디도스(DDoS)는 전통적인 공격이지만 비즈니스에 큰 타격을 입힐 수 있는 고위험 공격이다. 특히 대량의 트래픽을 일으키는 방식의 공격은 그 어떤 방어 장비로도 막을 수 없다.
2016년 미국 보안 전문가가 운영하는 블로그 크렙스온시큐리티가 입은 피해가 대표적인 사례이다. 이 블로그에 620Gbps 규모의 디도스 공격이 이어졌는데, 당시 공격을 막았던 클라우드 기반 방어 서비스 측에서도 차단의 한계를 인정할 수밖에 없었다.
블로그를 운영하던 브라이언 크렙스는 해당 서비스 기업이 최선을 다해 공격을 방어했다는 사실에 감사의 뜻을 전하기도 했지만, 스크러빙 센터 용량을 초과하는 대규모 공격에는 그 어떤 방어 기술도 무력하다는 것을 보여준 것이었다.
당시 공격에 사용한 봇넷이 ‘미라이’였으며, 이 공격을 성공시킨 공격자는 DNS 서비스 기업 딘(Dyn)을 공격해 미국 주요 인터넷 서비스 기업과 정부기관을 마비시켰다. 이후 미라이 봇넷을 이용한 공격이 연이어 등장하고 있다.
“IoT 장악한 디도스, 심각한 사회 문제 일으킬 것”
미라이 봇넷은 여러 면에서 시사점을 준다. 우선 IoT를 장악하면 그 어떤 디도스 방어 기술도 막을 수 없는 강력한 대규모 공격 트래픽을 만들 수 있으며, DNS 서비스를 공격하면 쉽게 목적을 달성할 수 있다는 점, 그리고 공격자가 마음대로 움직일 수 있는 IoT 기기가 무한하다는 사실을 알려줬다.
예를 들어 가장 최근 발견된 미라이 변종 ‘오키루’는 시놉시스의 리눅스용 임베디드 프로세스 ARC를 노리는 것이었다. ARC는 전 세계에서 2번째로 많이 사용되는 임베디드 CPU로 매년 15억개 이상 출하된다. 카메라, 모바일 기기, TV, 플래시 드라이브, 자동차 등 다양한 기기에 탑재된다. 공격이 현실화된다면 전 사회에 심각한 피해를 입힐 수 있다.
지난해 말에는 네트워크 웜처럼 퍼지는 미라이 변종 봇넷 ‘사토리’가 발견됐다. 이스트시큐리티에 따르면 12시간동안 28만개의 각기 다른 IP로 활성화됐다. 이외에도 미라이 봇넷 변종은 수시로 발견되고 있어 엄청난 파괴력을 가진 공격이 발생할 가능성은 더욱 높아졌다.
자가학습 능력 갖춘 봇넷 등장
아버네트웍스는 미라이와 유사한 코드를 사용하는 ‘리퍼(Reaper)’ 봇넷이 미라이를 능가하는 세력으로 확산되고 있다고 경고한 바 있다. 러퍼는 중국 지하 세계에서 디도스 공격 서비스로 사용하기 위해 만들어진 것으로 추정되며, 신플러드, ACK 플러드, HTTP 플러드, DNS 증폭공격과 파악되지 않은 디도스 공격 능력을 가진 것으로 보인다.
자가학습 능력을 가진 봇넷도 등장했다. 포티넷이 분석한 ‘하이브네츠(Hivenets)’ 봇넷은 손상된 디바이스를 지능적으로 수집해 기하급수적으로 확산되며, 하이브네츠에 감염된 기기는 지시 없이 명령을 수행할 수 있다.
기존의 봇넷은 대량의 기기를 감염시켜 대규모 트래픽을 발생시키는 방식이기 때문에 기본 보안 솔루션이 있다면 어렵지 않게 차단할 수 있다. 대부분의 디도스 방어 솔루션은 기기 혹은 애플리케이션 인증을 통해 정상적인 접속 요청인지 확인할 수 있다. 그러나 최근 봇넷은 인증 요청에 자동으로 응답하는 등 봇넷 차단을 우회하는 기능을 갖추고 있으므로 추가 인증 요소를 통해 봇넷을 차단하는 등의 방법이 요구된다.
최은락 라드웨어코리아 이사는 “지능형 봇넷을 차단하기 위해 핑거프린팅 기술을 이용하고, 여러 인증 메소드를 사용해 봇에 의한 접속 요청 여부를 탐지한다. 또한 대규모 트래픽이 발생했을 때 행위기반 분석을 통해 정상 트래픽만 선별해서 보내고 비정상 트래픽은 차단하는 기술이 있어야 한다”고 조언했다.
복합공격으로 방어 어렵게 해
디도스 공격은 대규모 트래픽을 일으키는 볼륨 공격에만 그치는 것이 아니다. 정상적인 애플리케이션 접근으로 위장해 소규모 트래픽으로 서버를 장악하고 원활한 서비스를 방해하는 애플리케이션 레이어 공격도 발생하고 있다.
대규모 볼륨공격과 지능형 애플리케이션 공격이 한꺼번에 일어나면서 대응을 더욱 어렵게 한다. 애플리케이션 기반 공격은 대규모 트래픽이 발생하지 않으며 정상적인 행위로 위장한다. 패스트 플럭스(Fast Flux) 공격의 경우 감염된 프록시 호스트를 끊임없이 변경시키면서 네트워크 뒷단에서 피싱, 웹 프록싱, 멀웨어 전송 등 다양한 악성 활동을 벌여 대응과 추적을 어렵게 만든다.
디도스 방어 솔루션들은 이처럼 지능화되는 공격을 막을 수 있다고 주장하지만, 실제 공격이 진행됐을 때 서비스 수준을 어느 정도까지 보장하는지는 큰 차이가 있다. 대량의 공격으로 인해 디도스 방어 장비가 멈추면 디도스 방어 장비로 인해 서비스가 중단되는 경우도 발생한다. 디도스 방어 장비가 해결할 수 없는 공격은 바이패스 해 서비스 중단은 최소화하는 것이 중요하다.
디도스 공격의 대부분은 해외에서 시작되며, 우리나라에서는 ISP의 클린존 서비스를 이용해 알려진 많은 디도스 공격을 차단해 실제 기업 네트워크에 도달하는 디도스 공격을 완화시킨다. 그러나 ISP가 사용하는 디도스 방어 장비 혹은 ISP가 걸러내지 못한 지능형 공격을 막을 수 있는 공격 방어 솔루션은 반드시 필요하다.
