관련 통계자료 다운로드 시대별 디도스 형태 변화와 특징 라드웨어가 최근 발표한 `2012 글로벌 애플리케이션 & 네트워크 보안 리포트`에 따르면 지난해 인터넷 환경에서 서비스거부(DoS·도스)와 분산서비스거부(DDoS·디도스) 공격이 가장 큰 위협으로 꼽혔다.
그 특징은 악성코드와 바이러스가 확산되면서 취약점을 이용한 도스·디도스 공격이 발생한다는 것이다. 또 도스·디도스 공격은 정상 트래픽이 서비스되는 동시에 비정상 트래픽이 과도하게 유입된다. 이와 함께 짧은 시간이 아닌 며칠 동안 장시간 공격이 이뤄진다.
예전의 도스·디도스 공격은 인터넷 서비스에 큰 영향을 주지 않았기 때문에 보안위협과 사회적 이슈가 되지 않았다. 하지만 2009년 7·7 디도스, 2011년 3·4 디도스, 2011~2012년 어노니머스 해킹과 같이 점차 파괴력 있는 도스·디도스 공격이 이뤄지면서 대비책 마련이 시급하다.
◇권총 싸움에 칼 사용하는 기업이 대부분
이번 보고서는 라드웨어 솔루션을 사용하지 않는 기업 274곳 설문조사를 기반으로 작성됐다. 지난 한 해 동안 도스·디도스 공격으로 일어난 네크워크 보안 이슈와 동향을 중심으로 다양한 정보를 제공한다.
보고서는 서두에 “많은 투자에도 불구하고 디도스와 해킹 같은 공격으로 전산망이 마비되는 것은 기업이 권총 싸움에 칼을 사용하기 때문”이라며 “보안 솔루션에 대한 방법과 범위를 정확하게 파악 못하고 사이버 전쟁에 참여하기 때문에 패전은 당연한 것”이라고 지적했다. 그러면서 디도스 공격의 종류를 이해해야만 싸움에 승산이 있다고 충고했다.
보고서는 디도스 공격이 발생 시간 동안 다양한 형태를 사용하며 동적으로 형태가 변화하는 양상을 띤다고 설명했다. 평소 예상하지 못한 형태로 공격을 받게 되면 차단이 더 어려워진다.
라드웨어 긴급대응팀(ERT)은 보고서를 통해 “2012년 디도스 공격의 가장 큰 변화는 공격 복잡도 증가”라며 “공격은 점점 강력하면서 정교하고 집요해졌다”고 경고했다.
보고서에 따르면 해커는 기본적으로 공격 진행 방향을 계획하고 자신의 전문 분야를 이용해 도스·디도스 공격을 감행한다. 디도스 공급망을 확장하기 위해 도스·디도스 툴킷을 개발하고 대량으로 분배하는 매커니즘을 발전시킨다.
초보 해커는 고급 해커에 의해 발전된 디도스 툴과 해킹 지식을 이용해 큰 노력 없이도 정교한 공격을 손쉽게 실행할 수 있다. 이어 반해 기업이나 서비스를 방어하는 입장에서는 일년에 단지 몇 차례의 디도스 공격만을 경험할 수도 있다. 적은 방어 경험으로 미래의 공격을 대비하는 데는 무리가 따른다는 설명이다.
이번 설문조사에서 기업들은 사이버 공격을 인지하고 있으며 55% 기업이 스스로 사이버공격의 타깃이 될 수 있다고 응답했다. 81%는 사이버 공격으로부터 스스로를 보호하기는 역부족이라고 응답했다.
◇툴 구하기 쉬워 초보자도 디도스 공격 가능해져
점차 상용화되고 있다는 것도 최근 디도스 공격의 특징 중 하나다. 아직까지 온라인 전자상거래 상에서 공격 서비스에 대한 거래를 찾을 순 없다. 하지만 정치적인, 금전을 요하는 브로커에 의해 온라인 사이트에서 디도스 툴과 서비스를 구매할 수 있다.
디도스 툴과 서비스는 구매뿐만 아니라 대여도 가능하다. 이렇게 발생한 디도스는 네트워크와 서버의 보안 경계를 무너뜨린다. 개인 사용자뿐만 아니라 누구나 사이버 범죄 집단을 형성해 디도스 범죄를 저지를 수 있게 됐다.
해킹 공격은 어려운 코딩과 고급 해킹 전문 지식을 필요로 한다. 하지만 디도스 공격 툴은 초보자도 쉽게 봇넷을 이용해 공격할 수 있다. 디도스 공격 툴킷은 공격을 지시하는 제어서버와 좀비 PC를 생성하기 위한 봇 빌더를 포함한 소프트웨어 패키지로 이루어져 있다.
디도스 공격 툴의 보급은 전문 해커를 고용하는 디도스 공격으로 발전했다. 사이버범죄 조직은 간편한 디도스 공격 툴을 이용해 원하는 이에게 대량의 좀비PC를 대여하는 디도스 공격 서비스를 제공한다. 일반적으로 경쟁관계에 있는 업체의 서비스를 중단시키며 악의적 형태로 고객에게 금품을 갈취한다.
디도스 공격 툴은 해커들에 의해 새로운 기능을 추가, 지속적으로 판매된다. 따라서 이에 따른 방어 전략을 수립해야 한다. 도스·디도스 공격에 대처하려면 안티 디도스 솔루션을 네트워크 경로에 배치해야 한다. 라우터, 방화벽, L4, 이더넷 서비스, DMZ 서버 등을 보호할 수 있도록 방화벽 앞단, 즉 최상단에 전진 배치해야 한다는 설명이다. 기업 전체 대역폭을 고갈시키는 공격의 경우 클라우드 기반 디도스 솔루션을 이용해야 한다.
보고서는 기관과 기업은 좀 더 장시간에 걸친 정교한 공격에 대한 대응과 분석 능력이 확보됐는지 반드시 확인해야 한다고 강조한다. 예를 들어 3명의 숙련된 엔지니어가 있다고 가정하면, 3교대를 위해 9명의 엔지니어가 필요하다. 이들이 3교대를 통해 보안 모니터링과 분석이 가능한지 확인해야 한다. 최신 보안 전략 마련과 전문가 확보에 총력을 기울여야 디도스를 막을 수 있다고 보고서는 전했다.
안호천기자 hcan@etnews.com
