엔시스의 정보보호(보안) 따라잡기

필자는 두렵다. 그것은 또 '보안'이라는 것이 '정보보호'라는 것이 사람들 관심에서 사라질것이라는 것 때문이다. 그럼 현실을 냉정하게 바라보고 미래에 대응할수 있는 방법에 대하여 살펴보도록 하자.

국내에서도 보안전문가들이 많이 있다.  실무에서 여러가지 체험을 하면서 노력하는 분들도 있고 학계에서 선도하시는 분들 그리고 이제 막 이러한 이슈가 터질때마다 국민적 이슈로 부상을 하기에 미래 장미빛 청사진을 가지고 이제 막 공부를 시작하는 분들도 있다. 필자는 커뮤니티를 운영하면서 이러한 질문을 상당히 많이 받는다. 어떻게 하면 보안전문가가 될수 있는지..과연 필자가 그런 답을 할만한 위치에 있는지 또는 그런 정도에 실력은 보유하고 있는지..하지만 늘 그런 고민을 하면서 필자라도 그렇게 하지 않으면 아무도 하지 않을꺼 같아 비록 부족하고 그릇도 안되지만 필자 역량에 맞게 조언을 해 준다. 이제 보안에 대한 시각을 바로 가져 보도록 하기 위한 몇가지 제언을 해 보고자 한다.

1. CEO가 보안에 관심을 가지고 실천을 해야

이러한 몸소 실천을 제일 잘 하고 있는 분이 바로 안랩의 김홍선 대표이다. '김홍선의 IT와세상' 을 통하여 보안 1세대 답게 '소통'을 하고 있는 것이다. 김대표는 보안업계에서 잔뼈가 굵었기 때문에 무엇보다 보안 현실에 대하여 잘 알고 있다. 그러한 사항을 블로그를 통하여 솔직하게 소통을 하고 있는 것이다. 실로 진실되어 보인다. 자신의 얼굴을 걸고 이야기 하는 것이기에 다른 말을 할수 없는 것이다,. 그것은 필자가 블로그 메인에 얼굴을 걸고 하는 것이나 마찬가지일 것이다. 최근 화제가 된 글 몇개를 링크걸어 보겠다.
안철수연구소 CEO가 바라 본 DDoS 대란 (1)
안철수연구소 CEO가 바라본 DDoS 대란 (2) : DDoS 공격의 성격
3D 업무에 한숨짓는 보안인력의 현실 : 안철수연구소 CEO가 바라본 DDoS 대란 (3)

물론 국내에서 보안을 대표하는 안랩 CEO라서 그런게 아니라 그런 솔직한 마인드를 가지는게 중요한 것이다. 스스로 현실을 냉철하게 분석하게 이야기 할 사람이 몇이나 되겠는가? 그것도 국내 보안 대표CEO가.

대통령도 보안에 관심을 가져야 하고 조직에 장도 보안에 대하여 관심을 가져야 한다. 모르면 전문가의 조언을 들어서라도 들어야 한다.  조직의 장이 보안에 관심이 없으면 결국 스스로 자멸하는 길임을 꼭 기억을 하여야 한다.

국내에서 일어나는 사건사고는 국내에서 어느정도 대한민국 국민으로 해결을 하면된다.하지만 국내 보안의식과 정보보호수준이 후진국이라서 미국이라든지 해외 나라로부터 사이트를 차단을 당하거나 미리 국내에서 차단을( 2009/07/16 - [Security Skill&Trend] - KISA, 어도비(adobe)社 웹사이트 일방적 차단 논란 )하게 된다면 이 얼마나 민망하고 얼굴 부끄러운 일인가? 세계12-13하는 경제국가가..이젠 정말 정신 차리자.

