디도스의 무서운 진화와 대응책
중소기업을 노리는 디도스(DDOS) 공격이 갈수록 거세지고 있다. 중소기업들이 한해 받는 디도스 공격만 최소 113건 이상이다. 평균 피해액이 12억9000만원에 달하니, 일부에선 “세무조사보다 디도스 공격이 더 무섭다”는 말까지 나온다. 문제는 디도스 공격기법이 갈수록 진화하고, 종류도 다양해지고 있다는 점이다. 어떻게 해야 할까.
![사이버대피소를 이용하는 중소기업들이 늘고 있다. 사이버 공격이 늘고 있다는 얘기다.[사진=뉴시스]](https://cdn.thescoop.co.kr/news/photo/202209/55308_82583_1946.jpg)
1351건. 한국인터넷진흥원(KISA)의 ‘사이버대피소’가 2010년부터 2021년까지 12년간 방어한 디도스(DDOSㆍDistributed Denial of Service) 건수다. 국내 중소기업들이 매년 최소 113건 이상의 디도스 공격을 받고 있다는 건데, 방어한 디도스 공격만 그만큼이니 실제 피해는 더 많을 것으로 추정된다.
그러다 보니 일부에선 “요즘 중소기업들이 세무조사보다 더 무서워하는 게 디도스 공격”이란 말까지 나온다.[※참고: 2009년 7월 7~9일 우리나라의 주요 정부기관과 은행, 포털, 정당, 언론사 등이 대대적으로 디도스 공격을 받은 이후 KISA는 중소기업들을 사이버공격으로부터 보호하기 위해 2010년부터 사이버대피소를 운영하고 있다. 일명 ‘7ㆍ7 디도스 사태’로 불리는 이 사건으로 매년 7월 둘째주 수요일이 ‘정보보호의 날’로 지정됐다.]
중소기업이 ‘디도스’를 무서워한다는 얘기는 빈말이 아니다. KISA에 따르면, 사이버대피소를 이용하는 중소기업은 매년 늘고 있다. 2010년 52건에 불과했던 사이버대피소 이용 건수(누적)는 2013년 260건, 2016년 1012건, 2019년 3839건, 2021년 7271건으로 증가했다. 해가 갈수록 이용 건수가 크게 늘고 있는 셈이다. 연평균 증가율은 56.7%에 달한다. 그렇다면 디도스가 뭐기에 이렇게 호들갑을 떠는 걸까.
우리말로 ‘분산 서비스 거부 공격’이라고 불리는 디도스는 정의하면 다음과 같다. “각지에 흩어진 불특정 다수가 동시다발적으로 네트워크나 시스템에 접근해 리소스(네트워크나 시스템 운영을 위한 자원)를 없애거나 트래픽(서버와 서버 사용자 간에 오가는 데이터양)을 늘려 네트워크나 시스템을 정상적인 사용자가 이용할 수 없도록 하는 사이버 공격의 일종이다.” 쉽게 말해, 순식간에 동시다발적으로 접속해 네트워크나 시스템을 먹통으로 만들어버리는 거다.
![디도스 공격 기법이 빠르게 변하고 있다. 기업의 대응 방식도 달라져야 한다.[사진=게티이미지뱅크]](https://cdn.thescoop.co.kr/news/photo/202209/55308_82584_1946.jpg)
디도스 공격을 받을 경우 발생하는 피해액은 적지 않다. 지난해 12월 KISA가 발표한 ‘사이버 침해사고의 경제ㆍ사회적 비용 추정 연구’에 따르면 사이버 공격 유형별 평균 피해액은 ▲랜섬웨어 13억8000만원 ▲디도스 12억9000만원 ▲코드서명 유출 10억6000만원 ▲개인정보유출 4억9000만원 ▲악성코드 유포가 3억원이었다.
이 연구는 2018~2020년 사이버 공격을 받아 KISA로부터 사고조사 지원을 받은 기업 중 피해가 발생한 228개사를 대상으로 조사한 것이다. 응답 기업은 49개사다.
