오래됐지만 가장 빈번하게 발생하는 공격수단...해커들의 ‘돈벌이’로 진화
우리나라 ‘정보보호의 날’이 지정된 계기는 바로 ‘디도스 공격’
알쓸보안사전은 보안뉴스 기자들이 ‘알아두면 쓸모있는’ 보안 용어들을 보다 쉽게 정리해 독자의 이해를 돕고 보안 지식을 넓혀줄 수 있는 코너입니다[편집자주]
[보안뉴스 이소미 기자] 인터넷이 시작된 이래 끊임없이 등장하는 사이버 공격 수단이 존재한다. 해킹 수법 1순위로 꼽힐 만큼 흔하게 발생하는 이 공격은 분산 서비스 거부 공격으로 ‘디도스(DDoS) 공격’이라고도 불린다. 올해 발생한 각종 보안 사건·사고 가운데 빠짐없이 등장하는 공격으로 보안업계 관계자들은 “디도스 공격은 인터넷 표준 프로토콜인 TCP/IP 자체적인 취약점으로 인한 고질적인 사이버 공격”이라고 말한다. 이에 <보안뉴스>는 디도스 공격과 그 예방법에 대해 알아봤다.
[이미지=gettyimagesbank]
△이 주의 보안 용어
분산 서비스 거부 공격(DDoS : Distributed Denial of Service, 이하 디도스 공격)
이 공격은 크래킹 수법의 일종으로 해커가 수십 대에서 많게는 수백만 대의 PC를 악성코드 등으로 감염시켜 일명 ‘좀비(Zombie) PC’로 만든 후, 원격 조종으로 특정 웹사이트에 동시 접속시켜 단시간 내에 서버 과부하를 일으키는 것을 의미한다.
좀비 PC는 악성 프로그램에 감염돼 사용자의 의사와 상관없이 공격자의 명령대로 수행하게 된다. 디도스 공격은 일반 서비스 거부 공격(DoS)과 달리 정상 트래픽과 공격 트래픽이 함께 뒤섞여 아군인지 적군인지 판단이 불가능해 서버 자체 불능 현상으로 작동을 멈추게 된다. 디도스 공격을 받게 되면 트래픽 폭주로 사내 네트워크 사용이 불가능하게 되고, 서비스 이용이 중단돼 고객센터에 이용자들의 접속 불량 민원이 폭증하게 된다. 또한, 서버가 느려져 더 이상 사용이 불가능하게 된다.
디도스 공격은 정보 탈취·해킹 수법이 아닌 ‘단순 서비스 마비’에 그쳐 사이버 공격자 입장에서 사실상 많이 남지 않는 장사다. 그래서 ‘서비스 먹통’으로 타격을 입을 만한 분야인 인터넷 쇼핑몰 혹은 공공기관, 통신사 등을 노린다. 해당 분야는 몇 시간만 마비돼도 치명적인 피해를 입을 수 있기 때문이다. 쉽게 말해 ‘영업 방해’가 주 목적이다.
▲디도스 공격의 개념도[이미지=KISA]
예를 들면, 특정 서비스 업체의 경쟁사가 영업 방해를 위해 해커에게 의뢰해 ‘1시간만’ 서비스 마비를 요구하기도 한다고 한다. 이를 위해 해커 입장에서는 그동안 공들여 확보한 좀비PC 등을 잃게 되는 기회비용을 포함한 사례금을 지급받기도 하는 것으로 알려졌다.
대표적인 디도스 공격 유형으로 △PPS(Packet Per Second) 증가 공격 △웹 서비스 지연 공격 △대용량 트래픽 전송 공격 등이 있다. 각 공격 유형을 살펴보면, 직접적으로 타깃 서버의 연결 자체를 단절 시키거나 다량의 정상 페이지 요청을 한꺼번에 보내 서버 과부하 현상을 불러 일으키고, 네트워크 트래픽 공간을 채워 회선 정지를 일으키는 등의 공격 형태를 띈다.
△이런 일이 있었다
매년 7월 둘째 주 수요일로 지정된 ‘정보보호의 날’은 우리나라 정부부처에서 공동으로 사이버 공격을 예방하고 국민들의 정보보호를 생활화하기 위해 제정한 날이다. 7월로 특정한 이유는 2009년에 벌어진 ‘7.7 디도스(DDoS) 공격’과 2011년 발생한 ‘3.4 디도스 공격’ 등으로 정부기관과 국가주요시설, 민간기업 등이 큰 피해를 입으면서 2012년 처음 7월로 지정하게 됐다.
