[아이티데일] 대량의 인터넷 트래픽을 발생시켜 시스템 마비를 일으키는 디도스(DDoS) 공격이 해가 갈수록 규모를 확대하고 있다. 디지털 전환으로 인해 정보시스템에 대한 의존이 높아진 만큼, 디도스 공격을 받은 기업이나 조직은 업무 마비는 물론 브랜드 이미지 하락, 비즈니스 중단으로 인한 재정적 손해까지 막심한 피해를 입을 수 있다. 이제 디도스 공격은 반드시 대비가 필요한 사이버 위협이라고 할 수 있다. 최근의 디도스 공격 트렌드와 효과적인 대응을 위한 전략을 살펴본다.

네트워크 과부하 및 시스템 마비 유발

‘디도스(DDoS)’란 ‘분산 서비스 거부(Distributed Denial-of-Service)’의 줄임말로, 일반적으로 디도스 공격이라 하면 웹사이트 또는 네트워크 리소스 운영이 불가능하도록 원하지 않는 악성 인터넷 트래픽을 대량으로 보냄으로써 정상적인 트래픽이 공격 대상에 도달하지 못하게 하는 사이버 공격의 한 유형을 말한다. 디도스 공격은 다수의 시스템이 하나의 표적 시스템을 대상으로 다량의 패킷을 전송하며 대규모 트래픽을 발생시켜 네트워크 과부하와 시스템 마비를 일으키게 된다.

아카마이코리아(Akamai Korea) 한준형 상무는 “디도스 공격은 수백 건의 가짜 콜택시 요청으로 인해 발생하는 예상치 못한 교통 체증과 같다. 콜택시 서비스 요청이 정상적인 것으로 보이게 되므로 어쩔 수 없이 택시를 보내지만, 이로 인해 시내 거리가 막히게 된다. 이렇게 되면 일반적인 정상 트래픽이 대상에 도착하지 않는다”고 비유해 설명했다.

에지오(Edgio)의 티노 첸(Tino Chen) 보안 솔루션 수석 매니저는 “정보 보안의 핵심 요소로 기밀성(Confidentiality), 무결성(Integrity), 가용성(Availability) 등 CIA 3요소가 있다. 디도스 공격은 비즈니스 온라인 시스템 및 서비스의 ‘가용성’을 손상시키는 치명적인 공격이다”라고 설명했다.

클라우드플레어(Cloudflare) 오메르 요치믹(Omer Yoachimik) 프로덕트 매니저는 “디도스 공격은 주로 보호되지 않은 웹사이트가 주 대상으로, 공격을 실행하는 데 드는 비용도 매우 낮다”면서 “HTTP 디도스 공격에는 일반적으로 공격 대상 웹사이트를 향한 HTTP 요청의 폭주가 수반된다. 공격자의 목적은 웹사이트가 처리할 수 있는 것보다 더 많은 요청을 쏟아붓는 것이다. 요청의 양이 많을 경우 웹사이트의 서버는 합법적인 사용자 요청과 함께 모든 공격 요청을 처리할 수 없다. 따라서 사용자는 웹사이트 로드 지연, 시간 초과는 물론 원하는 웹 사이트에 연결할 수 없게 된다”고 설명했다.

다운타임 5분이면 브랜드 타격, 매출 손실

디도스 공격은 더 크고 복잡한 공격을 수행하기 위해 봇 네트워크(Bot Network), 일명 봇넷(Botnet)을 활용한다. 공격자는 봇넷을 오케스트레이션(orchestration), 즉 조율·관리·운영해 피해자의 웹사이트에 HTTP 요청을 쏟아붓는데, 봇넷이 충분히 크고 강력할 경우 아주 큰 규모의 공격을 실행할 수 있다.

클라우드플레어 오메르 요치믹 프로덕트 매니저는 “봇넷을 직접 구축해 운영하려면 많은 투자를 해야 하고 상당한 전문 지식이 필요하다. 따라서 최근 공격자들은 봇넷을 처음부터 구축하기보다는 서비스형 디도스(DDoS as a Service) 플랫폼을 활용하고 있다. 한 달에 30달러만 지불하면 수많은 서비스형 디도스 플랫폼 중 하나를 이용할 수 있는데, 더 많은 비용을 지불할수록 더욱 큰 규모로 오랜 시간 동안 공격을 수행할 수 있다”고 최근 동향을 전했다.

디도스 공격이 시작되면 대상 앱, 웹 사이트, API, 또는 네트워크 장치 등에 한꺼번에 많은 트래픽을 유도해 적법한 요청을 처리할 수 없도록 함으로써 속도를 저하시키거나 충돌을 일으킨다. 이러한 디도스 공격이 일으키는 피해는 디지털화가 심화된 최근에는 더욱 심각하다. 특히 전자 상거래 사이트, 은행, 미디어 플랫폼 등과 같이 온라인에 의존하는 비즈니스에 심각한 결과를 초래할 수 있다. 디도스 공격을 당한 기업은 시스템 가동이 중지돼 업무가 중단되며, 직원들의 생산성도 저하될 수 있고, 소비자들로부터 브랜드 평판까지 손상되는 등 결과적으로 막대한 재정적 손실을 가져올 수 있다.

아카마이코리아 한준형 상무는 “기업에 디도스 공격이 발생하면 다운타임을 일으키게 되는데, 이로써 정상 사용자가 제품 구매나 서비스 이용, 정보 획득 등은 물론 다른 접속을 시도하지 못하게 한다. 기업 입장에서 다운타임은 심각한 결과를 일으킬 수 있다. 10초가 지나면 고객의 불편함이 증가하고 생산성이 저하되며, 5분이 지나면 브랜드가 타격을 입고 매출에 손실이 발생한다. 그리고 한 번 떠난 고객이 다시 돌아오는 데는 이보다 훨씬 큰 노력과 시간이 소요될 수밖에 없다”고 심각성을 강조했다.

다변화되는 디도스 공격

최근 디도스 공격은 그 목적과 수법이 다변화되고 있다. 먼저 ‘RDDoS(Ransome DDoS, 랜섬디도스)’는 최근 가장 성행하는 공격 방식으로, 기업이나 기관의 웹사이트 등에 디도스 공격을 가하겠다고 협박해 금전을 요구한다. 또한 ‘APDoS(Advanced Persistent DoS)’는 APT(지능형지속위협) 공격을 수행하기 위해 시선 분산의 수단으로 수행되는 서비스 거부(DoS) 공격이다. 그리고 ‘DRDoS(Distributed Reflection DoS)’의 경우 공개된 서버를 반사 서버로 활용해 공격 효과를 극대화시키는 방식으로 초대용량 공격이 가능하다.

