시스템 전환기는 항상 취약해, 그 기간 내 공격 급증할 예정
[보안뉴스 문가용] 네트워크에 연결되는 기기들이 기하급수적으로 늘고 있다. 게다가 이번 한 해만 10억 대의 새로운 IoT 기기들이 시장에 등장할 전망이라고 한다. 2^32개의 IP 주소들을 감당하는 IPv4로는 감당이 안 되는 상황. 그래서 2^128개의 IP 주소가 연결가능한 IPv6이 등장했다. 그럼 이걸로 문제 해결?
전혀 그렇지 않다. 물론 수가 많은 건 일단 좋다. 연결성으로 정의되는 현 시대의 가장 기본적인 필요를 채워주기 때문이다. 물량만 채워줘도 사물인터넷 시대로 우리는 더 빠르게 달려갈 수 있게 된다. 그러나 IPv6의 적용은 매우 느리게 적용되고 있고 이에 따라 IPv6에 맞는 보안도 느려지고 있으며, 그 사이 취약점들은 무럭무럭 자라나고 있기도 하다. 특히 현재 IPv6를 위협하고 있는 가장 큰 공격은 디도스 공격이다.
디도스 공격은 인터넷 해커들이 감염된 호스트를 사용해 연결된 기기들을 원격에서 통제하고 봇을 사용해 악성 트래픽을 표적에 보낼 때 발생한다. 표적이 된 조직들은 갑작스런 트래픽 초과로 정상 서비스를 제대로 제공할 수 없게 되거나 네트워크 전체가 다운되기에 이른다. 최근 버라이즌(Verizon)에서 발표한 데이터 유출 사건 보고서 일부를 인용해본다.
“디도스 공격은 작년과 마찬가지로 올 한 해 악화일로의 길을 걸어왔습니다. 작년에 비해서 보고된 수만 두 배에 달합니다. 특히 네트워크 시간 프로토콜(NTP), 도메인 이름 시스템(DNS), 간단한 서비스 발견 프로토콜(SSDP) 등 보안설정이 취약한 서비스를 노려 소스 IP 주소를 스푸핑한 후 무수히 많은 미세 요청 패킷을 전송하는 식의 공격 방식이 크게 늘었습니다.”
아직까지 디도스 공격의 대부분은 IPv6와는 크게 상관이 없지만 디도스 공격의 횟수와 트래픽 양이 크게 높아지고 있기 때문에 IPv6가 디도스 공격자들과 조만간 조우할 것은 뻔한 일. 최근 CNET에서는 다음과 같은 기사가 나왔다. “새로 등장하는 네트워크 인프라가 보안의 측면에서 성숙했을 리가 없습니다. 네트워크 담당자들 또한 새로운 인프라를 꼼꼼히 점검할 능력을 채 갖추지 못할 때 디도스 공격이 들어온다면 꼼짝없이 당할 수밖에 없게 되고요. IPv4와 IPv6를 연결해주는 게이트웨이들도 네트워크 트래픽의 ‘상태’ 정보들을 다량으로 저장할 수밖에 없는데, 이 역시도 네트워크를 위험하게 만드는 요소가 됩니다.”
여기에 더해 사물인터넷 자체도 위협요소로서 작용할 가능성이 높다. 인포섹 인스티튜트(InfoSec Institute)에서 발행한 “사물인터넷 : 사이버 위협은 어느 정도인가?”라는 보고서에 의하면 라우터, SOHO 기기, 스마트TV 등 거의 모든 사물인터넷 기기들은 사이버 범죄자들의 잠재적인 표적이다. “사물인터넷 기기들은 아주 많은 양의 정보를 다룹니다다. 이는 무슨 뜻일까요? 생활 곳곳에 공격의 발판이 마련되어 있다는 뜻이 됩니다. 정보를 많이 다뤄서도 그렇고 보안 대책 수준이 낮아서도 그렇습니다.”
IPv6 시대와 함께 요즘 떠오르는 것이 (아직은) 어설프게 가시성을 제공하는 툴들이며, 위에서 언급한 대로 IPv4와 IPv6를 연결해주는 게이트웨이가 굉장히 취약한 상태라는 것, 또 사물인터넷이란 역대 최고의 ‘불안한 기기들’이 대거 등장할 예정이라는 사실이 한데 뭉치면 보안 업계는 절대 낙관할 수가 없는 게 사실이다. 하지만 이게 현실 그대로다. 과장이나 은폐·축소 전혀 없는 있는 그대로의 사실 말이다.
그렇다면 분명히 예정되어 있는 무차별적인 디도스 공격에 맞서 우리는 어떻게 해야 할까? 사실 특출한 방법이 존재하지는 않는다. 먼저는 지금에라도 내가 맡고 있는 기업의 네트워크에 어떤 기기들이 연결되어 있는지, 각 연결고리에마다 보안 조치는 제대로 취해졌는지, 무엇을 어떻게 해야 보강할 수 있는지를 검토해야 한다. 또한 IPv4에서 IPv6으로 본격적으로 넘어가기 전에 어떻게 해야 최대한 안전하고 네트워크에 무리 없이 전환을 이룰 수 있는지 미리 알아두고 예비하는 것도 좋은 생각이다.
이제 사물인터넷 시대는 물론 IPv6 시대가 온다. 그 바로 뒤를 산더미 같은 디도스가 잇고 있다.
글 : 린 팝(Rene Paap)
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>