Home > 전체기사
DDoS공격의 주류, UDP Flooding
  |  입력 : 2009-05-18 11:51
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

[특집 : 최신 DDoS 공격 동향과 대응 방안]

매우 단순한 방법으로 높은 공격 효과 가능

DDoS 공격을 하는 좀비PC들은 국내에서 대량 생성되고 있다. DDoS 공격이라는 단어가 생소하던 시절, 공격지의 IP를 확인해 보면 대부분 해외 IP로 공격이 이뤄지고 있어서 일시적으로 해외쪽 네트워크에서 Victim IP를 차단함으로써 공격을 해소할 수 있었다. 하지만 최근처럼 DDoS 공격이 사회적인 이슈화가 됨에 따라 공격지 IP를 확인해 보면 대부분 국내 IP라는 것을 알 수 있다. DDoS 공격은 여전히 우리에게 위협적인 공격이다. 공격은 시도 때도 없이 발생하고 있으며 서비스 담당자는 어떻게 해서든 서비스를 안전하게 제공하려고 노력하고 있다. 점점 진화하고 있는 DDoS 공격과 그 성향에 대해 알아보자.


국내 초고속인터넷 통신망의 인프라는 날로 성장하고 있다. 언제부턴가 ‘기가네트워크’란 말은 우리 귀에 익숙하게 들리는 단어가 되어버린지 오래다. 이에 따라 데이터의 전송속도는 빨라지고 사용자들은 더 신속한 인터넷 서비스를 즐길 수 있게 되었다. 컴퓨터 또한 CPU 및 네트워크 기술이 계속 발전하고 있고 저가의 고성능 PC를 이용한 인터넷 PC방의 증가로 익명의 사용자 또한 증가하고 있다. PC사용자들의 부주의로 봇(bots)이 설치되는 경우도 있지만 일부 악의적인 사용자들이 일부러 PC를 봇에 감염시키는 경우도 있다고 한다.

이처럼 DDoS 공격을 하는 좀비PC들은 국내에서 대량 생성되고 있다. DDoS 공격이라는 단어가 생소하던 시절, 공격지의 IP를 확인해 보면 대부분 해외 IP로 공격이 이뤄지고 있어서 일시적으로 해외쪽 네트워크에서 Victim IP를 차단함으로써 공격을 해소할 수 있었다. 하지만 최근처럼 DDoS 공격이 사회적인 이슈가 됨에 따라 공격지 IP를 확인해 보면 대부분 국내 IP라는 것을 알 수 있다.


높아지는 공격 수위와 일반화

DDoS 공격은 수만~수십만대의 좀비PC에서 대거 공격이 이뤄짐에 따라 그 피해가 날로 커지고 있다. 이전까지만 해도 DDoS 공격이라고 하면 TCP SYN Flooding을 이용한 공격이 주를 이뤘는데 최근에는 ‘DDoS 공격=UDP Flooding’이라고 인식할 정도로 UDP Flooding은 DDoS 공격의 주류가 되어버렸다. UDP Flooding이 주로 사용되는 이유는 매우 단순한 방법으로 높은 수위의 공격효과를 볼 수 있기 때문이 아닌가 생각된다. UDP Flooding은 주로 1500byte의 패킷을 대량으로 보냄으로써 공격이 이뤄진다.

공격 수위의 경우 이전에는 2~300Mbps 수준이었으나 최근에는 수~수십Gbps 정도의 공격을 함으로써 네트워크 인프라를 완전히 마비시키고 있다. 현재 국내에서 판매되고 있는 DDoS 보안장비의 최대 Throughput이 10Gbps니까 이 정도의 공격수준이면 DDoS 보안장비도 무용지물이다. 또한 공격의 횟수도 잦아지고 있으며 기간도 길어지고 있는 것도 주목할 만하다. 최근 당사에 있는 고객사의 경우 일주일이 넘게 수Gbps의 공격을 지속적으로 받아 상당기간 서비스에 많은 장애를 겪은 바가 있다. 이 업체의 경우 현재까지도 이전과 같은 정상적인 서비스를 하지 못하고 있다. 또 예전에는 해킹이나 DDoS 공격하면 해당 분야의 전문가만이 할 수 있는 고급기술로 인식되어 아무나 할 수 없는, 이른바 전문분야의 기술이었다. DDoS 공격의 명령하달 서버로서 C&C서버에서 주로 사용되는 공격 툴 중의 하나인 Netbot_Attacker는 마음만 먹으면 인터넷에서 어렵지 않게 구할 수 있다. 어눌하지만 한글화도 되어 있고 약간의 지식만 있으면 사용법도 쉽게 익힐 수 있게 되어 있다.