최근 특히 주목할 만한 것은 랜섬디도스 공격이 늘어나고 있다는 점이다. 에지오의 티노 첸 보안 솔루션 수석 매니저는 “랜섬디도스 공격의 경우 배후 동기가 다양할 수 있지만 종종 금전적 이득이나 경쟁자 및 적의 운영을 방해하려는 목적과 관련되는 것으로 파악된다. 또한 공격자가 랜섬디도스를 연막으로 사용해 데이터 도용이나 네트워크 침투와 같은 다른 공격으로부터 주의를 분산시킬 수도 있다. 랜섬디도스 공격은 상당한 다운타임과 수익 손실을 유발할 수 있으므로 특히 기업과 같은 조직에 큰 피해를 줄 수 있다. 또 장기간 지속되는 디도스 공격 위협은 공격 대상에게 정신적인 피해와 긴박감을 유발할 수 있으며, 이로 인해 공격자의 동기를 확인하지 못한 상태에서도 결국 비용을 지불하는 경우가 생길 수 있다”고 밝혔다.

클라우드플레어 오메르 요치믹 프로덕트 매니저는 “랜섬웨어 공격과 달리, 랜섬디도스 공격은 공격 대상 네트워크에 실제로 시스템 침입을 하거나 거점을 확보할 필요가 없다. 일반적 랜섬웨어 공격은 직원이 멀웨어를 설치하고 전파시키는 이메일 링크를 순진하게 클릭하는 순간 시작된다. 하지만 디도스 공격에는 이런 과정이 필요 없다. 일종의 히트앤런 공격(hit and run attack)과 비슷한데, 디도스 공격자는 웹사이트의 주소나 IP 주소만 알면 된다”고 설명했다.

아카마이코리아 한준형 상무는 “여러 핵티비스트(Hacktivist) 그룹의 사례를 바탕으로, 이제 우리는 사이버 위협이 단순 디도스 공격에 그치지 않는다는 것을 알고 있다. 최근에는 디도스 공격 후 금전을 요구하는 랜섬디도스를 비롯해, 만 배 이상의 증폭이 가능하며 상황에 따라 무한반복도 가능한 DRDoS, 대상의 취약점을 파악해 원하는 데이터를 탈취하고 피해기업의 공급망을 노려 2차 랜섬웨어 배포까지 진행하는 APDoS 등 진화한 형태의 디도스 공격이 주를 이루고 있다. 따라서 전방위적으로 보안에 대비하고, ‘귀신’과 같은 한국 맞춤형 멀웨어에 대응하기 위해서는 제로 트러스트(Zero Trust) 기반의 보안 설계가 필수다”라고 강조했다.

전 세계적 위협 확대…국내도 피해 잇따라

전 세계적으로 디도스 공격은 매년 증가하는 추세에 있다. 안랩 관계자는 “기본적으로 디도스 공격은 네트워크 트래픽이 있는 곳에 발생한다. 하지만 최근에는 비대면 환경의 보편화, 5G 네트워크 이용 증가 등으로 트래픽 양 자체가 증가했기 때문에 정상 트래픽과 디도스 공격 트래픽을 구분하기가 더욱 어려워지고 있으며, 더 많은 디도스 공격 사건/사고가 발생하는 추세다”라고 밝혔다.

에지오의 티노 첸 보안 솔루션 수석 매니저도 “점점 더 많은 기업이 네트워크 디도스 보호 서비스를 채택함에 따라 최근 몇 달 동안 HTTP/HTTPS 플러드(flood) 형태의 대규모 애플리케이션 디도스 공격이 증가했다. 보고된 최대 규모의 애플리케이션 디도스 공격은 초당 71개 요청(rps) 수준이다. 이러한 종류의 응용 프로그램 공격은 고도로 정교한 공격자에 의해 이행되며, 종종 응용프로그램 또는 데이터베이스에서 병목 현상을 일으킨다”고 분위기를 전했다.

2022 버라이즌 DBIR(Data Breach Investigations Report)에 따르면, 디도스 공격은 전체 사이버 보안 위협의 46%를 차지하면서 가장 큰 위협으로 꼽히고 있으며 증가 추세 역시 높은 수준인 것으로 나타났다. 올해 초 미국과 유럽 국가 대상의 핵티비스트 캠페인을 주도한 킬넷(Killnet) 및 어나니머스수단(AnonymousSudan)과 같은 공격 그룹은 점점 더 공항이나 정부 기관과 같은 중요 인프라를 표적으로 삼고 있으며, 심지어 의료 서비스 제공자를 표적으로 삼기도 했다.

아시아태평양 지역에서도 최근 디도스 공격은 증가 추세에 있다. 아태지역은 모바일 인터넷 서비스 접속자가 12억 명에 이르며, 2026년 IoT 지출이 4,360억 달러에 이를 것으로 전망되는 큰 시장이다. 한국 역시 2021년을 기준으로 인터넷 이용자가 4천 7백만 명에 달하며, IoT 지출 역시 2022년 중국에 이어 2위를 차지한 만큼 사이버 공격으로부터 안전하지 않다는 점을 기억해야 한다.

실제 국내에서도 올해 2월 국내 도메인 관리 및 그룹웨어 서비스 업체 가비아를 대상으로 한 디도스 공격이 발생한 바 있다. 가비아가 제공하는 도메인네임서버(DNS)를 쓰는 고객들의 사이트 접속에 장애가 발생하고, 그룹웨어 ‘하이웍스’의 서비스가 지연되는 등 피해가 발생했다. 또한 코레일에도 2월 디도스 공격이 발생, 이에 대응하는 과정에서 1시간가량 모바일 앱과 홈페이지 전산시스템에 장애가 있었다. 뿐만 아니라 인터넷 서비스 제공사인 LG유플러스에도 1월 말부터 2월 초까지 다섯 차례에 걸쳐 대규모 디도스 공격이 이뤄지면서 간헐적인 인터넷 서비스 중단이 발생, 인터넷 이용 고객들의 원성을 샀다.

