KISA 디도스 사이버대피소는 올해 9월이면 개소 만 3년이 된다. 7.7, 3.4 디도스 공격 및 최근 6.25 사이버테러 공격까지 DDoS 공격은 여전히 우리 사회와 기업들을 위협하고 있는 사이버 공격의 큰 축을 형성하고 있다. 이에 데일리시큐는 사이버대피소 운영을 총괄하고 있는 KISA 해킹대응팀 박용규(사진) 책임연구원을 만나 대피소 운영에 대해 자세히 들어보는 시간을 가졌다.  
 
-디도스 사이버대피소가 만들어진 이유와 이용자격은 어떻게 되나?
2009년 7.7 디도스 공격이 발생 이후 대응 필요성이 대두되면서 개소하게 됐다. 당시 국가 사이버위기 종합대책이 마련됐고 디도스 공격 대응에 대한 세부과제도 추진됐다. 침해대응센터 고도화 과정에서 디도스 대응체계 마련을 위해 사이버대피소 항목이 생긴 것이다. 당시 방통위(현재 미래부 소관)에서 전문인력과 장비를 도입하고 스스로 디도스 공격 대응능력이 없는 영세사업자를 대상으로 서비스를 제공하고자 2010년부터 서비스를 시작하게 됐다.
자격조건은 중소기업 기준법에 50인 미만, 매출액 50억 미만 기업이 대상이며 무료로 지속적으로 이용 가능하다. 그 기준이 넘어서는 중소기업은 1회 정도 무료 서비스를 받을 수 있다. 또 7.7이나 3.4 디도스 공격처럼 국가적 이슈가 되는 사건에는 공공, 비영리 기관, 대기업도 일시적으로 이용할 수 있다.
 
-디도스 공격만 차단해 주는 것인가?
물론 디도스 공격 차단이 주지만 거기서 끝나는게 아니라 공격 IP를 찾아서 이를 침해대응팀에 전달해 준다. 그러면 해당 팀에서 디도스 공격 발생 악성코드를 채집해 치료 전용백신을 만들어 치료까지 해주고 있다. 대피소는 공격IP를 찾아 전달해 주는 역할까지만 담당하고 있다.
 
-만 3년이 다 돼가는데 주로 어떤 공격들이 많나?
2011년에는 주로 경매사이트를 대상으로 한 디도스 공격이 많았다. 주로 경쟁사들 간 경쟁이 과열되면서 청부공격이 기승을 부렸다. 지난해에는 게임 커뮤니티 사이트에서 자주 발생했다. 주로 경쟁 커뮤니티간 청부 공격이 많았다. 당시 커뮤니티 대상으로 100G까지 디도스 공격이 발생하기도 했다. 올해도 커뮤니티 사이트 대상으로 최고 160G 규모의 공격이 들어간 적도 있다.
대피소는 40G까지 막을 수 있어 이를 넘어설 경우를 대비해 회선 사업자와 공동대응체계를 마련하고 있어 걱정하지 않아도 된다.
 
-디도스 공격 규모가 계속 커지는 것 같은데…
2010년에는 평균 공격량이 사이트당 2G정도였다. 하지만 100메가 회선이 많아 2G 공격만 들어가도 다운된다. 2010년 말에 35G 공격이 발생한 바 있다. 2011년도 공격량을 평균내 보면 38G 정도 된다. 2012년에는 100G가 급이 평균이고 올해는 160G로 공격량 평균이 급증하고 있다. 앞으로 기가 네트워크가 일반화 될 경우 공격량은 더욱 증가할 것으로 예상된다. 기가네트워크 망에서는 한 PC에서 발생할 수 있는 공격량이 500메가 정도 된다. 1000대의 좀비 PC로 공격할 경우 500기가에 해당되는 공격이 가능한 것이다. 이에 대한 대응을 준비하고 있다. 주로 쇼핑몰, 언론사, 게임 관련 사이트 등이 주로 많은 공격을 받고 있으며 시즌에 상관없이 공격이 발생하고 있다.
 
-공격을 근본적으로 차단할 수 있는 방법은 없나?
액티브엑스 설치 환경인 우리나라는 좀비PC 생성이 쉽다. 그게 가장 큰 원인이다. 자동 업데이트 서버나 액티브엑스를 활용해 악성코드 유포가 대량으로 이루어지고 이를 통한 좀비PC 확보가 쉬운 것이 원인 중 하나다. 좀비PC를 찾아서 치료해도 끊임없이 생성되기 때문에 한계가 있다. 좀비PC 생성이 쉬운 IT환경을 개선하는 것이 필요하다.
 
