[데이터넷] IoT 기기가 늘어나면서 취약한 IoT 기기를 이용한 봇넷이 디도스 공격에 활용되고 있다. 노키아의 ‘딥필드 네트워크 인텔리전스 리포트: 2021년 디도스’에 따르면 공격에 사용할 수 있는 기기가 매년 2~3배씩 증가하고 있는데, 이는 디 도스 공격 서비스(DDoS-for-hire)를 이용해 더 쉽게 공격 이 가능하다.
관련 업계의 조사에 따르면 디도스 공격 서비스는 시간당 10달러, 혹은 건당 50달러부터 시작하는 것으로 알려지며, 공격에 이용할 수 있는 봇넷도 규모별로 비용이 책정되어 서비스된다. 또한 지능형 봇넷은 머신러닝 기반 디도스 대응 기 술도 우회하며, 캡챠도 무사히 통과해 디도스 방어 솔루션을 우회한다.
IoT 봇넷 공격은 관리되지 않는 IoT 기기로 인해 더 문제 가 된다. 가정용 라우터, 홈 IoT 기기, 도시 곳곳에 설치된 CCTV, 이를 관리하는 DVR과 NVR, 건물마다 설치된 주차 관리기기 등이 공격에 이용되는데, 이러한 기기들은 취약점 관리는커녕 비밀번호조차 제대로 관리되지 않기 때문에 공격 자들은 언제나 어떤 기기든 봇넷 군단에 편입시킬 수 있다.
봇넷군단을 확보한 공격자들은 특정 기업·기관이 아니라 통신사, 클라우드 및 인터넷 서비스 사업자(CSP·ISP)를 공격해 더 높은 수익을 얻는다. 클라우드플레어의 디도스 공격 동향 보고서에 따르면 지난해 하반기 디도스 공격의 주 요 대상이 CSP와 ISP였다. 지난해 마이크로소프트 애저가 3.47TB에 이르는 대규모 공격을 받은 것이 그 대표적인 사례라 할 수 있다.
서비스 기업을 공격하면 이 기업의 서비스를 이용하는 다 수의 기업·기관이 피해를 입기 때문에 서비스 사업자는 디도스 공격을 제대로 방어하지 못한다고 판단하면 빠르게 공격자와 협상에 나설 가능성이 높다.
대규모 네트워크 인프라를 공격하기 위해 봇넷을 이용하는데, 클라우드플레어에 따르면 ‘맨티스 (Mantis)’ 봇넷이 5000여개의 가상 기계와 서버를 동 원했으며, 초당 2600만 요청을 발생시켜 인터넷 통신 사, 언론사, 게임사, 금융기업을 공격했다. 이 공격은 HTTPS를 이용해 진행됐다는 것 때문에 더욱 경각심을 가져야 할 것으로 보이는데, HTTPS를 이용하면 공 격을 완화하는데 더 많은 비용이 들기 때문이다.
정치·금전 목적 공격 지속 증가
디도스 공격은 목표 네트워크를 중단시키는 것이 목 적인 경우도 있지만, 다른 목적을 위해 사용되는 경우 도 있다. 지난 2월 러시아가 우크라이나를 침공하기 전 우크라이나의 주요 정부기관과 금융기관에 대대적인 디도스 공격을 펼치면서 공공·금융 서비스를 중단시키며 전쟁의 서막을 올리기도 했다.
최근에는 디도스와 랜섬웨어 공격을 함께 펼치는 랜섬디도스가 유행하고 있는데, 데이터나 시스템을 인질 로 잡은 후 디도스 공격을 하면서 금전을 요구하는 방식이다. 돈을 주지 않으면 디도스 공격으로 서비스를 마비시키면서 피해기업을 압박한다.
정치적·금전적 수익을 극대화할 수 있는 디도스 공격은 지속적으로 증가하고 있는데, 라드웨어 조사에 따르면 지난해 디도스 공격 볼륨이 평균 26% 증가했고, 대규모 디도스 공격 범위 4.6TB~51.65TB, 대규모 디 도스 공격 지속 시간 3.65시간~8.72시간에 이른다.
