[칼럼-89] 7.7 DDoS 사태가 남겨 준 교훈(2) -사이버 조폭 DDoS

필자가 DDoS 공격에 관심을 갖게 되었던 것은 이미 오래전부터이지만 본격적으로 관심을 가진 것은 지난해 5월달이다. 한 고객사에서 DDoS 공격을 받아 같이 방어를 하였기 때문이다. 아마도 그때가 한 증권사가 DDoS공격으로 인하여 장애를 당하면서 금융권도 DDoS 공격에서 자유롭지 못하다는 인식을 하게 되었고 업계에서는 이로 인하여 각종 anti-DDoS 장비가 시장에 풀리기 시작한 시점이기도 하다.


DDoS 공격은 신혼의 달콤함도 빼앗아가

지난해 고객사에서 DDoS 공격을 받는다는 소식을 듣고 같이 방어를 하게 되었다. BMT를 실시하고 각종 트래픽 분석과 장비에 대한 제안도 받았다. 그런데 DDoS 공격은 고객사 시스템 관리자의 신혼의 달콤함도 빼앗아간다. 그당시 시스템 관리자는 결혼을 한지 얼마 안되는 신혼이었지만 수 차례 반복되는 공격으로 인하여 늘 서버와 씨름을 하게 되었다.  또한 이러한 DDoS 공격에 대한 대응은 각 ISP업체와 공조를 해야 하기 때문에 같이 신경을 써야 한다.  그 당시 DDoS 공격을 대응하면서 썼던 포스팅을 살펴 보면 다음과 같다.

2009/07/12 - [Security Skill&Trend] - 지금까지 DDoS 관련 포스팅 정리

결국 고객사는 안티 디도스 장비를 이용하여 방어를 하게 되었다. 물론 이러한 부분들은 꼭 DDoS 대응장비만으로는 불가능하다는 사실을 반드시 인지를 하여야 한다.  여러가지 조건이 구비 되었을때 그 효력을 배가 시키는 것이다. 그럼 잠시 DDoS가 이렇게까지 이슈가 되고 온나라 주요사이트가 다운이 되고 하는 DDoS를 살펴 보겠다.

DDoS 공격의 변천사

1. DoS (Denial of Service) - 서비스 거부

일반사용자는 가정의 PC에서 클라이언트로서 브라우져를 통하여 서버(Server)에서 제공해 주는 서비스를 사용 할수 있게 된다. 그것을 흔히 클라이언트 서버관계라 말한다. 즉, PC는 수요자, 서버는 공급자라 생각을 하면 되겠다. 이러한 서비스를 공급 해 주는 서버에게 과도한 접속을 유발시켜 서비스를 제공하지 못하게 하는 공격을 말한다. 이를 쉽게 설명하면 흔히 도로에 비유를 많이 든다.  일반 4차선 도로를 네트워크 대역폭이라 말하면 4차선 도로에 8차선으로 다닐만한 차들이 한꺼번에 진입을 한다면 그 도로는 정체가 되고 결국 주차장이 되고 차는 꼼짝 할수 없는 것이다. 이것이 바로 DoS 공격 (Denial of Service Atttack)  우리말로 해석을 한다면 '서비스거부공격'이라 한다. 여기에는 필자는 2009/07/14 - [Security Skill&Trend] - '서비스거부공격'이 아닌 '서비스방해공격' 표현이 맞아 라는 글을 통하여 이야기 했지만 통상 그렇게 칭하기에 그대로 표현을 하겠다.  초보자들의 이해를 돕기 위하여 깊이있는 DoS툴 같은 것은 언급을 하지 않겠다.

2. DDoS(Distribute Denial of Service) - 분산서비스거부

DoS 공격이 조금 더 진화를 하여 과도한 접속과 트래픽을 공격 타켓이 되는 서버로 분산시켜서 공격하는 형태를 말한다. 조금 쉽게 그림으로 보면 더 이해하기 쉬울 것이다.

                                                      <이미지출처: 여기>


이렇듯 공격자는 여러곳에 분산되어 있는 좀비(Zombie) PC를 이용하여 분산되어 서비스를 방해하는 공격을 하는 것이다. 정말 무서운 공격이 아닐수 없다. 지금까지 DDoS 공격을 받은 서버는 특별한 조치가 취해지지 않았다면 대부분 다운되는 현상을 보았다.

