금융회사, ‘멀티 벡터(Multi Vector)’ 디도스 공격 대응해야

멀티 레이어, 애플리케이션·웹서비스 단의 보안으로 폭 넓혀야 안전

[보안뉴스 김태형] 디도스(DDoS : Distributed Denial of Service, 분산 서비스 거부) 공격이 점차 멀티 벡터(Multi Vector) 유형으로 변하고 있어 기존 네트워크 기반의 디도스 방어 장비로 막는데는 한계가 있다.

디도스 공격은 이미 지난 2009년 7.7 디도스 2011년 3.4 디도스, 2013년 3.20 사이버테러 및 6.25사이버 공격을 통해 우리나라 정부기관, 금융사, 방송사 등을 타깃으로 큰 피해를 입히기도 했다.

하지만 최근 디도스 공격의 유형과 목적은 과거와 달리 복잡하고 다양화되고 있다. 특히 사회 혼란 뿐만 아니라, 서비스 중단을 통해 금전적인 이익을 목적으로 지능적이며 파괴적인 공격으로 변화하고 있다.

특히, 최근에는 NTP(Network Time Protocol) 취약점을 악용한 대용량 트래픽 공격과 UDP(User Datagram Protocol) 증폭 반사 공격, DNS(Domain Name Service) 취약점을 이용한 DNS 증폭 반사 공격, SSL(Secure Socket Layer) 기반 디도스 공격, 시스템 쪽에 부하를 주어 서비스를 중단시키는 애플리케이션 단의 디도스 공격 등이 시도되고 있다.

지난 6월 26일에는 대구은행을 포함해 지방은행 세 곳의 전산 시스템이 유럽발로 추정되는 DDoS 공격을 받아 온라인 거래 장애가 발생하기도 했다. 당시 공격자는 1차 공격 후 30비트코인(약 850만원)을 송금하지 않으면 2차 DDoS를 감행한다는 협박 이메일을 보냈다.

이러한 디도스 공격을 주도한 것으로 알려진 유럽의 해킹 그룹 ‘DD4BC(DDoS for BitCoin)’는 은행의 전산 시스템에 대용량의 트래픽을 흘려보내는 ‘UDP 증폭반사’ 방식으로 공격했다.

이와 관련 F5 네트웍스 이진원 차장은 “근래에 발생된 DDoS공격은 UDP 증폭 반사 공격으로, 대용량의 트래픽으로 서비스를 다운시키는 공격이다. 이는 과다하게 발생한 트래픽을 네트워크 기반의 디도스 대응장비로 감시하다가 이상 트래픽이나 임계치를 벗어난 트래픽에 대해 차단하고 정상 트래픽만 보내서 분산시키는 방식으로 효과적으로 방어가 이루어졌다”고 설명했다.

이어 그는 “최근의 디도스 공격은 과거 네트워크 기반의 단순한 대용량 트래픽을 이용한 공격이 아닌 L7, 애플리케이션 레이어 등에 대한 ‘멀티 벡터’ 공격이 증가하고 있다. 앞으로 디도스 공격은 더욱 진화해 다양한 공격 방법이 혼합된 기법의 멀티 공격으로 등장할 것”이라고 말했다.

금융사의 경우, 단 몇 분의 서비스 지연이나 오류가 발생해도 금전적인 손실과 고객 신뢰도 하락 등의 큰 피해를 입을 수 있어 디도스 공격에 철저한 대응이 필요하다. 하지만 최근 증가하는 멀티 백터 디도스 공격이나 애플리케이이션 단의 디도스 공격은 기존 네트워크 단의 디도스 방어 장비로 대응하기에는 한계가 있다.

이에 대해 이진원 차장은 “애플리케이션 단의 디도스 공격은 겉으로 보기에는 정상적인 응답 요청처럼 보이지만, 변조된 서비스 요청을 지속적으로 발생시켜 애플리케이션 서버의 부하를 발생시키는 공격이며, 웹 서비스 지연 공격은 HTTP를 제공하는 웹 서버의 부하를 유발시키는 공격”이라면서 “이러한 공격들은 기존 네트워크 기반의 디도스 방어 장비로는 방어하기 어렵다. 이에 금융사에서는 F5의 차세대 웹 방화벽과 같이 모든 레이어에 대한 공격을 차단할 수 있는 보안 시스템이 반드시 필요하다”고 덧붙였다.

특히 금융회사는 다양한 레이어에 대한 공격에 대응해야 하는데, 이를 위해서는 모든 레이어에서의 공격, 특히 L7의 디도스 공격을 차단할 수 있는 보안 시스템이 필요하다는 것이다. 이는 최근 공격 패턴이 모든 레이어에서 모든 분야를 활용하는 공격이 실행되기 때문이다.

즉, 특정 레이어 대상의 공격보다는 서비스 중단 목적을 가지고 여러 가지가 혼합된 공격 시도가 증가하고 있다는 얘기다. L3 부터 디도스 공격이 시도되는데, 이를 통해 공격자들은 TCP, UDP, SYN 등이 다양한 플러딩(Flooding) 공격 및 증폭 공격과 애플리케이션 단의 공격까지 이루어진다.

▲ F5 네트웍스 이진원 차장

이 차장은 “이와 더불어 SSL(TLS) 기반의 디도스 공격도 매우 위협적이다. 이는 기존의 디도스 공격을 SSL(TLS)을 통해 감행하는 수법으로 클라이언트와 서버 간의 필요한 정보를 서로 송신하는 인증과정인 응답 확인(HandShake) 과정을 무한 반복시켜 과부하를 일으키는 공격이다. 특히, SSL 트래픽은 암호화되어 있어 패킷 분석 및 대응이 현실적으로 어렵다”고 말했다.

하지만 F5의 차세대 웹 방화벽에는 이와 같은 디도스 공격 방어를 위한 강력한 기능을 탑재해 기존 디도스 장비와도 연동이 가능하다. 특히 L7, 애플리케이션 단에서의 지능적인 디도스 공격 패턴에도 F5의 애플리케이션단 디도스 방어 기능은 정상 사용자인지 비정상 사용자인지를 구분해서 서비스를 수행할 수 있도록 차별화된 기능을 제공한다는 점이 특징이다.

결론적으로, 이제 디도스 공격은 새로운 시각으로 그 폭을 넓혀서 대응해야 한다. 애플리케이션에 관련된 부분의 취약성을 이용한 공격이 증가하고 있기 때문에 폭 넓은 디도스 공격 방어가 필요하다는 것이다.

이러한 가운데 F5의 솔루션은 이러한 멀티 레이어 및 멀티 벡터 공격에 대응하고 안정적인 금융서비스가 가능하도록 보안을 강화해서 주목받고 있다. 이진원 차장은 “이제는 서버나 네트워크만 보는 것이 아니라, 멀웨어 탐지, 모니터링, 패스워드, L8 등을 모두 포괄하는 멀티 레이어 보안위협에 대응해야 한다”고 강조했다.
[김태형 기자(boan@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)