설 연휴에 이어 현재까지도 중국발로 추정되는 해킹 및 디도스 공격이 이어지고 있다. LG유플러스, 국내 학술·연구기관 홈페이지, 코레일 등이 사이버 공격을 받으며 서비스 이용 장애와 대규모 개인정보 유출 사태를 겪었다. 더 나아가 사물 인터넷이나 개인 디바이스로도 공격이 확대될 수 있다는 우려의 목소리도 적지 않다.
'DDoS'란?
'디도스'란 분산 서비스 거부 공격(DDoS : Denial-of-service attack, DoS attack)의 약자다. 디도스를 알기 전 먼저 '도스'에 대해 알아보자면 공격대상에게 '패킷(Packet : 소포)'을 과도하게 보내 서버 연산에 지연 혹은 차질이 생기게끔 공격하는 것을 말한다. 보통 '변조(Modulation)'와 '홍수(Flood)'로 나뉘는데 우리가 아는 그 뜻이 맞다. 변조는 정상적인 패킷이 아닌 비정상적인 패킷을 보내 서버에 버그가 생기게 하여 인터넷 서비스를 막는 것을 말한다. 홍수는 정상적으로 패킷을 보내지만 양이 많아 다른 사용자들이 접근할 때 렉 혹은 응답을 느리게 함으로써 '접속시간 초과(Time out)'현상을 노리는 공격이다.
디도스는 좀비 PC로도 불리는 '봇넷(Botnet)'을 사용자 PC에 설치하는 것이 특징이다. 이름에서도 유추할 수 있듯 봇넷이란 '로봇(Robot)'과 '네트워크(Network)'의 합성어로 '멀웨어(Malware)'에 감염돼 악의적인 공격자의 통제를 받는 PC집단을 의미한다. 멀웨어 또한 '악성(Malicious)', '소프트웨어(Software)'의 합성어로 시스템 또는 장치 소유자의 이익을 위해 작동되게 설계된 소프트웨어를 말한다.
이렇게 길들여진 다수의 좀비 PC들을 꼭두각시처럼 조작하며 정상적인 서비스에 접속해 트래픽을 과도하게 올리는 공격이다. 앞서 설명한 도스의 진화된 방식으로 이전 도스에서의 방어 대책을 물량으로 해결한 점이다.
여기서 더 나아가면 '디알도스(DRDoS)'라는 디도스에서 진화된 공격 형태도 있다. 디도스가 바이러스를 뿌려 봇넷을 이용, 공격했다면 디알도스는 봇넷이 없어도 디도스처럼 공격을 취할 수 있다. 디알도스는 출발지를 변조하여 정상적인 서비스를 다수에게 요청을 보내면 서버들은 변조된 출발지로 응답하게 된다. 원래 주인이었던 PC는 요청한 적도 없는 응답을 받게 되어 서비스가 마비되는 형태로 디도스 때처럼 좀비 PC들을 필요로 하지 않으면서 서버를 다운시킬 수 있는 것. 공격자의 IP주소 자체를 위조시키고 공격패킷들이 수많은 네트워크 경로를 지나가기 때문에 공격자를 추적하기 힘들다는 게 특징이다.
본론으로 돌아와 디도스에 대한 설명을 더해 보자면 봇넷 공격자의 의도에 따라 데이터 도난, 랜섬웨어, 사기광고 클릭, 스팸발송, 디도스 공격 등의 불법적이고 악의적인 작업을 충실하게 수행하도록 공격자로부터 설계된다. 디도스 프로그램 중엔 모니터링 프로세서 관리 원격, 파일 관리기능 등의 공격 툴도 있다.
공격자로부터 설계된 봇넷은 원격으로 'LG유플러스'나 '네이버'같은 특정 대상의 기업을 공격하게 된다. 알기 쉽게 설명하자면 수많은 꼭두각시가 서버 하나를 공격하는 셈이다. 이러한 공격을 위해선 가능한 대규모의 봇넷이 받쳐주어야 한다. 하지만 사람들의 보안 의식은 노출된 위험에 비해 너무나도 형편없는 수준이다. 5달러면 1000대 규모의 봇넷을 살 수 있는 세상이다 보니 디도스가 창궐할 만도 하다. 이를 이용해 공격자는 정부기관이나 은행 등 주요 기관 서버에 무차별적인 접속을 시도해 과부하를 일으키게 되는데 이때 다른 이용자가 해당 서비스를 이용하지 못하게 되는 것을 목적으로 한다.
즉, 개인의 정보를 해킹하는 의미가 아닌 주요 기관을 공격하기 위한 목적이 강하며 기관 측에 이러한 공격을 중단하는 것에 대한 대가를 요구한다. 그러나 어떤 부분이든 PC를 컨트롤할 수 있다는 점에서 결코 안전하다고는 볼 수 없다.