2.  법과 제도가 정비가 안되면 처벌할 법적근거가 없어

법에 대한 정비와 제도 운영도 미흡하긴 마찬가지이다. 이번엔 DDoS공격 때문에 이런저런 말들이 많았지만 지난해에는 개인정보보호 유출때문일때도 말이 많았다. 그때에도 사회적 이슈가되었지만 결국 처벌할 법적근거를 마련하지 못해 불기소처분이 되었다. 이렇듯 그때만 반짝하는 것은 이젠 일상화가 되어 버렸다. 17대 국회에서 '개인정보보호법'이 통과가 되지 못하였고 18대 국회에서도 '개인정보보호법'도 그 진척이 미진한 것 같다.  그러다가 이번에 DDoS공격을 당하고 나니 갑자기 예산을 200억편성을 하여 긴급 지원하겠다고 한다.  또한 '정보통신망 이용촉진 및 정보보호에 관한 법률 (일명 -망법)'의 개정에도 관심이 없는가 보다. 오죽하면 이런 광고도 냈을까 싶다. 2009/07/09 - [Security Skill&Trend] - '정보보호' 얼마나 급했으면 이런 광고까지.


3.  보안인력 양성과 개인들의 정보보호 인식제고에 힘써야

보안인력을 붕어빵처럼 찍어내라는 소리가 아니다. 우리나라는 '해커'라는 용어에 대해서는 관대하지 못하다. '해커'라고 하면 우선 왜곡된 시각으로 보고 사건이 터지고나면 이런 저런 대안을 봇물처럼 쏟아내곤한다. 여러가지 노력은 하고 있지만 아직까지 미흡한 것은 사실이다. 이러한 부분에 있어서 좋은 조언을 해 준 기사가 있어서 링크를 건다. http://www.boannews.com/media/view.asp?idx=17136&kind=0
요약을 해본다면

• 부처별 정보보호과 신설
• 청와대 국가사이버 총괄 코디네이터 필요
• 국내 대학교에 정보보호학과 신설

민간이 아무리 주도적으로 하여도 국가기관에서 정책적으로 이루어지지 않으면 결국 스스로 포기하게 된다. 그것은 많은 수의 국내 대학에 '사이버경찰과'나 '정보보호학과'를 개설 하였다가 제대로 지원이 되지 않아 결국 학과를 통폐합 하는 경우도 있었다.  이러한 사항은 2009/04/29 - [Security Data] - 2008 정보보호 실태조사, 개인편 2009/04/29 - [Security Data] - 2008년 정보보호 실태조사, 기업편 에서도 알수 있으며 기업에 대한 현황은 2009/03/10 - [Security Statistics] - 2008 매출로 분석한 정보보호산업 현황 을 참고 하면 되겠다.


정보보호가 정보처리만도 못하는 현실은?  이젠 '처리'보단 '보호'를 해야 할때

흔히 우리는 전문가라고 한다면 관련 분야에 오랜동안 업무를 해오거나 전문가 반열에 올라서 관련 '자격증'을 취득 하였을때 인정을 한다. 늘 자격증이야기가 나오면 같이 등장하는것이 자격증 유무론에 대한 이야기인데 '자격증'이 있다고 해서 반드시 전문가는 아니다. 하지만 그 보안의 지식을 가늠하는 척도가 되거나 자격증 공부를 하면서 이론적 공부를 하게 되는 것이다. 그런 관점에서 본다면 다음과 같은 점을 개선 하였으면 한다.

