Home > 전체기사
기록 갱신 자꾸만 거듭하는 디도스 공격, 비결이 무엇일까?
  |  입력 : 2020-06-26 17:46
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
지난 주 초당 1.44 테라바이트 기록한 공격 나오더니 이번엔 초당 9억 패킷
시간도 기록적으로 길어지기 시작하나...디도스 공격 지형도가 완전 바뀌는 중


[보안뉴스 문가용 기자] 최근 디도스 공격의 기록들이 자꾸만 갱신되고 있다. 보안 업체 아카마이(Akamai)가 발표한 바에 따르면 지난 6월 21일 한 유럽 은행에서 사상 최대 규모의 디도스 공격이 발생했다고 한다. 무려 초당 8억 9백만 패킷이 기록됐으며, 정상 트래픽이 디소스 공격 트래픽으로 변하기까지 걸린 시간은 2분 내외였다. 공격은 10분간 지속됐다고 한다.

[이미지 = utoimage]


보통 디도스 공격이라고 하면 ‘초당 바이트 수’로 측정되는데, 최근에는 ‘초당 패킷 수’가 빈번히 눈에 띄기 시작한다고 아카마이는 분석했다. 둘 다 공격 대상의 네트워크를 쓸데없는 것으로 가득 채워 마비에 가까운 상태로 만든다는 건 비슷한데, ‘초당 바이트 수’에 집중한 디도스 공격은 인바운드 인프라에 과부하를 주고, ‘초당 패킷 수’에 집중한 공격은 내부 네트워크의 자원을 전부 소모시킨다는 차이를 가지고 있다.

보안 전문가 톰 엠몬스(Tom Emmons)는 블로그를 통해 이 둘의 차이를 이렇게 설명한다. “식료품 매장의 계산대를 한 번 생각해보세요. ‘초당 바이트 수’ 디도스 공격은 이 계산대에 수천 명이 줄을 선 것과 같은 겁니다. 게다가 한 명 한 명이 카트 가득히 물건을 싣고 있어요. ‘초당 패킷 수’는 수백만 명의 사람들이 가게에 들어와 물건을 하나씩 사가는 것과 같습니다. 가게가 원활히 돌아갈 수 없다는 점에서 비슷하지만, 방식에 차이가 있습니다.”

아카마이의 글로벌 보안 운영 부문 부회장인 로저 바랑코(Roger Barranco)에 의하면 “최근 한 1년 동안 공격자들이 서서히 ‘초당 패킷 수’에 기반을 둔 디도스 공격을 선호하기 시작한 듯한 모습이 보이기 시작했다”고 말한다. “여태까지 디도스 공격이라고 하면 비트 수를 엄청나게 늘리는 방식을 말했어요. 따라서 기업들의 방어 체계도 ‘초당 비트 수’에 맞춰져 있는 경우가 대다수입니다. ‘초당 패킷 수’를 늘리는 공격에 대해서는 상대적으로 무방비일 때가 많습니다. 이 부분을 노리는 것으로 보입니다.”

또 하나 간과하기 힘든 건, 디도스 공격의 양(초당 패킷의 양)이 반복적으로 기록을 갱신할 수준으로 나타나고 있다는 사실이다. 불과 지난 주에만 하더라도 한 호스팅 서비스 제공 업체에서 초당 1.44 테라바이트라는 규모의 디도스 공격이 발생했고, 이 역시 그 때 기준으로 신기록이었다. 게다가 그 공격은 같은 호스팅 서비스를 사용하고 있던 또 다른 웹사이트로 번져 초당 500 기가바이트를 기록하기도 했다. 1.44 테라바이트가 워낙 충격적인 숫자여서 그렇지, 초당 500 기가바이트도 대단히 큰 숫자다.

바랑코는 “어쩌면 디도스 공격에 대한 방어가 완전 개편되어야 할지 모르겠다”고 말한다. “요 며칠 동안 발생한 공격 중 가장 작은 게 초당 500 기가바이트에요. 기업이나 기관들 중 정상 트래픽을 그대로 유지한 채 초당 500 기가바이트의 디도스 트래픽을 처리할 수 있는 곳은 극히 드뭅니다. 우리의 일반적인 방어력을 훌쩍 뛰어넘는 공격이 자꾸만 발생하고 있다는 것은, 심상치 않은 조짐이라고밖에 해석할 수가 없습니다.”

