▲ 한호현 한국해킹보안협회 전무

한국해킹보안협회 전무




서울대학교를 졸업하고, 서강대학교에서 MBA를 받았다. 한국사이베이스 컨설턴트, 현대정보기술 상무를 역임하였으며 정보통신부에서 정보보호업무를 담당했다. 정보통신기술사, 전자계산조직응용기술사, 정보관리기술사 등 정보통신 3대 분야의 기술사 자격증을 보유하고 있다. RFID HANDBOOK 등 3편의 역서가 있다.

들어가는 말
지난 7월 7일 한국과 미국의 정부기관, 금융기관, 인터넷서비스 업체 등 약 46개를 대상으로 이뤄진 분산서비스거부 공격(일명 DDoS)은 한동안 우리 기억 속에 잊혀졌던 인터넷 보안의 중요성을 다시 일깨워주는 계기가 된 큰 사건이라고 할 수 있다.

분산서비스거부 공격이란 수많은 PC를 이용하여 특정 서비스 시스템에 과부하를 주어 서비스를 마비시키는 형태의 공격을 말한다. 아울러 수많은 PC를 이용하여 다량의 통신을 발생시켜 통신이 원활하지 않도록 하는 공격도 포함된다. 분산서비스거부 공격은 특정 도로에 많은 양의 자동차가 몰리면 교통 장애가 발생하는 것과 같은 형태로 볼 수 있다.

또한 특정 은행 지점에 수많은 고객이 일시에 몰려들면 서비스가 사실상 마비되는 현상이 발생하는 것과 같은, 의외로 단순한 방식을 응용한 전형적인 컴퓨터 공격 방식이다. 일반적으로 DDoS 공격을 시도하는 목적은 공격자의 과시욕, 경쟁업체 등의 특정 서비스를 마비시켜 경제적 이득을 얻고자 하는 것, 그리고 DDoS 공격하는 동안 다른 취약점을 통해 특정 정보를 빼내는 것 등으로 나눠진다.

DDoS 공격이 등장한 초기에는 단순한 호기심이나 공격자의 과시용이 대부분이었으나 최근에는 경쟁업체의 서비스를 마비시키거나 서비스 마비위협을 통해 경제적인 이득을 얻고자하는 전형적인 범죄 유형이 많이 나타나고 있는 상황이다.

인터넷 서비스를 제공하는 기업에서는 DDoS공격으로 의심이 가는 것이 상당수 있으나 그 공격의 정도가 서비스에 큰 영향을 주지 않는 경우도 있어 방치하고 지나치는 사례도 다수이다.

DDoS 공격을 위해서는 공격자가 일정 수 이상의 PC에 공격용 악성코드를 설치하여야 한다. 일정 수 이상의 공격용 PC를 확보하는 데는 상당한 기간이 필요하고 우연히 해당 악성코드가 발견 될 경우도 있어 공격까지는 다양한 절차와 시간이 요구된다. 일반적으로 공격자는 공격자 자신을 숨기고 추적을 피하기 위하여 공격용 PC를 관제하는 제 2의 관제용 PC를 다수 두게 된다. 공격이 이뤄지기까지의 절차나 방식도 매우 다양하다.

DDoS 공격의 방어적 입장에서 보면 공격용 악성코드는 공격이 시작되기 전까지 사전에 찾아내기가 용이하지 않아 공격이 시작된 이후에 대응책을 마련해야 한다는 어려움이 있다. DDoS 공격이 시작되면 공격을 받는 자가 취할 수 있는 조치는 DDoS 공격으로부터 오는 통신을 적정한 접점에서 차단하거나 네트워크 용량을 높이는 방법이 유일한 대응 방법이다.

물론 서비스 시스템을 여러 곳에 분산시켜 특정한 시스템이 공격을 받을 경우 공격을 받지 않는 시스템에서 서비스를 할 수 있도록 할 수도 있다. 아울러 공격하는 PC를 일일이 찾아내어 악성코드를 제거하거나 악성코드 동작이 소멸될 때까지 무작정 기다려야 한다.

DDoS 공격으로부터 오는 통신을 적정한 접점에서의 차단은 통신서비스를 제공하는 서비스 제공자가 하거나 DDoS 통신을 탐지하여 서비스 시스템에 전달되지 않도록 차단하는 장비를 이용해야 한다. 공격하는 PC에서의 악성코드 제거는 PC 소유자가 일일이 제거해 주어야 한다.

7.7 DDoS 공격에 대한 평
이번 7.7 분산서비스 공격은 아직 공격자에 대한 추적이 이뤄지고 있어 정확한 공격자의 목적이나 의도를 알 수는 없다. 공격 목적이 다양하게 추정될 정도로 전문가 마다 견해가 분분한 상황이다. 또한 공격의 성격이 일반적인 예측과는 많이 벗어나 있고 공격의 징후에서 소멸될 때까지의 과정에도 확인하기 어려운 요소들이 가미됨에 따라 다양한 추측성 가설들이 등장하고 있는 실정이다.

