[디지털데일리 이종현기자] “2020년 발생한 서비스 분산 거부(디도스, DDoS) 공격은 약 10억건으로, 2019년 대비 20%가량 증가했습니다. 올해도 전년대비 약 20% 늘었습니다. 빈도가 늘었을 뿐만 아니라 지속적으로, 짧은 시간 내에, 복잡한 공격을 수행하는 등 공격을 막는 것이 점차 까다로워지고 있습니다.”(안호준 SK브로드밴드 보안기술팀)
3일 SK그룹 22개 계열사가 참여한 정보통신기술(ICT) 컨퍼런스 ‘SK ICT 테크 서밋 2021’을 개최했다. 인공지능(AI), 메타버스, 클라우드 등 미래 기술에 대한 다양한 세션이 마련된 가운데 SK브로드밴드(이하 SKB)는 ‘디도스 공격과 방어의 진화’를 주제로 발표했다.
SKB 보안기술팀 안호준 매니저는 2020년 월 평균 540건의 디도스 공격이 발생했다고 말했다. 올해는 2021년 대비 20%가량 증가한 778건이다. 코로나19 팬데믹 기간 중에는 25% 늘었다.
안 매니저는 최근 디도스 공격의 주요 특징 중 하나로 랜섬 디도스 공격의 증가를 꼽았다. 특정 기업·기관을 대상으로 금전을 요구하고, 이를 지불하지 않으면 디도스 공격을 하겠다는 협박형 공격이다.
다양한 공격 기법을 혼합한 멀티벡터 디도스 공격의 증가도 고민거리다. 안 매니저는 2017년 이후 15개 이상 멀티 벡터 공격의 증가율은 2851%에 달한다고 전했다.
공격 빈도는 늘고, 기법은 다양해지고 있는 데 반해 공격 지속 시간은 오히려 줄었다. 짧은 시간 내에 공격을 수행하고, 효과를 얻지 못하면 다른 타깃을 찾는 방식이다. 공격시 초당 발생하는 패킷도 31%가량 늘었다.
이와 같은 변화들은 디도스 공격을 막아야 하는 보안팀 입장에서는 난제다. 이에 대응하기 위해 SKB는 이상 트래픽 발생시 트래픽을 제어해 공격을 방해한다. 해킹 정보, 보안 위협 정보 등을 바탕으로 선별적으로 트래픽을 제어하는 디도스 자동 차단 시스템(DASP)이 중추적인 역할을 수행한다.
안 매니저는 “국내·외 주요 라우터 162식의 플로우 정보를 수집해 이상 트래픽을 탐지하고 대응한다. 국내 최대 규모인 320기가(Gbps)의 디도스 방어 장비를 갖췄다. 보안 전문 인력이 365일 24시간 보안관제 및 대응을 수행한다”고 말했다.
가령 320기가(Gbps) 이상의 대규모 디도스 공격이 발생할 경우 ①디도스 공격을 분석하고 ②공격 규모 및 차단 대상을 선정한 뒤 ③디도스 트래픽에 대한 차단(블랙홀) 처리 요청 ④블랙홀 차단 ⑤대규모 해외망 트래픽 차단 등의 프로세스를 수행한다. 이 경우 해외망은 차단됐지만 국내망은 정상 이용 가능하다.
한편 이날 행사에서는 SK쉴더스의 AI를 이용한 모바일 백신 솔루션도 소개됐다. 알려진 패턴 기반의 보안 기능을 수행하는 기존 백신과 달리 스미싱 AI 탐지 기술을 통해 자동 수집·분석·판정 시스템을 구축한 것이 특장점이다.