클라우드 규모의 공격도 발생하고 있는데, 라드웨어가 대응한 가장 큰 규모의 공격은 지난해 4분기 발생한 5Tbps 규모의 공격이었다. 또한 소규모 트래픽을 이용하는 마이크로 플러드(Micro floods)는 전년 대비 79% 증가하면서 대응을 매우 어렵게 하고 있다.
코로나19로 닫혔던 학교와 직장이 다시 문을 열면 서 특정 기업·기관을 집중적으로 노리는 디도스 공격이 다시 기승을 부리기 시작했다는 것도 눈여겨봐야 할 지점이다. 넷스카우트 조사에 따르면 공격자들은 통신사 및 CSP·ISP 보다 공격하기 쉬운 개별 조직을 타깃으로 직접 공격하기 시작했으며, 서버급 노드를 메인스트림 미라이 봇넷에 포함시켜 다수의 디도스 공격을 전개하는 서버급 봇넷도 활용하고 있다.
위협 인텔리전스 활용 디도스 방어
디도스는 고전적인 공격 방식임에도 불구하고, 막기가 매우 어렵다. 정상 트래픽 혹은 정상으로 보이는 트래픽을 이용하기 때문에 공격 트래픽만 차단하는 것이 쉽지 않다. IoT 봇넷을 이용하는 경우 접속을 시도하는 기기를 검증하거나 악성기기와 IP 리스트를 이용하기도 하지만, 이러한 기술은 쉽게 우회할 수 있다.
최근 디도스 방어 솔루션은 AI·머신러닝과 트래픽 분석 기술을 이용해 지능적인 디도스 공격을 막고 있다. 대규모 디도스 공격을 진원지에서 차단하기 위해 클라우드 엣지 기반 방어 서비스도 제안한다.
넷스카우트의 경우, 기업·기관 네트워크에 직접 설치하는 디도스 방어 솔루션과 통신사·서비스 사업자를 위한 대규모 디도스 방어 솔루션, 클라우드를 이용하는 서비스를 다양하게 갖추고 있다. 넷스카우트의 디도스 방어 제품군은 위협 탐지 전문조직 아틀라스 (ATLAS)의 네트워크를 활용해 디도스 공격 가시성을 확보하고 효과적으로 대응할 수 있게 한다. AI를 활용 해 아틀라스 데이터센터를 분석하고 선별하며 상호 연관시켜 지능적으로 디도스 방어 기술을 우회하는 공격 도 탐지한다.
아틀라스 보안 엔지니어링 및 대응 팀(ASERT)의 전문 지식을 사용해 디도스 공격에 참여하는 봇넷 기기와 기타 네트워크 인프라를 식별하며, 옴니스(Omnis) 아틀라스 인텔리전스 피드(AIF)를 통해 아버 위협 완화 시스템(TMS), 옴니스 AED 스마트 디도스 공격 방지 솔루션에 실시간 업데이트한다. 이를 통해 디도스 공격에 사용되는 장치의 IP 주소를 미리 파악해 추가 분 석 없이 공격 트래픽의 90%를 차단할 수 있다.
스크러빙센터로 디도스 완화
디도스 공격 트래픽을 다른 인프라로 우회시켜 서비스 영향을 최소화하는 스크러빙센터도 유용하다. 공격 이 발생했을 때 트래픽을 스크러빙센터를 우회하도록 한 후 정상 트래픽만 허용하는 방식으로, 평소 대규모 디도스 방어를 위한 대형 디도스 장비를 구입하지 않아도 디도스 공격으로부터 비즈니스를 보호할 수 있다.
