가치를같이읽다

# 우리는 視리즈 ‘디도스의 무서운 진화’ 1편에서 최근 들어 눈에 띄게 변화한 ‘디도스(DDoS) 공격’의 면모를 살펴봤습니다. 과거 공공기관과 대기업을 타깃으로 알게 모르게 진행되던 디도스 공격은 e스포츠 대회나 인터넷 방송처럼 소비자와 밀접한 곳에서도 빈번하게 발생하고 있습니다. 이는 일반 소비자도 얼마든지 디도스의 공격의 타깃이 될 수 있다는 점을 시사합니다.

# 하지만 기업도 제대로 막아내지 못하는 디도스 공격을 개인이 대처하기란 쉬운 일이 아닙니다. 디도스 자체가 대처하기 힘든 공격 방식이기 때문입니다. 온라인 어디서든 디도스 공격에 필요한 개인정보와 프로그램을 손쉽게 구할 수 있다는 점도 문제입니다. ‘디도스 리스크’에 빠진 한국 인터넷 생태계, 이대로 괜찮을까요? 디도스의 무서운 진화 2편입니다.

e스포츠나 인터넷 방송 등 온라인 콘텐츠에 관심 많은 이들은 한번쯤 ‘디도스 공격’이란 말을 들어봤을 겁니다. 이 단어는 ‘분산 서비스 거부(Distributed Denial of Service)’의 약자입니다. 쉽게 말하면, 데이터양을 뜻하는 트래픽이 순식간에 불어나 네트워크나 서버가 내려앉는 현상을 일컫습니다. 이 현상을 악용해 네트워크·서버를 마비시키는 게 바로 ‘디도스 공격’입니다.

디도스 공격이 수면 위로 떠오른 건 최근 스트리머(인터넷 방송인·streamer)나 자영업자 등 개인을 상대로 한 디도스 공격이 빈번하게 발생하면서입니다. 디도스 공격으로 스트리머들은 정상적인 방송 진행에 어려움을 겪고, PC방 사장님들은 인터넷이 마비돼 가게 문을 닫는 등 그 피해가 적지 않습니다. 이는 꽤 심각한 문제입니다. 일반인도 디도스 공격의 타깃이 될 수 있음을 시사하기 때문입니다.

그렇다면 디도스 공격은 어떻게 일반인을 대상으로 삼을 수 있을 정도로 쉬워졌을까요? 視리즈 1편에서 언급했듯, 요즘은 디도스 공격에 필요한 개인정보를 쉽게 알아낼 수 있습니다. 해킹용 불법 프로그램을 음성 채팅 플랫폼 ‘디스코드’ 같은 곳에서도 버젓이 거래할 정도로 흔해졌죠. 이 프로그램에 게임 ID를 입력하면 해당 ID로 접속한 PC의 IP 주소를 알아낼 수 있습니다.

돈만 내면 누구나 쉽게 디도스 프로그램을 구할 수 있다는 것도 문제를 키우는 요소입니다. 인터넷에 ‘디도스 프로그램’을 검색하면 갖가지 수식어로 가득한 디도스 판매 사이트들이 뜹니다. 이들 사이트는 처음 30일은 무료로 사용하고, 그 이후 유료 프로그램(2900~3000달러)으로 전환하는 방식을 통해 이용자 접근성을 높이고 있습니다.

상황이 이렇지만 개인 혼자선 디도스 공격에 대응하기가 쉽지 않습니다. 디도스 공격의 핵심은 타깃이 된 시스템에 대규모의 트래픽을 보내는 것입니다. 여기서 중요한 건 공격자가 이를 직접 하지 않고, 자신이 해킹으로 감염한 이른바 ‘좀비PC’를 이용한다는 점입니다. 수백대의 좀비PC에서 동시다발적으로 트래픽을 쏟아내기 때문에 이를 일일이 방어하기는 쉽지 않습니다.

