중국발 분산서비스거부(DDoS) 공격

2007.11.01

 

최근 갑작스럽게 TV방송 3사와 인터뷰를 했다. 게임아이템 중개사이트에 대한 중국발 분산서비스거부(DDoS, Distributed Denial of Service) 공격에 대한 것이었다. 인터넷에서 찾아 보니, 방송사를 비롯하여 일간지, 전문지, 통신사 할 것 없이 중요한 기사로 다루고 있었다. 피해를 당한 업체와 IDC가 낸 글들, 블로그, 인터넷 카페, 언론의 기사, 담당 기자들의 이야기를 모아 보면, 추석 전후부터 게임 아이템 판매 사이트들의 접속이 불안정했고, 이것이 중국 공격자들이 해당 사이트들에 DDoS 공격을 했기 때문이라는 것이다. 실제로 한 방송의 뉴스에서는 공격자들이 피해 업체에 돈을 요구하는 것을 녹음한 것을 들려 주기도 했다.

 

DDoS 공격은 그 역사가 짧지 않다. 2000년 2월에 야후, 아마존, 이베이, CNN 등이 DDoS 공격을 받아 서비스 장애가 발생하는 피해를 입었고, 2001년에는 백악관이 공격을 당하기도 했다. 2003년에는 SCO 유닉스, 2004년에는 마이크로소프트, 올해 2월에는 2002년에 이어 전세계 루트(root) DNS에 대한 DDoS 공격이 발생했다. 해외의 주요 사례들을 보면, 주로 대기업이나 독점적 지위에 있는 조직에 대해 ‘정치적 이유’로 공격을 하는 것으로 보인다.

 

작년 하반기부터 본격적으로 시작된 국내 사이트에 대한 공격에서 일부 공격자들이 돈을 요구했고, 올해부터는 그것이 좀더 노골화되었다는 점이 해외의 사례와는 뚜렷이 구별된다. 돈을 요구하는 자들이 주로 중국에 거주하고, 우리 말로 협박한다는 점도 중요한 특징이다. 국내 사정을 잘 아는 자들이 성인 사이트나 화상채팅 서비스 사이트 등 주로 위법이나 탈법 공간에 있어서 협박을 받더라도 정부 당국에 신고하기 어려운 업체들을 공격하면서 돈을 요구한다고 볼 수 있다.

 

점점 더 발전해 가는 DDoS 공격

 

DDoS 공격은 IP 망을 통해 특정한 서버에 다량의 트래픽을 보냄으로써 해당 서버를 다운시키거나 네트워크를 마비시켜 서비스를 중단시키는 – Denial of Service 상태에 빠지게 하는 - 공격 방법이다. 공격자 IP를 속일 수도 있다. 이 과정에서 공격당하는 서버나 네트워크 장비뿐 아니라 네트워크에 연결된 다른 서버들도 서비스를 하지 못하는 피해를 입게 된다. 인터넷의 근간을 이루는 TCP/IP, UDP/IP 프로토콜이 미국 국방부의 연구를 위해 만들어진 네트워크 프로토콜이어서 보안 취약점이 존재한다는 것에 문제의 본질이 있다. 따라서 인터넷에서 이뤄지는 DDoS 공격을 방어하거나 공격자를 추적하는 것은 매우 어려운 일이다.

 

원래 DDoS 공격은 유행할 정도로 그리 쉬운 것이 아니었다. DDoS 공격의 종류나 네트워크 상태에 따라 다르긴 하지만, 보통 위력있는 DDoS 공격을 위해서는 수십 대~수천 대의 PC가 동원되어야 하기 때문이다. 대표적인 것이 ‘F5공격’이다. 특정한 사이트에 많은 네티즌들이 연결하여 ‘새로 고침’ 단추(F5)를 계속 눌러 많은 트래픽을 웹 서버에 보냄으로써 웹 서버에 DDoS 공격을 하기 때문에 붙여진 이름으로, 지금은 웹 서버나 장비가 충분히 좋아져서 별 위력을 발휘하지 못한다. 이 공격 또한 동시에 많은 네티즌들을 구해야 하기 때문에 쉽지 않은 공격 방법이다.

 

하지만 2004년에 인터넷 채팅 프로그램의 일종인 IRC(Internet Relay Chat)를 기반으로 한 IRC 봇(Bot) 악성프로그램이 크게 유행하면서 상황이 바뀌었다. IRC 봇이나 이와 비슷한 각종 봇 악성 프로그램들은 보통 윈도 운영체제나 인터넷 익스플로러의 취약점을 공격하여 다른 PC에 확산되기 때문에 여러 PC에 봇을 훨씬 쉽게 설치할 수 있게 된 것이다. 또한 IRC의 특성상 봇들은 봇 서버에 연결하고 봇 주인(Bot Master)의 지시를 받아 수행하게 되어 있어서, DDoS 공격에 적합하다. 게다가 IRC 프로그램들은 소스가 공개되어 있어 변종들도 상당히 많이 만들어 지고 있다. 2004년 이후 이뤄지는 DDoS 공격들은 대부분 봇 악성 프로그램을 이용하는 것으로 추정된다. 이처럼 공격이 점점 더 쉬워지는 데 반해 방어는 점점 어려워 진다는 데에 보안 업계의 고민이 있다.

 

대부분의 보안 위협과 마찬가지로 DDoS 공격에 대한 방어 역시 각 주체들의 다각적인 노력이 필요할 것 같다.