이러한 가설들이 등장하게 된 배경은 몇 가지 의문점에서 비롯된다. ① 우선 7.7 공격이 있기 전인 7월 4일에서 5일 사이에 한국과 미국 간에 공격징후 발견이 있었으나 공조가 여의치 않아 그 대비가 충분하지 않았다는 점이다. ② 또한 우리나라 소재사이트의 공격 시점이 오후 6시부터였다는 점도 의문이다. 업무마비를 목적으로 했다면 오전 9시나 8시부터 공격을 했어야 한다는 것이다. ③ 세 번째로 일부 PC에서 정보가 유출되었고 디스크 파괴가 있었다는 점이다. ④ 끝으로 공격자 PC의 상당수가 한국에 집중되어 있었다는 점이다.

이러한 의문점들은 DDoS 악성코드의 분석 및 대응 과정에서 제기된 것들이다. 이번 DDoS 악성코드는 공격시간과 공격대상 웹 사이트가 악성코드에 직접 기록되어 있어 뚜렷한 공격징후를 발견하기 어려웠을 것이라는 점이다. 그럼에도 불구하고 7.7일 이전에 공격 징후가 나타났다면 그 징후가 무엇이었을까? 하는 것과 실제로 공격에 사용된 악성코드와의 상관관계에 대한 분석이 반드시 필요할 것으로 보인다. 미국에서 7월 5일에 약 6시간의 공격이 있었던 것으로 알려져 있는 상황이다.

다음으로는 공격의 목적이 서비스 마비에 있었을 것인가이다. 공격 시간이 대부분 업무가 종료되는 6시에 시작된 점도 다양한 추측을 낳고 있다. 이러한 점에서 이번 DDoS 공격이 연습용이었다는 우스갯소리도 나오고 있는 상황이다. 또한 더 큰 공격을 위한 탐색용이었을 것이라는 추론이 대체적인 분위기이다. 아니면 DDoS 공격의 혼란을 틈타 제 3 기관의 정보 탈취 가능성도 제기된다. 그 만큼 이번 DDoS 공격의 방식이나 목적에 대한 추론이 어렵다는 점이다.






다음으로 정보 유출과 디스크 파괴가 일부 PC에서 있었다는 점이다. 이러한 현상이 일부에서만 있었던 것이라면 다소간 의외일 수 있다. 악성코드에 감염된 모든 PC에서 동일한 결과가 있지 않았다면 보다 세밀한 분석이 필요하다. 특정 조건에 의한 작동이었다면 그 의도에 대한 면밀한 분석이 필요하다.

끝으로 공격에 사용된 PC의 지정학적 위치 분포도가 한국 에 집중되었다는 점도 눈여겨 볼 사항이다. 이는 특정 지역에 공격용 PC를 집중적으로 설치할 수 있는 절차나 방법이 개발되었다는 점을 의미한다. 인터넷이 열린 공간이라는 특성을 살펴볼 때 두 가지 가능성이 있다. 공격자가 국제적 공조 등의 형태로 조직화 되었을 가능성이다.

다른 하나는 공격용과 관제용 악성 코드의 분배에 새로운 기법이 사용되었을 가능성이다.

이러한 정황들이 이번 DDoS 공격이 고도의 각본에 의한 공격이었을 것이라는 개연성에 무게를 실어주고 있다. 아니면 당초 의도하지 않은 결과가 발생하였다는 가정도 가능하다.

어찌되었든 이번 공격은 위에서 언급한 관점에서 볼 때 시사 하는 바가 크다고 할 수 있다. 향후 새로운 유형의 DDoS 공격 가능성이 발견된 것으로 분석할 수 있다. 사실상 새롭고도 강력한 DDoS 공격의 징조를 모두 보여준 사례로 평가할 수 있겠다. 이는 공격시간과 공격대상 웹사이트를 악성코드에 직접 기록하는 위험성에도 불구하고 3일간의 연속적인 대상 변경 공격, 자료 유출, 공격용PC의 파괴 등을 동시에 보여주었기 때문이다.

특히 많은 전문가들의 공통되고 일관된 의견은 향후 더 파괴력이 큰 DDoS 공격이 있을 징후라는데 이견은 없어 보인다. 무엇보다도 눈여겨 살펴야 할 부분은 공격자가 누구이고, 목적이 무엇이었던 간에 이번 7.7 공격은 정교하게 짜여진 각본에 의한 것이라는 점이다. 많은 추측을 낳게 할 정도로 고도의 각본을 누군가가 설정했을 것이라는 주장이다. 이번 공격의 배후가 밝혀지든, 아니면 미궁 속으로 빠져 들던 간에 정보보안에 대한 인식을 새롭게 해야 한다는 계기를 준 것만큼은 부인할 수 없는 사실이 될 것이다.

