분간 서비스 접속 장애가 발생했다. 이는 KT의 분당 IDC의 CDN 서버가 디도스 공격을 당해 일어났던 것으로, KT IDC내 게임 서비스에 연결되어 있는 다른 게임사들도 서비스 접속장애가 발생한 바 있다.

지난 9월 25일에는 금융권, 언론사, 교육, 의료, 쇼핑, 소셜커머스 등 DNS 서버를 대상으로 디도스 공격이 발생했다. 새벽 1시부터 6시까지 약 6시간 가량 DNS Query를 과다하게 발생시켰으며, DNS의 정상적인 서비스가 이뤄지지 않도록 디도스 공격을 일으켰다. 2차 공격은 25일 15시 40분 경 국내 IP(Spoofing된 것으로 추정)에서 동일한 공격이 시작됐고, 당일 17시 42분경 소멸된 것으로 분석됐다.

지난 9월 28일에는 카카오톡 논란으로 유명해진 ‘텔레그램’이 디도스 공격을 당했다는 소식이 전해졌다. 이어 지난 10월 15일에는 점유율 35%를 차지하고 있는 국내 최대 도메인 업체 후이즈가 밤 9시경 네임서버가 대규모 디도스 공격을 받았다.

▲ 2014년 주요 디도스 공격 사건

지난 11월 29일에는 SK브로드밴드와 LG유플러스가 디도스 공격을 당했다. 1500여개의 IP가 DNS 서버를 공격했으며, 해당 공격이 가정용 공유기 IP로부터 시작된 것으로 확인됐다. 인터넷 공유기에 내장된 운영체제(OS)에 악성코드를 심은 것으로 파악됐으며, 악성코드는 리눅스에서 동작하는 악성코드로 알려졌다.

게다가 최근 ‘땅콩 회항’ 논란으로 대한항공이 연일 이슈가 되고 있는 가운데 지난 8일 대한항공조종사노동조합 홈페이지가 서버 과부하로 디도스 공격을 받은 것으로 추정되고 있다. 디도스 공격 징후는 8일 오후부터 노동조합 홈페이지 열린마당 게시판에 올라오는 글들이 폭주하면서 시작됐으며, 9일 오전 10시경부터 홈페이지 업체 서버 과부하로 홈페이지 접속이 불가능했다가 정상 복구됐다.

올해 디도스 공격 키워드: 핵티비즘

디도스 공격하면 북한으로 추정되는 해커조직을 빼놓을 수가 없다. 이미 북한은 지난 2003년 1.25 인터넷 대란을 일으킨 디도스 공격을 시작으로 여러 차례 국내를 타깃으로 디도스 공격을 시도한 바 있다. 최근에는 소니픽처스 해킹사건의 배후로 도마 위에 오르고 있다.

이는 비단 북한의 해커조직만 해당되지는 않는다. 정치적인 의도를 가진 핵티비즘 성격의 디도스 공격은 전세계적으로 증가 추세에 있기 때문이다. 이와 관련 시만텍에서 발표한 ‘디도스 공격의 동인분석 결과보고서’에 따르면, 디도스가 핵티비스트(hacktivist)와 사이버범죄 조직이 선호하는 공격 방법으로 이용되고 있다며 세계적으로 알려진 국제해커 집단인 어나니머스(Anonymous) 등도 디도스 공격을 이용했다고 밝혔다.

핵티비즘 외에도 시만텍은 디도스 공격의 이유로 △강탈 및 경제적 갈취 위협 △개인간 온라인 분쟁 △표적 공격 수행 중 IT 보안 대응팀의 주의 전환 등을 꼽고 있다.

이처럼 디도스 공격은 올 한해 전국을 휩쓸면서 공격유형 또한 갈수록 다양해지고 있다. 대부분의 PC를 좀비 PC로 만들어 디도스 공격에 악용하고, 정보를 마음대로 빼내는데 그 유형도 트래픽 공격, 도메인 시스템(DNS) C&C공격 등으로 다양하다. 이러한 공격이 매년 해외로부터 4300여건, 국내에서 1800여건 정도 발생하는 것으로 집계된다.

디도스 공격, 계속 당할 수밖에 없나?

그러나 이를 방어하는 대응능력은 여전히 미흡해 사고로 이어지는 경우가 비일비재하다. 그렇다면 왜 자꾸 디도스 공격이 발생하는 것일까?

이와 관련 유아이넷 측은 “디도스 공격 규모의 급격한 증가와 사물인터넷(IoT) 기기들까지 이용한 디도스 공격, NTP 취약점을 악용한 대규모 DRDoS 공격 등은 앞으로도 계속 증가할 것으로 예상되는 반면, 네트워크 대역폭 증가 등으로 새롭게 생겨나는 공격을 감당하기 어려운 한계점에 봉착돼 있다”고 지적했다.

또한, 나루시큐리티 김혁준 대표는 디도스로 대표되는 서비스 거부 공격의 변화를 살펴보면 △논리공격 △대역폭 △호스트자원 △프로토콜 △어플리케이션 △복합공격으로 진화하고 있다고 지목했다.

논리공격의 경우 호스트의 단순 취약점을 이용한 공격으로 공격 난이도가 낮은 반면 효과가 높다.

대역폭의 경우 1.25대란과 같이 트래픽 전송으로 대역폭을 소진하는 공격은 결국 국내 네트워크에서 패킷 전달을 거부하기 위한 공격이다.

게다가 호스트자원은 OS의 취약점을 이용하고, 프로토콜은 근본적으로 취약하며, 어플리케이션은 아직까지 명확한 대응이 어렵다는 게 김 대표의 설명이다. 이러한 상황에도 불구하고 국내는 공격차단 중심의 방어를 하거나 장애가 발생한 이후 공격을 인지해 경험중심의 기계적 방어로만 대응한다고 지적했다.

공격자 관점에서 대응방식 고민해야

디도스 등 서비스 거부 공격에 효과적으로 대응하기 위해선 다양한 관점의 인식 개선이 필요하다는 지적이다. 이와 관련 나루시큐리티 김 대표는 “공격자는 서비스 거부 공격을 공격형태별로 DoS, DDoD SYN Flooding, GET Flooding, ACK Flooding, Smurf. Bonk, Boink 등으로 구분한다면 방어자는 서비스 거부 공격을 네트워크, 호스트, 어플리케이션으로 구분한다”며 “공격자는 목적달성을 위한 공격으로 변화하고 있지만 대다수의 기업은 보유하고 있는 무기 차원에서만 방어해서 사고가 발생하므로 무엇보다 관점 개선이 필요하다”고 강조했다.

또한, 글로벌 보안기업 시만텍은 디도스 공격 대응방안으로 △비상 연락망을 포함한 사고 대응 계획 수립 △서버 설정 확인과 서버 보호 △계층적 필터링 방식 사용과 외부 서비스 제공업체 및 협력 △IT 환경의 확장성과 유연성 △정상적인 네트워크 행동 양상 파악 등을 제시했다.

이처럼 올해 디도스 공격은 갈수록 다양하고 고도화된 수법으로 국내 인터넷 환경을 위협해 왔다. 그러나 방어 측면에서는 아직 미흡한데다가 많은 보안전문가들이 내년 주요 보안위협으로 디도스 공격을 꼽고 있어 보안위협은 더욱 고조되고 있다. 창의적인 방법으로 공격하는 해커들에 대응하기 위해서는 방어도 좀더 창의적이어야 하고, 공격자의 관점에서 ‘역지사지’해야 할 때다.
[김경애 기자(boan3@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)