초기의 DDoS 공격 목적

초기의 DDoS 공격자는 타켓이 되는 사이트에 공격을 감행하여 자신을 과시하거나 금전적인 목적을 가지고 공격을 하였다. 지난해 한 고객사와 같이 DDoS공격을 받았을 당시에도 금전을 요구하였다. 대부분이 중국에서 공격하는 것이 대부분이었으며 이는 전화를 걸거나 메신져를 이용하여 금품을 요구한다. 그렇게 하여 요구사항이 들어지지 않으면 공격을 감행하여 시범 케이스도 몇분후 시스템 다운이 되는것을 직접 눈으로 확인하게 된다. 그렇다 보니 금전 요구 사항이 있으면 공공연 하게 요구하는 금전적인 금액을 지불하게 된다.

왜 DDoS 공격이 무서운 공격인가?

이렇게 DDoS공격을 받게 되면 일차적인 증상은 해당 웹사이트가 브라우져에서 뜨지 않는다는 것이다. 특히 많은 방문자가 있는 사이트의 경우에는 더 빨리 이러한 현상을 알수 있기 때문이다. 예를들어 국내 최대 쇼핑몰이나 국내 포털이 갑자기 DDoS공격을 받아 브라우져에서 접속이 되지 않는다면 일반사용자는 바로 알아버리기 때문에 그만큼 기업에 대한 이미지와 신뢰가 떨어지는 것이다. 그것은 곧 기업의 존폐와 직결되기로 한다.

거대 포털이 거대 쇼핑몰이 주요 국내 공공기관이 이러한 DDoS공격에 무방비한채 그대로 방치해 두었다고 접속 불가에 따른 서비스에 불만을 느낀 일반사용자의 화살이 고스란히 향해 사후에는 기업의 이미지나 공공기관의 신뢰성에 문제가 생겨 발길을 끊게 되는 것이다. 물론 이러한 것은 DDoS에만 국한 되는것이 아니고 개인정보유출이나 해킹에 대한 피해들도 있지만 결국 기업이 밝히지 않는 이상 일반사용자는 잘 모르지만 DDoS의 경우 해당 기업의 시스템 장애가 아닌이상 바로 알아버린다는 것이 DDoS를 무서워 하는것이다.


초기 DDoS 공격 목적이 이젠 헥티비즘(HecKtivism) 으로

이번 DDoS공격에 주목하는 것은 기존에 DDoS공격과는 달리 주요 국가 시설을 상대로하여 공격을 감행했다는 사실이다. 그것을 우리는 헥티비즘(Hecktivism)이라 한다. 헥티비즘의 사전적 정의는 다음과 같다.

정치적 노선을 달리 하는 네티즌(Netizen)들이 특정 정부의 인터넷 웹 사이트를 침범해 정치구호를 내걸거나 컴퓨터 서버를 무력화하는 것이다. 기존의 컴퓨터 해킹(Hacking)과 정치행동주의(Activism)의 합성어로, 정치·사회적 목적을 이루기 위해 해킹을 시도하거나 목표물인 서버(Server) 컴퓨터를 무력화하고 이런 기술을 만드는 주의를 뜻한다. 헥티비즘은 자기만족 차원에서 허술한 컴퓨터 보안장치를 뚫던 기존의 해커와는 달리 인터넷과 같은 가상공간을 진보 혁명의 수단으로 여긴다. -출처: 네이버 사전

이제 정치적인 목적을 띄었다는 것이다. 이번 7.7 DDoS 사태에 대해서도 여러가지 배후에 대하여 설왕설래가 있었지만 분명 기술적 분석을 통해 보더라도 특정 타켓을 두고 있었기에 초기에 DDoS공격 목적과는 차별성이 있다는 것만은 인지 할 수 있다.


DDoS 또 다른 위협은 무엇인가?

영화에서 나오는 것이 이제는 현실이 되어 버렸다.  '테러'니 '대란'이니 이런 용어는 둘째치더라도 분명 영화에서 나오는 현상이 미래의 모습도 아닌 현실이 되었다. 우린 이런 것에 인식을 같이할 필요가 있다는 것이다.  자 조금 더 꿈 같은 현실을 한번 보겠다. 이것이 전혀 불가능할 것인가? 얼마전에 유튜브에 올라온 영상을 한번 보기 바란다.

2009/06/10 - [Security Movie] - 아파트 실내조명으로 캘러그 게임을 한다면?

이젠 현실이 되고 더 다양한 위협과 또 새로운 위협이 다가오는 것이다. 그렇다면 이러한 것들이 왜 무서운 것일까? 그것은 이런 다양한 위협이나 새로운 위협은 기존의 위협이 사라지고 다시 나타나는 것이 아닌 자꾸 누적되어진다는 점이다. 다시말하면 그 위협은 시간이 흐르면 흐를수록 더 다양하고 새로운 위협으로 다가 온다는 것이다. 우린 이런 것들에 대한 대비를 해야 하는것이다.

