공격 방법 다양해짐에 따라 방어 준비도 더 철저해질 필요 있어

[보안뉴스 문가용] 디도스 공격은 쉽게 해결할 수 있는 문제가 아니다. 6월 둘째 주 3일 동안 디도스의 공격에 시달렸던 외국 뉴스 사이트인 피들리(www.feedly.com)는 한주가 지나서야 복원 작업을 마칠 수 있었다. 그리고 이렇게 디도스에 당한 곳은 수도 없이 많다. 추수 철 메뚜기 떼처럼 여기저기서 불쑥불쑥 나타나 웹 사이트를 다 잡아먹고 달아난다.
 


서비스형 소프트웨어 기업이나 금융 회사 서버처럼 대단한 곳만 노리는 것도 아니다. 딱히 처방도 없다. 전문가들은 미리 대비하고 적절한 완화 전략을 차용하는 것이 사실상 할 수 있는 일의 전부라고 한다. 그러나 디도스에 당한 업체들은 백이면 백, 대비 단계부터 갖추지 못하고 있는 것이 실정이다. 디도스와 맞닥트렸을 때 자주하는 실수들을 모아보았다.

1. 아예 디도스에 대한 대비책이 없음
디도스 공격이 한창 일어나고 있을 때에야 검색 엔진을 뒤져가며 디도스에 대항할 수 있는 보안 업체를 찾아나서는 상황이 제일 끔찍한 경우라고 할 수 있다. “최소한의 방어막이라도 갖추고 있는 것이 현명합니다. 공격이 한창 이루어지고 있는 와중에 방패를 찾아서 꺼내들면 솔직히 무슨 소용이 있을까요. 게다가 공격 자체도 훨씬 빠르고 깊숙이 진행되기 마련입니다.” 웹 사이트 보안과 디도스 대응을 전문으로 하는 업체인 클라우드플레어(CloudFlatre)의 창립자이자 회장인 매튜 프린스(Matthew Prince)는 설명했다.

클라우드플레어는 피들리가 디도스의 공격을 받을 때 도움을 제공한 업체로 피들리 원래 IP 주소를 새롭게 바꾸는 전략을 사용해 공격을 약화시켰다. “거기까지 가는데 시간이 좀 걸렸습니다.” 프린스의 설명이다. “사후 처리 방식으로 디도스를 공략하는 건 굉장히 어렵거든요. 한 번 침입한 디도스는 시스템 안에서 갈래갈래 찢어져서 움직이고 다닙니다.”

솔라윈즈(SolarWinds)의 보안 전략 책임자인 그레첸 헬맨(Gretchen Hellman) 역시 디도스 공격에 대한 준비를 미리 하지 않은 것이 가장 큰 문제라고 설명한다. “디도스 관련 방어 소프트웨어를 보유하고 있는 것만으로 준비가 끝나는 건 아닙니다. 현재 가지고 있는 프로그램을 미리 돌려보고 평가하는 것도 같이 해야 합니다. 여기다가 민방위 훈련을 하듯 여러 관련 부서가 각자 맡은 역할을 숙지하는 것도 중요합니다. 연락망 확인도 해야 하고요.”

설명은 계속해서 이어졌다. “대비책을 꼼꼼하게 준비하지 않으면 실수가 발생하기 마련이고, 이 실수는 해커들의 맛좋은 먹잇감입니다. 그러면 예상 밖의 공격이 일어나고 이에 대한 대응이 늦어지면서 필요 이상의 피해를 입게 됩니다.”

2. 미리 디도스 방어 시스템을 점검하지 않음
2012년 가을 미국 금융기관이 디도스의 공격을 수차례 받은 적이 있다. 이때 대형 은행 한 군데에서 인프라 전체를 디도스 감쇠 우회망 서비스로 옮기기로 결정하고 그대로 감행했다. “그냥 전등 스위치 누르듯이 딸깍 옮겨버렸어요. 인프라 전체를요. 그러자 네트워크 전체가 오프라인이 되어버렸지요. 위급한 상황이 계속해서 벌어지고 있을 때에 검증되지 않은 무언가를 실행한다는 건 별로 현명한 처사가 아닙니다.” 프린스가 당시를 회상했다.