• 정보처리 - 국가기술자격증으로 노동부 산하 한국산업인력공단에서 관리를 하며 국가공공기관이나 지자체 각종 공무원시험과 공공기관 진출이나 통신업무를 하고 있는 것에 경력관련 척도로 사용이 되고 있어 해마다 많은 사람들이 시험에 응시를 하고 있다.  이것은 초창기 컴퓨터와 인터넷이 등장하면서 '정보'를 생산해 내기 위한 목적과 처리 하는 과정을 이해하기 위하여 마련된 자격증이라 생각을 한다. 하지만 지금은 '정보의 처리'는 물론이고 '보호'까지 해야 하는 시대로 발전이 되었다.  지금 집집마다 컴퓨터 보급이 되고 초고속 인터넷이 보급 된 만큼 '정보를 처리'하지 못하는 사람은  많지 않다. 각종 게임과 인터넷이 익숙한 학생들은 오피스와 워드를 쉽게 접하고 활용하는 것이다.
• 정보보호 - 이젠 '정보를 처리'를 하는것도 중요하지만 '정보를 보호'하는 일이 더 크게 되었다. 누구나 정보를 생산,가공,처리,폐기를 할수 있는 능력을 가지고 있다. 하지만 그런 소중한 정보를 '보호'하는 데에는 아직도 인색하고 귀찮은 일로 생각을 한다. 이러한 부분을 일정한 자격제도로 운영을 하여 국가 기술로 인정을 해 주어야 한다.
• SIS 국가기술자격 승격화 - 필자는 늘 이러한 부분을 제안하고 요청해 오고 있다. 또한 이러한 사항은 2009/01/18 - [Security Policy] - 지경부, 보안산업 강화를 위한 중기 계획 어떻게 이끌어 갈 것인가?  2009/05/09 - [Security Policy] - 공공·민간의 정보보호 종합대책 발표 - 2008.7.22
  에서 정부주도로 SIS 자격증을 국가기술 자격증으로 만들겠다고 발표를 하였다. 이제는 조금 더 앞당겨 이러한 분위기가 무르익었을때 논의를 해서 집행을 해야한다. 그것은 이러한 분위기가 사라지면 또 그 시점에 이슈에 밀려 흐지부지 되는것은 자명한 일이고 또 그렇게 되어 왔다. 하지만 이번만은 꼭 이루어지길 제안한다. 한 언론에 따르면 SIS자격증을 국가기술자격증으로 승격하려면 '노동부'소관이라 부처간 협조가 이루어져야 한다고 한다. 하지만 빨리 움직이길 바랄뿐이다. 그렇지 않으면 다음엔 또 관련부처가 DDoS공격을 당하거나 담당자가 문책을 당할 수도 있는 것이다.

SIS자격증이 국가기술자격증이 된다면

SIS자격증이 국가기술자격증이 되면 인센티브가 많이 부여가 될것이다., 우선 공무원 시험에 가점을 부여를 하고 그러면 많은 사람들이 자격증을 취득을 하게 되고 그러한 자격증이 있는 인력을 각 부처에 우선 배치하고 정보보호에 대한 업무를 담당하게 된다.  기존에 있던 공공에 대한 인력은 이러한 자격증을 취득 함으로 인하여 정보보호에 대한 인식도 높이고 승진 가점을 주어 '정보를 보호' 한다는 것이 얼마나 중요한 것인지를 같이 인식하게 만드는 선순환 구조를 만드는 것이다.

이러한 현상은 자연히 민간으로 가게 되어 각종 프로젝트시에 입찰 할땐 국가기술 자격증인 SIS 자격증 소지자를 기본 기준으로 하면 각 기업은 또한 이러한 공급을 위하여 정보보호 인력을 수요하게 된다.

 
4.  국정원이나 KISA는 블로그를 운영하여 '발빠른 소통'을 해야

각 정부 기관에서는 지금 블로그를 운영을 하고 있다. 하지만 아직까지 본질을 이해하면서 운영하기엔 많은 부분이 미흡하다. 이번 DDoS 공격 당시에도 민간 기업에 근무하는 연구원들이 자신의 블로그에 자세히 분석해서 기록 함으로 인하여 빠른 상황 전파를 할 수 있었다. 이렇듯 방통위에서 '두루누리'를 운영하고 있지만 아무런 반응이 없었고, 국정원에서도 그렇고, 사실, 공격에 대응하기 바쁘기 때문에 이러한 부분을 신경쓸 겨를이 없었겠지만 중요한 것은 쓰고 안쓰고를 이야기 하는 것이 아니라 그렇게 국민들에게 알려줄수 있는 '소통'의 공간이 없다는 것이다. 이러한 사항을 홈페이지 메인을 수시로 장식하면서 올리는 일도 사실 부담스러운 일이다.

따라서 가볍게 소통할수 있는 도구을 활용해 주고 '대국민요령'을 어떻게 대처해 주어야 하는지를 먼저 알려 줄수 있는 것이 공공기관이 할 일이고 대응해야 하는 것이다. 그래서 힘든 것이다. 국민은 내부 사정은 잘 모른다. 그냥 결과만 가지고 이야기 할 뿐이다. 그렇기 때문에 컨트롤 타워가 없었네 어떻네 이야기를 하는 것이다. 결국 고생은 고생대로 했지만 인정을 받지 못하는 것은 국민이 어떻게 대응하고 대처했는지를 모르기 떄문이다. 실시간으로 일어나는 일을 하나씩 알려 주면서 '위기관리'에 대처를 했다면 지금처럼 이야기 하지는 않을 것이다.