디도스 공격과 관련된 주요 이슈로 △2003년 대한민국의 주요 인터넷망을 마비시킨 ‘1.25 대란’ △2009년 7월 7일부터 10일까지 국내외 주요 정부기관·포털 사이트·은행 30여 개 이상의 웹사이트를 마비시킨 ‘7.7 디도스 대란’ △2011년 포털사·은행·정부 기관 등 40여 개 사이트를 마비시킨 ‘3.4 디도스 대란’ 등을 들 수 있다. 올해 발생한 △‘LG유플러스 사태’는 1월 29일, 2월 4일에 각각 디도스 공격을 받아 인터넷 서비스 접속 장애가 발생해 가입 이용자들이 피해를 입기도 했다.
이처럼 디도스 공격은 과거부터 현재까지도 꾸준히 발생하고 있다. 또한, 사이버 환경 진화에 따라 공격 방식도 고도화되고 있는 실정이다. 1999년까지만 해도 비교적 단순한 형태의 도스(DoS) 공격이었지만, 2005년 봇넷으로 대규모 트래픽을 유발하는 디도스, DRDoS, DDoS-For-Hire(돈을 받고 DDoS 공격을 수행해주는 시스템)로 진화하고 있다.
△피해는 이렇게 막을 수 있다
기업이 디도스 공격을 받은 경우 서버 중지 시마다 매번 서버를 늘리는 것은 쉽지 않다. 따라서 디도스 공격 예방 및 대응책을 미리 마련해 두는 것이 중요하다.
첫째, 서버에서는 PC 연결을 구성하는 공간 설정값인 ‘백로그 큐 Backlog Queue’를 크게 확장하는 방법이 있다. 이와 같이 사용자가 접근할 수 있는 폭의 크기를 늘리면 서버에서 병목 현상 즉, 시스템이나 프로세스에서 성능 저하가 발생하는 경우를 줄일 수 있다. 단, 서버의 수용 범위 이상의 대용량 트래픽은 막을 수 없다. 둘째, 클라우드 제공업체를 이용한다면 ‘Auto Scaling 설정’을 통해서 대용량 트래픽 발생 시 일시적으로 서버 증설이 가능하다. 하지만 서버 몇 대 늘리는 것만으로 완전한 해결은 불가능하다.
셋째, ‘안티 디도스(Anti-DDoS) 장비’를 사용한 차단이다. 이는 실시간 차단 기능 제공은 물론 좀비 PC의 행위 분석까지 수행해 사전 차단이 가능하다. 넷째, 대기업의 경우보다 범위가 넓은 전 세계의 디도스 공격을 분산시켜 줄 수 있는 ‘스크러빙 센터(Scrubbing Center)’를 이용하면 공격 트래픽을 해외로 보낼 수 있다. 이후 정상 트래픽만 한국으로 돌려받을 수 있다.
마지막으로, 국가 차원의 보호 서비스를 이용하는 방법이다. 디도스 공격 대응을 위해 국내에서 운영하는 KISA의 ‘사이버 대피소’와 금융보안원의 ‘클라우드 대피소’가 있다. KISA의 사이버 대피소는 피해 웹사이트로 향하는 디도스 트래픽을 대피소로 우회해 분석·차단함으로써 정상적으로 운영될 수 있도록 중소기업 대상으로 무료로 지원되는 서비스다. 해당 서비스는 사전 신청 및 접수를 통해 이용할 수 있으며, 자세한 사항은 KISA 또는 금융보안원 홈페이지를 통해 확인할 수 있다.
디도스 공격 예방 방법은 기업뿐만이 아닌 개개인의 노력도 필요하다. 실제 공격에 이용되는 장비 대부분이 악성 소프트웨어에 감염된 PC·스마트폰 등으로 자신의 디바이스가 해커들의 공격 도구로 악용되지 않기 위해 백신 설치 및 주기적인 검사는 필수다. 대부분의 사이버 공격은 개인의 부주의 즉 ‘악성 소프트웨어 감염’으로부터 시작된다. 이처럼 기업의 노력도 중요하지만 출처 불분명한 URL 등과 거리두기, 백신 설치 등의 개개인의 노력이 다수의 피해까지 예방할 수 있다는 점을 명심해야 한다. 또한, 기업은 네트워크·시스템 자산 보호를 위한 철저한 관리와 함께 전문 보안인력 및 정보보호 투자 부족 문제를 겪지 않도록 사전에 지원하고 대비해야 한다.
