오랜 역사 가지고 있는 공격, 오늘날에도 여전히 유효
IP 주소를 기반으로 한 생태계에서는 사전 차단 매우 어려워
.jpg)
▲ 디도스, 무슨 상록수도 아니고...
[보안뉴스 문가용] 1982년 오늘, 한국은 처음으로 인터넷 구축에 성공했다. 세계적으로 봐도 미국에 이어 두 번째로 인터넷 연결에 성공한 것으로, 기념비적인 일이라고 볼 수 있다. 그로부터 불과 약 10년 후인 90년대 초반, 디도스 공격이라는 것이 처음 등장했으니 디도스 공격의 역사도 짧다고 말할 수는 없다. 그럼에도 여전히 우리는 디도스 공격의 위협에 벌벌 떨고 있다.
디도스 공격의 방지, 탐지, 복구가 현재는 네트워크 보안팀에게 일임되어 있는 것이 보통인데 사실 이는 단순히 네트워크 보안 분야의 문제라고 볼 수만은 없다. 디도스 공격이 발생하면 피해 조직은 수시간에서 수일 동안 사실상 아무런 서비스를 할 수가 없고, 이는 조직 전체가 진행하고 있는 사업 자체에 대한 피해이므로 사업상의 문제라고 봐야 한다.
디도스 공격의 유형
또한 디도스 공격이라고 뭉뚱그려 말하기에는 그 종류도 매우 다양한 것이 사실이다. 이를 크게 분류해보면 다음과 같다.
1. 볼륨형 및 비접속형 공격 : 가장 흔한 디도스 공격 유형이다. 웹 사이트의 밴드위스가 제대로 작동하지 못하도록 트래픽을 가득가득 채워 넣는 것이다. 주로 감염된 시스템들로 구성된 봇넷을 사용해 표적이 된 네트워크에 필요 없는 트래픽을 흘려보낸다. 공격을 받은 네트워크는 느려지거나 마비가 된다.
2. TCP 고갈 공격 혹은 프로토콜 공격 : 웹 서버, 방화벽, 부하 분산 장치, 인프라 요소들을 표적으로 삼는 공격으로, 허용이 가능한 접속량보다 더 많은 연결 시도를 통해 서비스를 느려지게 하거나 마비시키는 것이 목적이다.
3. 애플리케이션 공격 혹은 레이어 7 공격 : 특정 애플리케이션에 있는 취약점을 익스플로잇 하는 공격으로 네트워크를 직접 타격하는 것과 상반되는 개념이다.
4. 제로데이 공격 : 공개되지 않았기 때문에 패치나 픽스도 없는 취약점을 표적 삼아 공격한다.
보안 전문업체인 베리사인(Verisign)이 낸 통계에 의하면 디도스 공격은 매년 85%의 증가율을 보이고 있으며 공격의 볼륨도 평균 6.88 Gpbs에 다다를 만큼 커지고 있다고 한다. 가장 큰 공격은 125 Gbps였고 최근 BBC에서 발생한 디도스 공격은 무려 602 Gbps로 사상 최대치를 기록하기도 했다.
디도스 공격이 성행하는 이유
이처럼 디도스 공격이 활발해지는 건 디도스 공격을 쉽게 해주는 툴들이 종류도 많고 구하기도 쉽기 때문이다. 디도스 공격에 활용할 봇넷을 구성하는 것도 비교적 간단한 편에 속한다. 심지어 봇넷을 대여해주는 서비스도 있을 정도다. 이런 서비스는 한 시간에 2달러 정도면 사용이 가능하고, 700달러만 내면 아예 구매도 가능하다.
그러다보니 디도스 공격을 하고자 하는 마음만 먹으면 아무런 지식이나 기술 없이도 ‘해코지’가 가능해졌다. 그렇다고 대단한 자금력을 가지고 있을 필요도 없다. 한 조사에 의하면 시간 당 40달러의 비용으로 누구나 디도스 공격을 할 수 있다.
디도스 대처가 쉽지 않은 이유
오늘 날 네트워크는 매우 복잡하다. 시스템, 애플리케이션, 연결점, 프로토콜의 수가 방대하다. 여기에 최근 모바일 기기들도 폭발적으로 늘어나기 시작했다. 그러니 잠재적인 취약점들도 기하급수적으로 늘어났다. 보안 업무도 마찬가지로 첩첩산중으로 쌓여갔다. 이를 조금이라도 해소하려면 애초에 모든 시스템과 애플리케이션, 연결점들은 보안을 최우선으로 해서 설정되어야 하고, 위협거리는 최소화하는 방향으로 구성되어야 한다. 여기에 더해, 다양한 보안 툴과 장비, 문제 해결법을 적용해 보안 점검을 항시 실시해야 한다.
