2021-01-25 16:30 (월)
DDoS 공격? 아직 본격적으로 시작도 안 했다!
상태바
DDoS 공격? 아직 본격적으로 시작도 안 했다!
  • 홍석범
  • 승인 2011.06.20 20:18
이 기사를 공유합니다

DDoS 공격, 더 이상 큰 피해 없이 이렇게 정리될까?
뒤늦은 대응과 제대로된 정보공유 되지 않는 것이 문제
DDoS 공격이 온 나라를 시끄럽게 한 지도 3년이 지나가고 있다. 지난 7.7이후 2년만에 발생한 금번 3.4 공격도 다행이 큰 피해 없이 종료되었고, 이후 간헐적으로 보이는 군소 공격들은 대부분 큰 무리 없이 대응하고 있는 것처럼 보인다. 그렇다면, 과연 DDoS 공격은 이제 더 이상의 큰 피해 없이 이렇게 정리되고, 결국 정의(막는 자)의 승리로 마무리될 것인가?(사진출처. www.flickr.com / Solexious)

결론부터 말하자면 “그렇지 않다”이다. 아니 오히려 “아직 제대로 시작도 하지 않았다” 고 말하고 싶다. 과연 왜 그렇게 단언할 수 있는지 그간 공격의 양상과 DDoS를 대응하는 기관 및 업체의 대처 방식 등을 중심으로 살펴보도록 하자.
 
첫째, 현재까지 대부분의 공격 방식은 너무 단순했다
필자가 보기에, 공격자는 악성 코드 개발에 많은 신경을 써서인지 모르겠지만, HTTP나 실제 공격 코드쪽은 잘 알지도 못하고 신경을 전혀 쓰지 않은 것처럼 보인다. 지난 7.7과 3.4를 비교하면서 살펴보면, 2년이라는 긴 시간 동안 실제 공격 방식에는 전혀 진보가 없었다는 것을 알 수 있다. 너무나도 단순하게 “GET / HTTP/1.1” 만 반복적으로 요청하였을 뿐만 아니라 GET 헤더에 “Cache-Control: must-revalidate “ 나 “Proxy-Connection” 등의 비 정상적인 문자열을 설정하여 아예 자신은 공격 패킷이라는 것을 알려주어 관리자가 쉽게 차단할 수 있도록 돕기도 하였다. 이런 것들을 보면 과연 공격자가 웹(HTTP)을 제대로 이해하고 있는지, 어떤 의도를 가지고 공격하는지 의구심이 들기까지 한다.
 
둘째, 공격양식이 변화해야 비로소 대응을 시작한다
지금까지 알려진 몇 가지 공격 방식에 대해 대부분의 DDoS 장비에서는 나름대로의 알고리즘을 가지고 대응방안을 제시하고 있다. 그러나 이론적으로 충분히 가능함에도 아직 실제 발생하지 않은 공격 형태에 대해서는 남의 일인 양 준비하지 않는 것이 사실이다. 즉, 해당 공격이 발생하여 큰 피해를 입어야 그때 본격적인 대응방안을 찾고 또 대응을 시작하겠다는 것이다. 지난 7.7.때의 악몽을 기억하는가? 그 이전까지 UDP Flooding 이나 SYN Flooding 과 같이 비정상적이거나 공격이 너무나 명확한 네트워크기반의 공격이 대부분이어서 쉽게 차단이 가능하였다면 이 때를 기점으로 새로운 양상, 즉 본격적인 Application 공격이라 할 수 있는 GET Flooding 공격이 발생하였지만 공격에 대한 인지뿐만 아니라 어떻게 공격 트래픽을 차단해야 할 지를 몰라 제대로 대응하지 못하던 그때의 악몽은 언제든 다시 발생할 수 있을 것이다.
 
셋째, 제대로 된 정보공유 채널이 없다
지난 3.4의 경우를 떠올려 보면 상당 부분 많이 개선되었지만, 본격적인 공격이 발생하였을 때 대부분의 비 공격 대상의 보안 관리자들은 신문기사를 통해 공격이 발생하였음을 알게 되었고, 공격의 규모나 공격방식, 대응 방안 등의 정보는 제대로 공유되지 못하였다. 만약 이런 것들이 공유되었을 때 오히려 공격자에게 유리한 정보를 제공해 주는 셈이 된다라는 의견도 있지만, 더 많은 정보들이 좀 더 자유롭고 신속하게 공유될 때만이 발생 가능한 피해를 최소화할 수 있을 것이라고 생각한다. 그러나 이러한 정보들이 자유롭게 공유되지 못하는 것은 비단 채널의 부재와 같은 체계의 문제도 있지만 사실상 자신이 속한 조직의 정보를 숨기고 노출하지 않으려는 기관과 보안 관리자들의 인식에도 문제가 있다. 어느 누구나 정보의 생산과 공유에 인색하고 받기만을 원하는 환경에서는 수평적 정보공유란 사실상 요원할 수 밖에 없을 것이다.
 
이처럼, 우리에게는 아직 표면화되지 않은 여러 취약성 뿐만 아니라 진보된 공격에 대해 대응 가능한 프로세스나 인프라를 확보하고 있지 못하다. 따라서 공격자들이 공격 대상에 대한 좀 더 세심한 분석을 통해 대상의 취약한 부분을 찾아내어 정상 트래픽과 거의 구분이 어려우면서도 파급력이 큰 발전된 형태의 공격을 진행한다면 제 2의 7.7 쇼크는 다시 재현되지 않으리라는 법은 없을 것이다. 아울러, 진보된 공격 기술과 함께 많은 수의 좀비가 결합된다면 더더욱 그러할 것이다. 이는 지난 3.4 때와 같이, 단 며칠 사이에 많은 수의 좀비를 생산해 낸 것을 보면 절대 불가능한 일은 아니라고 생각된다.

다음 시간에는 좀 더 구체적으로, 기술적 대응이 어렵거나 불가한 공격 기법에 대해 살펴보도록 하겠다.
[씨디네트웍스 홍석범  antihong@gmail.com]