[도움말=보안119]
[이소미 기자(boan4@boannews.com)]
우리나라 ‘정보보호의 날’이 지정된 계기는 바로 ‘디도스 공격’
알쓸보안사전은 보안뉴스 기자들이 ‘알아두면 쓸모있는’ 보안 용어들을 보다 쉽게 정리해 독자의 이해를 돕고 보안 지식을 넓혀줄 수 있는 코너입니다[편집자주]
[보안뉴스 이소미 기자] 인터넷이 시작된 이래 끊임없이 등장하는 사이버 공격 수단이 존재한다. 해킹 수법 1순위로 꼽힐 만큼 흔하게 발생하는 이 공격은 분산 서비스 거부 공격으로 ‘디도스(DDoS) 공격’이라고도 불린다. 올해 발생한 각종 보안 사건·사고 가운데 빠짐없이 등장하는 공격으로 보안업계 관계자들은 “디도스 공격은 인터넷 표준 프로토콜인 TCP/IP 자체적인 취약점으로 인한 고질적인 사이버 공격”이라고 말한다. 이에 <보안뉴스>는 디도스 공격과 그 예방법에 대해 알아봤다.
[이미지=gettyimagesbank]
△이 주의 보안 용어
분산 서비스 거부 공격(DDoS : Distributed Denial of Service, 이하 디도스 공격)
이 공격은 크래킹 수법의 일종으로 해커가 수십 대에서 많게는 수백만 대의 PC를 악성코드 등으로 감염시켜 일명 ‘좀비(Zombie) PC’로 만든 후, 원격 조종으로 특정 웹사이트에 동시 접속시켜 단시간 내에 서버 과부하를 일으키는 것을 의미한다.
좀비 PC는 악성 프로그램에 감염돼 사용자의 의사와 상관없이 공격자의 명령대로 수행하게 된다. 디도스 공격은 일반 서비스 거부 공격(DoS)과 달리 정상 트래픽과 공격 트래픽이 함께 뒤섞여 아군인지 적군인지 판단이 불가능해 서버 자체 불능 현상으로 작동을 멈추게 된다. 디도스 공격을 받게 되면 트래픽 폭주로 사내 네트워크 사용이 불가능하게 되고, 서비스 이용이 중단돼 고객센터에 이용자들의 접속 불량 민원이 폭증하게 된다. 또한, 서버가 느려져 더 이상 사용이 불가능하게 된다.
디도스 공격은 정보 탈취·해킹 수법이 아닌 ‘단순 서비스 마비’에 그쳐 사이버 공격자 입장에서 사실상 많이 남지 않는 장사다. 그래서 ‘서비스 먹통’으로 타격을 입을 만한 분야인 인터넷 쇼핑몰 혹은 공공기관, 통신사 등을 노린다. 해당 분야는 몇 시간만 마비돼도 치명적인 피해를 입을 수 있기 때문이다. 쉽게 말해 ‘영업 방해’가 주 목적이다.
▲디도스 공격의 개념도[이미지=KISA]
예를 들면, 특정 서비스 업체의 경쟁사가 영업 방해를 위해 해커에게 의뢰해 ‘1시간만’ 서비스 마비를 요구하기도 한다고 한다. 이를 위해 해커 입장에서는 그동안 공들여 확보한 좀비PC 등을 잃게 되는 기회비용을 포함한 사례금을 지급받기도 하는 것으로 알려졌다.
대표적인 디도스 공격 유형으로 △PPS(Packet Per Second) 증가 공격 △웹 서비스 지연 공격 △대용량 트래픽 전송 공격 등이 있다. 각 공격 유형을 살펴보면, 직접적으로 타깃 서버의 연결 자체를 단절 시키거나 다량의 정상 페이지 요청을 한꺼번에 보내 서버 과부하 현상을 불러 일으키고, 네트워크 트래픽 공간을 채워 회선 정지를 일으키는 등의 공격 형태를 띈다.
△이런 일이 있었다
매년 7월 둘째 주 수요일로 지정된 ‘정보보호의 날’은 우리나라 정부부처에서 공동으로 사이버 공격을 예방하고 국민들의 정보보호를 생활화하기 위해 제정한 날이다. 7월로 특정한 이유는 2009년에 벌어진 ‘7.7 디도스(DDoS) 공격’과 2011년 발생한 ‘3.4 디도스 공격’ 등으로 정부기관과 국가주요시설, 민간기업 등이 큰 피해를 입으면서 2012년 처음 7월로 지정하게 됐다.