보안 업체 임퍼바(Imperva) 역시 좋지 않은 소식을 발표했다. “보통 디도스 공격은 10분 내외로 진행됩니다. 그런데 지난 5월 말도 안 되게 긴 시간 이어지는 디도스 공격이 발견됐습니다. 무려 5~6일이나 이어진 디도스 공격이 두 건이나 발생한 겁니다. 이렇게 긴 공격이 가능하다는 건, 봇넷을 대여한 게 아니라 스스로 구축해 보유하고 있는 고급 해커가 배후에 있을 가능성이 높다는 뜻입니다.” 임퍼바의 설명이다.

아카마이가 발견한 ‘기록 갱신형’ 디도스 공격과, 임퍼바가 발견한 ‘예외적으로 긴’ 두 건의 공격에는 공통점이 있다. 일반적인 디도스 공격에 비해 엄청나게 많은 악성 소스 IP(source IP)가 활용되었다는 것이다. 임퍼바가 발견한 ‘긴 공격’의 경우는 기존 디도스 공격에서 발견된 것보다 10배 많은 소스 IP가, 아카마이가 발견한 ‘초당 패킷 수’ 공격은 600배 많은 소스 IP가 활용되었음이 나타났다.

“지난 2년여 동안 디도스 공격의 빈도수가 꾸준히 높아졌습니다. 미라이(Mirai)라는 봇넷이 당시 디도스 공격의 기록을 갱신하는 놀라운 모습을 보여주었지만, 어느 정도 분석되고 와해된 이후에는 디도스 공격의 수위나 빈도가 급히 변했던 적이 현재까지 없었습니다. 늘 비슷한 수위의 공격이 조금씩 늘어나고 있는 게 추세였죠. 그런데 요 몇 주 사이에 계속해서 신기록들이 나오고 있죠? 사이버 범죄자들 사이에 미라이와 같은 새로운 디도스 공격 도구가 출현했을 가능성이 높습니다.” 바랑코의 설명이다.

“아마 그 새로운 도구를 보유하고 있는 해킹 집단은 현재로서 얼마 되지는 않을 겁니다. 소수의 사람 몇몇이 자기들끼리만 공유하고 있을 겁니다. 하지만 미라이는 어땠나요? 소스코드가 공개되고 일반 해커들에게까지 기술이 전파됐죠. 그 외에도 많은 ‘엘리트’ 멀웨어가 해커들 사이에 퍼져 범죄자 전체의 수준을 상향시킨 사례는 얼마든지 있습니다. 새롭게 등장한 것으로 의심되는 도구 역시 그러한 전철을 밟을 것으로 예상됩니다. 사실 걱정되는 건 그 부분입니다. 이런 규모의 디도스 공격이 일반화 되는 것 말입니다.”

아카마이는 아직까지 이 미지의 디도스 공격 도구를 찾고 있는 중이다. 힌트는 어디에도 없다. “완전히 새로 탄생한 도구일 수도 있고, 기존에 있던 도구들이 개발되었거나 다른 방식으로 사용되는 것일 수도 있습니다. 무엇이 됐건 요즘 자주 디도스 공격이 새로워지고 더 위협적으로 변하게 만드는 방법을 찾아야 합니다. 그래야 방어 체제를 갖출 수 있으니까요.”

4줄 요약
1. 디도스 공격, 요 몇 주 동안 기록 갱신 거듭하고 있음.
2. 초당 비트 수를 늘리던 공격이 서서히 초당 패킷 수 늘리는 공격으로 변모하고 있음.
3. 공격 지속 시간이 평균 10분이었는데, 최근 6일이나 진행된 공격이 두 건이나 나옴.
4. 공격자들의 디도스 공격 지형도를 완전히 개편시킨 무언가가 있을 것으로 보임.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 사태로 인해 화상회의, 원격교육 등을 위한 협업 솔루션이 부상하고 있습니다. 현재 귀사에서 사용하고 있는 협업 솔루션은 무엇인가요?
마이크로소프트의 팀즈(Teams)
시스코시스템즈의 웹엑스(Webex)
구글의 행아웃 미트(Meet)
줌인터내셔녈의 줌(Zoom)
슬랙의 슬랙(Slack)
NHN의 두레이(Dooray)
이스트소프트의 팀업(TeamUP)
토스랩의 잔디(JANDI)
기타(댓글로)