5. 국민 개개인도 제발 보안에 대한 인식을 가지길.

조직에서 일하던 사람도 집으로 돌아오면 하나의 '개인'이요. '국민'인 것이다. 개개인의 보안마인드가 되어있다면 조직에서도 잘 행동하고 실천하는 것이지만 그렇지 않으면 결국 조직이든 집이든 개인의 마인드 문제이다. 따라서 대 국민 보안의식 계몽을 위하여 필자가 나름대로 제안을 해 본다.

• 매주 수요일은 최신 백신으로 내PC 점검 하는 날
• 매달 15일은 운영체제 및 어플리케이션 업데이트 하는 날
• 각 조직에서는 업데이트가 되지 않은 PC는 업데이트 후에 인터넷 접속 유도
• 각 ISP에서 업데이트 되지 않은 PC에는 경고문을 보내어 업데이트를 유도
• 대 국민 홍보를 각 방송과 언론을 통하여 계몽 운동을 할 것. (정보보호 홍보대사 활용)
• 보안 솔루션 도입시 세제 감면과 각종 인센티브 제공
• 패치와 업데이트, 백신으로 점검을 하면 인센티브 제공 (각종 보험료 20% 할인 -부족분은 정부에서 대납, 유명음식점,영화 관람권 20% 할인) - 안해서 그렇지 국민을 유도 하는 방법은 많음 이렇게 해서라도 대 국민 계몽을 펼치지 않으면 몇달 지나면 또 사람들 기억속에서 사라지는 보안의식.

 

마무리글

지금까지 3회에 걸쳐서 이번 7.7 DDoS 사태에 대하여 필자가 생각하는 것을 가감없이 한번 포스팅 해 보았다. 아는 이야기도 있고, 다소 황당한 제안일수도 있겠지만 누군가가 자꾸 이야기하고 공감하고 실천해 나가지 않으면 절대 이루어질수 없는 부분이기에 다소 무리를 해 보았다.  이글을 적는데에만에도 주말을 다 보냈다. 그만큼 필자는 마음이 절실한 것이다. 보안 업계가 힘들다고 외면하지 말고, 그렇다고 이제 막 입문 하고자 하는 사람들에게 미래의 청사진만 제시 하지도 말고 힘들지만 어렵지만 희망의 끈을 놓지 않고 한번 제대로 대한 민국이 '정보보호 후진국'이 아닌 '보안 선진국'으로 바꾸어 보고 싶다.  그리고 충분히 그럴 가능성도 있고 할 수도 있다. 다만 하지 않아서 못할 뿐이다.

다시 한번 부탁하건데 그냥 그들 만의 외침이라 절대 생각하지 말고 '내 건강 내가 지키듯이' '내 정도 내가 지킨다'는 마음으로 꼭 이글을 읽는 이들에게 부탁하고자 한다. 이제는 모르면 그냥 있는 것이 아니라 주변에 전문가에게 조언을 구하여 꼭 안전한 IT세상 만들기에 동참해 주었으면 하는 바램을 가져 본다. 필자가 알고 있는 말 중에 가슴에 와 닿는 말이 있어 마지막으로 적으면서 이 포스팅을 마감 하고자 한다.

아인슈타인은 이런 말을 했다고 한다. 개인적으로 가장 좋아 하는 말이기도 한다.

"같은 행동을 반복하고도 다른 결과를 원하고자 하는 사람은 정신병자나 마찬가지이다"

같은 사건사고를 되풀이 하지 않길 바라면서 이 글을 맺고자 한다.  @엔시스.

관련포스팅

 7.7 DDoS 사태가 남겨 준 교훈(1) -무엇이 문제일까?
 7.7 DDoS 사태가 남겨 준 교훈(2) -사이버 조폭 DDoS

필자가 DDoS 공격에 관심을 갖게 되었던 것은 이미 오래전부터이지만 본격적으로 관심을 가진 것은 지난해 5월달이다. 한 고객사에서 DDoS 공격을 받아 같이 방어를 하였기 때문이다. 아마도 그때가 한 증권사가 DDoS공격으로 인하여 장애를 당하면서 금융권도 DDoS 공격에서 자유롭지 못하다는 인식을 하게 되었고 업계에서는 이로 인하여 각종 anti-DDoS 장비가 시장에 풀리기 시작한 시점이기도 하다.


