[데이터넷] “아직 영향 없음(No Impact, Yet).”

제프 뷸(Jeff Buhl) 넷스카우트 SP 부문 부사장은 “디도스 공격을 당한 적이 없다면, 아직 피해를 입지 않은 것이지, 공격 시도가 없었던 것은 아니다. 공격자가 마음먹으면 언제든 피해가 발생할 수 있다”고 강조했다.

제프 뷸 부사장은 지난해 케냐 전자정부를 일주일간 마비시킨 어나니머스 수단의 공격을 예로 들어 설명했다. 이 공격으로 케냐 전 지역의 신분증, 여권, 비자, 운전면허증 발급이 중단됐으며, 디지털뱅킹과 모바일 머니 서비스도 부분적으로 마비돼 심각한 피해를 입었다.

넷스카우트 분석 결과, 케냐 전자정부 시스템에 1년간 작은 디도스 패킷이 꾸준히 유입됐으며, 이는 시스템의 트래픽 수용 능력과 디도스 방어 능력을 테스트하기 위한 것으로 보인다. 이 공격이 케냐에서만 발생하리라는 법은 없다. 세계 곳곳에서 전쟁이 발생하고 있으며, 대대적인 사이버 공격을 병행하기 때문에 세계 모든 지역과 국가에서 이러한 공격이 진행되고 있을 수 있다.

제프 뷸 부사장은 러시아-우크라이나 전쟁 개시 전후 일주일간 트래픽이 30% 증가했으며, 늘어난 트래픽의 대부분 친 우크라이나 진영이 러시를 대상으로 한 디도스 공격과 러시아가 우크라이나 및 서방세계를 공격하기 위한 것이었다.

제프 뷸 부사장은 “ 한국에서도 통신사업자, 게임, 제조, 금융, 이커머스 등을 대상으로 한 공격이 늘 발생하고 다. 특히 대응이 어려운 애플리케이션 레이어 공격이 집중되고 있기 때문에 경각심을 가져야 한다”고 말했다.

디도스, 단일 공격에 18가지 기법 사용

최근 디도스 공격은 탐지와 차단이 까다로운 융단폭격(Carpet Bombing) DNS 물고문(DNS Water Torture), 다이렉트 패스(Direct-Path)가 주를 이룬다. 융단폭격은 다수의 공격 대상을 향해 적은 량의 트래픽을 지속적으로 보내 탐지 레이더를 피하는 공격이다. DNS 물고문 공격은 존재하지 않는 도메인을 쿼리해 DNS에 부하를 일으키는 것으로, 무작위 도메인 쿼리(Psuedo-random domain query) 공격이라고도 한다. 다이렉트 패스 공격은 고성능 봇을 이용하는 것이다.

이 공격이 최근 몇 년 사이에 크게 늘어났는데, 정상 요청으로 위장하고, 탐지 기술을 우회하는 고도의 전략을 사용하기 때문에 막기가 쉽지 않다. 또한 공격자는 여러 공격을 병행해 탐지를 어렵게 만들고 있는데, 넷스카우트가 식별한 공격 중 단일 디도스 공격에 무려 18가지 공격기법이 사용된 것도 있었다.

고도화된 인텔리전스로 막아야

이처럼 복잡한 공격을 막으려면 고도화된 인텔리전스가 필수다. 특히 통신사 등 서비스 사업자는 디도스 공격으로 대고객 서비스에 장애를 일으키면 막대한 피해보상을 해야 하기 때문에 고급 인텔리전스를 기반으로 한 방어 시스템을 마련해야 한다. 우크라이나 통신사 키이우스타 공격으로 모회사인 베온(Veon)이 1억달러에 이르는 손해를 입은 사건이 있었다. 우리나라 통신사도 이러한 피해를 입지 않으려면 철저한 대응책 마련이 필수다.

넷스카우트는 전 세계 티어 1 서비스 사업자 95%, 티어2 서비스 사업자 80%를 고객으로 보유, 전 세계 인터넷 트래픽을 모니터링하고 있으며, 다양하고 정확한 인텔리전스를 보유하고 있다. 뛰어난 디도스 전문성을 결합한 넷스카우트 인텔리전스는 실시간 디도스 위협 동향을 파악하고 가장 정확하게 공격을 식별, 대응할 수 있게 한다.

제프 뷸 부사장은 “인텔리전스를 고도화하기 위해서는 고객들도 발생하는 위협과 관련한 데이터를 공유해야 한다”며 “위협 데이터 공유는 건강검진에서 혈액검사를 하는 것처럼 피해가 발생하기 전 미리 진단하고 대응하기 위한 것”이라고 설명했다.

소량의 혈액을 검사해 건강 상태를 확인하는 것과 마찬가지로, 네트워크에서 발생하는 이벤트 데이터를 분석해 어떤 위협이 발생하고 있는지 알 수 있다. 공격자가 이미 침입해서 공격 기반을 마련하고 있는지, 공격을 위한 테스트를 하고 있는지 확인하고, 대응해 피해를 막고 공격에 트래픽 비용을 사용하지 않도록 한다.

넷스카우트는 디도스 대응 전문가로 구성된 연구조직 어서트(ASERT)를 통해 전 세계 디도스 위협을 분석, 지원하는 실시간 지능형 위협 인텔리전스 피드 ‘아틀라스(ATLAS)’를 제공한다. 또 무료 포털 ‘옴니스 쓰렛 호라이즌(Omnis Threat Horizon)’으로 전 세계 디도스 공격 현황을 파악하고, 정기적인 위협 인텔리전스 보고서도 배포해 고객의 대응 역량을 높일 수 있게 한다.

서비스 사업자 경쟁력 높이는 ADP

넷스카우트는 ‘적응형 디도스 방어(ADP)’로 서비스 사업자의 네트워크를 보호한다. ADP는 네트워크 가시성과 디도스 탐지 솔루션 ‘아버 사이트라인(Arbor Sightline)’과 ‘사이트라인 센티넬(Sentinel)’, 애플리케이션 계층 공격을 포함한 모든 유형의 공격에 대응하는 TMS에 적용되며, 실행가능한 위협 인텔리전스를 통해 지속적으로 강화된다.

뷸 부사장은 “넷스카우트는 세계 최고의 디도스 방어 전문성을 가진기 기업으로, 서비스 사업자의 대규모 환경을 노리는 지능적이고 집요하며 까다로운 공격까지 식별할 수 있다. 공격 트래픽을 제거하고 정상 서비스 트래픽만을 허용해 서비스 비용을 낮추고 고객의 경쟁력을 높일 수 있도록 지원한다”고 말했다.

그는 “한국의 고객들도 언제든 디도스 피해를 입을 수 있다는 것을 염두에 두고 공격 대응 전략을 마련해야 한다. 특히 한국은 지정학적으로 민감한 위치에 있기 때문에, 지금 현재 공격당하고 있을 수 있다는 사실을 잊지 말아야 한다”고 강조했다.

김선애 기자 다른기사 보기