디도스 공격과 관련된 주요 이슈로 △2003년 대한민국의 주요 인터넷망을 마비시킨 ‘1.25 대란’ △2009년 7월 7일부터 10일까지 국내외 주요 정부기관·포털 사이트·은행 30여 개 이상의 웹사이트를 마비시킨 ‘7.7 디도스 대란’ △2011년 포털사·은행·정부 기관 등 40여 개 사이트를 마비시킨 ‘3.4 디도스 대란’ 등을 들 수 있다. 올해 발생한 △‘LG유플러스 사태’는 1월 29일, 2월 4일에 각각 디도스 공격을 받아 인터넷 서비스 접속 장애가 발생해 가입 이용자들이 피해를 입기도 했다.
이처럼 디도스 공격은 과거부터 현재까지도 꾸준히 발생하고 있다. 또한, 사이버 환경 진화에 따라 공격 방식도 고도화되고 있는 실정이다. 1999년까지만 해도 비교적 단순한 형태의 도스(DoS) 공격이었지만, 2005년 봇넷으로 대규모 트래픽을 유발하는 디도스, DRDoS, DDoS-For-Hire(돈을 받고 DDoS 공격을 수행해주는 시스템)로 진화하고 있다.
△피해는 이렇게 막을 수 있다
기업이 디도스 공격을 받은 경우 서버 중지 시마다 매번 서버를 늘리는 것은 쉽지 않다. 따라서 디도스 공격 예방 및 대응책을 미리 마련해 두는 것이 중요하다.
첫째, 서버에서는 PC 연결을 구성하는 공간 설정값인 ‘백로그 큐 Backlog Queue’를 크게 확장하는 방법이 있다. 이와 같이 사용자가 접근할 수 있는 폭의 크기를 늘리면 서버에서 병목 현상 즉, 시스템이나 프로세스에서 성능 저하가 발생하는 경우를 줄일 수 있다. 단, 서버의 수용 범위 이상의 대용량 트래픽은 막을 수 없다. 둘째, 클라우드 제공업체를 이용한다면 ‘Auto Scaling 설정’을 통해서 대용량 트래픽 발생 시 일시적으로 서버 증설이 가능하다. 하지만 서버 몇 대 늘리는 것만으로 완전한 해결은 불가능하다.
셋째, ‘안티 디도스(Anti-DDoS) 장비’를 사용한 차단이다. 이는 실시간 차단 기능 제공은 물론 좀비 PC의 행위 분석까지 수행해 사전 차단이 가능하다. 넷째, 대기업의 경우보다 범위가 넓은 전 세계의 디도스 공격을 분산시켜 줄 수 있는 ‘스크러빙 센터(Scrubbing Center)’를 이용하면 공격 트래픽을 해외로 보낼 수 있다. 이후 정상 트래픽만 한국으로 돌려받을 수 있다.
마지막으로, 국가 차원의 보호 서비스를 이용하는 방법이다. 디도스 공격 대응을 위해 국내에서 운영하는 KISA의 ‘사이버 대피소’와 금융보안원의 ‘클라우드 대피소’가 있다. KISA의 사이버 대피소는 피해 웹사이트로 향하는 디도스 트래픽을 대피소로 우회해 분석·차단함으로써 정상적으로 운영될 수 있도록 중소기업 대상으로 무료로 지원되는 서비스다. 해당 서비스는 사전 신청 및 접수를 통해 이용할 수 있으며, 자세한 사항은 KISA 또는 금융보안원 홈페이지를 통해 확인할 수 있다.
디도스 공격 예방 방법은 기업뿐만이 아닌 개개인의 노력도 필요하다. 실제 공격에 이용되는 장비 대부분이 악성 소프트웨어에 감염된 PC·스마트폰 등으로 자신의 디바이스가 해커들의 공격 도구로 악용되지 않기 위해 백신 설치 및 주기적인 검사는 필수다. 대부분의 사이버 공격은 개인의 부주의 즉 ‘악성 소프트웨어 감염’으로부터 시작된다. 이처럼 기업의 노력도 중요하지만 출처 불분명한 URL 등과 거리두기, 백신 설치 등의 개개인의 노력이 다수의 피해까지 예방할 수 있다는 점을 명심해야 한다. 또한, 기업은 네트워크·시스템 자산 보호를 위한 철저한 관리와 함께 전문 보안인력 및 정보보호 투자 부족 문제를 겪지 않도록 사전에 지원하고 대비해야 한다.
[도움말=보안119]
[이소미 기자(boan4@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