초기의 DDoS의 기술이 점점 진화 발전하고 있다는 사실이다. 초기의 DDoS공격은 대부분 다량의 트래픽을 유발하여 타켓이 되는 목표 사이트에 접속을 유도를 하여 시스템을 다운시키는 공격이었다. 이러한 부분들은 각종 ISP업체나 하드웨어 보안 솔루션으로 어느정도 대응이 되었다. 하지만 이번 DDoS 공격의 경우처럼 이제는 공격자가 타켓이 되는 사이트를 빨리 다운시키려는 성급한 목적에 좀비 PC를 갑자기 많은 트래픽을 유도하기 위하여 이용하다보니 일반 사용자가 쉽게 알아버리고 버벅거리는 PC를 재부팅을 하게 된다. 따라서 공격 개시후 적어도 10-15분을 넘기다 보면 현저히 트래픽이 떨어지는 경우를 볼수 있다. 이것은 아마도 일반 사용자 좀비PC가 DDoS 공격에 너무 많은 자원을 할당하기엔 한계가 있다는 점을 알게 된 것이다.

그렇다보니 이제는 일반 사용자 모르게 아주 작은 트래픽이나 다수의 접속 세션을 이용하여 일명 스로우어텍 (slow attack) 이라는 공격으로 발전하게 된다. 그러면 사용자도 자신이 DDoS 공격에 이용이 되고 있는지를 알수가 없는 것이다.  결국 정상 접속자와 악의적인 접속자를 어떻게 구별 해 낼것인가가 기술적인 노하우가 된 것이다.

DDoS 공격은 관성의 법칙이 작용해.

지난번 DDoS 공격 방어를 위한 BMT와 테스트후 직접 대응 방어를 하다보니 한가지 재미있는 현상을 발견 하였다. 그것은 DDoS 공격을 당하게 되면 즉각 서버에 자원이 소비가 되고 리소스가 고갈되는 현상이 지속이되다가 결국 다운(Down)이 되는 것이다. 그런데 문제는 이렇게 다운된 서버를 확인후에 DDoS 공격이 멈추었다 하더라도 그 여파가 한동안 지속된다는 것이다. 즉, 다시말하면 DDoS공격이 멈추었다고 해서 서버가 방금 살아 나지 않는다는 것이다. 그렇다고 해서 다시 재공격을 안한다는 보장도 없으니 그 대응 방안을 강구를 해야 하겠다.

DDoS 공격에 대응 방법은 정말 없는 것인가?

실무에서 가장 고민하는 것 중에 하나가 정말 DDoS 공격을 방어 할 수 없는 것인가? 하는 부분이다. 결론부터 말 한다면 100% 방어라는 것은 쉽지가 않다는 것이다. 전방위 모든 계획을 동원하여 설계를 해야 하는 것이다. 그럼 DDoS 대응에 원론적인 고민을 한번 살펴 보자.