그럼에도 디도스 공격이 계속해서 우리를 위협하는 건 표준적인 보안 절차가 잘 통하지 않는다는 뜻이 된다. 일단 디도스 공격에 주로 활용되는 봇넷은 위치 추적을 매우 어렵게 한다. 공격의 근원을 파악하기가 힘들다는 뜻이다. 그렇다보니 애초에 트래픽을 차단하기가 어렵다. 짧게라도 공격이 최소 한 번은 성공할 수밖에 없다는 것이다. 결국 디도스 공격의 해결책은 ‘빠른 복구’가 될 수밖에 없다. 디도스 공격이 속도전이라고 불리는 이유다.
속도가 생명이다
카스퍼스키에서 디도스 공격과 관련해 2014년 발간한 보고서에 따르면 디도스 공격 한 번으로 한 조직이 입는 피해는 5만 2천 달러에서 44만 4천 달러에까지 다다른다고 한다. 이 계산법에는 고객의 신뢰나 브랜드 이름값이 떨어지는 건 들어가지 않았다. 디도스 공격을 당하는 순간 신뢰는 바닥을 향해 가기 시작한다. 이를 최소화하려면 재빨리 디도스 공격을 무마시키고 서비스를 원상 복구시키는 것이다. 1초가 중요해진다.
디도스의 자그마한 징후라도 재빨리 파악해 탐지하는 것이 열쇠다. 하지만 이는 수많은 대처 절차 중 첫 번째에 불과하다. 첫 단추를 잘 잠그는 것만큼 모든 단추를 제대로 잠그는 것이 중요하다. 그에 대한 이야기는 다음 편에서 계속할 예정이다.
글 : 빈센트 버크(Vincent Berk)
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
- 공공·금융·민간 CPO, 개인정보처리자, 보안담당자 등 4,000여명 참석
- 공무원상시학습, CPPG, CISSP, CISA, ISMS등 관련 교육이수(최대 16시간) 인정
- CPO, 개인정보처리자, 보안담당자 등 사전 무료 참관등록(www.pisfair.org/2016/)
IP 주소를 기반으로 한 생태계에서는 사전 차단 매우 어려워
▲ 디도스, 무슨 상록수도 아니고...
[보안뉴스 문가용] 1982년 오늘, 한국은 처음으로 인터넷 구축에 성공했다. 세계적으로 봐도 미국에 이어 두 번째로 인터넷 연결에 성공한 것으로, 기념비적인 일이라고 볼 수 있다. 그로부터 불과 약 10년 후인 90년대 초반, 디도스 공격이라는 것이 처음 등장했으니 디도스 공격의 역사도 짧다고 말할 수는 없다. 그럼에도 여전히 우리는 디도스 공격의 위협에 벌벌 떨고 있다.
디도스 공격의 방지, 탐지, 복구가 현재는 네트워크 보안팀에게 일임되어 있는 것이 보통인데 사실 이는 단순히 네트워크 보안 분야의 문제라고 볼 수만은 없다. 디도스 공격이 발생하면 피해 조직은 수시간에서 수일 동안 사실상 아무런 서비스를 할 수가 없고, 이는 조직 전체가 진행하고 있는 사업 자체에 대한 피해이므로 사업상의 문제라고 봐야 한다.
디도스 공격의 유형
또한 디도스 공격이라고 뭉뚱그려 말하기에는 그 종류도 매우 다양한 것이 사실이다. 이를 크게 분류해보면 다음과 같다.
1. 볼륨형 및 비접속형 공격 : 가장 흔한 디도스 공격 유형이다. 웹 사이트의 밴드위스가 제대로 작동하지 못하도록 트래픽을 가득가득 채워 넣는 것이다. 주로 감염된 시스템들로 구성된 봇넷을 사용해 표적이 된 네트워크에 필요 없는 트래픽을 흘려보낸다. 공격을 받은 네트워크는 느려지거나 마비가 된다.
2. TCP 고갈 공격 혹은 프로토콜 공격 : 웹 서버, 방화벽, 부하 분산 장치, 인프라 요소들을 표적으로 삼는 공격으로, 허용이 가능한 접속량보다 더 많은 연결 시도를 통해 서비스를 느려지게 하거나 마비시키는 것이 목적이다.
3. 애플리케이션 공격 혹은 레이어 7 공격 : 특정 애플리케이션에 있는 취약점을 익스플로잇 하는 공격으로 네트워크를 직접 타격하는 것과 상반되는 개념이다.
