나우콤 손동식 이사
“이번에 공격수준이 높지 않았던 대역폭 공격까지 시도된다면, 국가 기반시설이 무력해지는 참사가 올 수 있었습니다.”
7.7 DDoS(분산서비스거부) 공격 대란에서 좀비 PC들이 겨눈 창을 막은 방패역할을 맡은 손동식 나우콤 침해사고대응총괄 이사는 제 2, 제 3의 대란이 발생하면 교통시스템·주요통신망은 물론 전력·가스 등의 공공시설물이 파괴될 수 있다고 경고했다.
이번 공격 패턴이 기존 공격 유형과 달리 △패킷 발생량이 미미한 접속고갈 공격과 △대량의 패킷을 유발하는 대역폭 고갈 공격이 뒤섞인 이른바 ‘하이브리드 공격’이었다. 하지만, 실제 웹 페이지가 불능상태로 빠진 것은 접속고갈 공격 때문이었다. 과거처럼 대역폭에도 대량의 트래픽을 쏟아 부었다면 사태해결에 보다 긴 시간이 소요됐다는 의미다.
접속 공격에는 ‘슬로우 TCP 공격’이라는 새로운 방법이 시도됐다. 악성코드에 감염된 좀비 PC에 초당 20∼60회 미만의 느린속도로 대상사이트에 공격을 요청했고, 이를 이용해 서버를 접속준비 상태로 만들고 캐시 콘트롤을 못 쓰게 하는 상태로 만들어 원시쿼리 상태로 공격을 유지시켰다. 때문에 낮은 트래픽으로도 서버의 스트레스를 극대화할 수 있었다. 초기 공격 속도가 느려 L3단에서 유입되는 트래픽이 악성트래픽 인지 아닌지도 판별이 불가능했다.
이에 최상단에 위치한 L7단에서 악성트래픽을 정밀하게 탐지해내는 DDoS방어 솔루션은 물론, 향후 대량의 대역폭 공격을 막기 위해 L3단의 보안장비를 함께 구축해야 완벽한 방어체계를 가동할 수 있다.
손동식 이사는 “변종악성코드가 배포되면 이번에 치료한 PC역시 재차 좀비 PC로 돌변할 수 있다”며 “특히 숙주사이트를 발견할 수 없는 경우가 왕왕 있어 개인 이용자가 항시 바이러스 백신을 내려받는 것은 물론 주요 기관들은 기본적으로 DDoS공격을 차단할 수 있는 방어장비를 갖춰야 한다”고 말했다.
정진욱기자 coolj@etnews.co.kr
