“100G 디도스 현실화…제2 ‘DD4BC’·동계올림픽 ‘핵티비스트’ 공격 대응책 필요”

“지능형지속위협(APT)만 위협적인 것이 아닙니다. 작년에 국내 금융사들이 해킹그룹 DD4BC(DDoS for BitCoin)로부터 금전갈취형 디도스(DDoS, 분산서비스거부) 공격을 받았고, 국내 기업도 100Gbps급 대규모 공격을 받은 사례가 있을 정도로 공격 규모가 커졌습니다. 이에 대한 새로운 대응방안이 필요합니다.”

아카마이코리아가 최근 개최한 기자간담회장에서 나온 발언이다. 안준수 아카마이코리아 상무는 ‘왜 한국의 사이버보안이 달라져야 하는가’라는 화두를 던지면서 디도스 공격을 중심으로 한 사이버위협 동향 변화를 소개했다.

아카마이는 최근 디도스 공격 규모가 커지고 빈도도 잦아지고 있고 공격 대상범위도 넓어지고 있다는 점을 지적하면서 국내 금융사와 기업들이 최근 변화된 디도스 관련 사이버위협 동향을 주시할 것을 경고하고 나섰다.

7.7 디도스 대란이 일어났던 2009년 전후로 뜨겁게 달아올랐던 디도스 공격에 대한 관심은 이제 크게 떨어졌다. 최근 가장 관심이 높은 보안 이슈는 APT와 랜섬웨어다.

방화벽, 침입방지시스템, 안티바이러스와 같은 기본적인 보안 솔루션 외에 다른 보안 투자는 특정 보안 이슈가 두드러지는 시기에 쏠림 현상이 강하다. 새로운 공격유형이 발생하면서 그에 대한 대응책이 제시되기 때문이다.

국내 기업의 디도스 보안 투자는 2008년부터 2011년 사이에 가장 많았다.

하지만 디도스는 여전히 전세계 곳곳에서 빈번하게 발생하고 있다.

디도스 공격 규모는 커지고 대상은 넓어지고

작년만도 우리나라 금융사를 대상으로 디지털화폐 ‘비트코인’을 노린 협박성 디도스 공격이 주 단위로 연속 발생해 이슈가 된 적이 있다. 해외 해킹그룹이 벌인 일이다.

지난해 6~7월 대구·부산·전북은행과 미래에셋증권, 한국투자증권은 유럽의 해킹그룹으로 알려진 ‘DD4BC’로부터 디도스 공격을 받았다. ‘DD4BC’는 금융사들에 협박성 이메일을 이용해 디도스 공격을 빌미로 비트코인을 요구했다. 일주일 간격으로 연이어 벌어진 공격에 금융권은 크게 긴장했다.

실제 국내에서 감지된 공격 규모는 최대 26Gbps로 크진 않았지만 해외 영어 사용국이 아닌 국가의 기업을 포함하는 글로벌 공격 캠페인으로 발생한 국내 첫 사례로 기록됐다.

아카마이는 DD4BC 공격 활동을 2014년 9월 최초 발견했다. 이들의 공격은 2015년 5월부터 7월에 정점을 이뤘다. DD4BC는 금전을 요구하면서 최대 400Gbps까지 대규모 공격을 가할 수 있다고 주장했지만 실제로는 최대 56.2Gbps의 공격을 수행했다는 게 아카마이의 분석이다. 2016년 1월 핵심 용의자가 체포되면서 DD4BC 공격은 마감됐다.

아카마이_보안미디어데이_안준수상무안 상무는 “DD4BC처럼 노골적으로 돈을 요구하는 강탈 공격이 대중화되고 있다. 최근 극성을 부리는 랜섬웨어도 관련된다. 이제는 누구든지 쉽게 공격을 벌이고 또 받을 수 있는 환경이 됐다. 공격자들은 중국 대포통장이 아니라 복잡한 돈세탁 과정이 필요없는 비트코인을 지불수단으로 활용하고 있다”고 설명했다.

이어 “DD4BC 공격은 국제 캠페인으로 국내에 들어온 첫 공격 사례로, 번역기술이 발전하면서 앞으로는 비영어권 국가 사이트를 대상으로도 공격이 많이 일어날 것으로 예상된다”며 “작년에 일본 금융기관도 DD4BC로부터 공격을 받았는데 작년 10월 DD4BC를 모방한 ‘아마다 콜렉티브(Armada Collective)’가 다수의 일본 금융기관을 대상으로 공격을 벌였다. 지금도 일본, 유럽, 터키 등에서 공격이 계속 발생하고 있다. 우리나라에도 상륙할 수 있다”고 전했다.

아카마이는 일본 금융기관을 공격한 아마다 콜렉티브의 활동을 국내 기업들도 관심있게 지켜봐야 한다고 지적했다. 최근 금융권을 타깃으로 한 다수의 악성코드(Shifu, Rovnix 등)가 기승을 부리고 있다는 점도 덧붙였다.

최근 디도스공격은 폭넓은 범위를 대상으로 이뤄지고 있다. 규모도 커졌다.

DD4BC도 금융권(58%)을 주축으로 모든 산업을 대상으로 공격을 벌였다. 보고된 DD4BC 공격 건수만 141곳이었다.

이제는 쉽게 공격할 수 있는 환경이 조성되면서 공격자들은 많은 업체들을 대상으로 무차별 공격을 가하고 있다. 기초적인 방어가 안 돼 있는 곳을 노린 공격이다. 하지만 대부분 비슷한 유형의 공격이 이뤄지기 때문에 방어하기는 의외로 쉽다.