KISA는 “대부분의 기업이 구체적인 피해금액 공개를 회피하는 경향이 강해 경제적 피해액이 실제보다 과소 추정됐을 가능성이 있다”고 부연했다. 또한 사전예방 비용의 증가, 브랜드 이미지 손실, 고객 이탈 등의 장기적 비용도 반영되지 않았다고 밝혔다. 실제 피해액은 훨씬 더 많을 거라는 얘기다.
문제는 이렇게 많은 피해가 발생해도 디도스 공격자를 잡는 게 쉽지 않다는 점이다. 디도스 공격자가 실존하지 않거나 외부자에 의해 조종되는 ‘좀비 컴퓨터’를 이용하기 때문이다.[※참고: 좀비PC의 양산이 위험한 이유가 여기에 있다.]
최근엔 공격 방식도 진화하고 있다. 일례로 클라우드 보안전문기업 ‘아카마이’가 최근 발견한 ‘폰홈(PhoneHome)’이란 새로운 디도스 공격 기법은 패킷(데이터 전송 기본 단위) 1개가 42억9497만개로 증폭돼 네트워크를 공격한다. ‘TCP 미들박스 반사(TCP Middlebox Reflection)’란 기법은 기업이나 국가의 방화벽을 이용해 공격 규모를 65배 키우기도 한다. 한번의 공격으로도 큰 피해를 입힐 수 있는 공격기법들이 등장하고 있는 셈이다.
공격의 종류는 더 다양해졌다. ‘아카마이’에 따르면, 2010년엔 상위 5개의 디도스 공격기법이 전체 디도스 공격의 92.5%를 차지했지만 지금은 55.7%에 불과하다. 여러 종류의 기법이 사용되고 있다는 거다.
대문만 닫는다고 공격 못 막아
이뿐만이 아니다. 공격의 접근성도 예전보다 훨씬 쉬워졌다. 디도스 공격 프로그램은 인터넷에 널려있고, 돈만 지불하면 디도스 공격을 대신해주는 곳도 적지 않다. 최근엔 초등학생들이 재미 삼아 유튜버를 디도스로 공격한 사례도 있다.
새롭고 다양한 디도스 공격기법이 등장하고, 접근성은 더 쉬워진 이유는 분명하다. 저렴한 비용으로 피해를 극대화할 방법을 끊임없이 찾는 사이버 공격자들에게 ‘디도스’가 가장 유용하기 때문이다. 이 말은 디도스 위협에 맞서기 위해 기업이 감당해야 할 몫이 갈수록 커질 수밖에 없다는 걸 방증한다.
그럼 어떻게 대응하는 게 좋을까. 우선 디도스 공격을 최우선으로 탐지할 상시대응체계를 마련해야 한다. 서브 네트워크나 IP(인터넷에 연결된 컴퓨터의 고유 주소)를 방어할 시스템도 갖춰야 한다. 대문에만 열쇠장치를 둘 게 아니라 방문과 장롱에도 잠금 시스템을 구축해야 한다는 거다.
신뢰할 만한 네트워크 서비스 제공업체를 두는 것도 방법이다. 내부 보안팀보단 전문업체가 더 빠르고 정확하게 공격에 대응할 수 있어서다. 사고대응 매뉴얼을 업데이트할 필요도 있다.
디도스 공격기법이 몰라보게 진화했다는 점을 감안하면, 과거의 매뉴얼로는 대응하는 게 사실상 불가능하다. 디도스 공격 기법이 빠르게 변화한 만큼 방어기법에도 변화를 줘야 한다는 거다. 이게 기업의 자산과 비즈니스를 보호하는 첫번째 발걸음이다.
글 = 강상진 아카마이 코리아 상무
sakang@akamai.com
김정덕 더스쿠프 기자
juckys@thescoop.co.kr
개의 댓글
댓글 정렬
그래도 삭제하시겠습니까?