2010년 9월 28일 사이버대피소 개소 이후 대피소에서 방어하는 디도스(DDoS) 공격은 매년 꾸준히 증가하고 있는 것으로 조사됐다. 디도스 공격량은 10G 이상의 대용량 디도스 공격빈도가 작년에 비해 크게 증가했다. 하지만 디도스 공격기법은 네트워크 대역폭 소진공격과 웹서버 자원 고갈공격 등 과거 발생하던 일반적인 디도스 공격의 틀을 크게 벗어나지 않고 있다고 한다.
 
2012년 사이버대피소 디도스 공격 동향을 살펴보면, 사이버대피소를 이용건수의 증가에 따라 대피소에서 방어하는 디도스 공격 건수와 공격규모는 매년 증가하고 있다.

 
위 그림을 보면 사이버대피소에서 방어하는 공격건수는 매년 약 135%의 증가율을 보이며 발생 빈도가 높아지고 있다. 약 3개월을 운영한 2010년의 통계를 제외해도 2012년은 전년과 비교하여 2배 이상의 디도스 공격이 발생한 것을 알 수 있다.

 
디도스 공격 건수 증가와 대용량 단일 디도스 공격량의 증가에 따라 연간 디도스 공격량은 그림 2와 같이 전년도 대비 약 2.6배 증가했다.

 
그림과 같이 공격 건수별 초당 최대 디도스 공격량을 살펴보면 5Gbps 이상의 대용량 공격은 전년도 28.3%에서 41.3%로 크게 증가했다. 1G 미만의 소규모 공격은 전년도와 비슷한 추이를 보이고 있으며 1~5G 규모의 디도스 공격은 전년대비 절반수준으로 감소했다.
 
대피소 관계자는 “이는 우리나라의 빠른 인터넷 환경과 매년 증가하고 있는 웹서버 해킹사고의 증가에 기인하는 것으로 추정된다”며 “국내 인터넷 가입자는 50~100M 정도의 인터넷 속도회선을 사용하므로 공격자는 수 백대의 국내 좀비PC확보를 통해 10G 이상의 디도스 공격을 수행할 수 있다. 또한 국내 웹서버 해킹사고 증가에 따른 악성코드 유포지 및 경유지의 증가로 공격자의 좀비PC 확보는 매우 용이해졌다”고 밝혔다.

 
2012년 디도스 공격을 유형별로 구분하면, UDP flooding, GET flooding 등 대표적인 디도스 공격 등이 정형화되어 발생하고 있음을 알 수 있다. 전체 디도스 공격 중 공격대상의 회선 대역폭을 고갈시키는 공격은 60.5%, 웹서버 자원을 고갈시키는 공격 33.5%로 대부분의 디도스 공격이 이 범주에 해당함을 알 수 있다.
 
이는 공격자가 정해진 기능만 수행할 수 있는 범용 디도스 공격툴 등을 통해 기계적으로 공격을 수행하는 추세를 반영한 것으로 보인다.
 
한편 관계자는 “특이한 점은 2012년에는 DNS 대상 디도스 공격 빈도가 증가했음을 확인할 수 있는데, 이는 웹서버뿐만 아니라 DNS 등 디도스 공격대상이 다변화되고 있음을 보여준다”고 설명했다.
 
2013년 디도스 공격 전망에 대해서는 “디도스 공격은 방어를 어렵게 하기 위한 공격기법이 아닌 정형화된 공격도구를 활용한 단순 대용량 디도스 공격형태로 발전하는 형태를 보이고 있고 점차 공격대상을 다변화 하고 있는데, DNS 대상 디도스 공격빈도 증가는 이를 보여주는 좋은 사례”라고 밝히고 “또한 국내외 스마트폰 사용자의 폭발적인 증가에 따라 모바일 기기가 디도스 공격에 악용될 가능성이 매우 높아지고 있다”고 예측했다.
 
◇DNS 대상 디도스 공격
3.4, 7.7 디도스 침해사고 이후 웹서버 대상의 디도스 공격 방어를 위한 방어시스템은 KISA의 디도스 사이버대피소를 시작으로 공공 및 민간부분에 걸쳐 효과적인 방어체계가 구축되었다. 따라서 웹서버 대상 디도스 공격의 경우 대부분 성공적인 방어가 가능하다.
  
관계자는 “공격자는 웹서버 디도스 공격이 실패할 경우 해당 웹서버의 도메인 정보를 저장하고 있는 DNS로 디도스 공격목표를 수정할 것으로 예상되며 실제로 과거에 특정 업체를 대상으로 이와 같은 사례가 발생하기도 했다”고 밝혔다.
 
DNS는 보통 수만 개 이상의 홈페이지 주소 정보를 저장하고 있기 때문에 디도스 공격으로 장애가 발생할 경우 웹서버 디도스 공격에 비해 파급효과가 매우 크다. 또한 쉽게 위변조가 가능한 UDP프로토콜을 주로 이용하는 DNS 서비스 구조의 특성상 웹서버를 대상의 디도스 공격과 비교하여 DNS 디도스 공격은 방어하기 매우 어렵다.
 
따라서 2013년에는 웹서버에 비해 상대적으로 취약한 DNS에 대한 디도스 공격이 점차 확대될 것으로 보고 있다.  
 
◇모바일 환경을 이용한 디도스 공격
현재까지 모바일 기기를 악용해 디도스 공격을 실제로 수행한 사례는 거의 찾아볼 수 없다고 한다. 하지만 모바일 기기를 대상으로 하는 각종 악성코드가 증가하는 추세를 보이고 있어 공격자가 모바일 기기를 디도스 공격을 위한 수단으로 활용할 가능성이 증가할 것으로 전문가들은 보고 있다.
 
박용규 KISA 디도스 사이버대피소 총괄 책임연구원은 “최근 디도스 공격은 정해진 공격기법을 이용해 기계적으로 공격을 수행하는 추세를 보이고 있다. 하지만 공격대상이 웹서버에서 DNS로 다변화되고 있어 방어에 실패할 경우 공격에 대한 파급력은 높아지고 있다”고 우려했다.
 
또 “디도스 공격기법의 발전은 미미하지만 공격자는 항상 방어자보다 앞서 나간다는 것을 기억해야 한다. 현재 디도스 방어를 위한 대응 환경을 성공적으로 구축했다 하더라도 공격자들은 기존 대응 방안들을 우회하는 진화된 공격을 개발해 공격을 시도할 것”이라며 “이를 극복하기 위해서는 방어자의 입장에서 자신이 보유하고 있는 자원의 종류 및 가용성을 정확히 파악하여 해당 자원을 보호하는 방어정책을 수립해야 할 것이다. 또한 디도스 공격에 악용될 수 있는 새로운 기술 및 신종 공격유형을 파악하고 연구해 정확한 대응 방안을 도출해야 한다”고 강조했다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com