DDoS 공격은 신혼의 달콤함도 빼앗아가

지난해 고객사에서 DDoS 공격을 받는다는 소식을 듣고 같이 방어를 하게 되었다. BMT를 실시하고 각종 트래픽 분석과 장비에 대한 제안도 받았다. 그런데 DDoS 공격은 고객사 시스템 관리자의 신혼의 달콤함도 빼앗아간다. 그당시 시스템 관리자는 결혼을 한지 얼마 안되는 신혼이었지만 수 차례 반복되는 공격으로 인하여 늘 서버와 씨름을 하게 되었다.  또한 이러한 DDoS 공격에 대한 대응은 각 ISP업체와 공조를 해야 하기 때문에 같이 신경을 써야 한다.  그 당시 DDoS 공격을 대응하면서 썼던 포스팅을 살펴 보면 다음과 같다.

2009/07/12 - [Security Skill&Trend] - 지금까지 DDoS 관련 포스팅 정리

결국 고객사는 안티 디도스 장비를 이용하여 방어를 하게 되었다. 물론 이러한 부분들은 꼭 DDoS 대응장비만으로는 불가능하다는 사실을 반드시 인지를 하여야 한다.  여러가지 조건이 구비 되었을때 그 효력을 배가 시키는 것이다. 그럼 잠시 DDoS가 이렇게까지 이슈가 되고 온나라 주요사이트가 다운이 되고 하는 DDoS를 살펴 보겠다.

DDoS 공격의 변천사

1. DoS (Denial of Service) - 서비스 거부

일반사용자는 가정의 PC에서 클라이언트로서 브라우져를 통하여 서버(Server)에서 제공해 주는 서비스를 사용 할수 있게 된다. 그것을 흔히 클라이언트 서버관계라 말한다. 즉, PC는 수요자, 서버는 공급자라 생각을 하면 되겠다. 이러한 서비스를 공급 해 주는 서버에게 과도한 접속을 유발시켜 서비스를 제공하지 못하게 하는 공격을 말한다. 이를 쉽게 설명하면 흔히 도로에 비유를 많이 든다.  일반 4차선 도로를 네트워크 대역폭이라 말하면 4차선 도로에 8차선으로 다닐만한 차들이 한꺼번에 진입을 한다면 그 도로는 정체가 되고 결국 주차장이 되고 차는 꼼짝 할수 없는 것이다. 이것이 바로 DoS 공격 (Denial of Service Atttack)  우리말로 해석을 한다면 '서비스거부공격'이라 한다. 여기에는 필자는 2009/07/14 - [Security Skill&Trend] - '서비스거부공격'이 아닌 '서비스방해공격' 표현이 맞아 라는 글을 통하여 이야기 했지만 통상 그렇게 칭하기에 그대로 표현을 하겠다.  초보자들의 이해를 돕기 위하여 깊이있는 DoS툴 같은 것은 언급을 하지 않겠다.

2. DDoS(Distribute Denial of Service) - 분산서비스거부

DoS 공격이 조금 더 진화를 하여 과도한 접속과 트래픽을 공격 타켓이 되는 서버로 분산시켜서 공격하는 형태를 말한다. 조금 쉽게 그림으로 보면 더 이해하기 쉬울 것이다.

                                                      <이미지출처: 여기>


이렇듯 공격자는 여러곳에 분산되어 있는 좀비(Zombie) PC를 이용하여 분산되어 서비스를 방해하는 공격을 하는 것이다. 정말 무서운 공격이 아닐수 없다. 지금까지 DDoS 공격을 받은 서버는 특별한 조치가 취해지지 않았다면 대부분 다운되는 현상을 보았다.

초기의 DDoS 공격 목적

초기의 DDoS 공격자는 타켓이 되는 사이트에 공격을 감행하여 자신을 과시하거나 금전적인 목적을 가지고 공격을 하였다. 지난해 한 고객사와 같이 DDoS공격을 받았을 당시에도 금전을 요구하였다. 대부분이 중국에서 공격하는 것이 대부분이었으며 이는 전화를 걸거나 메신져를 이용하여 금품을 요구한다. 그렇게 하여 요구사항이 들어지지 않으면 공격을 감행하여 시범 케이스도 몇분후 시스템 다운이 되는것을 직접 눈으로 확인하게 된다. 그렇다 보니 금전 요구 사항이 있으면 공공연 하게 요구하는 금전적인 금액을 지불하게 된다.