-대피소는 디도스 공격을 받고 있는 기업만 이용이 가능한가?
그렇지 않다. 디도스 공격을 받고 있거나 공격이 예상되는 기업들 모두 이용 가능하다. 불법 사행성 사이트는 엄격한 적격심사를 통해 차단해 주고 있다. 심사를 통과하지 못한 사이트는 서비스 이용이 차단된다. 다만 가이드 정도는 해 주고 있다.
 
-대피소를 이용하지 않고 자체 비용으로 디도스 공격을 막으려면 어느정도 비용이 들어가나?
ISP나 IDC 등에서 디도스 공격 방어 서비스 상품을 내놓고 있다. 매달 비용을 내야 하고 공격시 공격 규모에 따라 비용이 달라진다. 평균적으로 연간 업체당 6000만원 정도의 비용이 드는 것으로 조사됐다. 회선 유지하는데도 비용이 많이 든다. 대피소는 40G를 유지하는데 10억이 넘는다. 고비용인 만큼 영세업체들은 민간 서비스 이용이 어렵다. 시장에서 해결할 일을 KISA에서 침해하는 것 아니냐는 비판도 있지만 영세업체는 민간 서비스를 받을 여력이 안된다. 즉 민간 서비스도 이용할 수 없는 정도의 영세업체들을 대상으로 대피소가 서비스를 제공하고 있기 때문에 민간영역을 침해한다고 볼 수는 없다.
 
-최근 디도스 공격 유형은 어떤가?
과거는 좀비PC를 이용한 공격이 주를 이루었지만 최근에는 좀비PC없이도 공격을 하고 있다. 예전부터 있어왔던 공격방법이지만 최근 이슈가 되고 있다. 직접 디도스 공격을 하는 것이 아니라 네트워크 장비간 통신 주고받는 과정을 이용해 실제 보내지 않은 응답 신호가 몰리도록 조작해 디도스 공격을 유발하는 방법이다. 6.25 사이버공격때 이런 공격이 시도됐다. 공격자가 네트워크 망을 잘 알고 있다면 이런 방법이 효과적이라 이에 대한 대비가 필요하다.
또 디도스 공격으로 협박해 매달 50만원, 혹은 100만원씩 관리비를 요구하는 경우도 있다. 디도스 공격으로 협박해 돈을 벌고 있는 청부회사들이 많다.
 
-대피소 담당자로 당부하고 싶은 말이 있다면?
디도스 공격은 장비만으로는 막을 수 없는 공격이다. 디도스는 공격자와 방어자간 시소게임이다. 방어책을 만들면 우회해서 공격하고 다시 방어하면 또 다른 방법이나 방어량을 넘어선 공격량으로 공격하기 때문에 막기가 힘들다. 그래서 장비만 믿으면 안되고 장비와 함께 전문가가 필요하다. 장비를 최대한 효과적으로 활용할 수 있는 전문가가 있어야 공격자와 전투를 할 수 있다. 이것이 힘들다면 사이버대피소를 이용하는 것이 가장 효과적인 방법이다.
 
-사이버대피소 운영상 힘든 점이 있다면?
공공기관은 연단위 사업비로 운영된다. 대응하다보면 올해 꼭 적용해야 할 요소들이 발생하는데 어쩔 수 없이 다음년도 예산이 들어올 때까지 기다려야 하는 어려움이 있다. 이런 부분을 여유있게 운영할 수 있으면 좋겠는데 어려운 부분이다. 그 외에는 운영상 어려움은 특별히 없다.
 
-최근 디도스 장비 성능은 어떤가?
예전에는 외산장비들 성능이 좋았다. 하지만 7.7 디도스 사건 이후로 국내 업체들 자생력이 생겨서 성능이 상당히 좋아졌다. 앞으로 더 좋아질 것이다. 그래서 외산이든 국산이든 전체 퍼포먼스는 평준화됐다고 보여진다. 실제로 국내 장비들 매출이 많이 늘었을 것이다. 좋은 일이다. 공격 이슈가 있으면 업체들에 전달해 개선될 수 있도록 협조하고 있다. 업체들은 대피소를 필드테스트로 활용해 성능이 더욱 개선되고 있는 것이다. 실질적 정보를 기반으로 장비 업그레이드가 이루어지고 있어 긍정적이다.
 
디도스 사이버대피소는 현재 6명의 상주인력과 KISA에서 총괄 운영하고 있다. 박용규 책임은 “대피소는 디도스 공격으로 민간 기업이 감당할 상당한 피해를 방지해 주고 있다. 또 확산을 막는데도 도움을 주고 있다”며 “대피소의 목적이 단순 차단을 넘어 재발과 확산을 방지하는데 까지 확대되고 있다. 디도스 방어 능력이 없는 영세업체들의 많은 이용을 바란다”고 밝혔다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com