대규모 디도스 공격, 완화가 중요

점점 더 규모가 커져만 가는 디도스 공격에 대응하기 위해서는 평소에 방어 수단을 잘 마련해야 한다. 클라우드플레어는 최근 확인한 초대규모(hyper-volumetric) 디도스 공격의 경우 초당 7,100만 이상의 요청(rps)을 기록했으며, 이는 구글이 발표한 기존 최대 기록인 4,600만 rps보다 55% 높은 수치였다고 밝혔다. 클라우드플레어에 따르면 해당 공격은 HTTP/2 기반으로, 이 회사가 보호하는 웹사이트를 표적으로 삼았다. 공격의 출처는 3만여 개의 IP 주소였고, 공격받은 웹사이트 중에는 인기 게임 제공업체, 암호화폐 기업, 호스팅 공급자, 클라우드 컴퓨팅 플랫폼 등이 포함돼 있었다.

클라우드플레어 오메르 요치믹 프로덕트 매니저는 “해당 공격은 수많은 클라우드 서비스 공급업체들 사이에서 발생한 것으로, 클라우드플레어는 이들과 협력해 봇넷에 대처했다”고 밝히고 “2023년 1분기 클라우드플레어의 고객 설문조사에 따르면, 100Gbps 이상의 초대규모 디도스 공격이 전 분기 대비 6% 증가한 것으로 나타났다. 가장 자주 이용된 벡터는 DNS 기반 공격이었다. 마찬가지로 SPSS 기반 디도스 공격, DNS 증폭 공격, GRE 기반 디도스 공격도 급증했다”고 덧붙였다.

기업과 기관 등 디도스 공격을 걱정하는 조직들은 디도스 방어 서비스 제공업체를 통해 공격에 대응할 수 있다. 업체들은 공격을 방어하는 과정에서 디도스 공격의 영향을 차단하거나 완화하기 위한 대응책을 배포, 제공하고 있다.

아카마이코리아 한준형 상무는 “점점 교묘해지는 최신 공격에 대응하기 위해 디도스 방어 서비스 제공 업체들은 클라우드 기반의 디도스 방어·보안 솔루션을 통해 확장성 있는 심층 보안 기능을 제공함으로써 백엔드 인프라와 인터넷 기반 서비스를 항상 사용할 수 있도록 하며, 최적의 방식으로 성능을 유지할 수 있도록 지원하고 있다”고 설명했다.

< 업체별 디도스 방어 전략과 솔루션 소개 >

◆ 안랩 | “조직 차원의 디도스 공격 예방 체계 마련해야”

‘안랩 DPX’, 12단계 필터 기반으로 디도스 공격 완화

안랩은 디도스 공격이 주로 기업이나 기관 등 조직을 대상으로 발생하고 있어 조직 차원에서의 예방 체계 마련이 가장 중요하다고 강조했다.

안랩은 먼저 디도스 공격에 노출될 수 있는 사내 환경을 정확히 파악해야 한다고 설명한다. 기본적으로 사용하지 않는 포트(Port) 차단, IP 접근 환경 관리 등이 필요하다는 것. 또한 디도스 대응 솔루션을 도입해 각 트래픽 환경에 최적화된 대응 정책을 수립해야 한다고 덧붙였다. 최근 디도스 공격의 규모가 증가하고 있는 만큼, 솔루션 도입 시 대규모 공격에도 대응할 수 있도록 지원 성능을 살펴봐야 한다는 설명이다.

안랩 디도스 대응 솔루션 ‘안랩 DPX’는 성능에 따라 △5000B △10000B △20000B 등 총 3개 모델로 구성돼 있다. 특히 하이엔드 고성능 모델인 ‘안랩 DPX 20000B’는 국내 디도스 대응 솔루션 최초로 100G NIC(Network Interface Card)를 탑재하고 CC인증까지 완료해 100G 이상의 초대형 디도스 공격에도 최적화된 방어를 제공한다.

이와 함께 안랩은 디도스 공격의 경우 100% 방어보다는 완화(Mitigation)의 관점으로 접근해야 한다고 강조했다. ‘안랩 DPX’는 ‘12단계 필터’를 기반으로 다양한 유형의 디도스 공격을 탐지하고 방어한다. 다양한 방법과 기법이 동원되는 공격 특성을 고려해 행위 규칙, 사용자 프로토콜 인증, 시그니처 규칙, QoS(Quality of Service), ACL(Access Control List) 규칙 등 여러 단계의 방어 기능을 제공해 마치 필터를 거치는 방식으로 공격 완화를 수행한다는 설명이다.

안랩은 디도스 대응 솔루션에서 중요한 방어 기능을 2가지로 요약해 설명했다. 첫 번째는 ‘행위규칙’ 기반으로 패킷을 파악하고 대응하는 기능이며, 두 번째는 접근의 주체를 선별하는 ‘인증’ 기능이다. 디도스 대응 솔루션 도입을 검토 중이라면 이러한 2가지 핵심 기능과 성능을 중요하게 검토해야 한다고 안랩 측은 강조했다. ‘안랩 DPX’는 패킷을 전수 검사해 프로토콜별 구성 요소가 단위 시간당 얼마나 발생하는지 확인한 후, 기준치 이상이면 디도스 공격으로 파악해 대응하는 ‘행위규칙’ 기능을 제공한다. 또 네트워크 트래픽을 분석해 봇이 만든 디도스 공격인지, 브라우저를 통한 사람의 정상적인 접근인지를 식별하고 대응 여부를 결정한다.

안랩 관계자는 “효율적인 디도스 공격 대응을 위해선 환경에 최적화된 대응이 필요하다. 보통 디도스 대응 솔루션은 여러 개의 서버를 보호한다. ‘안랩 DPX’는 나아가 다양한 보호 대상(서버)을 논리적 가상의 공간인 ‘존(Zone)’으로 설정해 각 공간별로 최적화된 정책 설정과 개별 모니터링이 가능하며, 최대 300여 개의 존을 설정할 수 있다”고 설명했다.

안랩 DPX를 통한 방어 사례

안랩은 보통 ‘디도스’라고 하면 대용량 패킷을 발생시키는 공격을 떠올리기에, 디도스 솔루션을 활용한 대응에 있어 ‘100Gbps 이상’ 등 트래픽 자체의 용량에만 집중하는 경향이 있다고 지적했다. 하지만 용량 외에도 다양한 사항을 고려할 때 효과적인 대응이 가능하다는 게 회사 측 설명이다. 안랩은 다양한 방식으로 수행되는 디도스 공격에 ‘안랩 DPX’를 활용할 수 있는 방어 사례를 두 가지로 요약해 소개했다.