왜 DDoS 공격이 무서운 공격인가?

이렇게 DDoS공격을 받게 되면 일차적인 증상은 해당 웹사이트가 브라우져에서 뜨지 않는다는 것이다. 특히 많은 방문자가 있는 사이트의 경우에는 더 빨리 이러한 현상을 알수 있기 때문이다. 예를들어 국내 최대 쇼핑몰이나 국내 포털이 갑자기 DDoS공격을 받아 브라우져에서 접속이 되지 않는다면 일반사용자는 바로 알아버리기 때문에 그만큼 기업에 대한 이미지와 신뢰가 떨어지는 것이다. 그것은 곧 기업의 존폐와 직결되기로 한다.

거대 포털이 거대 쇼핑몰이 주요 국내 공공기관이 이러한 DDoS공격에 무방비한채 그대로 방치해 두었다고 접속 불가에 따른 서비스에 불만을 느낀 일반사용자의 화살이 고스란히 향해 사후에는 기업의 이미지나 공공기관의 신뢰성에 문제가 생겨 발길을 끊게 되는 것이다. 물론 이러한 것은 DDoS에만 국한 되는것이 아니고 개인정보유출이나 해킹에 대한 피해들도 있지만 결국 기업이 밝히지 않는 이상 일반사용자는 잘 모르지만 DDoS의 경우 해당 기업의 시스템 장애가 아닌이상 바로 알아버린다는 것이 DDoS를 무서워 하는것이다.


초기 DDoS 공격 목적이 이젠 헥티비즘(HecKtivism) 으로

이번 DDoS공격에 주목하는 것은 기존에 DDoS공격과는 달리 주요 국가 시설을 상대로하여 공격을 감행했다는 사실이다. 그것을 우리는 헥티비즘(Hecktivism)이라 한다. 헥티비즘의 사전적 정의는 다음과 같다.

이제 정치적인 목적을 띄었다는 것이다. 이번 7.7 DDoS 사태에 대해서도 여러가지 배후에 대하여 설왕설래가 있었지만 분명 기술적 분석을 통해 보더라도 특정 타켓을 두고 있었기에 초기에 DDoS공격 목적과는 차별성이 있다는 것만은 인지 할 수 있다.


DDoS 또 다른 위협은 무엇인가?

영화에서 나오는 것이 이제는 현실이 되어 버렸다.  '테러'니 '대란'이니 이런 용어는 둘째치더라도 분명 영화에서 나오는 현상이 미래의 모습도 아닌 현실이 되었다. 우린 이런 것에 인식을 같이할 필요가 있다는 것이다.  자 조금 더 꿈 같은 현실을 한번 보겠다. 이것이 전혀 불가능할 것인가? 얼마전에 유튜브에 올라온 영상을 한번 보기 바란다.

2009/06/10 - [Security Movie] - 아파트 실내조명으로 캘러그 게임을 한다면?

이젠 현실이 되고 더 다양한 위협과 또 새로운 위협이 다가오는 것이다. 그렇다면 이러한 것들이 왜 무서운 것일까? 그것은 이런 다양한 위협이나 새로운 위협은 기존의 위협이 사라지고 다시 나타나는 것이 아닌 자꾸 누적되어진다는 점이다. 다시말하면 그 위협은 시간이 흐르면 흐를수록 더 다양하고 새로운 위협으로 다가 온다는 것이다. 우린 이런 것들에 대한 대비를 해야 하는것이다.

