“한국은 초고속·대용량 인터넷이 발달해있어 DDoS 공격 경유지로 이용되고 있다. 한국의 통신사·ISP의 네트워크망을 경유하는 DDoS 공격을 분석하면 전 세계에서 발생하는 공격을 보다 다양하고 폭넓게 이해하고, 그에 따른 대책을 마련하는데 큰 도움이 될 수 있다.”
마크 아이젠바흐 아버네트웍스 리서치 매니저는 “한국에서 발생한 7·7 DDoS 공격 당시에도 아버네트웍스가 조사단에 참여하면서 공격원인과 경로를 조사하는데 적극 지원했다. 현재에도 한국의 기관들과 협조하면서 한국으로 향하는 DDoS 공격을 방어하는데 도움을 주고 있다”며 “한국의 기업·기관들도 DDoS 공격 정보를 공유해 전 세계 DDoS 공격 분석에 도움을 주기를 바란다”고 말했다.
DDoS, 경유지에서 차단하는 것이 효과적
최근 DDoS 공격은 C&C 서버를 찾아내지 못하도록 복잡한 IP 우회 경로를 채택하고 있다. 따라서 DDoS 공격이 발생했을 때 공격의 근원지를 찾아 차단하는 것은 불가능하다. 주요 경유지에 대한 트래픽을 분석해 DDoS 공격이 발생할 가능성이 포착됐을 때 트래픽을 차단하는 것이 효과적이다.
이 때문에 전 세계에서 발생하는 트래픽 중 DDoS 공격에 이용되는 트래픽을 찾아내는 것이 중요하며, 전 세계 트래픽 정보를 수집·분석해 공격을 찾아내는 글로벌 보안 인텔리전스가 필수적으로 요구된다.
아버네트웍스는 전 세계 100여개 국가 고객 장비에 설치된 센서를 통해 DDoS 공격을 수집하고 분석하는 ‘아틀라스’ 플랫폼을 운영하고 있다. 아틀라스는 각국의 기업·기관으로부터 공격정보를 제공받아 분석해 실시간으로 발생하는 DDoS를 인지하고 대응할 수 있도록 하며, DDoS 트렌드를 분석하고 이에 대한 대응방안을 마련할 수 있도록 한다.
아이젠바흐 매니저는 “DDoS 공격은 어느 한 국가에서만 발생하는 것이 아니라 여러 국가를 경유하는 방법이 일상적으로 발생한다. 따라서 공격 경유지로 이용되는 지역의 트래픽을 살펴보고 공격을 탐지하는 것이 필요하다”고 강조했다.
중국서 시작해 한국 경유하는 DDoS 많아
그는 “전 세계 DDoS 트렌드를 살펴보면, 중국에서 시작돼 한국을 경유해 미주지역으로 향하는 DDoS가 매우 높은 비중을 차지한다. 인터넷 인프라가 고도로 발달해있는 한국의 통신망을 통해 DDoS 공격을 진행하는 것이다. 따라서 한국으로 유입되는 트래픽을 분석해 DDoS 공격을 차단하는 것이 필요하다”고 설명했다.
대부분의 기업·기관은 자사 인프라가 DDoS 공격을 당하지 않기 위해 DDoS 방어 시스템을 구축하지만, 자사 통신망을 경유해 나가는 DDoS 트래픽은 제어하지 않는다. 자사 네트워크 트래픽이 공격에 이용되기 때문에 네트워크 부하가 다소 발생할지 모르지만, 실질적으로 시스템이나 인프라에 피해를 주지 않기 때문이다.
국내 기업·기관들도 마찬가지로, 특히 통신사업자의 경우 초대용량 통신 인프라를 갖추고 있있기 때문에 자사 고객이나 자사 시스템을 공격하는 트래픽이 아니라면 별도의 대응을 하지 않고 있는 상황이다.
특히 국내 기업·기관들은 자사에서 발생하는 정보를 외부와 공유하는 것을 꺼리는 경향이 강하다. 글로벌 보안 인텔리전스를 이용해 실시간 보안위협 정보를 인지하고 대응하는데 적극적인 반면, 자사에서 발생하는 보안위협 정보를 공유하는 것은 지극히 소극적인 편이다.
아이젠바흐 매니저는 “아버네트웍스 연구팀은 전 세계에서 발생하는 DDoS 공격을 감지하고, 경유지에서 통제할 수 있도록 해 DDoS 공격 피해를 낮추는데 일조하고 있다. 그 혜택을 한국의 기업·기관들도 일정부분 누리고 있다. 한국의 고객들도 공격정보 공유에 적극적으로 나서서 전 세계 DDoS 공격 발생률을 낮추는데 기여하기를 바란다”고 당부했다.