첫 번째로 패킷이 평균 사이즈는 작지만, 패킷의 수가 엄청나게 많은 공격이다. 디도스 대응 솔루션은 대응 가능한 패킷의 수가 별도 스펙으로 정해져 있다. 패킷 사이즈는 줄이고 개수를 많이 늘릴 경우, 트래픽 규모는 작지만 서버에 치명적인 공격이 될 수 있다. 안랩 DPX는 트래픽의 규모(bps) 뿐만 아니라 트래픽의 수(pps)가 많은 공격에도 최적의 대응을 하고 있다.

두 번째로는 공격자 IP가 매번 바뀌는 경우다. 디도스 공격을 추적해보면 모든 트래픽의 공격자 IP가 다른 경우가 많다. 디도스 대응 솔루션은 1개 공격자 IP에서 만드는 10G 트래픽과 50만 개 공격자 IP에서 만드는 10G 트래픽을 다르게 본다. 안랩 DPX는 다수의 공격자 IP에서 유발되는 디도스 공격에도 성능 이슈 없이 안정적인 방어를 제공하고 있다.

안랩 관계자는 “앞서 말씀드린 바와 같이 대규모의 디도스 공격은 익숙한 형태의 공격이다. 따라서 비교적 방어가 쉬운 편에 속한다. 하지만 서버의 ‘거부(Denial)’를 유발하는 다른 형태의 대규모 공격(패킷의 수, 공격자 IP 수)이 지속적으로 발생하고 있기 때문에, 대응 전략을 짜거나 솔루션 도입을 검토할 때 이 부분에 대한 대응이 가능한지도 꼭 고려해봐야 한다”고 강조했다.

성능, 기능, 사용성 향상 위해 연구개발 진행 중

디도스는 랜섬웨어처럼 기법의 변화·진화 속도가 빠른 편은 아니다. 다만 최근에는 정상 트래픽 자체가 증가함에 따라 디도스 공격을 수행하기 쉬운 환경이 조성되고 있다. 뿐만 아니라 디도스 공격은 공격자 확인이 어렵고, 공격 동기를 특정할 수 없어 많은 피해 사례가 발생하고 있다.

안랩 관계자는 “이처럼 최근 디도스 공격이 빈번하게 발생함에 따라 주도적으로 공격에 대응하고자 하는 기업이 증가하고 있다. 이에 따라 디도스 대응 솔루션인 ‘안랩 DPX’ 도입에 대한 문의 및 도입 사례 또한 지속적으로 증가하고 있다”면서 “안랩은 ‘안랩 DPX’ 기능 및 성능 고도화를 위한 연구개발을 다방면으로 진행 중이다. 먼저 고사양 장비에 대한 수요에 대응하고자 성능 향상을 추진하고 있으며, 애플리케이션 계층에서 발생하는 디도스 공격 방어를 위한 기능을 연구하고 있다. 또한 제품을 편리하게 사용하기 위한 사용성 강화(23년 4월 GS인증 획득) 및 다양한 통계/보고서 자료 생성을 위한 데이터 시스템 연구를 진행 중이다”라고 밝혔다.

◆ 아카마이 | “디도스 완전 방어 가능한 클라우드 기반 차세대 플랫폼 제공”

아카마이는 △글로벌 최대 분산형 에지(edge) △가용성과 보안을 고려한 DNS △클라우드 스크러빙 방어로 구성된 전방향 메시 등을 통해 심층적인 디도스 방어를 제공한다고 소개했다. 아카마이의 보안 솔루션은 디도스 보안 태세(posture)를 강화하는 동시에 공격표면을 줄이고, 방어 품질을 개선하며, 오탐률을 최소화하고, 크고 복잡한 공격에 대한 안정성을 높이도록 설계됐다. 또한 웹 애플리케이션이나 인터넷 기반 서비스의 개별 요구사항에 맞춰 솔루션을 세밀하게 조정할 수 있다.

앱과 API의 자동화 에지 보안

아카마이의 디도스 방어 솔루션은 전 세계에 분산된 ‘아카마이 커넥티드 클라우드(Akamai Connected Cloud)’ 플랫폼을 통해 들어오는 웹 트래픽만 허용하는 리버스 프록시로 설계됐다. 따라서 모든 네트워크 계층(layer)에서 발생하는 디도스 공격은 에지에서 즉시 차단되며, 네트워크 계층의 디도스 공격을 일으키는 공격자는 어떤 기회도 잡을 수 없는 구조라는 게 아카마이 측 설명이다.

API를 통해 시작된 디도스 공격을 비롯한 애플리케이션 계층 디도스 공격의 경우, 자동화된 적응형 보안 엔진(Adaptive Security Engine)을 통해 요즘 골칫거리가 되고 있는 제로데이(Zero day) 공격이나 오픈소스 취약점 공격을 탐지·방어할 수 있다. 또한 동시에 정상 사용자에게 속도 저하 없는 안전한 웹 경험을 제공한다. 이로써 고객사의 보안팀이 취약점이나 새로운 공격을 분석해 적용하는 데 걸리는 시간을 대폭 단축할 수 있다. 아카마이코리아 한준형 상무는 “이러한 역량들은 기존의 보안 엔진이 아닌 차세대 보안 엔진으로의 도약을 보여준다”고 설명했다.

또한 아카마이는 숨겨진 API 엔드포인트의 자동 검색, 봇 활동에 대한 가시성과 차단 등을 제공하며 디도스, 웹 스크래퍼(Web Scraper), 스캐닝 툴(Scanning Tool), 웹 공격에 사용된 클라이언트의 평판 점수 등을 통한 빅데이터 기반의 방어력을 제공한다.

DNS 방어

아카마이는 자사 ‘에지 DNS’ 서비스 역시 다른 DNS 솔루션과는 달리 디도스 공격이 발생해도 가용성과 안정성을 유지하도록 특별히 설계됐다고 소개했다. 에지 DNS는 프라이머리(Primary), 세컨더리(Secondary) DNS로 활용 가능하며, 필요에 따라 기존 DNS를 대체하거나 확장해 사용할 수 있다. IP 애니캐스트(IP Anycast) 기반으로 전 세계에 분산된 DNS 서버가 운영되며, 대규모 DNS향 디도스에도 100% 가용성을 보장한다는 설명이다. 아카마이코리아 한준형 상무는 “일반적으로 공격자가 디도스 시작을 DNS향으로 하는 것을 고려하면 DNS 방어는 필수이며, DNSSEC(DNS Security Extensions)을 지원하고, 효과적인 디도스 대응을 위해 아카마이의 다른 보안 솔루션과 함께 사용된다”고 설명했다.