초기의 DDoS의 기술이 점점 진화 발전하고 있다는 사실이다. 초기의 DDoS공격은 대부분 다량의 트래픽을 유발하여 타켓이 되는 목표 사이트에 접속을 유도를 하여 시스템을 다운시키는 공격이었다. 이러한 부분들은 각종 ISP업체나 하드웨어 보안 솔루션으로 어느정도 대응이 되었다. 하지만 이번 DDoS 공격의 경우처럼 이제는 공격자가 타켓이 되는 사이트를 빨리 다운시키려는 성급한 목적에 좀비 PC를 갑자기 많은 트래픽을 유도하기 위하여 이용하다보니 일반 사용자가 쉽게 알아버리고 버벅거리는 PC를 재부팅을 하게 된다. 따라서 공격 개시후 적어도 10-15분을 넘기다 보면 현저히 트래픽이 떨어지는 경우를 볼수 있다. 이것은 아마도 일반 사용자 좀비PC가 DDoS 공격에 너무 많은 자원을 할당하기엔 한계가 있다는 점을 알게 된 것이다.

그렇다보니 이제는 일반 사용자 모르게 아주 작은 트래픽이나 다수의 접속 세션을 이용하여 일명 스로우어텍 (slow attack) 이라는 공격으로 발전하게 된다. 그러면 사용자도 자신이 DDoS 공격에 이용이 되고 있는지를 알수가 없는 것이다.  결국 정상 접속자와 악의적인 접속자를 어떻게 구별 해 낼것인가가 기술적인 노하우가 된 것이다.

DDoS 공격은 관성의 법칙이 작용해.

지난번 DDoS 공격 방어를 위한 BMT와 테스트후 직접 대응 방어를 하다보니 한가지 재미있는 현상을 발견 하였다. 그것은 DDoS 공격을 당하게 되면 즉각 서버에 자원이 소비가 되고 리소스가 고갈되는 현상이 지속이되다가 결국 다운(Down)이 되는 것이다. 그런데 문제는 이렇게 다운된 서버를 확인후에 DDoS 공격이 멈추었다 하더라도 그 여파가 한동안 지속된다는 것이다. 즉, 다시말하면 DDoS공격이 멈추었다고 해서 서버가 방금 살아 나지 않는다는 것이다. 그렇다고 해서 다시 재공격을 안한다는 보장도 없으니 그 대응 방안을 강구를 해야 하겠다.

DDoS 공격에 대응 방법은 정말 없는 것인가?

실무에서 가장 고민하는 것 중에 하나가 정말 DDoS 공격을 방어 할 수 없는 것인가? 하는 부분이다. 결론부터 말 한다면 100% 방어라는 것은 쉽지가 않다는 것이다. 전방위 모든 계획을 동원하여 설계를 해야 하는 것이다. 그럼 DDoS 대응에 원론적인 고민을 한번 살펴 보자.

