2009년 7월 7일, 전 세계 광범위한 근원지에서 청와대를 비롯해 대한민국의 주요 기관으로 다량의 공격 트래픽이 발생한다. 원인은 DDoS공격, 이에 대한 대응체계가 확립되기 전이어서 각 기관의 전산 팀들은 우왕좌왕한다. 미흡한 대응으로 청와대는 무너지고 국방부 사이트는 문이 닫힌다. 이외에도 금융기관ㆍ언론사ㆍ포털사 등 국내 22개 주요 사이트가 접속이 지연되거나 서비스 장애가 발생하면서 많은 사람들에게 충격을 안겨줬다.
공공의 적, DDoS
이후로 한동안 이슈화됐던 DDoS 공격은 서비스 거부(DoS, Denial of Service) 공격의 한 종류다. 서비스 거부란 ‘의도적으로 운영 및 서비스 중인 자원을 소모시켜 정상적인 서비스를 방해하는 행위’를 말한다. 지난 1997년 외환위기 당시 해고된 은행직원들이 무더기로 번호표를 뽑아 소액을 입ㆍ출금하며 정상적인 은행 창구업무를 방해했던 것에 비유할 수 있다. 이런 DoS공격이 동시 다발적으로 불특정 다수에 의해 이뤄지는 경우를 분산 서비스 거부 공격(DDoS, Distrubuted Denial of Service)이라 한다. 즉 DDoS는 ‘불특정 다수의 PC를 이용해 목표한 특정 시스템으로 대량의 유해 트래픽을 보내 시스템에 과부하를 일으켜 정상적인 서비스를 방해하는 사이버 상의 공격이다.
DDoS의 위협적인 특징은 크게 두 가지다. 우선 주요 기관 및 금융권이 타깃인 경우다. 정부 기관, 특히 경제ㆍ금융에 관련된 서버의 경우 단순 서비스의 방해만으로도 큰 피해를 초래한다. 전용희<대구가톨릭대ㆍ컴퓨터정보통신공학부> 교수의 「DDos 공격의 경제 손실 모델 사례 연구」보고서에 따르면 DDoS의 등장으로 인해 기업들은 통신 대역폭 증설, 서버 관리 및 전문보안장비 구축에 따른 추가비용과 서비스 중단에대한 손실 및 복구비용을 부담하게 됐다. 한 대형 전자금융 회사의 경우 DDoS공격으로 인한 한 시간 동안의 서비스 중단에 1천 9백만 달러(2백 47억 원)의 피해가 발생하기도 했다. 이에 임을규<공대ㆍ컴퓨터공학과> 교수는 “문제가 기업에서 국가기관으로 커지면 문제는 기하급수적으로 확대된다”며 “한 번의 공격으로 수천억 달러의 국가재산이 휘청일 수 있다”고 밝혔다.
또 이용된 개인 PC의 피해도 추가적으로 등장한 위협 요소다. 기존 DDoS 공격에서 사용자PC는 단순히 공격자의 목표로 트래픽을 보내는 도구로만 사용됐지만, 최근 7.7 DDoS대란에서는 공격에 사용된 PC의 데이터마저 파괴되기도 했다. 나아가 전문가들은 PC에 저장된 사용자의 개인 정보 등의 유출도 가능하다는 가능성을 제기했다. 한 번의 공격으로 두 종류의 피해자를 양성하는 악성 공격이 DDoS공격이다.
DDoS, 막을 수 없다면 피해라
DDoS 공격은 서버의 ‘대역폭의 한계’와 ‘연산자원의 한계’를 전제로 행해진다. 특정 사이트에 접속한다는 것은 개인 PC(클라이언트)와 사이트(서버)가 연결됨을 의미한다. 개인 컴퓨터 성능에 한계가 있듯 서버에도 접속할 수 있는 클라이언트의 수ㆍ데이터의 양ㆍ연산 자원이 한정 돼있다. 과거에서 최근까지 발생했던 각양각색의 DDoS 공격들은 접근 방식만 달랐을 뿐 최종 목표는 위의 자원들을 독점해 서버의 서비스를 중단시키는 것이다.
이런 DDoS의 공격의 종류에는 선동적 DDoS공격과 악성Bot을 이용한 공격이 있다. 선동적 DDoS 공격의 경우, 다수의 사용자들이 자발적으로 DDoS공격도구를 실행해 목표 기관을 공격하는 것이다. 주로 국가 간 사이버 전쟁이나 정치적 목적에 의해 사용된다. 일명 ‘BotNet'이라 불리는 악성Bot을 이용한 공격은 공격자가 사용자의 PC에 Bot을 감염시켜 동시다발적으로 조종하는 형태다. 해커들이 최근 보편적으로 사용하는 방법으로, 공격자들은 악성코드, 이메일 등에 봇을 담아 사용자의 PC를 감염시킨다. 감염된 좀비 PC들은 공격자의 명령에 따라 금전을 요구하는 협박성 DDoS공격에 이용된다.
DDoS 공격은 근원지를 찾기 어렵다. 공격자-마스터-에이전트라는 DDoS 공격의 체계에 의하면 공격자의 PC는 수단계 전에서 간접적으로 명령만 할 뿐 직접적인 공격은 가하지 않는다. 결국 공격당한 서버에는 확보된 다수의 PC들이 보낸 공격의 흔적들만 가득하다. 근본적인 공격자를 알기위해선 물리적으로 각 단계를 거칠 수밖에 없고, 실제 공격에선 각 나라단위로 분산된 다단계 DDoS체계가 구성되기 때문에 더욱 파악이 어렵다.
임 교수는 “현재로써 DDoS공격에 완벽한 방어는 어렵지만 사용자들의 사소한 예방은 가능하다”며 “우리나라는 특히 대부분의 가정과 학교에 광통신망이 구축된 만큼 공격자에게 이용되기 아주 좋은 환경이기에 사용자들은 DDos 예방 수칙을 유념해야한다”말했다. 첫 번째로 운영체제 및 응용프로그램의 최신버전 유지를 강조했다. 공급업체는 지속적인 업데이트를 통해 소프트웨어에 악성코드와 봇 등이 침투할 틈새를 막아나가기 때문이다. 두 번째로 신뢰 가능한 백신의 가동 및 정기적인 검사를 언급했다. 신형 악성코드와 봇의 목록이 업데이트된 백신을 통해 이미 침투된 봇을 제거한다면 원천적으로 공격자의 다수 PC확보가 불가능해질 것이기 때문이다. 마지막으로 그는 “대응은 국가와 기관이 할 것이지만 최소한 자신의 PC가 공격도구로 활용되지 않도록 예방한다면 상황이 개선될 것”이라 밝혔다.
일러스트 김나래 기자