더 큰 문제는 디도스 공격을 일삼는 범죄자를 잡는 게 현실적으론 어렵다는 점입니다. 송봉규 한세대(산업보안학) 교수의 설명을 들어보시죠. “좀비PC 뒤에서 지시를 내리는 공격자는 자신의 정체를 숨기기 위해 가상사설망(virtual private network ·VPN)을 거치거나 자신의 IP주소를 위조하는 ‘IP 스푸핑(IP Spoofing)’ 등 다양한 방식을 사용한다. 이렇듯 좀비PC와 IP 변조라는 이중 방벽을 편 범죄자를 잡기란 현재 기술로는 불가능에 가깝다.”

그렇다면 디도스 공격을 당했을 땐 어떻게 해야 할까요. 결론부터 말하면 별다른 수는 없습니다. 통신업체의 한 관계자는 “디도스 공격에 당했을 경우 통신사에 문의해 IP주소를 변경하는 것이 지금으로선 가장 빠른 해결 방법”이라면서 “개인 IP가 유출되지 않도록 주의해야 한다”고 말했습니다.

이밖에 ▲정품 소프트웨어 사용, ▲꾸준한 운영체제(OS) 업데이트 등이 개인 IP 주소 유출을 막는 일반적인 예방법으로 알려져 있습니다. 하지만 개인 정보가 손쉽게 빠져나가는 요즘 같은 때에 이런 방법이 얼마나 효과가 있을지는 미지수입니다.

SK텔레콤의 ‘DDoS클린존’, KT의 ‘KT 클린존 서비스’ 등 통신사에 예방 솔루션이 있긴 합니다만, 하나같이 대학교나 병원·기업 등에만 지원하고 있습니다. 설령 개인에게 이 솔루션을 허용한다 하더라도 비싼 가격이 발목을 잡습니다. SK텔레콤 솔루션의 경우 한달에 최소 275만원을 내야 합니다(100M 요금제 기준). 일반인이 혼자 내기엔 부담스러운 액수입니다.

그렇다고 디도스 공격을 제어하는 법적 보호망이 탄탄한 것도 아닙니다. 정보통신망법 제48조 제3항에 따르면, 디도스 공격은 ‘정보통신망에 장애가 발생하게 하는 행위’에 해당해 법적으로 금지돼 있습니다. 이를 어길 경우 5년 이하의 징역 또는 5000만원 이하의 벌금이 부과됩니다.

하지만 이는 어디까지나 ‘디도스 범죄’를 처벌하기 위한 조항일 뿐, 디도스 공격을 예방하는 데는 큰 효과를 발휘하기 어렵습니다.

지난 1월 24일 가결된 정보통신망법 개정안(장제원 과학기술정보방송통신위원회 위원장 발의)도 마찬가지입니다. 이 개정안은 ▲침해 사고 발생 시 과학기술정보통신부 장관이 대책을 마련하고 보완할 것을 명령, ▲시정 명령을 따르지 않을 경우 3000만원 이하의 과태료를 부과하는 내용을 담고 있습니다. 이 역시 디도스 공격 이후 대처 방안만 다루고 있어 ‘소 잃고 외양간 고치는’ 격이 될 가능성이 높습니다.

법률 개정 속도가 더디다는 점도 문제입니다. 21대 국회는 128건에 달하는 정보통신망법 개정안을 발의했지만, 그중 통과한 개정안은 5건으로 전체의 3.9%에 머물러 있습니다. 폐기·철회한 건을 제외한 나머지 109개는 모두 계류 중입니다. 21대 국회가 2개월밖에 남지 않았다는 점을 감안하면, 이 개정안들은 국회 문턱을 넘기 어려울 듯합니다.

여기까지가 한국 인터넷 문화를 어지럽히고 있는 디도스 공격의 현주소입니다. 개인 정보를 빼내기 쉬워진 데다 무료 디도스 프로그램까지 있으니, 맘만 먹는다면 누구나 디도스 공격을 할 수 있는 세상이 됐습니다.

디도스 공격으로 인한 피해가 지금은 유명 스트리머나 e스포츠 대회에 그치고 있지만, 그 불똥은 언제든 일반인에게 날아들 수 있습니다. 디도스 공격을 사전에 차단할 만한 법적 제도적 ‘망’을 서둘러 구축해야 하는 이유입니다. 어쩌면 지금이 디도스 공격을 막아낼 ‘골든타임’일지 모릅니다.

이혁기 더스쿠프 기자
lhk@thescoop.co.kr