대응 전략
이번 DDoS 공격에 동원된 PC는 최대 20여만 대로 추정되고 있다. 이중 상당수가 한국에 위치한 것으로 외국의 전문기관들이 분석했다. 향후 초강력 DDoS 공격(Super DDoS)이 예상되는 상황이다.

DDoS 공격을 방어하는 데는 새로운 묘수는 없다. 공격의특성과 이를 막아내는 기술적인 한계 때문이다. DDoS 공격에 대한 방어의 가장 기본이 되는 개념은 DDoS 공격에서도 서비스 시스템을 안정적으로 운영하는 것이다. 이를 위한 방법으로는 수동적인 방어와 공격적인 방법이 있을 수 있다.

수동적인 방어는 공격으로부터 서비스 시스템을 보호하는 것이다. 네트워크의 통신 용량을 대폭 키워서 공격의 효과를 반감시키는 것이다. 아울러 DDoS 방어 장비를 설치하여 DDoS 통신을 서비스 시스템 앞쪽에서 제거해 버리는 것이다.

공격적인 방법으로는 인터넷 서비스 제공자로 하여금 공격자 PC에서 오는 통신을 사전에 차단하는 것이다. 여기에는 공격자 PC를 일일이 찾아내어 접속을 차단하거나 악성코드를 제거케 하는 방법과 인터넷 서비스 제공자가 공격자 PC에서 오는 통신을 공격 대상자에게 전달하지 않고 폐기해 버리는 방법이 있을 수 있다.

7.7 DDoS의 방어에는 이러한 수동적인 방법과 능동적인 방법 모두가 동원되어 외견상으로는 잘 방어한 사례로 볼 수 있다. 다만 DDoS 방어의 관점에서 볼 때 1차 공격 이후 2차, 3차에 대한 대비를 하는데 예상보다 많은 시간이 소요되었다는 점이다. 지난해 한 외국의 전문기관에서 분석한 자료에 따르면 DDoS의 평균 영향 시간은 4시간으로 나타났다.

DDoS 공격을 잘 방어하는 데는 기술적인 부분보다 다양한 기술과 방법을 어떻게 활용할 것인가에 대한 전략적인 접근이 필요하다, 한해 2천만 건 이상의 DDoS 공격이 보고되고 있고 새로운 악성코드의 출현이 5백만 개 이상이라는 상황에서 기술적인 접근은 이미 그 한계를 노출하고 있는 것이다. 그럼에도 불구하고 여전히 기술적 해결을 시도하는 것은 꼭 필요한 요소이다.

DDoS 방어를 위한 시스템 도입이나 비상시 통신용량을 줄이거나 늘리는 등의 방어 대책은 필수적이다. DDoS 공격의 방어에 있어서 가장 중점을 두어야 하는 것은 공격용 PC를 찾아내고 악성코드를 제거하는 데 두어야 한다.

이를 가장 효과적으로 달성하기 위해서는 사용자의 인식 변화를 이끌어 내야 한다. 지금까지는 공격에 이용된 PC도 공격의 피해자라는 인식이 강하게 있어 왔다. 이러한 부분이 DDoS 공격 과정에서 이용된 PC 사용자들의 협조를 이끌어 내는데 어려움으로 작용하고 있다. 최근 경우처럼 수십만 대의 공격용 PC로 동원되는 상황에서는 피해자라는 인식과 함께 가해자라는 인식도 강조되어야 할 것이다.

자신의 PC가 서비스를 마비시키는데 동원되고 있는 상황에서 어떠한 조치도 하지 않는다는 점은 곰곰이 되새겨 볼 필요가 있다. 7.7 DDoS 방어 과정에서 PC의 파괴 가능성이 보고되자 수많은 사용자들이 백신 제공 웹 사이트에 접속하여 DDoS 공격 아닌 DDoS 공격을 받았다는 한 업체의 이야기가 이러한 점을 증명해 주고 있다고 하겠다.

따라서 DDoS 공격의 방어를 위한 방법으로 PC에 대한 접속 보안 수준을 정하고 DDoS 공격의 정도에 따라 접속을 제한하는 등의 조치를 취하는 전략이 필요하다고 하겠다. PC의 접속 보안 수준은 국가적인 관점에서도 정립하여야 하고 개별 서비스 사업자별로도 정할 필요가 있다.

다소 생소한 주장이지만 DDoS 공격에 이용된 PC는 분명히 가해자적인 성격이 강하다고 하겠다. 단지 몰랐다는 이유만으로 그 책임을 면하기에는 이미 DDoS 공격 방식이 너무 진화했기 때문이다.

이제 DDoS 공격을 가장 효과적으로 막을 수 있는 방법은 공격용 PC를 어떠한 방법으로 가장 효율적으로 통제할 것이냐에 달려 있다고 하겠다. 향후 등장할 수퍼 DDoS를 방어할 수 있는 가장 현명한 해법이다.

저작권자 © 아이티데일리 무단전재 및 재배포 금지