보안뉴스 창간 17주년을 축하합니다!!

Home > 전체기사

작고 귀여워 지는 해킹, 미니 디도스가 유행

입력 : 2015-03-25 16:01
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

미니 디도스, 서비스 중단까지는 못해도 방어막을 저하시켜

연계 공격도 다양해질 수 있고 공격 비용마저 낮아 인기


[보안뉴스 문가용] 디도스라고 하면 보통 웹 사이트를 마비시키거나 기업의 네트워크 운영을 불가능하게 만드는 떠들썩하고 장기적인 공격을 떠올린다. 하지만 이는 디도스의 일부일 뿐이다. 세상에는 이런 전형적인 디도스보다 훨씬 짧은 기간 내에, 훨씬 조용하고 은밀하게 작동해서 아무도 모르게 정보를 슬쩍해가는 디도스도 있다. 이런 종류의 디도스 공격은 그 자체로 하나의 온전한 공격이라기보다 보다 광범위한 캠페인의 일부인 경우가 많다.

 


디도스 방어 전문업체인 코레로 네트워크 시큐리티(Corero Network Security)는 대역폭의 최고치가 초당 5기가비트를 넘지 않으며 공격 지속 시간이 10분 미만인 디도스 공격을 80%의 성공률로 감지해냈다고 최근 보고했다. 그렇다면 이렇게 비밀스러운 디도스 공격을 하는 이유는 무엇일까? 보안 방어 시스템을 우회하거나 보안 관련 로그를 얼른 다 소모시켜버리는 것이 목표라고 코레로의 부회장이자 CTO인 데이브 라르슨(Dave Larson)은 설명한다.


코레로가 발견한 디도스 공격의 평균 지속시간은 5분에서 30분이었다. 30분 미만인 디도스 공격이 96%, 5분도 되지 않은 공격은 73%나 차지했다. ‘미니 디도스’라고 일부에서는 부르기도 한다고. “그러나 이 ‘미니 디도스’ 공격들은 기존의 ‘낮은 트래픽, 꾸준하고 느린’ 유형의 APT와는 구분을 지을 필요가 있습니다. 결국 디도스 공격의 목적은 디도스, 즉 서비스를 중단시키는 것이거든요.”


설명이 이어진다. “이런 ‘미니 디도스’ 공격은 일종의 연막작전이라고 보입니다. 아주 짧은 기간 지속되는 트래픽, 그것도 많아야 1초에 3기가비트 패킷이 고작인 양으로는 디도스 본연의 임무인 서비스 중단을 이뤄낼 수 없거든요. 그러나 이런 식의 공격으로는 방화벽이나 IPS를 저하시킬 수는 있습니다. 즉 진짜 공격이 들어갈 입구가 조금씩 넓어지는 효과가 생긴다는 뜻입니다.”


그래서 미니 디도스 공격은 무궁무진한 가능성을 해커에게 가져다준다는 게 코레로 측의 설명이다. “당하는 사람은 당하는 줄도 모르고, 연이어 다음 공격을 이어서 할 수도 있으니 그네들 입장에선 얼마나 좋겠습니까?”


또한 이런 식의 디도스 공격을 처음 시작한 건 정부를 등에 업은 해커집단일 가능성이 높다는 의혹도 함께 제기됐다. 꼭 정부의 개입이 없더라도 몰래 민감한 정보를 빼내가는 것이 해킹의 가장 큰 목적인 단체는 전부 용의선상에 오른 상태다. “디도스 공격의 가장 좋은 점은 보안의 경계선을 조금씩 무너트린다는 겁니다. 또한 로그파일도 꽉꽉 채워놓기 때문에 검토마저도 쉽지 않게 해주죠.”


