디도스 공격, 입체적인 방어가 필요하다

김홍선 안철수연구소 대표 기고

김홍선 대표

똑같은 일이 또 다시 반복됐다. 악성코드는 계속 진화하고 있고, 보안 대란은 언제든지 일어날 수 있지만, 이번에도 또 '디도스(DDoS)'가 문제를 일으킬 것이라고는 생각지 못했다. 우리가 두 번 당할 정도로 허술하게 대비를 했으리라고 생각하지 않는 것이 공격자의 상식이기 때문이다. 하지만 이런 예상을 깨고 7.7 디도스 대란으로 온 나라가 혼란을 겪은 지 2년도 안 돼 유사한 형태의 3.4 디도스 공격 사건이 발생했다.

주말을 끼고 숨 가쁘게 며칠을 보내고 사태가 진정된 후 이 전쟁에 참여했던 인력들과 회의실에 모여 이번 디도스 공격을 정리하는 시간을 가졌다. 이번 공격은 여러모로 2009년의 7.7 디도스와 유사한 점이 많았다. 주요 정부기관과 금융기관, 포털 등을 동시 다발적으로 노렸고 특정 시간에 동작하도록 했다는 점은 거의 같다. 선정된 대상은 일부 다르지만, 대체로 7.7과 성격은 유사했다. 주로 악성코드 배포지로 P2P 사이트를 이용했으며 공격 목적이 불분명하고, 하드디스크 파괴로 공격이 종료된다는 점 또한 유사하다. 이와 반대로 공격 대상사이트는 더욱 늘었으며, 공격 종료시점은 따로 없었다. 손상시키는 운영체제도 대폭 확대돼 기술적인 측면에서만 본다면 7.7 디도스 대란보다 더욱 교묘하게 설계돼 있었다.

일부에서는 이번 3.4 디도스 공격이 7.7 디도스 대란과 비교해서 미미한 사건이라고 평가 절하하지만, 이는 사실과 다르다. 다만 이번에는 사전에 악성코드의 배포처를 추적해 신속하게 차단했고 유관기관 간 준비 대응 체제가 구축돼 있어 피해가 확산되지 않아 체감효과가 줄었을 뿐이다. 악성코드는 더 복잡해졌고 자유자재로 공격 시간과 작전을 원격 조종하는 형태는 한층 진일보한 공격이었다. 분석된 정보를 미리 받아 준비한 기업이나 기관에서 공격의 형태를 미리 예측해 방어하자 공격자는 치밀하게도 좀비 PC들의 하드 디스크를 즉각 무력화시키는 지령을 내려 보냈다.

이렇게 지능화하는 디도스 공격을 막으려면 어떻게 해야 하는 것일까? 많은 업체가 선보이고 있는 전용 방어 장비도 좋은 해법이 될 수는 있다. 하지만 여기에만 의존해 공격을 막겠다는 것은 부족한 발상이다. 조금만 디도스 공격의 본질을 들여다본다면 다음의 네 가지로 정리할 수 있다.

첫째, 디도스 공격은 악성코드에 의해 생성된 좀비PC(Zombie PC)에서 시작된다. 따라서 실제로 공격 트래픽을 발송하는 좀비PC에 대응할 수 있어야 한다. 이번 3.4 디도스 공격에서 사태 초반 악성코드 배포지를 신속히 찾아 파악한 것도 클라우드 기반 기술과 분석 및 대응이 원활히 연결되는 대응체계가 있었기 때문이다.

둘째, 디도스 공격이 발생해 공격 트래픽이 피해지로 도달하면 피해지의 네트워크, 서비스 인프라, 기존 보안 제품, 디도스 공격 대응 제품에 모두 영향을 주게 된다. 따라서 신속하게 대응하기 위해서는 전체적인 서비스 인프라 차원에서의 공격 대응을 유기적으로 이끌어내는 입체적인 디도스 운영 프로세스가 필요하다.

셋째, 이 디도스 운영 프로세스에 대해서는 최종적인 점검은 물론 모의 공격 대응 등 주기적인 훈련이 반드시 필요하다.

넷째, 디도스는 공격이 발생하자마자 대규모 트래픽이 집중되므로 그 즉시 피해 증상이 나타난다. 따라서 디도스 공격의 피해를 최소화하기 위해서는 24시간, 365일 상시 모니터링 및 긴급 대응이 요구된다.

이를 종합하면 입체적인 사이버 보안 대응 체계가 필요하다는 얘기다. 2009년의 7.7 디도스와 2011년의 3.4 디도스는 우리의 보안 방어력을 단적으로 보여주는 사건이었다. 항상 방어만 해야 하는 입장에서, 점차 지능화하고 있는 사이버 공격에 맞서기 위해서는 입체적인 대응 체계가 필수적이다.