[전문가기고] 효과적인 대용량 복합형 DDoS 공격 방어 전략

실시간
뉴스

특집

[전문가기고] 효과적인 대용량 복합형 DDoS 공격 방어 전략

디지털데일리 발행일 2010-07-13 17:05:33

이유지 기자

URL복사

김항진 유섹 DDoS대응센타 센터장(부사장)

<전문가기고>

김항진 유섹 DDoS대응센타 센터장(부사장)

2009년 7월 7일 분산서비스거부(DDoS) 공격으로 인해 주요 국가 기간망이 심각한 피해를 봤다. 당시 거의 무방비 상태로 효과적인 대응을 하지 못했다. 아니 대응시나리오가 없었다고 하는 것이 더 정확할 것이다.

올해 7월 7일은 무사히 지나갔지만 앞으로 언제라도 공격은 발생할 수 있다. 비슷한 공격이 다시 발생한다면 어떨까? 결론부터 말하자면 95% 이상이 효과적인 대응이 안될 것이라고 생각된다.

이런 결론을 단호하게 애기하는 데에는 7.7 DDoS 공격 대응 조치는 전문가의 의견이 현실적으로 반영되지 않았기 때문이다.

잘못된 진단에서 시작된 잘못된 처방

다시 한 번 되새겨보면, 당시 공격을 당했던 기업이나 기관의 경우는 DDoS 방어 장비가 없었던 곳이 아니다. 국민은행 등 금융권뿐만 아니라 포털들도 DDoS를 위한 방어 장치를 보유하고 있는 상태였다. 그런데 왜 7.7 공격 당시 그리 속수무책으로 당했는가?

이유는 간단하다 DDoS 자체를 잘 모르고 장비만 그냥 사 놓은 것이 가장 중요한 원인이었다. ‘첫술에 배부를 수 있나?’ 일단 구축하기 쉬운 장비부터 구축하고 문제 터지면 또 그때 대응하자고 했던 태도가 7.7과 같은 대형사고를 불러온 것이다.

그럼 여기서 간단하게 DDoS 공격에 대해 얼마나 고민 없이 많은 자금이 엉뚱하게 대응책에 투입되었는지 간단이 짚어 보겠다.

DDoS 공격은 타깃 자체가 ‘네트워크 인프라 , 밴드위스, 서비스 서버’ 이렇게 구분된다. <그림 # 1>에서 보는 공격화면과 같이 간단한 클릭 한번으로 공격 타깃으로 바꿔 가면서 공격하게 된다.

<그림 #1. DDoS 공격 타깃>

대부분의 해커들은 세가지 타깃 중에서 어디가 약점인지를 정확하게 파악하지 않은 상태에서 공격하기 때문에 주로 3가지를 순차적으로 돌아가면서 하는 복합형(Combine)공격을 <그림 #2>와 같이 하게 된다.

<그림 #2. 공격 툴 화면>

이것만 이해한다면 지금의 투자가 얼마나 잘못되었는지는 금방 알 수 있다. 작년 특별예산으로 투입된 거의 1000억원 가까운 예산은 모두 공격타깃인 서버를 보호하기 위한 목적인 전용장비에 투자했다고 해도 과언이 아니다.

그럼 이제 남은 숙제가 네트워크 인프라 공격과 밴드위스 공격은 어떻게 대응할 것인가? 대부분의 공격이 복합형 공격이기 때문이다. 이 또한 다시 발생하면 그때 대응할 것인가? 이미 2009년 7.7 공격에서 30G 이상의 공격을 경험하고도 아직 별다른 대책이 없다.

그런데 7.7 사태 이후 연일 매스컴을 떠들썩하게 하고 국가에서 긴급예산을 편성해 구축하는 방법이 더 세밀하고 전문적인 분석과 진단 없이 처방하는 바람에 7.7 이전과 똑같은 문제를 반복하고 있어서 향후에 발생할 문제가 심히 걱정스럽다 .

간과되지만 거대하고 심각한 잠재 위협

먼저 언급한데로 세가지를 타깃으로 하는 공격 중에서 가장 간과되고 있으면서 가장 심각한 잠재위협이 것이 바로 밴드위스 공격이다. 이미 2009년 12월 기점으로 공격량의 기록은 <그림 #3>과 같이 100G를 상회했고 2010년 3월에는 이미 150G를 돌파하고 있다. TCP공격만으로도 4.8G를 돌파하며<그림 #4> 공격량은 기하급수적으로 빠르게 증가하고 있다.