그렇다고 우리가 흔히 알고 있는 대규모 디도스 공격이 이렇게 작고 소소한 단위로 바뀌어가고 있다는 뜻은 아니다. “작은 디도스, 큰 디도스 가릴 것 없이 다양하게 일어나고 있습니다.” 라르슨의 설명이다. 그렇지만 아버 네트웍스와 아카마이 등은 디도스 공격이 분명히 진화하고 있는 중이라는 의견이다. 게다가 진화 전이든 후든 그 인기는 여전히 높은 것이 문제의 핵심이라고 한다. “작년 한 해만 해도 디도스 공격을 겪지 않은 메이저 기업을 꼽기가 힘들 정도이며 ‘미니 디도스’까지 합하면 범위는 더욱더 늘어납니다.” 아버 네트웍스 측의 설명이다.


아버에 의하면 디도스 공격의 30%는 오히려 그 본래 목적이 정보를 빼돌리는 것이고 서비스 중단 등의 시끌벅적한 현상이 연막에 가깝다. 아버의 엔지니어인 댄 홀든(Dan Holden)은 공격 트래픽 양이 1초에 5기가비트만 되어도 대부분 웹 사이트의 정보를 빼돌리기에는 충분하다고 설명한다. “그리고 실제 요즘의 디도스 공격은 그런 식으로 감행되는 추세입니다.”


이런 식의 공격이 늘어가는 이유 중 또 하나는 이렇게 감지율이 낮은 저도/저속/저용량 공격과 이 다음에 연계되는 대단위 공격의 상관관계를 밝히는 게 굉장히 까다롭다는 것이다. 게다가 이를 밝히려면 수사 과정이 필수인데, 규모가 작은 회사의 경우 이런 수사에 시간이나 비용을 투자하기가 무척 까다로워서 진실은 그냥 파묻힌 채로 지나가기 일쑤다.


“디도스의 트렌드는 항상 돌고 돕니다. 중요한 건 당대의 디도스 유형이 무엇이냐가 아니라 해커들이 주로 노리는 것이 무엇이냐가 됩니다. 그에 따라 공격 유형이 바뀌니까요.” 홀든의 설명이다. “디도스는 계속 살아남을 겁니다. 박멸될 수가 없어요. 일단 공격 비용이 매우 낮습니다. 그런데 방어하는 입장에선 엄청난 비용을 투자해야 되죠.”


그러나 최근 들어 가장 무서운 공격 유형은 애플리케이션 층위로 들어오는 공격이라고 홀든은 말한다. 공격 루트 혹은 공격 표면이 굉장히 넓고, 일반적으로 애플리케이션을 통해 공격하는 해커들은 목표의식이 분명하기 때문이다. “몇 년 전에 미국 은행들을 대상으로 한 디도스가 다량으로 발생한 적이 있었죠. 그런데 인터넷 공급 업체에서 대부분 차단할 수 있었습니다. 그럼에도 웹 사이트들은 서비스를 중단해야 했죠. 마치 디도스에 당한 것처럼요. 그 이유가 바로 이 애플리케이션을 통해서 들어오는 해커들 때문이었습니다.”


그렇다면 기업들 입장에선 눈에 잘 보이지도 않는 미니 디도스 공격을 어떻게 막아야 할까? “방법은 딱 한 가지, 네트워크 샘플링 단위를 디도스에 맞춰서 낮추는 겁니다. 좀 더 낮은 트래픽, 좀더 느린 트래픽도 볼 수 있게끔 말입니다.” 혹은 안티디도스 툴을 구매하는 것도 한 방법이다.


한편 기업들은 크고 작은 디도스 공격을 하루에 평균 3.9회 당하는 것으로 밝혀졌다. 가장 많이 당한 업체는 하루에 12회 당하기도 했다.

@DARKReading

[국제부 문가용 기자(globoan@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
 하이젠 파워비즈 23년 11월 16일~2024년 11월 15일까지 아스트론시큐리티 파워비즈 2023년2월23일 시작 위즈디엔에스 2018 넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지
설문조사
2023년 주요 보안 위협 가운데, 올해 말까지 가장 큰 피해를 끼칠 것으로 예상되는 위협은?
공급망 공격
다크웹 기반 랜섬웨어 조직
북한/중국/러시아 등 국가 지원 해킹그룹 활동
스마트폰을 노린 보안 위협
OT 타깃 공격
피싱 공격
기타(댓글로)