'DDoS' 피해
공격자가 멀웨어를 통해 충실한 좀비 PC들을 양성하는 과정 중 특정 웹사이트로의 접속을 불가능하게 만들며 PC 자체의 내용이 지워지기도 하고 아예 부팅이 되지 않기도 한다. 초기 증상으로는 다음과 같다.
- 보안의 지속적인 해제
- 인터넷 접속 시 방해 및 간섭
- 부팅 시간 2~4배로 증가
- 파일을 읽어내지 못함
- 방화벽 해제
이러한 초기 증상은 감염된 PC라면 윈도 서비스 형태로 등록되어 PC의 시작과 함께 자동으로 실행되기 때문이다. 디도스는 PC에 잠복해 있다가 공격자가 설계한 시간이 되면 일제히 PC를 마비, 서버 폭주, 하드디스크 파괴 등을 통해 PC 재부팅을 막고 서버를 먹통으로 만들어 버리는데 공격을 종료한 후 공격자 자신을 은폐하기 위해 악용됐던 PC의 자료를 파괴할 가능성도 배제할 수 없기 때문이다.
포맷을 하면 어느 정도는 회복이 되지만 한번 파괴된 하드 디스크는 되살리기가 힘들다. 또한 공격이 시작되기 전까지 일반 사용자가 평소 알아채기 힘들 정도로 해당 PC에 아무런 표시가 나지 않을 수 있다. 때때로 다운될 수 있고, 외부 전송량이 증가할 수도 있기에 미리 대처하는 자세가 중요하다.
최근 국내 디도스 공격 피해 사례는 'LG유플러스' 유선 인터넷망 공격으로 인한 접속 장애를 꼽을 수 있다. 앞서 설명한 '대용량의 데이터 유입'으로 인해 2023년 1월 29일 오전 2시 56분과 오후 5시 58분 두 차례 접속 장애가 발생했다. 이로 인해, LG유플러스 인터넷 서비스 이용자들이 큰 불편을 겪었다.
이 밖에도 2023년 1월 10일에도 외부로부터 해킹 공격을 당해 최소 18만 명의 개인정보가 유출됐다. 그럼에도 불구하고 이용자들에게 별다른 공지조차 없는 실정이다. 지난해 연간 영업 이익이 창사 이래 처음 1조 원을 넘기는 기염을 토한 기업치곤 대처 방식이나 고객정보 보호 투자에 다소 부족한 모습이다.
2023년 2월 6일 오전 5시 50분에는 '한국철도공사(코레일)'가 표적이 되었다. 이로 인해 공격 대응과정에서 코레일톡과 같은 철도 이용 편의 모바일 앱 및 공식 홈페이지 전산시스템이 장애를 빚었다. 기차표를 예매하려던 이용객들은 예매표를 확인할 수 없어 출근길에 차질을 빚었다.
국내 주요 기관 및 기업을 겨냥한 디도스 피해 사례는 이 밖에도 수 없이 많았다. 국내 첫 사례로는 위키피디아에 의하면 2003년 1월 25일 대한민국 인터넷 망이 디도스 공격으로 마비된 사건이 있다. 공격자는 '마이크로소프트(Microsoft)'사가 1989년 개발한 관계형 데이터베이스 서버 'SQL(Structured Query Language)'의 허점을 이용했다.
이때 사용된 바이러스는 '슬래머 웜(Slammer worm)'으로 전 세계적 인터넷 대혼란을 야기한 바이러스로부터 발생했다. 네트워크에서 서버를 향하는 트래픽을 인위적이고 대량으로 급증시켜 서버를 다운시켰으며 인터넷 접속을 불가능하게 만들었다.
이 사건은 슬래머 웜에 감염된 좀비 PC들이 대량의 데이터를 생성해 'KT혜화전화국'에 있는 'DNS'서버에 트래픽을 집중시키며 시작되었고 전화국이 마비되자 전국적인 트래픽이 다른 '백본망(Backbone network)'으로 우회해 다른 DNS서버도 마비시켰다.
이 날 공격이 시작된 시간으로부터 10분 내에 7만 5천 여 대의 PC가 감염됐으며 전국적으로 인터넷이 9시간 마비됐다. 언론에서는 이 공격으로 약 1조 5,378억 원 규모의 피해가 발생했다고 전했다. 이처럼 기술적으로는 매우 단순한 편이지만 웹 서비스의 기본 원칙을 악용해 사회에 악영향을 미치는 파렴치한 범죄인 것이다.
'DDoS' 예방법
인터넷을 통해 정보화 사회가 발달하면 할수록 이용자들도 많아졌고 이용자를 겨냥했던 것에서 더 나아가 더 많은 개인 정보와 금액을 요구하기 위해 기업을 겨냥하기까지 이를 악용하는 각종 신종 범죄들이 늘고 있는 추세다. 그렇다면 우리들은 어떻게 대처해야 할까?