• DDoS 방어 전용장비의 고가 - 당연히 없는것 보다는 있는게 낫겠지만 중요한 것은 바로 비용이라는 것이다. 한대의 장비 비용이 일반적으로 생각하는 비용보다 조금 비싸다는 것이다. 물론 가격대가 다양하겠지만 필자가 알고 있는 장비는 대부분 고가였다. 현실에서는 그런 부분을 쉽게 결정하지 못하는 것이다. 지난번 DDoS 대응시에도 상당히 고민이 되는 부분이기도 하였다.
• 하드웨어 보안솔루션 결합해야 - DDoS 전용장비만으로 이루어지는 것이 아니다. 많은 부분이 도움이 되긴 하겠지만 100% DDoS공격을 막아낸다고 하는것은 조금 고려해 봐야 할 사항이다. 지금까지 BMT를 통하여 체험하여 얻은 결론이기도 하다. 따라서 기본적인 보안 솔루션과 함께 사용을 해야 한다. 방화벽, 침입탐지 장비는 구비를 해야 하겠고, 서로 장단점을 보완해 줄 수 있는 각 장비에 대한 특성을 파악하여 서로 매쉬업(mash up) 형태로 하여 새로운 대응 방안을 도출해 내는 것이 담당자의 고민인 것이다.
• 서버의 물리적 자원도 늘여야 - DDoS공격을 받고 있으면 어떤 부분에 집중적으로 공격을 받고 있는지를 살펴서 물리적인 서버 성능을 높여 주는 자원을 늘려 주는 것도 중요하다. 예를들어 웹서버에 집중적으로 공격이 들어오면 DNS 라운드로빈 방식을 채택을 하고 가능하면 L4장비를 사용하면 좋겠지만 쉽지 않으니 웹서버를 물리적으로 늘여주는 것도 좋겠다. 왜냐하면 웹서버 1대 일때와 웹서버를 4-5대로 늘여서 트래픽을 분산 시킨다는 것은 당연히 버틸힘이 커지겠다.
• 서브 도메인 만들어 공격시 우회하게끔 - 이번에 공격 당한 일부 포털에서 사용했던 방법으로 서브 도메인을 이용하여 DNS로의 공격을 감행 할때 서브 도메인을 이용하여 기존 도메인을 홀을 만들고 트래픽을 우회 할수 있겠다.
• DDoS존 이용도 고려- 최근 이러한 DDoS 공격으로 인하여 전용 DDoS 클린존을 만들어 서비스 하는 업체들이 많이 있다. 처음 장비 도입에 많은 예산이 필요함으로 어려움이 있을땐 이러한 업체를 선별하여 일시적 서비스를 받아 보는 것도 좋겠다. 그 이유는 DDoS 공격은 지속적으로 몇달간 계속 되는 경우는 잘 없다. 한번 시작은 하면 일시적으로 목적이 달성 될때까지 하다가 어느선에서 타겟시스템이 대응채비를 갖추었다고 생각하면 그만 두는 것이고 공격자의 심리적인 부분도 작용을 하기 때문에 일시적으로 공격 받는 몇달간 서비스를 받고 차후 대비하여 도입방안을 검토하는 것도 한 방법이다.
• 무부분별한 시장 난립은 오히려 더 큰 위험 - 지금까지 DDoS 공격을 방어하고 겪어 오면서 느낀점은 일부 장비는 기존 IPS에 약간의 기능을 추가하여 전용장비라고 하는 경우도 보았고, 어떤 경우에는 과대 포장 광고로 인하여 도입후 유지보수가 제대로 안되어 아주 곤란을 겪은 적도 있었다. 그리고 너무 영업력에만 의존을 하기보다는 다양한 경로를 통하여 무엇보다 중요한 것은 모든 제품에 대한 정보를 잘 파악하고 꼼꼼히 따져서 서로 비교 분석후에  관리자는 가장 베스트 솔루션을 선택하는 인사이트(Insight)를 가지는게 무엇보다 중요하다. 절대 100%라는 말은 믿지 말도록 하자. 또한 판매하는 입장에서도 너무 과대포장 하기 보다는 자신의 제품에 장점을 부각시키고 단점도 인지후에 올바른 판단을 할수 있도록 제시하는 자세가 중요하다. 결국 신뢰를 주는 것이 중요하다는 것이다.
• 시스템보안 최적화와 튜닝 - 보통의 경우 보안마인드가 되어 있지 않은 시스템관리자의 경우 모든 것을 시스템 앞단의 보안솔루션으로만 대응을 하려고 하는 경우가 있다. 하지만 각종 윈도우나 리눅스의 경우 시스템에 최적화 할수 있는 나름대로 보안 튜닝을 할 수 있다. 운영체제 자체의 보안설정으로 조금 더 효율적으로 방어를 할 수 있는 것이다. 무조건 비싼 보안제품에만 의존하기보다 평소 시스템 보안에 대한 설정을 최적화 해 놓는다면 이러한 DDoS공격에도 훨씬 효율적으로 대응을 할 수 있겠다.
• ISP업체 공조도 중요한 요인 - 서버에서 평소보다 이상한 조짐이나 느낌이 있으면 각 ISP업체에 도움을 받아 널(NULL) 라우팅 처리나 공격이 해외일 경우  해외 IP차단등의 조치를 협조 요청하여야 한다. ISP업체도 DDoS 공격은 결국 타 고객에게도 서비스 영향을 미치게 됨으로 적절한 대응으로 협조를 해야 한다.

 이상 필자가 현장 실무에서 겪으면서 느낀 것을 적어 보았다. 많이 부족한 부분이 있겠지만 그래도 참고 하면 좋겠다는 마음에서 오픈하게 되었다. 아는 정보가 있으면 같이 공유하는 것이 좋겠다. 혹시 더 참고가 될수 있는 노하우가 있다면 댓글로 달아 주시면 좋겠다.  @엔시스.

* 제3부로 이어집니다..

7.7 DDoS 사태가 남겨 준 교훈(1) -무엇이 문제일까?
7.7 DDoS 사태가 남겨 준 교훈(3) - 보안인식 제고를 위한 제언