<그림 #3. 100 G를 상회한 공격>

<그림 #4. TCP 공격만 4.8G를 상회한 공격>

각 통신사의 광랜의 급속한 전파속도에 따라 좀비 당 발생시키는 비정상 트래픽이 급속하게 늘어나고 있다. ADSL 환경에서 업로드 125kbps가 가능했지만 광랜이 도입되면서 60M bps가 발생하고 있으며<그림 #5> 2010년부터는 ‘3D TV 등의 서비스를 위해서 가정에서 기가급 서비스가 시작된다.

이론적으로 PC 한대당 기가 트래픽을 유발한다는 의미가 된다. 이는 좀비 1000 개가 1테라(Tera)의 공격을 유발한다고 보면 그 심각성이 그 어떤 것보다도 심각하다는 것에 이의를 달 수 없을 것으로 생각이 된다.

<그림 #5. PC 당 60Mbps 이상이 업로드 되는 화면>

실효성이 결여된 지침 및 모의훈련

이런 급박한 환경에서 금융감독원에서 7.7 대응을 위해서 금융기관에 하달된 이른바 ‘10.28 조치’는 매우 시의적절한 조치였으나 몇가지 문제점을 지적하지 않을 수가 없다.

대표적인 문제점은 DDoS 대응장비를 보유하거나 또는 우회경로를 확보하거나 둘 중 택일하도록 지침에 명시되어 있다는 것이다. 이는 공격 타깃이 되는 밴드위스, 네트워크 인프라 그리고 서버를 포괄적으로 방어하면서 중요한 원칙인 방어력의 밸런스가 간과되어 버린 가장 안타까운 지침이었다.

대응장비는 서버를, 우회경로는 밴드위스와 네트워크 인프라를 보호하기 위한 방안인데 이를 ‘AND’ 가 아닌 ‘OR’로 지침이 하달됨으로써 공격방어력을 확보하는데 상당한 지장과 장애를 초래한 결과를 가져왔다고 봐야 한다.

7.7 이후 DDoS 대응장비를 보유하거나 또는 우회경로를 확보하라고 언급된 지침에 따르면 주요 금융사는 이미 7.7 이전에도 지침을 만족하고 있었다.

심지어 7.7에 공격을 당하고 있던 금융기관들도 이미 10.28 조치 대부분을 만족하고 있어 지침에서 요구하는 가이드라인을 만족하기 위한 추가적인 개선이 필요하지 않게 된 것이다.

이는 지금과 같이 전산투자에 인색한 시점에서 이미 감독기관의 지침을 만족하고 있음에도 실무자가 자발적으로 문제를 제시하고 상사를 설득하고 예산을 확보하기에는 상당히 버겁고 불편한 일일 것이다. 많은 전산 담당자들도 이미 문제는 알고 있지만 지침만 충실하고자 하며 문제 발생 시에는 지침 준수를 책임으로 수단으로 생각하고 있다.

설상가상으로 각 감독기관에서 수행하는 모의훈련은 더욱 치명적인 문제를 양산하고 있는 듯하다.

2009년 7.7 상황에서 이미 30G 를 돌파한 공격은 인터넷 TV, VOIP 의 폭발적인 보급에 따른 광랜의 확산에 따라 밴드위스 공격 기준으로 이미 전년대비 7배인 200G 에 육박하고 있다.

그런데 모의훈련에서는 ‘서비스의 지장이 없는 선에서’ 수행하는 것을 지침으로 갖고 있다 보니 현재 금융기관이 보유하고 있는 밴드위스 내에서 또는 밴드위스의 50%에서 공격 형태의 훈련을 하고 있다. 실제 공격과는 전혀 상관이 없는 실효성 없는 훈련을 제공하고 있는 것이다.

뿐만 아니라 훈련을 통해 준비 되지 않은 기관 및 조직을 점검하고 실효성 있는 기준으로 제시해 상향평준화를 이뤄야 하나, 훈련의 기준을 실제 공격을 기준으로 한 것이 아니라 피 훈련 대상기관이 보유한 환경을 기준으로 하다 보니 거의 대부분의 경우가 훈련을 문제없이 통과하게 됐다. 이에 따라 준비되지 않은 조직에도 일종의 ‘면죄부’를 부여하는 잘못된 결과를 양산하게 됐다. 이는 크게 잘못된 조치로 조속하게 보완하지 않으면 또 다른 7.7 을 불러들일 것이 명확하다.

