DDoS 공격, 초동진압이 관건

【사람중심】 2009년 7.7 DDoS 대란 1주기인 7일 오후 6시 즈음, 공공 및 민간 분야의 주요 웹사이트를 대상으로 하는 DDoS 공격이 발생했습니다. 지난 6월 9일과 11일에 이어 세번째 일어난 국내 주요 웹사이트 DDoS 공격이었습니다.(관련기사 보기)

청와대, 외교통상부, 농협, 외환은행, 네이버 등을 대상으로 일어난 이번 DDoS(분산서비스거부) 공격은 규모가 미미했지만, 결국 7.7 DDoS 대란 1주기에 다시금 공격이 있을 것이라는 예상이 현실화됐음에도 제대로 대비를 못했다는 측면에서 보다 근원적인 대책을 요구하는 목소리가 높아지고 있는 상황입니다.

이런 가운데, DDoS 공격을 방어하는 데 있어 초동 진압이 2차, 3차 피해를 막는 결정적인 역할을 한다는 발표가 있어 눈길을 끕니다.

CDN(Content Delivery Network) 전문업체 씨디네트웍스는 7일, 지난해 7·7 대란 이후 최근까지의 DDoS 공격 유형 변화와 관련해 “최초 공격에 제대로 방어가 이루어질 경우 재공격을 하지 않고, 아예 공격 대상을 타 사이트로 변경하는 식으로 그 양태가 변화하고 있다”고 밝혔습니다.

이는 대상 사이트에 처음 공격을 가해 방어가 이루어질 경우 시차를 두고 또 다시 같은 사이트를 공격하던 과거의 공격 양상과 분명히 달라진 점입니다. 따라서, 첫 공격을 잘 막아내면 재공격을 받을 위험이 현저히 낮아진다는 것이죠.

대규모 CDN 인프라를 이용해 DDoS 공격을 분산·우회시키는 서비스를 제공하고 있는 씨디네트웍스 측은 7·7 대란이 발생한지 1년이 지난 최근까지 자사의 DDoS 방어 서비스인 ‘시큐어드 호스팅(Secured Hosting)’ 서비스를 제공하면서 모니터링한 결과를 발표하면서 “DDoS 공격은 첫 공격을 완벽한 진압할 수 있도록 미리 방어 시스템을 갖추는 것이 공격 대상 사이트로 지목되는 것을 막고, 공격 발생 시 대규모 피해를 최소화할 수 있는 최선의 지름길”이라고 강조했습니다.

또, DDoS 공격 방식에서는 한창 주를 이루던 Get Flooding이나 CC 공격이 줄어들고 트래픽 위주의 공격이라고 할 수 있는 UDP Flooding 공격이 다시 증가 추세를 보이고 있다 합니다. 이 공격 유형은 DDoS 공격이 발발하기 시작하던 초창기에 유행했던 것입니다.

씨디네트웍스 임정우 과장은 “점점 더 복합·지능화되고 있는 DDoS 공격에 대비해 공격 트렌드를 발 빠르게 파악, 신속하게 방어하는 기술을 연구·적용할 수 있는 역량이 DDoS 방어 서비스에서 가장 중요하다”며, “특히, DDoS 공격은 어느 한 분야나 지역에 국한되는 것이 아니기 때문에 정부와 기업은 물론, 개인들까지도 그 위험성을 인식하고 공격에 대처하고자 하는 준비 자세를 갖춰야 엄청난 사이버 재앙을 막을 수 있을 것이다”고 강조했습니다.

7일 오후의 공격과 관련해 방송통신위원회는 “일부 국가기관과 민간 웹사이트를 대상으로 소규모 DDoS 공격을 탐지해 긴급 조치 중에 있다. 공격량은 작년 7.7 DDoS 공격과 비교해 매우 적은 수준으로 현재까지 우려할 만한 사항은 아닌 것으로 파악됐다”고 발표했습니다.

하지만, 공격량이 적어 우려하지 않아도 된다는 얘기는 어불성설인 것 같습니다. 처음 공격받을 때 제대로 방비하지 않은 사이트는 더 큰 공격을 받을 가능성이 크다는 것이 증명되고 있기 때문입니다.

DDoS 공격은 전문 보안 장비를 잘 갖추는 것도 중요하지만, 설치한 보안 장비의 처리 용량보다 더 큰 트래픽으로 공격을 하면 사실상 막을 방법이 없다고 합니다. 그런 만큼 초기에 최대한 잘 대응할 수 있는 환경을 갖추는 문제가 정말 중요할 것으로 생각됩니다.

인터넷침해대응센터 웹사이트(www.krcert.or.kr/main.do)를 방문해 보니, 아직 이번 공격과 관련해 주의나 관심을 당부하는 보안공지는 없는 상황이네요. 지난 5월 23일 <사이버공격 위험성 증가에 따른 ‘관심’ 경보 발령>이 한차례 있었습니다.

<사람중심 김재철>mykoreaone@bitnews.co.kr