 

보안의 각 주체들이 DDoS 공격 방어에 나서야

 

우선 보안장비 업체와 네트워크 장비업체들이 이 공격을 잘 막을 수 있는 고성능의 장비를 개발하는 데 집중해야 하리라 생각된다. DDoS에도 여러 유형이 있어서 한 종류의 장비로 완벽하게 방어하기 어려울 수 있기 때문에, 스위치나 라우터, IPS, UTM, 또는 DDoS 방어 전용 장비 등 다각도로 DDoS를 방어할 수 있는 제품을 개발해야 할 것이다. 이에 대해 산-학-연이 공동으로 연구하는 것이 필요할 수도 있겠다.

 

인터넷 기반 서비스 업체도 발상의 전환을 할 필요가 있다. 이제 보안은 수익이 날 때 고민할 요소가 아니라 사업의 기본 인프라라는 점이다. 보안을 고려하지 않고 시작하는 사업은 인터넷 시대에는 언제든지 사상누각이 될 수 있다. 일부 손실을 보는 수준을 지나서 잘못하면 아예 사업을 접어야 하는 경우도 생긴다.

 

일부 IDC에서는 DDoS 공격을 받는 서버들에 대한 호스팅 서비스를 중단한다고 한다. IDC 입장에서 보면, 과다한 네트워크 트래픽으로 인해 다른 서버에도 영향을 미치는 것을 방지하기 위해 어쩔 수 없는 조치일 것으로 보인다. 하지만 IDC가 단지 서버들을 호스팅만 하던 시기는 이미 지났고, 보안이나 서버 관리 등의 다양한 서비스를 통해 부가가치를 높이고 있는 현실을 볼 때 국가 인터넷의 인프라를 담당하고 있는 IDC가 보안 강화를 통해 좀더 적극적인 서비스를 해야 하지 않을까 생각된다.

 

해외에서 오는 DDoS 공격에 대해서는 ISP들과 유관 기관의 협업을 통해 할 수 있는 일들도 있을 것 같다. 2006년 초에 일본 내각관방 산하 국가정보보호센터(NISC)의 초청을 받아 일본에 갔을 때, NISC 실무자에게서 당시 일본에서 위세를 떨쳤던 위니(winny) 웜을 차단하기 위해 ISP들이 공조한 방식을 들었다. ISP에서 위니 웜을 발견하면, 그것을 보낸 PC에 이메일(e-mail)을 보내 그것을 치료하도록 권고했다는 것이다. 일본 국내 보안업체들이 없기 때문에 궁여지책으로 한 것이라고 했지만, 요즘 상황을 보면서 이를 DDoS 방어에 참고할 수 있지 않을까 싶다.

 

DDoS 공격의 수단으로 악용당하는 PC 사용자들도 자신의 역할이 있다. 외국에서 들어 오는 공격은 그렇다 치더라도 국내의 PC들을 악용하는 공격에 대해서는 자신의 PC에 설치되었을지도 모르는 악성 코드를 제거한다면, DDoS 공격을 사전에 막는 데 기여할 수 있다. 요즘 안티바이러스 제품들이 봇류들을 잘 진단, 치료하고 있으므로, 충분히 가능할 것으로 보인다. 자신의 컴퓨터에 백신을 비롯한 보안 제품을 설치하고, 자동 업데이트 기능을 통해 언제나 최신의 엔진을 유지하는 일은 이제 인터넷 시대에 PC를 사용하는 모든 네티즌들의 기본 에티켓이 되었다.

 

DDoS 공격은 범죄행위로 강력한 처벌해야

 

악성 프로그램을 제작, 배포, 전달하는 행위는 ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률’에 따라 5년 이하의 징역, 5000만원 이하의 벌금에 처하게 되어 있다. 아무리 공격하기가 쉬워졌다 하더라도 행여나 연습은 하지 않는 게 좋겠다. DDoS 공격 역시 명백한 범죄 행위다. 이를 악용해 이익을 취득하려고 하는 자들에게는 법률이 허용하는 한도 내에서 강력한 처벌이 이뤄져야 할 것이고, 해외에서 발생하는 공격에 대해서는 외교 경로나 FiRST(침해사고긴급대응국제포럼) 등과의 연계를 통해서 이를 추적, 처벌하는 일이 필요하리라 판단된다.

 

가끔 DDoS 공격에 대한 근본적인 대책이 있느냐는 질문을 받는다. 생각해 보면 발생한 지 20년이 넘은 악성 프로그램에 대해서도 전세계적으로 ‘근본적인 대책’을 만들어 내지 못한 채로 DDoS 공격에 맞딱뜨리고 있다. 이에 대응하는 보안의 방패도 지속적으로 우리는 연구하고 발전시켜야 한다. 특히 이 공격은 우리 사회가 인터넷 기반으로 급격하게 이동하는 데 대해 매우 위협적인 요소이다. 서비스 업체, IDC나 ISP, 보안업체, 대학, 연구소, 정부, 개인 등 관련된 모든 주체들이 이의 해결을 위해 총체적인 노력을 기울여야 할 때이다.

          강은성 상무는 안철수연구소에서 사용자의 IT 자산을 지키는 보람과
          즐거움으로 일하고 있으며, 어린이들도 즐겁게 뛰놀 수 있는 안전하고
          편안한 인터넷 세상을 만드는 꿈을 갖고 있습니다.

출처 : 아이뉴스24 강은성의 안전한 IT 세상 2007년 10월 22일