효과적인 대응체계를 위해서

감독기관 등은 중요한 가이드라인이 될 수 있는 지침 등을 하달할 때에는 반드시 전문가 조직의 자문을 구해야 한다. 아울러 공격자들의 공격 타깃과 유형을 분석한다면 반드시 모든 공격을 다 막아내지는 못한다고 하더라고 효과적인 대응 방안을 도출할 수 있을 것이다.

제안된 예산에서 대응책을 강구할 수밖에 없는 상황에서 ‘DDoS 공격 타깃’별로 균형잡힌 대응체계 구축이 반드시 필요하다. 이런 관점에서 지금까지의 ‘서비스서버’에 대한 대응책으로 DDoS 대응장비로만 집중됐던 투자를 ‘네트워크 인프라 및 밴드위스 공격’에 대한 필수적인 대응책인 ‘DDoS 공격 감쇠 우회경로’와 효과적인 운영을 위한 ‘관제서비스’ 등으로 포괄적이고 균형 잡힌 대응체계 구축이 절실하게 필요다고 하겠다.

특히 포괄적이고 효과적인 대응책으로 떠오르고 있는 ‘클라우드 기반 DDoS 공격 감쇠 우회경로 서비스’를 소개해보겠다.

클라우드 DDoS 공격 감쇠 우회망 서비스(Cloud Based DDoS Mitigation Service 이하 CBDMS)는 DDoS를 방어용 클라우드를 확보하고 공격이 들어오면 공격방어 능력을 확보한 이 망으로 트래픽을 유도하고 이 망을 거치는 동안에 공격트래픽들은 걸러내는 방식으로 이미 선진국에서는 베리사인, 아버네트웍스, 프로레식(Prolexic) 등 많은 전문기업들이 이 방식을 통해서 서비스를 하고 있다.

국내에서는 한국인터넷진흥원(KISA)에서 이 방식을 이용해 DDoS 공격망을 확보하기 곤란한 중소기업들에게 제공하기 위한 대민서비스로, 하반기부터 제공되는 ‘DDOS 대피소’도 이 방식을 채택하고 있다.

<그림 #6. CBDMS 개념도>

이 방식의 대표적인 장점은 첫째, ‘확장성’이다. 현재와 앞으로의 DDoS 공격의 명확한 특징은 자동화와 복합형이다. 복합공격은 이미 밴드위스 공격, 서버 공격, 네트워크 인프라를 타깃으로 하는 공격이 복합되어 있어 공격 대상이 되는 회사나 기관의 3개의 타깃 모두가 DDoS 방어능력을 확보 하고 있지 않으면 DDoS로부터 서비스의 연속성을 보장할 수가 없다 .

둘째, 경제성이다 최근에 늘어나는 공격량을 방어하기 위해서 모든 기관들이 공격량에 준하는 밴드위스를 확보한다는 것은 현실이 상당히 떨어진다. 따라서 공격 차단용 우회망을 공동으로 확보하고 공유하며 공격시에만 사용하는 것이 가장 비용효과적인 솔루션이다.

셋째, 운영의 효율성이다. 2009년 7.7 때 겪어보았듯이 자체 운영팀을 보유하고 있다고 하더라도 운영팀 단독으로 DDoS를 대응하는 것은 별로 효과적이지 못하다. 특히 ISAC(Information Sharing) 기능이 절실히 필요하다.

CDBMS는 구조적으로 ‘공격을 유발하는 좀비 IP , 공격방법, 산업별 DDoS 현황을 파악하는 산업별 DDoS 게이지(Gauge)’ 등을 제공함으로써 예방관제(Preventative Management)를 통해 보다 나는 운영의 효율성을 확보할 수 있다.

결론

DDoS 공격은 공격타깃이 3가지 군(밴드위스, 네트워크 인프라, 서버)로 구분할 수 있으며 그 타깃에 대해서는 모두 다른 공격방법을 사용한다. 어느 하나라도 방어력이 떨어지면 가장 낮은 방어력에 전체 영향을 받기 때문에 ‘단순한 장비로 대응’하는 전략으로는 매우 효과적이지 못하며 비용만 기하급수적으로 높아질 수 있다.

금융기관 및 국가기관, 기업 등에서는 종합적이고 포괄적이며 공격을 이해하고 대응하는 절차를 반드시 확보할 것을 권고한다.