이런 식으로, 미리 방어책을 점검하지 않고 하는 행위는 총구를 뒤로 하고 아군을 쏘는 격이다. 시큐리티 콤파스(Security Compass)가 개발한 디도스 블랙박스 시험 프로그램인 디도스스트라이크(DDoS Strike)의 소프트웨어 엔지니어 마이클 베넷(Michael Bennett)은 인프라와 디도스 방어 프로그램을 미리 시험해보지 않는 실수를 정말 많이 본다고 한다. “디도스를 한 번도 겪어보지 않았는데 디도스가 어떻게 생겼는지 알 방법이 없죠. 당연히 어떻게 작용하는지, 어떤 일이 일어나는지 예상할 수가 없습니다.”

디도스는 한번 휙 왔다가 사라지는 게 아니라 어디엔가 잠복해있기도 한다. “데이터베이스를 공격해 얼려버리거나 서비스 속도를 굉장히 느리게 만들 수 있습니다. 의외로 이런 현상들은 눈에 잘 안 띄거나 감지하기가 어려운데, 그래서 대처가 늦어지는 겁니다.”

베넷 씨는 디도스 대응과 방어 과정을 점검할 때 구멍이나 취약점 발생이 가능한 곳을 한 군데 짚어서 구체적이면서 반복적으로 실험해볼 것을 권장한다. 이 과정에서 네트워크 팀과 애플리케이션 팀 사이의 협업이 발생해야 한다(조직마다 협업이 이루어지는 단체가 달라질 수 있다). 실제로 이런 준비 과정까지 다 수행한 한 회사에서는 네트워크 팀에서 트래픽 패턴에서 이상한 점을 발견하긴 했으나 대수롭지 않게 여기고 애플리케이션 팀에 알리지 않고 넘어갔다가 디도스에 당한 경우도 있었다고. “의사소통이 투명하게 이루어져야 합니다. 의외로 많은 경우 프로그램이나 기술 문제가 아니라 대화 문제 때문에 큰일이 벌어지곤 하더군요.”

3. 인터넷 공급자와의 관계를 하찮게 여김
의외로 인터넷 공급자 단계에서 디도스를 차단하는 게 간단할 수 있다. “인터넷 공급자 입장에서는 악성 코드가 로컬 네트워크에 다다르기 전에 네트워크의 훨씬 상위층에서 감지하고 차단할 수 있거든요.”

시큐리티 콤파스(Security Compass)의 개발 엔지니어인 잘 스티븐슨(Jarl Stefansson)도 상위 네트워크에서 디도스 트래픽을 막아버리는 게 훨씬 효과적이라고 한다. “로컬 단계에서만 트래픽을 감시하면 시야가 좁아져서 디도스를 다 차단할 수가 없게 됩니다. 보안 담당자로서는 자신의 로컬 네트워크보다 상위 네트워크의 상황도 파악할 수 있어야 합니다.”

로컬 네트워크만을 쳐다보며 디도스 공격을 막으려하는 건 ‘눈 가리고 아웅’이나 다름없다는 의견도 있다. “넓은 범위에서 감지 활동을 하지 못하다가 로컬 시스템이 멈춰버리면 어떻게 할까요? 그런 가능성도 배제할 수 없는 겁니다.” 또한 공격자가 네트워크를 공격 목표로 정하고 있는 건지 아니면 그 네트워크 안의 특정 애플리케이션을 목표로 하는지도 판별해야 효과적인 방어가 가능한데, 이는 상위 네트워크에서 감지해야 한다.

프린스는 이런 모든 의견들을 하나로 압축한다. “유비무환이 최고죠. 공격을 감지하는 순간 대처하기 시작하는 건 상당히 늦은 대응입니다. 시스템 전체를 최소한 새로운 주소로 옮겨야 하는데, 이게 시스템에 따라 시간이 엄청나게 오래 걸릴 수 있습니다. 게다가 그런 조치를 한다고 디도스로부터 해방되는 것도 아닙니다. BGP(Border Gateway Protocol : 경계 경로 프로토콜)를 발동해야 하죠."
 
BGP란 로컬 네트워크의 극단에서부터 인터넷 공급자들에게 연락해 해커가 알 수 없는 우회 경로를 만듦으로써 직접 공격을 받지 않도록 하는 것이다. "이런 일을 하려면 인터넷 공급자와의 관계를 좋게 유지하는 것도 중요합니다. 방어하는 입장에서 유비무환은 만고의 진리입니다.”
ⓒDARKReading
[국제부 문가용 기자(globoan@boannews.com)]