4. 제로데이 공격 : 공개되지 않았기 때문에 패치나 픽스도 없는 취약점을 표적 삼아 공격한다.
보안 전문업체인 베리사인(Verisign)이 낸 통계에 의하면 디도스 공격은 매년 85%의 증가율을 보이고 있으며 공격의 볼륨도 평균 6.88 Gpbs에 다다를 만큼 커지고 있다고 한다. 가장 큰 공격은 125 Gbps였고 최근 BBC에서 발생한 디도스 공격은 무려 602 Gbps로 사상 최대치를 기록하기도 했다.
디도스 공격이 성행하는 이유
이처럼 디도스 공격이 활발해지는 건 디도스 공격을 쉽게 해주는 툴들이 종류도 많고 구하기도 쉽기 때문이다. 디도스 공격에 활용할 봇넷을 구성하는 것도 비교적 간단한 편에 속한다. 심지어 봇넷을 대여해주는 서비스도 있을 정도다. 이런 서비스는 한 시간에 2달러 정도면 사용이 가능하고, 700달러만 내면 아예 구매도 가능하다.
그러다보니 디도스 공격을 하고자 하는 마음만 먹으면 아무런 지식이나 기술 없이도 ‘해코지’가 가능해졌다. 그렇다고 대단한 자금력을 가지고 있을 필요도 없다. 한 조사에 의하면 시간 당 40달러의 비용으로 누구나 디도스 공격을 할 수 있다.
디도스 대처가 쉽지 않은 이유
오늘 날 네트워크는 매우 복잡하다. 시스템, 애플리케이션, 연결점, 프로토콜의 수가 방대하다. 여기에 최근 모바일 기기들도 폭발적으로 늘어나기 시작했다. 그러니 잠재적인 취약점들도 기하급수적으로 늘어났다. 보안 업무도 마찬가지로 첩첩산중으로 쌓여갔다. 이를 조금이라도 해소하려면 애초에 모든 시스템과 애플리케이션, 연결점들은 보안을 최우선으로 해서 설정되어야 하고, 위협거리는 최소화하는 방향으로 구성되어야 한다. 여기에 더해, 다양한 보안 툴과 장비, 문제 해결법을 적용해 보안 점검을 항시 실시해야 한다.
그럼에도 디도스 공격이 계속해서 우리를 위협하는 건 표준적인 보안 절차가 잘 통하지 않는다는 뜻이 된다. 일단 디도스 공격에 주로 활용되는 봇넷은 위치 추적을 매우 어렵게 한다. 공격의 근원을 파악하기가 힘들다는 뜻이다. 그렇다보니 애초에 트래픽을 차단하기가 어렵다. 짧게라도 공격이 최소 한 번은 성공할 수밖에 없다는 것이다. 결국 디도스 공격의 해결책은 ‘빠른 복구’가 될 수밖에 없다. 디도스 공격이 속도전이라고 불리는 이유다.
속도가 생명이다
카스퍼스키에서 디도스 공격과 관련해 2014년 발간한 보고서에 따르면 디도스 공격 한 번으로 한 조직이 입는 피해는 5만 2천 달러에서 44만 4천 달러에까지 다다른다고 한다. 이 계산법에는 고객의 신뢰나 브랜드 이름값이 떨어지는 건 들어가지 않았다. 디도스 공격을 당하는 순간 신뢰는 바닥을 향해 가기 시작한다. 이를 최소화하려면 재빨리 디도스 공격을 무마시키고 서비스를 원상 복구시키는 것이다. 1초가 중요해진다.
디도스의 자그마한 징후라도 재빨리 파악해 탐지하는 것이 열쇠다. 하지만 이는 수많은 대처 절차 중 첫 번째에 불과하다. 첫 단추를 잘 잠그는 것만큼 모든 단추를 제대로 잠그는 것이 중요하다. 그에 대한 이야기는 다음 편에서 계속할 예정이다.
글 : 빈센트 버크(Vincent Berk)
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
- 국내 최대 규모의 개인정보보호 컨퍼런스 PIS FAIR 2016 - 6월 9일(목)~10일(금) 개최- 공공·금융·민간 CPO, 개인정보처리자, 보안담당자 등 4,000여명 참석
- 공무원상시학습, CPPG, CISSP, CISA, ISMS등 관련 교육이수(최대 16시간) 인정
- CPO, 개인정보처리자, 보안담당자 등 사전 무료 참관등록(www.pisfair.org/2016/)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