클라우드 스크러빙 방어

‘아카마이 프롤렉식(Akamai Prolexic)’은 2023년 기준 36개의 글로벌 스크러빙 센터와 20Tbps 이상의 전용 디도스 방어 체계를 통해 모든 포트와 프로토콜에 걸쳐 디도스 공격으로부터 전체 데이터센터와 하이브리드 인프라를 보호한다. 이러한 용량은 인터넷 기반 자산을 항상 사용할 수 있도록 설계돼 있으며, 모든 정보 보안 프로그램의 토대가 된다는 설명이다.

완전한 관리형(managed) 서비스인 아카마이 프롤렉식은 255명 이상의 최전방 글로벌 보안 운영 제어 센터(SOCC) 대응 인력으로 구성된 아카마이 글로벌 팀의 전문적인 방어와 자동 방어 기능을 결합한 서비스를 제공한다. 프롤렉식은 또한 데이터센터 인프라 및 인터넷 기반 서비스를 보호하며, 가용성을 높인 선제적 방어 제어를 통해 업계 최고 수준인 ‘0초 방어’ SLA(서비스수준협약)를 제공한다.

이밖에 최근 아카마이는 프롤렉식 네트워크 클라우드 방화벽을 발표해 자체 ACL(접속 제어 목록)을 정의하고 관리하는 동시에, 자체 네트워크를 보다 유연하게 보호할 수 있도록 했다.

인터뷰

“사이버 공격 안전지대 아닌 한국…경각심 갖고 대비해야”

아카마이코리아 한준형 상무

Q. 최근 국내 디도스 위협 상황은 어떠한가?

아태지역의 인터넷 서비스 사용자와 IoT 확산 등을 보면 공격이 증가하고 있는 것이 그리 놀라운 일은 아니다. 한국 역시 사이버 공격의 안전지대라고 볼 수 없다. 한국은 디지털 변화의 선두 국가로, 비슷한 규모의 다른 시장에 비해 데이터 트래픽 규모가 크고 글로벌 사업자가 많이 진출해 있다. 동시에 한국은 사이버 공격에 많이 노출돼 있기도 하다. 2021년 5월부터 2022년 4월까지 게임 업계에서 한국은 웹 애플리케이션 공격을 가장 많이 받는 전 세계 8개 국가 중 하나였다. 모바일 및 스마트 디바이스의 사용 및 도입이 지속적으로 증가함에 따라 공격 또한 늘어날 것으로 예상되는 만큼, 홈 네트워크 사용자들 또한 사이버 공격에 대해 경각심을 가져야 한다.

팬데믹으로 인해 게임은 우리의 일상생활에서 엔터테인먼트 산업의 핵심 중 하나가 됐다. 게임 산업은 거의 처음부터 사이버 범죄자들이 몰리기 시작했다. 그리고 팬데믹 기간 동안의 갑작스러운 게임 붐으로 인해 세계적인 위협 요인들이 아직 남아 있다.

대부분의 게임 보안 전문가들은 디도스 공격에 대해 잘 알고 있다. 디도스 공격은 인프라를 완전히 오프라인 상태로 만들거나 웹 인프라를 느리게 만들어 비즈니스 운영 및 게임 성능에 영향을 줄 수 있다. ‘게임의 부활’ SOTI 보고서에 따르면 게임 산업을 향한 디도스 공격이 모든 업계에서 관측된 디도스 트래픽의 37%를 차지했으며, 금융 서비스(21.68%), 첨단 기술(20.67%), 제조(7.65%)가 그 뒤를 이었다.

지난 수년 동안 디도스 공격은 점점 더 규모가 커지고 정교해졌으며, 게임업계가 이러한 공격의 주요 표적이 되고 있다. 증폭 공격은 몇 초 안에 게임을 오프라인 상태로 만들고 수천 명의 플레이어에게 영향을 미칠 수 있다. 또한 보다 표적화된 공격은 지연 시간을 늘려 특정 플레이어가 다른 플레이어들보다 더 유리한 상황을 만들 수 있다. 게임사들은 비즈니스에 막대한 영향을 미칠 수 있는 이러한 위협을 무시할 수 없다. 디도스는 게임 리소스를 사용할 수 없게 하거나 성능을 저하시키고, 크게는 게임사의 업무를 중단시키거나 적어도 지원 비용을 증가시키는 문제를 일으킬 수 있다.

예전이나 지금이나 지리적, 정치적으로 한국이 갖는 위치는 특수성이 있고, 그에 맞춰 통신사나 기업들은 나름의 정책을 운영한다. 하지만 공격의 빈도나 크기가 커지고 있고, 임의적으로 국제 표준에 맞지 않도록 적용된 사례가 많은 만큼 앞선 기술력에 기반한 솔루션의 도입이 어려운 것도 사실이다. 이에 국내 시장이 조금 더 유연하게, 하지만 국제 표준을 지키도록 변화했으면 하는 바람이다. 그럼에도 한국은 여전히 아카마이의 핵심 시장이며, 아카마이는 한국 비즈니스를 성장시키고 고객에게 최고 품질의 보안 솔루션을, 사용자들에게는 최상의 온라인 경험을 제공하기 위해 최선을 다할 것이다.

Q. 최근 의미 있는 디도스 방어 성공사례가 있다면?

지난 2월 23일, 아시아태평양 지역에서 최대 규모의 디도스 공격이 발생했고, 당시 최대 트래픽은 초당 900.1Gb와 초당 1억 5820만 패킷에 달했다. 해당 공격은 단기간 매우 격렬하게 진행됐으며, 대부분의 트래픽이 피크타임 1분 동안 한 번에 폭증하는 양상을 보였다. 트래픽 패턴은 단 몇 분 후 정상으로 돌아왔다.