이처럼 공격 툴을 어렵지 않게 구할 수 있음에 따라 공격의 목적 또한 변화가 발생하고 있다. 이전에는 주로 금품 갈취를 위한 목적으로 성인사이트나 게임사이트 등 소위 돈이 될 만한 사이트를 주로 공격을 했으나 최근에는 뚜렷한 목적을 밝히지 않고 주로 보복성이나 경쟁사이트를 공격하는 형태로 공격이 변하고 있다. 이른바 갈취형 공격에서 보복성 공격으로 공격목적이 변하고 있다고 볼 수 있다.

지난 2009년 2월에는 악성코드를 삽입한 프로그램을 제작 유포한 후, 이에 감염된 PC를 원격 조정하여 국내 사이트를 공격한 보안업체 대표가 구속되었다. 이 업체는 공격 후 해당 사이트에 DDoS 보안서비스 영업을 했고 경쟁 업체의 청탁을 받아 타 사이트를 공격하기도 한 것으로 밝혀졌다. 개인적으로는 경제가 어려워짐에 따라 이러한 사이버 범죄가 증가하여 선의의 보안업체에까지 피해가 미치지는 않았으면 한다.

<글 : 유병삼 오늘과 내일 IDC운영팀장(sammy@tt.co.kr)>


[월간 정보보호21c 통권 제105호 (info@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
;   2009-06-04 오전 11:53:22
같은 문장이 들어가있네?...


  •  SNS에서도 보안뉴스를 받아보세요!! 
IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지/7월25일 수정모니터랩 파워비즈 5월 31일까지파워비즈배너 시작 11월6일 20181105-20200131
설문조사
최근 디지털 도어록이 등록되지 않은 스마트워치로 무방비로 열리는 취약점이 발견돼 이슈가 되고 있는데요. 현재 귀하의 집에 설치된 디지털 도어록의 경우 비밀번호와 함께 주로 사용하고 있는 개폐 수단은 무엇인가요?
생체인식
카드키
교통카드(티머니)
스마트워치
스마트폰
기타(댓글로)
      

코오롱베니트
CCTV

인콘
통합관제 / 소방방재

현대틸스
팬틸트 / 카메라

동양유니텍
Sevurity Camera / CCTV

시큐인포
CCTV / NVR

한화테크윈
CCTV 카메라 / 영상감시

보쉬시큐리티시스템즈
CCTV / 영상보안

대명코퍼레이션
DVR / IP카메라

티제이원
영상 보안 / 출입 통제

하이크비전 코리아
CCTV / IP / NVR

원우이엔지
줌카메라

비전정보통신
IP카메라 / VMS / 폴

다후아 코리아
CCTV / DVR

씨앤비텍
통합보안솔루션

지케이테코
출입통제 / 얼굴인식

아이디스
DVR / IP / VMS

한국하니웰
CCTV / DVR

테크어헤드
얼굴인식 소프트웨어

경인씨엔에스
CCTV / 자동복구장치

테크스피어
손혈관 / 차량하부 검색기

트루엔
IP 카메라

슈프리마
출입통제 / 얼굴인식

에스카
CCTV / 영상개선

디비시스
CCTV토탈솔루션

다민정보산업
기업형 스토리지

구네보코리아
보안게이트

엔토스정보통신
DVR / NVR / CCTV

옵티언스
IR 투광기

씨오피코리아
CCTV 영상 전송장비

DK솔루션
메트릭스 / 망전송시스템

티에스아이솔루션
출입 통제 솔루션

진명아이앤씨
CCTV / 카메라

신우테크
팬틸드 / 하우징

에프에스네트웍스
스피드 돔 카메라

엔클라우드
VMS / 스위치

케이제이테크
지문 / 얼굴 출입 통제기

사라다
지능형 객체 인식 시스템

알에프코리아
무선 브릿지 / AP

일산정밀
CCTV / 부품 / 윈도우

두레옵트로닉스
카메라 렌즈

브이유텍
플랫폼 기반 통합 NVR

이노뎁
VMS

새눈
CCTV 상태관리 솔루션

아이엔아이
울타리 침입 감지 시스템

케이티앤씨
CCTV / 모듈 / 도어락

창우
폴대

엘림광통신
광전송링크

퍼시픽솔루션
IP 카메라 / DVR

CCTV프랜즈
CCTV

지에스티엔지니어링
게이트 / 스피드게이트

아이유플러스
레이더 / 카메라

대산시큐리티
CCTV 폴 / 함체 / 랙

더케이
투광기 / 차량번호인식

유진시스템코리아
팬틸트 / 하우징

포커스에이치앤에스
지능형 / 카메라

휴컴스
PTZ 카메라 / 줌카메라

카티스
출입통제 / 외곽경비

세환엠에스
시큐리티 게이트

글로넥스
카드리더 / 데드볼트

유니온커뮤니티
생체인식 / 출입통제

화인박스
콘트롤박스 / 배전향