디도스 공격 진원지, 러시아·동유럽 아냐

고정관념 깨는 연구, 북아메리카와 서유럽 주요 진원지로 나타나
공격자들의 컨설턴트인 것처럼 활동하는 자들도 있어

[보안뉴스 문가용] 디도스 공격이라고 하면 러시아 및 동유럽권 공격자들을 떠올릴 날도 얼마 남지 않은 것으로 보인다. FBI의 요원인 엘리엇 피터슨(Elliott Peterson)은 최근 디도스 공격의 경향에 대해 분석하며, “최근 디도스 공격 대부분의 진원지는 러시아나 동유럽이 아니라 북아메리카, 서유럽, 이스라엘”이라고 발표했다.

게다가 범인들의 나이도 16~17세로 굉장히 낮고, 많아봐야 20대 중반이라고 소개했다. “스카이프나 트위터에서 사용하는 ID를 마치 예술가의 필명처럼 사용하며 SNS를 광적으로 사용하는 편입니다.”

멀웨어 패트롤(Malware Patrol)의 공동 창립자인 안드레 코리아(Andre Correa)가 피터슨을 도와 디도스 공격과 관련된 연구를 진행했다. 둘은 증폭 공격(amplification attack)과 반사 공격(reflection attack)을 위주로 관찰했고, 부터와 스트레서, IoT 및 리눅스 기반의 봇넷을 집중 조사했다.

피터슨은 증폭 공격과 반사 공격의 경우 효과가 좋은 편이라고 설명했다. “1바이트를 전송하고 200바이트를 되돌려 받을 수 있어요. 범죄자들 사이에서는 일반 웹사이트 등에서 쉽게 구할 수 있는 증폭기 중 성능이 좋은 것들을 모아둔 목록이 공유되고 있고요.”

부터와 스트레서는 값이 비싸지 않다. “싸게는 한 달에 5달러에서 비싸봐야 20달러에 사용이 가능합니다. 게다가 기술적인 지식이 많지 않아도 공격을 할 수 있게 해주죠. 공격자들 입장에선 매우 유용합니다. 봇넷은 디폴트 크리덴셜이나 취약점을 스캐닝하는 호스트를 만들어 줍니다. 그런 후에 봇을 다운로드 하고 실행하는 것이죠.”

지난 수개월 동안 피터슨과 코리아는 8백만 건의 기록을 컴파일링했다. 지난 달 최고의 디도스 공격 유형은 1900 포트로의 SSDP 공격인 것으로 나타났다. “대부분 디도스의 가장 큰 원인은 NTP라고 생각하는데, 그게 아니라는 결과였습니다. 사실 여태까지는 NTP를 통한 공격이 가장 많긴 했었을 겁니다. 다만 최근 NTP 서버에 패치가 이루어졌죠. 그래서 디도스 공격의 주요 채널이 바뀐 듯 합니다.”

피터슨은 “몇몇 범죄자들은 사기라는 측면에서 거의 예술가 수준”이라고 언급했다. “정말 고수들은 직접 공격을 하지도 않아요. 디도스 공격을 할 수 있게 서비스를 제공하고 수수료를 받죠. 그냥 기능만 제공하는 것도 아닙니다. 마치 컨설턴트인 것처럼 공격 시나리오도 짜주고, 거래하기 괜찮은 장비 업체도 소개시켜주죠. 한꺼번에 여섯 건의 공격을 상담하고 지휘하기도 합니다. 마에스트로 같기도 하죠.”

이런 사람들이 주로 하는 공격은 대부분 1~5Gbps이며, 최고는 30Gbps까지 이르는 것으로 알려졌다.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)