아카마이는 공격을 차단하고 고객을 보호하기 위해 클라우드 기반 디도스 스크러빙 플랫폼인 ‘아카마이 프롤렉식(Akamai Prolexic)’을 배포함으로써 공격을 사전에 방어했다. 아카마이 프롤렉식은 현재까지 알려진 최대 규모의 공격 보다 몇 배 더 강력한 방어력을 갖춘 전용 방어 플랫폼으로, 일선 대응 인력들이 수립한 최적화된 디도스 사고(incident) 대응 계획에 따라 배포됐다. 이번 공격 방어에는 전 세계 6개 지역에서 근무하는 225여 명의 일선 대응 인력들이 동원됐으며, 이들은 지난 수십 년간 세계 최대 규모의, 가장 유명한 조직들을 타깃으로 한 고도로 정교한 공격들을 방어하면서 얻은 전문성을 바탕으로 이번 공격을 막아냈다. 이러한 선제적인 방어 체계 덕분에 아카마이 고객들에 대한 부수적 피해는 발생하지 않은 것으로 나타났다.

Q. 디도스 공격에 대응하는 아카마이의 역량과 전략에 대해 소개해달라.

지난 2월 아카마이는 클라우드 컴퓨팅, 보안, 콘텐츠 전송을 위한 대규모 분산 플랫폼인 ‘아카마이 커넥티드 클라우드(Akamai Connected Cloud)’를 공개했다. 아카마이는 핵심 데이터센터만을 기반으로 플랫폼을 구축하는 여타 공급업체와는 근본적으로 다른 방식으로 클라우드 컴퓨팅에 접근한다. 아카마이의 전략은 컴퓨팅, 스토리지, 데이터베이스 및 기타 클라우드 서비스를 최종 사용자 및 기업 데이터센터와 가까운 곳에 배치해 세계에서 가장 분산된 플랫폼을 제공하는 것이다.

새로 등장한 아카마이의 클라우드 컴퓨팅 비즈니스와 전송 및 보안 비즈니스 사이에는 강력한 시너지 효과가 있다. 아카마이는 이미 많은 고객사의 콘텐츠 전송을 담당하고 있고, 이에 대한 디도스 방어를 포함하는 확고한 보안 서비스를 제공하고 있다. 인터넷 에지에서 아카마이가 갖는 지위는 우리가 접촉하는 거의 모든 것을 확장할 수 있게 해주며, 이를 통해 위협을 기업과 사람으로부터 멀리 떨어뜨리는 동시에 디지털 경험을 누구보다 사용자에게 가까이 제공할 수 있다. 실제 최근 한 게임사는 디도스 공격을 받고 인터넷 릴레이 채팅 서버를 탈취당했을 때 아카마이 커넥티드 클라우드를 통해 다시 온라인 상태로 복원할 수 있었다.

아카마이의 대규모 분산 플랫폼을 통해 타사 대비 클라우드 서비스 비용을 더욱 저렴하게 제공할 수 있다. 많은 클라우드 고객이 높은 클라우드 비용에 대해 우려하고, 보다 효율적인 비용의 솔루션을 찾고 있다. 이는 글로벌 경제 과제에서 중요한 요소다. 또한 아카마이는 이미 많은 고객의 콘텐츠 전송 및 보안을 담당하고 있으므로 클라우드와 관련해 총 운영 비용도 많이 낮출 수 있다.

전 세계 더 많은 고객에게 더 많은 가치를 제공하기 위해 아카마이는 올해 클라우드 컴퓨팅 인프라를 야심차게 확장하는 데 주력하고 있다. 현재 11개의 핵심 데이터센터를 4,100개의 아카마이 에지 컴퓨팅 위치와 연결했으며, 14개의 핵심 엔터프라이즈급 데이터센터를 추가로 구축할 예정이다.

◆ 에지오 | “모든 네트워크와 애플리케이션 보호 가능한 솔루션 제공”

디도스 탐지·완화 시스템 ‘스톤피시’로 자동 보호

에지오는 소프트웨어 기반의 디도스 탐지·완화 시스템인 ‘스톤피시(Stonefish)’를 통해 고객을 공격으로부터 보호한다. 스톤피시는 네트워크를 통과하는 모든 패킷의 샘플을 분석하고, 위협 수준에 대해 점수를 매기며, 필요한 경우 자동으로 조치를 취하고, 추가 분석을 수행한다. 또한 신속하게 완화 조치를 취할 수 있도록 네트워크 운영 센터(NOC)에 한눈에 쉽게 파악할 수 있는 정보를 전달하고 경고신호를 전파한다.

디도스 공격의 전체 스펙트럼으로부터 총체적인 보호를 하는 것은 매우 중요하다. 에지오는 최근 디도스 스크러빙 솔루션을 추가, 전용 스크러빙 용량으로 웹이 아닌 애플리케이션에 대한 디도스 공격을 포함해 모든 네트워크와 애플리케이션을 보호할 수 있도록 하고 있다. 에지오는 250Tbps 이상의 용량을 통한 레이어(layer) 3~7 디도스 보호와 전용 디도스 스크러빙을 결합해 기업에 전체 공격 스펙트럼에 대한 대응을 제공한다.

가이드

디도스 공격 방어를 위해 기업이 취해야 할 4가지 단계

에지오 티노 첸(Tino Chen) 보안 솔루션 수석 매니저

1. 계획 및 준비

기업은 디도스 공격에 대응하기 위한 포괄적인 사고 대응 계획을 마련해야 한다. 이 계획에는 공격을 감지하고 완화하기 위한 단계와, 관련 담당자 및 외부 당사자에게 알리기 위한 통신 프로토콜이 포함돼야 한다.

2. 멀티레이어 안티 디도스 기술 사용

안티 디도스 기술은 기업이 공격을 감지하고 완화하는 데 도움이 될 수 있다. 클라우드 기반 디도스 보호 서비스를 사용하는 것이 좋다. 애플리케이션별 보안 서비스를 배포해 네트워크의 나머지 부분에서 영향을 받는 세그먼트를 분리하고, 디도스 공격의 영향을 제한하기 위해 네트워크 세분화를 구현하는 등 다계층 방어를 구현해야 한다. 네트워크/전송(Layer 3/4) 및 애플리케이션 계층(Layer 7) 디도스 완화를 모두 구현해 전체적인 적용 범위를 제공해야 한다. 또한 기업은 CDN(콘텐츠전송네트워크)을 통한 에지 기반 디도스 보호와 BGP(Border Gateway Protocol) 및 GRE(Generic Routing Encapsulation) 프로토콜을 활용하는 디도스 스크러빙 서비스를 통한 오리지널 디도스 보호 솔루션을 모두 구현해야 한다.

