국내 기업·기관 호시탐탐 노리는 디도스 공격 ‘양대산맥’

정부통합전산센터 “DR디도스와 SSL 기반 디도스 공격 매우 위협적”

[보안뉴스 김경애] 사이버보안 이슈에 있어 디도스 공격은 단골손님으로 등장하곤 한다. 특히, 최근 발생하는 디도스 공격 사례를 살펴보면 DR디도스 공격과 SSL 기반 디도스 공격이 양대 산맥으로 꼽히는데, 2가지 유형의 디도스 공격은 국내 기업과 기관을 호시탐탐 노리고 있다.

먼저 DR디도스 공격(Distributed Reflective Denial of Service)은 대량의 트래픽을 사용한 디도스 공격으로, 최근에는 P2P 파일 공유 사이트인 비트토렌트(BitTorrent)를 통해 DR디도스 공격이 가능하며, 비트토렌트의 취약점과 맞물리면 트래픽량이 50배 가량 증가하는 것으로 본지가 앞서 보도한 바 있다.

DR디도스 공격 유형은 증폭 공격과 경유지를 이용한 공격으로 구분되는데, 증폭 공격은 공개된 서버(DNS/NTP/SNMP 등)로부터 증폭 또는 반사되어 국통망(국가정보통신망) 내부 서버를 공격하는 것을 말한다.

경유지 이용 공격유형은 국통망 내부 서버를 경유지를 이용해 외부망 서버를 공격하는데, 국통망 영역 서버(DNS/NTP/SNMP 등)가 반사(Reflection) 공격에 사용된다.

실제로 국내 기관을 대상으로 이 같은 디도스 공격이 시도되고 있으며, 이를 대응한 사례를 공유하는 자리도 마련됐다. 이와 관련 정부통합전산센터 측은 “DR디도스 공격 대응을 위해서는 SSDP(Simple Service Discovery Protocol), mDNS, RIPv1 등 불필요한 서비스를 중지하고, UDP Flooding을 차단하는 등 트래픽 고갈 공격에 대한 즉각적인 조치가 필요하다”며 “DR디도스 공격 시도시 국통망에 대한 불필요한 요청 패킷을 차단해야 한다”고 언급했다.

이어 SSL(TLS) 기반 디도스 공격은 기존의 디도스 공격을 SSL(TLS)을 통해 감행하는 수법으로 클라이언트와 서버 간의 필요한 정보를 서로 송신하는 인증과정인 응답 확인(HandShake) 과정을 무한 반복시켜 과부하를 일으키는 공격이다.

특히, SSL 트래픽은 암호화되어 패킷 분석 및 대응이 현실적으로 힘들다. 하지만 THC툴로 대표되는 기존 SSL 공격은 SSL 협상(negotiation)을 무한 반복하는 형태로, 이러한 공격 형태는 차단하고 있다는 게 정부통합전산센터 측의 설명이다.

SSL 실제 공격 사례와 관련해 정부통합전산센터 관계자는 “SSL 기반 디도스 공격의 경우 SSL 응답 확인 과정이 동반 증가하게 된다”며 “SSL 응답 확인 과정에서 대량 발생하는 패킷의 초당 요청수를 근거로 공격 여부를 판단한 후 공격 IP를 차단해야 한다”며, SSL 응답 확인 과정에서는 트래픽이 암호화되기 전이므로 패킷 분석이 가능하다고 설명했다.

이러한 공격 대응과 관련해서 정부통합전산센터는 △웹셸 제거 △관리자 페이지 접근 통제 △입주기관 DNS 대응강화 협조 △미입주기관(소속기관, 지자체 등) 대상에 대해 사이버대피소 등록 요청을 진행하고 있다.

특히, 관리자 페이지 접근통제와 관련해 정부통합전산센터 관계자는 “웹사이트 관리자, Tomcat 등 WAS 관리자 페이지 등에 대해 접근통제를 해야 한다”며 “쉬운 패스워드와 디폴트 패스워드 사용을 금지하고, 관리자 PC의 IP만 접근 가능하도록 조치가 필요하다”고 강조했다.

이와 함께 정부통합전산센터는 입주기관 자체 DNS 서버에 대한 실시간 디도스 차단정책 확대를 검토 중에 있는 것으로 알려졌다.
[김경애 기자(boan3@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)