• DDoS 방어 전용장비의 고가 - 당연히 없는것 보다는 있는게 낫겠지만 중요한 것은 바로 비용이라는 것이다. 한대의 장비 비용이 일반적으로 생각하는 비용보다 조금 비싸다는 것이다. 물론 가격대가 다양하겠지만 필자가 알고 있는 장비는 대부분 고가였다. 현실에서는 그런 부분을 쉽게 결정하지 못하는 것이다. 지난번 DDoS 대응시에도 상당히 고민이 되는 부분이기도 하였다.
• 하드웨어 보안솔루션 결합해야 - DDoS 전용장비만으로 이루어지는 것이 아니다. 많은 부분이 도움이 되긴 하겠지만 100% DDoS공격을 막아낸다고 하는것은 조금 고려해 봐야 할 사항이다. 지금까지 BMT를 통하여 체험하여 얻은 결론이기도 하다. 따라서 기본적인 보안 솔루션과 함께 사용을 해야 한다. 방화벽, 침입탐지 장비는 구비를 해야 하겠고, 서로 장단점을 보완해 줄 수 있는 각 장비에 대한 특성을 파악하여 서로 매쉬업(mash up) 형태로 하여 새로운 대응 방안을 도출해 내는 것이 담당자의 고민인 것이다.
• 서버의 물리적 자원도 늘여야 - DDoS공격을 받고 있으면 어떤 부분에 집중적으로 공격을 받고 있는지를 살펴서 물리적인 서버 성능을 높여 주는 자원을 늘려 주는 것도 중요하다. 예를들어 웹서버에 집중적으로 공격이 들어오면 DNS 라운드로빈 방식을 채택을 하고 가능하면 L4장비를 사용하면 좋겠지만 쉽지 않으니 웹서버를 물리적으로 늘여주는 것도 좋겠다. 왜냐하면 웹서버 1대 일때와 웹서버를 4-5대로 늘여서 트래픽을 분산 시킨다는 것은 당연히 버틸힘이 커지겠다.
• 서브 도메인 만들어 공격시 우회하게끔 - 이번에 공격 당한 일부 포털에서 사용했던 방법으로 서브 도메인을 이용하여 DNS로의 공격을 감행 할때 서브 도메인을 이용하여 기존 도메인을 홀을 만들고 트래픽을 우회 할수 있겠다.
• DDoS존 이용도 고려- 최근 이러한 DDoS 공격으로 인하여 전용 DDoS 클린존을 만들어 서비스 하는 업체들이 많이 있다. 처음 장비 도입에 많은 예산이 필요함으로 어려움이 있을땐 이러한 업체를 선별하여 일시적 서비스를 받아 보는 것도 좋겠다. 그 이유는 DDoS 공격은 지속적으로 몇달간 계속 되는 경우는 잘 없다. 한번 시작은 하면 일시적으로 목적이 달성 될때까지 하다가 어느선에서 타겟시스템이 대응채비를 갖추었다고 생각하면 그만 두는 것이고 공격자의 심리적인 부분도 작용을 하기 때문에 일시적으로 공격 받는 몇달간 서비스를 받고 차후 대비하여 도입방안을 검토하는 것도 한 방법이다.
• 무부분별한 시장 난립은 오히려 더 큰 위험 - 지금까지 DDoS 공격을 방어하고 겪어 오면서 느낀점은 일부 장비는 기존 IPS에 약간의 기능을 추가하여 전용장비라고 하는 경우도 보았고, 어떤 경우에는 과대 포장 광고로 인하여 도입후 유지보수가 제대로 안되어 아주 곤란을 겪은 적도 있었다. 그리고 너무 영업력에만 의존을 하기보다는 다양한 경로를 통하여 무엇보다 중요한 것은 모든 제품에 대한 정보를 잘 파악하고 꼼꼼히 따져서 서로 비교 분석후에  관리자는 가장 베스트 솔루션을 선택하는 인사이트(Insight)를 가지는게 무엇보다 중요하다. 절대 100%라는 말은 믿지 말도록 하자. 또한 판매하는 입장에서도 너무 과대포장 하기 보다는 자신의 제품에 장점을 부각시키고 단점도 인지후에 올바른 판단을 할수 있도록 제시하는 자세가 중요하다. 결국 신뢰를 주는 것이 중요하다는 것이다.
• 시스템보안 최적화와 튜닝 - 보통의 경우 보안마인드가 되어 있지 않은 시스템관리자의 경우 모든 것을 시스템 앞단의 보안솔루션으로만 대응을 하려고 하는 경우가 있다. 하지만 각종 윈도우나 리눅스의 경우 시스템에 최적화 할수 있는 나름대로 보안 튜닝을 할 수 있다. 운영체제 자체의 보안설정으로 조금 더 효율적으로 방어를 할 수 있는 것이다. 무조건 비싼 보안제품에만 의존하기보다 평소 시스템 보안에 대한 설정을 최적화 해 놓는다면 이러한 DDoS공격에도 훨씬 효율적으로 대응을 할 수 있겠다.
• ISP업체 공조도 중요한 요인 - 서버에서 평소보다 이상한 조짐이나 느낌이 있으면 각 ISP업체에 도움을 받아 널(NULL) 라우팅 처리나 공격이 해외일 경우  해외 IP차단등의 조치를 협조 요청하여야 한다. ISP업체도 DDoS 공격은 결국 타 고객에게도 서비스 영향을 미치게 됨으로 적절한 대응으로 협조를 해야 한다.

 이상 필자가 현장 실무에서 겪으면서 느낀 것을 적어 보았다. 많이 부족한 부분이 있겠지만 그래도 참고 하면 좋겠다는 마음에서 오픈하게 되었다. 아는 정보가 있으면 같이 공유하는 것이 좋겠다. 혹시 더 참고가 될수 있는 노하우가 있다면 댓글로 달아 주시면 좋겠다.  @엔시스.

* 제3부로 이어집니다..

7.7 DDoS 사태가 남겨 준 교훈(1) -무엇이 문제일까?
7.7 DDoS 사태가 남겨 준 교훈(3) - 보안인식 제고를 위한 제언