3. 직원 교육

직원은 네트워크 트래픽의 비정상적인 급증과 같은 의심스러운 활동을 인식하고 보고할 수 있도록 교육을 받아야 한다. 또한 보안 및 데이터 보호를 위한 모범 사례에 대해 교육을 받아야 한다.

4. 정기적인 보안 테스트 및 업데이트

기업은 디도스 방어가 제대로 이행되고 있는지 정기적으로 테스트해야 한다. 여기에는 시스템의 약점을 식별하기 위해 모의 공격을 수행하는 것이 포함된다. 또한 새로운 위협과 취약성을 해결하기 위해 방어 요소를 정기적으로 업데이트해야 한다.

아시아, 유럽 등 전 세계서 디도스 공격 방어

2022년 6월 14일 에지오는 아시아에 기반을 둔 다국적 전자 상거래 클라이언트를 대상으로 한 최대 1억 7,600만 Mpps의 디도스 공격을 차단했다. 공격은 약 30분 동안 지속됐으며 유럽연합(EU)에 위치한 PoP(Point of Presence)를 표적으로 삼았다. 그러나 에지오의 ‘애니캐스트(Anycast)’ 네트워크는 부하(load)를 더 넓은 지역으로 빠르게 분산시켰고, 공격은 에지오의 소프트웨어 기반 디도스 탐지 및 완화 시스템인 스톤피시에 의해 완화됐다. 이러한 공격이 있은 지 몇 주 후, 약 350Mpps 규모의 공격이 다시 발생했다. 하지만 에지오는 또다시 성공적으로 공격을 방어했고 고객 중 하나인 프랑스를 대표하는 모 기업은 영향을 받지 않았다.

에지오는 250Tbps의 대역폭 용량을 보유하고 있다. 뿐만 아니라 보안 팀과 24×7 SOC가 지원하는 포괄적 애플리케이션 보안 및 L3/4/7 디도스 보호 기능을 제공한다. 에지오 티노 첸 보안 솔루션 수석 매니저는 “이러한 서비스는 시장에서 몇 안 되는 에지 플랫폼 중 하나다”라고 강조했다. 이밖에 에지오는 최근 몇 달 동안 핀테크 회사를 대상으로 진행된 3천만 RPS를 초과하는 대규모 애플리케이션 디도스 공격을 완화하기도 했다.

다양한 솔루션과 통합 가능

지난 수년간 기업이 가장 중요하게 생각하고 있는 요소가 바로 보안이다. 에지오는 지난 2년 동안 보안 엔지니어링 및 데이터 과학 팀의 3배 성장을 목표로 두고 웹 애플리케이션 보안 솔루션에 대한 투자를 계속하고 있다고 밝혔다. 또한 진화하고 있는 최신 위협 요소로부터 고객을 보호하기 위해 더 많은 머신러닝(ML) 탐지 방법을 솔루션에 추가하는 데 투자했다고 덧붙였다.

‘에지오 시큐리티(Edgio Security)’는 디도스 보호 뿐만 아니라 전체적인 웹 애플리케이션 및 API 보호(WAAP) 솔루션을 포함하고 있다. 통합 보호 기능을 통해 고객은 전반적인 애플리케이션 환경에서 보안 이벤트에 대한 가시성을 확보하고 오류의 가능성을 줄일 수 있다. 이는 기업이 서로 다른 보안 공급업체의 포인트 솔루션을 결합할 때 더 효율적으로 활용할 수 있다. 가트너는 2022년 기업의 75%가 보안 공급업체 통합을 추구하고 있으며, 기업의 65%는 포인트 솔루션을 통합해 위험 상황을 개선하고자 한다고 발표했다. 이는 통합의 가장 큰 이점으로 꼽힌다. 라이선스 비용을 줄이기 위해 솔루션 통합을 한다고 답한 기업은 29%에 불과했다.

또한 에지오의 보안 솔루션은 기본적으로 에지오 플랫폼에 구축돼 있기 때문에, 트래픽을 라우팅하거나 타사 솔루션을 활용할 필요 없이 공격이 시작된 곳과 가까운 에지에서 위협을 차단한다.

에지오의 티노 첸 보안 솔루션 수석 매니저는 “에지오는 보안(Security)을 데브섹옵스(DevSecOps)의 방해 요소가 아니라 고객을 위한 혁신의 원동력으로 보고 있다. 그렇기 때문에 보안 솔루션을 API 우선으로 구축하고 기존 CI/CD 파이프라인에 연결할 수 있을 뿐만 아니라 SIEM(보안 정보와 이벤트 관리), SOAR(보안 오케스트레이션, 자동화 및 대응) 및 테라폼(Terraform)과 통합할 준비가 돼 있다. 보안 작업이 앱 업데이트/출시를 지연하는 것이 아니라 보안 소프트웨어 개발 수명 주기(SSDLC)의 초기에 통합될 수 있으므로 고객이 시장에 더 빨리 진출할 수 있다”고 덧붙였다.

◆ 클라우드플레어 | “에지에서 디도스 공격 자율 탐지·완화하는 시스템 제공”

클라우드플레어는 방어자들이 모든 규모의 조직에서, 모든 유형의 디도스 공격으로부터, 더욱 쉽게, 그리고 적은 비용으로 자체 보호할 수 있도록 지원한다.

에지에서 디도스 공격 탐지·완화하는 자율 시스템

클라우드플레어는 디도스 공격으로부터 고객을 신속하고 정확하게 보호하기 위해 중앙집중식 합의 없이 네트워크 에지(edge)에서 스스로 디도스 공격을 탐지하고 완화할 수 있는 자율 시스템을 구축했다. 해당 시스템은 완전한 소프트웨어 정의형(Software-Defined)으로 클라우드플레어의 상용 서버 에지에서 구동된다.

이 시스템은 모든 클라우드플레어 에지 데이터센터의 모든 단일 서버에서 실행되는데, 패킷 및 HTTP 요청을 지속적으로 분석해 디도스 공격을 스캐닝한다. 그리고 디도스 공격이 감지되면 해당 공격을 빠르게 완화할 수 있도록 공격 서명이 실시간으로 생성된다. 클라우드플레어 시스템은 이 서명을 이용해 가장 비용 효율적으로 공격을 완화할 수 있는 리눅스(Linux) 스택 내 최적의 위치에 동적으로 정의되고 생성된 완화 규칙을 즉시 적용한다.

