2024-03-28 19:45 (목)
한국, 미라이 봇넷 감염 기기 급증…메가톤급 DDoS 공격 방어대책은?
상태바
한국, 미라이 봇넷 감염 기기 급증…메가톤급 DDoS 공격 방어대책은?
  • 길민권 기자
  • 승인 2017.02.28 18:36
이 기사를 공유합니다

아카마이 “악성 IP 인텔리전스 정보 활용해 미리 공격 근원 차단 해야”

▲ DDoS 공격 규모. 아카마이 코리아 제공.
▲ DDoS 공격 규모. 아카마이 코리아 제공.
지능화된 사이버 위협이 심각한 수준으로 증가하고 있다. 특히 2016년 9월 IoT 기기를 활용한 미라이(Mirai) 봇넷 기반 디도스(DDoS, 분산서비스거부) 공격 규모는 무려 650Gbps에 달했다.

이런 상황에 국내 기관과 기업이 방어할 수 있는 수준은 최대 10Gbps 수준에 머물고 있다. 100Gbps를 초과하는 규모의 공격을 받게 되면 국내 어떤 기관도 막을 수 없는 상황이다. 봇넷에 연결된 악성 IP를 차단하는 것이 급선무가 됐다.

◇미라이 봇넷과 DD4BC 위력…여전히 현재 진행형
<아카마이 2016년 인터넷 현황 보안 보고서>에 따르면 DDoS 최대 공격 규모가 2015년 4분기 309Gbps에서 2016년 3분기에는 무려 623Gbps, 4분기에는 517Gbps로 급증한 것으로 나타났다. 지난해 4분기에만 100Gbps를 초과하는 규모의 공격만도 12건, 200Gbps를 초과한 공격은 5건, 300Gbps가 넘는 공격도 지난해 7건이 발생하는 등 기존 온프레미스(On-Premise) 기반 DDoS 대응으로는 감당이 불가능한 수준의 공격이 계속 증가하고 있다.

한편 지난해 6월 DD4BC(DDoS for Bit Coin, 비트코인을 위한 디도스)라는 해킹 그룹이 우리나라 금융기관 다수를 상대로 디도스(DDoS) 공격을 하고 이를 빌미로 금전을 요구한 사건이 발생했다. 다행히 큰 피해 없이 금융기관과 금융보안원의 공조로 방어에 성공했고, 올해 1월 DD4BC의 핵심인물이 유럽에서 체포돼 사태는 표면적으로는 마무리 됐다.

하지만 지난해 9월 DD4BC와 공격수법이 동일한 모방 해킹 그룹들이 추가로 등장했다. 현재 모두 왕성하게 활동하고 있고 디도스 공격으로 비트코인 형태의 금전을 요구하는 공격을 계속 하고 있다.

◇한국, 미라이 봇넷 감염 IoT 기기 수…세계 4위 수준, 더욱 증가

▲ 한국, 미라이 봇넷 감염 기기 글로벌 4위 수준. 아카마이 코리아 제공.
▲ 한국, 미라이 봇넷 감염 기기 글로벌 4위 수준. 아카마이 코리아 제공.
국내 모 대기업 CISO는 “지난해 미라이 봇넷 소스코드가 공개되면서 향후 DDoS 공격이 얼마나 커질지 그리고 한국에서 어느 정도 규모의 공격이 발생할지 많은 기업들이 우려하고 있다. 그리고 대규모 봇넷 공격에 대비하기 위해 악성 IP를 어떻게 탐지하고 차단할지 대책마련을 고심하고 있다”고 전했다.

이에 아카마이 코리아 관계자는 “보안이 취약한 IoT(사물인터넷) 디바이스에서 대량의 공격 트래픽이 발생하고 있다. 지난해 3분기 미라이 공격에는 주로 IP기반 카메라와 라우터가 사용됐다. 하지만 더욱 다양한 IoT 기기들이 봇넷에 감염되고 있어 봇넷의 위력과 DDoS 공격 규모는 더욱 급증할 것”이라며 “지난해 11월 아카마이 클라이언트 인텔리전스(CI) 조사에는 봇넷에 감염된 IP가 100만개로 조사됐고 올해 2월에는 200만개로 나타났다”고 설명했다.

한편 지난해 9월 아카마이 CI 조사에 따르면, 국가별 IoT 기기 미라이 봇넷 감염 분포를 보면 한국은 브라질, 베트남, 중국에 이어 4위로 조사됐다. 국내 IP 카메라와 라우터 등이 이미 봇넷에 상당수 감염된 것을 알 수 있고 더불어 향후 미라이 봇넷 DDoS 공격은 국내에서도 대규모로 확산될 전망이다.