미국의 세계적인 기업 아마존닷컴의 자회사이자 클라우드 컴퓨팅 사업부 'AWS(Amazon Web Service)'에서는 다음과 같은 방지 기법을 제안하고 있다. 첫 번째, 공격 대상 영역을 최소화로 줄여 공격자의 옵션을 제한하고 한 곳에서 보호 기능을 구축하는 것. 두 번째, 공격을 흡수하고 완화할 수 있는 대역폭(또는 전송) 용량과 서버 용량을 통해 규모에 대한 대비를 제공한다. 세 번째, 정상 및 비정상 트래픽의 특징을 파악하고 각 패킷을 적절한 기준과 비교할 수 있다는 점이다.
마지막으로 정교한 애플리케이션 공격에 대비해 방화벽을 배포하며 트래픽 패턴을 연구하고 사용자 지정된 보호 기능을 생성할 수 있는 경험이 풍부한 엔지니어의 지원을 받을 수 있다는 점이다. AWS Shield는 아래 링크에서 만나볼 수 있다.
링크 : https://aws.amazon.com/ko/shield/ddos-attack-protection/
DDOS 공격의 정의 및 공격으로부터 사이트를 보호하는 방법
모든 AWS 고객은 추가 비용 없이 AWS Shield Standard에 의한 자동 보호를 받을 수 있습니다.
aws.amazon.com
'한국인터넷진흥원(KISA)'에 의하면 중소기업을 대상으로 하는 무료지원 서비스가 있다. '사이버대피소'는 피해 웹사이트로 향하는 디도스 트래픽을 대피소로 우회해 분석, 차단해 정상적으로 운영할 수 있도록 하는 서비스다. 방어 서비스는 적용 후 1개월을 기본으로 하며, 재공격이 예상되는 경우 지속적으로 1개월 더 연장할 수 있다. 서비스 신청은 아래 링크를 참고하자.
링크 : https://www.kisa.or.kr/1020202
KISA 한국인터넷진흥원
www.kisa.or.kr
미국의 에지 컴퓨팅 회사 '클라우드플레어(Cloud Flare)'는 인터넷에서 애플리케이션을 신속하고 안전하며 안정적으로 만들어주는 서비스를 제안한다. 자사에서 추천하는 클라우드 및 온프레미스 네트워크의 모든 것을 보호하도록 마련된 솔루션은 사용자에게 다양하게 제공된다.
클라우드플레어의 192 Tbps의 네트워크 용량을 이용하면 최대 규모의 공격을 막기에 충분하다고 전하고 있다. 또한 100개 국가의 285개 도시에 있는 클라우드플레어의 모든 데이터 센터가 전체 디도스 완화 서비스를 가동한다. 실제로 수백만 개의 인터넷 자산이 신뢰하고 있는 클라우드플레어는 업계를 주도하는 디도스 완화 서비스로 사용자들로부터 많은 사랑을 받고 있다.
디도스 공격의 무제한 완화를 통해 모든 웹 자산의 성능과 가용성을 유지, 글로벌 네트워크 인텔리전스를 활용한 빠르고 자동화된 효과적인 비용의 디도스 방어를 제공하며 192 Tbps 이상의 용량을 사용한 BGP 기반 무제한 디도스 완화, 위협 탐지 시간 1초 미만, 내장 네트워크 방화벽 및 트래픽 가속 등 상시 또는 온디맨드 배포모드 기능도 있다.
또한 인터넷에 노출된 TCP/UDP에서 작동되는 게임 애플리케이션, SSH, SMTP, FTP 또는 기타 커스텀 애플리케이션은 공격에 취약하다. 트래픽 가속으로 간편하게 애플리케이션을 온보드하고 즉시 디도스로부터 보호받을 수 있다. 클라우드플레어의 고급 디도스 공격 방어 프로그램은 아래 링크에서 확인할 수 있다.
링크 : https://www.cloudflare.com/ko-kr/
Cloudflare 홈페이지
Cloudflare의 CDN, DNS, DDoS 보호 및 네트워크 보안으로 안전한 인터넷 환경을 구축하세요.
www.cloudflare.com
참고 : 위키피디아, 한국인터넷진흥원, AWS, Cloud Flare
'Issue' 카테고리의 다른 글
| 삼성전자 주가 폭등 이유(+자사주 매입,그 외 요인) (2) | 2024.11.19 |
|---|---|
| 2023발렌타인데이 알아보기(+행사 및 이벤트, 유래, 역사) (8) | 2023.02.06 |
| 2023 입춘에 대해 알아보자(입춘대길 뜻, 입춘첩 쓰는 법) (12) | 2023.02.03 |
| 롤 해킹피해 예방법 핵심정리(필수덕목) (6) | 2023.02.02 |
| 알아두면 좋은 2023 자동차세 꿀팁(카드사 할인혜택까지) (18) | 2023.01.16 |