추가 트래픽 프로파일링, TCP 흐름 분류 및 ML 기반 탐지 방법도 사용되며, 이들은 클라우드플레어의 자동화된 시스템에 통합돼 또 다른 지능형 보호 계층을 추가한다.

보안 상태 개선·최적화 위한 다양한 기능 제공

클라우드플레어는 고객이 액세스 권한은 있으나 잘 활용하지 못할 수 있는 많은 기능을 제공한다. 따라서 다음과 같은 추가적 예방 조치로 다양한 기능들을 활용해 보안 상태를 개선하고 최적화할 것을 권장하고 있다.

먼저 최적의 디도스 방어 시스템 활성화를 위해 디도스 관리형 규칙이 모두 기본 설정(고감도 수준 및 완화 조치)으로 설정돼 있는지 확인한다. 클라우드플레어의 ‘어드밴스드 디도스 보호’ 서비스를 이용하고 있는 기업들은 고유의 트래픽 패턴을 기반으로 공격을 더욱 지능적으로 완화하는 적응형 디도스 방어를 활성화하는 것을 고려할 수 있다.

또한 방화벽 규칙 및 비율 제한 규칙을 배포해 포지티브 보안 및 네거티브 보안 모델을 결합 및 적용함으로써 웹사이트에 허용되는 트래픽을 줄인다. 그리고 원본이 공용 인터넷에 노출되지 않도록 한다. 예를 들어, 특정 IP 주소에 대한 액세스만 사용하도록 설정할 수 있다. 추가 보안 예방 조치로 과거에 직접 표적이 된 적이 있는 경우 호스팅 공급자에게 연락해 새로운 원본 서버 IP를 요청할 것을 권장한다.

관리형 IP 목록에 액세스할 수 있는 기업은 방화벽 규칙에서 해당 목록을 활용하는 것을 고려할 수 있다. 또한, 봇 관리를 사용하는 기업은 방화벽 규칙 내에서 봇 점수를 활용하는 것을 고려해 볼 수 있다.

캐싱을 최대한 활성화해 오리진 서버의 부담을 줄이고, 워커스(Workers)를 사용할 때는 필요 이상으로 많은 하위 요청으로 오리진 서버에 과부하가 걸리지 않도록 해야 한다. 마지막으로, 디도스 알림을 활성화함으로써 응답 시간을 개선할 수 있다.

남미 통신사 대규모 디도스 공격 방어

클라우드플레어는 최근 남미의 한 통신사가 테라비트급 공격의 표적이 되었음에도 불구하고 자사 덕분에 정상적으로 비즈니스를 운영한 사례를 소개했다. 2023년 1분기 남미의 통신사를 대상으로 발생한 1.3Tbps의 대규모 디도스 공격은 DNS 및 UDP 공격 트래픽을 포함하는 멀티 벡터(multi-vector) 공격으로 1분 동안 지속됐다. 이는 2만 개의 강력한 미라이(Mirai) 변종 봇넷에서 시작됐으며 다수의 테라비트급 공격을 포함하는 광범위한 공격 캠페인의 일부였다. 공격 트래픽은 대부분 미국, 브라질, 일본, 홍콩, 그리고 인도에서 발생한 것으로 분석됐다. 클라우드플레어의 디도스 방어 시스템은 해당 공격을 자동으로 탐지 및 완화했으며, 고객 네트워크에 아무런 영향도 주지 않았다.

인터뷰

“더 나은 인터넷 환경 구축을 지원하는 클라우드플레어”

클라우드플레어 오메르 요치믹 프로덕트 매니저

Q. 디도스 관련 역량과 미래 전략에 대해 소개해달라.

클라우드플레어는 ‘더 나은 인터넷 환경 구축 지원’이라는 사명 아래 더 많은 사람이 인터넷에 안전하고, 빠르고, 안정적으로 접근할 수 있도록 웹사이트, 앱, API와 같은 인터넷 리소스의 보안, 성능 및 안정성을 개선하는 서비스를 제공한다. 클라우드플레어의 전역 네트워크는 100여 개 국가의 285여 개 도시로 뻗어 있다. 또한 2022년 4분기에는 클라우드플레어를 활용하는 수백만 개의 인터넷 리소스들을 위해 일평균 1,360억 건의 사이버 위협을 차단했다.

클라우드플레어는 새로운 제품 개발에 지속적으로 투자하고 있으며, 우리 네트워크에 더 많은 고객과 트래픽들이 더해지면서 혁신을 위한 새로운 접근을 모색할 수 있는 역량이 향상되고 있다. 혁신은 클라우드플레어를 움직이는 원동력이다. 앞으로도 우리의 로드맵에 따라 고객의 디지털 경험을 더욱 빠르고, 안전하며, 안정적으로 구현할 수 있는 제품을 계속해서 선보일 예정이다.

Q. 디도스 방어에 있어 가장 중요한 것은 무엇인가?

최근 몇 달간 볼류메트릭 공격(Volumetric attacks)이 특히 두드러지는 가운데 다양한 산업 분야에서 장기적이고 대규모의 디도스 공격이 증가하고 있다. 비영리 및 방송 매체 회사들이 주요 공격 대상이 됐으며, DNS 디도스 공격도 점점 더 빈번해졌다.

디도스 공격에 대한 방어는 모든 규모의 조직에 매우 중요하다. 공격은 사람이 시작할 수도 있지만, 봇에 의해 실행되기 때문에 감지 및 완화는 가능한 한 자동화돼야 한다. 실시간으로 방어하는 데 있어 사람에게만 의존하는 것은 한계가 있기 때문이다. 클라우드플레어의 자동화된 시스템은 고객을 위해 디도스 공격을 지속해서 감지하고 완화하므로 고객이 직접 방어할 필요가 없다. 고객은 이처럼 자동화된 접근 방식과 광범위한 보안 기능을 결합해 필요에 따라 보호 기능을 맞춤 설정할 수 있다.

클라우드플레어는 이 개념을 처음 내놓은 2017년부터 모든 고객에게 무과금·무제한 디도스 보호를 무료로 제공해 오고 있다. 클라우드플레어가 추구하는 ‘더 나은 인터넷 환경’은 디도스 공격과 같은 상황에서도 보다 안전하고, 빠르고, 신뢰할 수 있는 환경을 제공하는 것이다.