◇아카마이 CI…봇넷 악성IP에 대한 인텔리전스 정보 제공
그렇다면 국내 기업들은 어떻게 방어 준비를 해야 할까. 이에 DDoS 공격 방어솔루션으로 클라우드 기반 보안서비스 전문기업 아카마이 ‘클라이언트 인텔리전스(CI)’가 최근 조명을 받고 있다. 그 이유에 대해 아카마이 CI의 특장점을 자세히 살펴보자.

▲ 아카마이 코리아 제공.
▲ 아카마이 코리아 제공.
우선 아카마이 CI는 전세계 인터넷의 15~30%에 이르는 트래픽을 처리하며 상시 2TB에 이르는 공격 정보를 분석하고 이를 통해 소스 IP에 따른 타 웹 사이트의 공격성향을 분석해 리스크 점수(Risk Score) 형태로 제공하고 있다.

또 수집된 IP 주소별 악성활동 이력을 바탕으로 행동 패턴을 분석해 개별 IP주소에 대한 리스크 점수를 아래 4가지 기준으로 산정한다.
①웹 공격 이력(WEBATCK): SQL 인젝션(SQLi), RFI, LFI, XSS 등의 일반적인 웹 공격
②DoS 공격 이력(DOSATCK): LOIC 및 HOIC 같은 툴을 사용하는 DoS 공격
③스캐닝 툴(SCANTL): 웹 애플리케이션의 취약점 스캔 이력
④웹스크래이퍼(WEBSCRP): 웹 페이지에 공개된 대량의 자료를 획득/수집활동 이력

이 솔루션은 특정 IP 주소가 웹 공격자, DoS 공격자, 스캐닝 툴, 웹 스크레이퍼 등의 악성 카테고리에 포함될 가능성이 어느 정도인지 파악해 해당 정보를 제공한다. 아카마이 네트워크에서 관찰된 IP 행동 패턴을 들여다보고 알고리즘을 통해 IP 주소에 대한 리스크 점수를 산정하는 방식이다.

이 알고리즘은 공격∙클라이언트∙애플리케이션을 프로파일링하기 위해 정상 트래픽과 공격 트래픽을 모두 사용한다. 아카마이는 이 정보를 기반으로 IP 주소마다 리스크 점수를 책정한다. 스코어 범위는 1~10까지이며 점수가 높을수록 리스크가 높다는 의미다.

IP별 리스크 점수는 과거 행동 패턴을 기반으로 산정되며 공격자의 일관성, 공격한 애플리케이션 수, 공격의 강도와 규모 등 여러 가지 요소가 고려된다. 고객은 리스크 점수에 따라 IP 주소에 대해 어떤 조치를 취할지 선택할 수 있는 것이다.

◇”악의적 공격 의도 미리 파악해 공격 근원 차단 가능해”
백용기 아카마이 코리아 상무는 아카마이 CI 솔루션 도입 효과에 대해 “현명한 보안 관련 의사 결정을 내리는 데 활용할 수 있다는 점이 가장 크다. 또 보안의사결정 조치에 대한 증거자료로 활용할 수 있고 악의적인 공격 의도를 미리 파악해 공격의 근원을 차단하는 데 주력할 수 있다”고 밝히고 더불어 “애플리케이션 보안 레이어를 한층 강화하는데 도움이 되고 특정 IP 주소가 웹 공격자, DoS 공격자, 스캐닝 툴, 웹 스크레이퍼 등의 악성 카테고리에 포함될 가능성이 어느 정도인지 파악해 이 정보를 HTTP 헤더에 삽입해 고객의 기존 보안 시스템 혹은 SIEM과 연동해 보안 위협에 대한 가시성을 높일 수 있다”고 설명했다.

한편 최근 미국 정부기관 중 한 곳이 웹방화벽을 통해 발견한 악성 의심 IP는 248개였지만 아카마이 CI 자료를 통해 분석한 결과 1천549개 IP로 확대됐다. 아카마이 측은 잠재적 사이버 위협에 대한 선제적 방어 체계 마련을 위해 아카마이 CI가 상당한 역할을 할 것이라고 강조하고 있다.

한국은 미라이 봇넷 감염 IoT 기기 수가 급속도로 증가하고 있는 것으로 드러났다. IoT 기기 사용이 증가하면서 감염기기 수는 더욱 확대될 전망이다. 따라서 대규모 IoT 기기 기반 디도스 공격은 이제 한국이 직면한 현실이 됐고 효과적인 대응방안 마련은 필수적인 과제가 됐다.

★정보보안 대표 미디어 데일리시큐!★


■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★