스크러빙센터는 디도스 방어 솔루션을 제공하는 많은 기업들이 제공하고 있다. 대표적으로 라드웨어는 국내에 진출한 글로벌 기업 중 최초로 2017년 한국에 스크러빙센터를 설립해 성공적으로 디도스 공격을 막 고 있다. 라드웨어 스크러빙센터는 전 세계 16곳에 설치돼 있으며, 10Tbps의 트래픽 경감 용량을 갖추고 있다.
라드웨어의 디도스 보호 제품군은 온프레미스, 프라이빗·퍼블릭, 하이브리드 환경 모두를 보호하며, 랜섬 디도스, DNS·암호화 등 지능적인 공격 방어에 특화돼 있다. 사용자 개인정보를 손상시키지 않으면서 인증서 없이 SSL 트래픽까지 분석해 공격을 차단하며, 탁월한 현장 경험을 가진 120여명의 보안 전문가가 지원하는 완전 관리형 보안 서비스도 제공한다.
우리나라의 디도스 방어 솔루션은 안랩, 시큐아이, 윈스 등 대부분의 네트워크 보안 솔루션 기업에서 제공한다. 안랩의 ‘트러스가드 DPX(TrusGuard DPX)’는 탁월한 패킷처리 기술을 기반으로 가용성과 네트워크 안정성을 보장한다.
시큐아이의 ‘MFD’는 진화된 모든 공격 유형을 탐지하고 정밀한 분석 대응이 가능한 디도스 대응 전용장비 로, 고성능 하드웨어 플랫폼으로 대용량 공격에 대응하며, 정교한 엔진으로 공격 유형별로 최적의 대응을 진행한다. 실시간 패킷에 대한 자동 학습 방어로 알려 지지 않은 신규 공격에도 대응한다. 최적화된 공격 이 벤트 대응 도구로 가시성을 확보하고 빠른 분석을 수행한다.
KISA, 중소기업 위한 사이버 대피소 운영
디도스 방어 솔루션과 서비스는 대규모 조직뿐 아니라 중소규모 조직, 보안조직이 없는 소규모 기업에서 도 사용할 수 있도록 다양한 라이선스 모델을 제공하고 있지만, 보안예산을 쉽게 마련하지 못하는 영세·소 규모 기업에게는 큰 부담이 될 수 있다. 영세·소규모 기업은 보안투자가 충분하지 않아 쉽게 공격당할 수 있는데, 디도스 공격으로 업무 중단 시 치명적인 피해를 입을 수 있기 때문에 대책 마련이 시급하다.
한국인터넷진흥원(KISA)은 소규모 기업을 위한 사이버 대피소를 운영해 중소·영세기업을 보호한다. 사이버 대피소는 디도스 공격을 받았을 때 기업 DNS의 웹서버 IP 정보를 대피소 IP로 바꾸기만 하면 된다. 악 성 트래픽은 사이버 대피소에서 차단하고 정상 사용자만 서비스를 이용할 수 있다.
중소기업 확인서가 있는 기업이라면 누구나 사용 가 능하며, 사전에 보호할 웹사이트를 등록한 후 디도스 공격 발생 시 사이버 대피소로 DNS를 변경하면 즉시 디도스 공격 대응 서비스를 받을 수 있다. 사전에 등록하지 않은 사이트가 디도스 공격을 받았다면 긴급 적용 서비스를 먼저 받아 대응할 수 있다.
사이버 대피소 이용 기업은 2010년 처음 개설 후 연 평균 56.7%의 증가율을 기록하며 지난해 7271개 기업 이 이용하고 있다. 대피소에서 처리한 디도스 공격은 2020년 235건을 포함, 11년간 총 1351건의 공격을 방어해 중소기업의 피해를 최소화했으며, 디도스 공격 모 의훈련도 지원해 대상 기업의 디도스 방어체계를 점검할 수 있게 했다.
KISA는 침해사고 발생 기업이 사이버 대피소에 즉시 입주할 수 있도록 지원하며, 침해사고 피해 기업이 복 구를 완료할 때까지 대피소에서 보호받을 수 있도록 기능을 확대할 예정이다.