공격규모는 지난 2013년부터 급격하게 증가해 190Gbps 공격이 감지됐다. 지난 2014년에는 321Gbps 공격도 있었다. 2015년에도 300Gbps가 넘는 공격이 발생했다고 아카마이는 소개했다.

안 상무는 “국내에서는 2013년 일간베스트(일베)가 받은 40Gbps 공격이 실제 발생한 디도스 최대규모로 기록하고 있지만 실제로는 100G 이상 공격도 일어나고 있다”며 “공격 대상이 넓어져 누구든 공격 받을 수 있는 상황에서 공격 빈도는 잦아지고 규모는 더욱 커지고 있어 데이터센터에서 직접 공격을 방어하는 것이 어려워지는 상황”이라고 밝혔다.

아카마이 디도스 공격 규모2018 평창 동계올림픽 후원기업이 위험하다

아울러 오는 2018년 평창 동계올림픽같은 국제적인 이벤트를 앞두고 있는 상황에서 후원기업에 대한 ‘핵티비스트(Hactivist)’의 공격에 대한 대응책이 필요하다는 점도 지적했다.

안 상무는 “어나니머스(Anonymous)가 대표주자인 핵티비스트 공격은 지난 2008년 베이징 올림픽 이후 모든 동계·하계 올림픽과 월드컵처럼 대규모 국제행사가 발생할 때마다 있었다”며 “평창 동계올림픽 후원기업들과 지역 파트너들이 상당한 피해를 입을 수 있다”고 경고했다.

2014년 월드컵 당시 어나니머스 그룹은 후원기업 등 공격 대상을 언급하면서 대대적인 공격을 예고했다. 주요 글로벌 후원사 사이트들은 대부분 공격을 방어했거나 피해를 최소화했다. 하지만 주로 공공기관이나 현지 파트너 기업은 준비가 미흡해 웹사이트가 서비스 불능·중단되거나 해커들이 사이트를 장악해 어나니머스 광고나 로고로 도배되는 등 변형, 훼손되기도 했다.

아카마이 핵티비스트‘클라우드 기반 보안 서비스’ 고려 필요

결국 이같은 디도스 공격과 변화하는 위협 환경에서 대안은 ‘클라우드 기반의 보안 서비스’라는 게 아카마이의 메시지다. 기업과 기관에서 대응하는데 필요한 용량과 성능, 전문성 문제를 한꺼번에 해결해줄 수 있다는 이유에서다.

정택진 아카마이 북아시아 서비스라인 총괄 전무는 “공격 규모가 폭발적으로 증가하고 위협 환경이 변화하고 있는 상황에서는 데이터센터에서 막는 보안체계는 한계가 있다”며 “스케일(규모)과 인텔리전스, 전문인력 측면에서 클라우드 기반 보안 서비스는 강점을 제공한다”고 말했다.

아카마이_보안미디어데이_정택진전무그에 따르면, ▲클라우드 기반 보안 서비스는 데이터센터로 공격이 도달하기 전에 차단할 수 있다. 웹 서비스 가용성과 성능 저하 문제가 일어나지 않도록 공격이 웹서버로 들어오기 전에 막을 수 있다는 것이다. 그리고 대규모 공격도 수용 가능하고 서비스 성능을 그대로 유지할 수 있다. 또 ▲글로벌 클라우드 플랫폼상에서 공격로그를 수집, 인텔리전스를 확보해 공유할 수 있기 때문에 진화하는 공격과 환경 변화에 대응할 수 있도록 제공한다. ▲모든 기업이 보안 전문가 집단을, 24시간 디도스 대응팀을 운영할 수 없기 때문에 이같은 전문성을 제공하는 클라우드 기반 서비스가 필요하다.

정 전무는 “이미 자체적으로 디도스 보안체계를 구축한 경우에도 대규모 공격이나 새로운 공격이 들어올 때 해결할 수 없는 경우가 있다”며 “예를 들어 40G 이상 공격이 들어올 때는 외부에서 선제적으로 차단하고 나머지 트래픽은 자체 서비스에 특화된 정책을 적용하면 시너지를 낼 수 있다. 클라우드 보안 서비스로 다단계 보안체계를 구축할 수 있다는 것”이라고 덧붙였다.

아카마이 클라우드 플랫폼이밖에도 안 상무는 “최근에는 디도스 공격을 가하고 이를 해결하는 사이에 정교한 공격을 병행하는 지능적인 공격방법이 나타나고 있다”며 “복합공격이 일어나는 상황에서 대규모 디도스 공격을 방어하고 있다면 세밀한 공격 대응에 더욱 신경을 쓸 수 있다”고 지적했다.

아카마이는 콘텐츠전송네트워크(CDN) 분야 글로벌 선두업체다. 전세계 곳곳에 구축된 클라우드 플랫폼을 활용해 디도스 공격과 웹 애플리케이션 공격 방어 등의 보안 서비스를 제공하고 있다.

손부한 아카마이코리아 지사장은 “전세계 인터넷 트래픽의 30%를 글로벌 클라우드 플랫폼에서 실어나르고 있는 CDN 업체인 아카마이는 최근 보안업체로 빠르게 변신하고 있다”며 “DD4BC 공격을 호주에서 발견한 즉시 고객사에 룰을 업데이트했던 것처럼 전세계 어느지역에서 감지한 공격을 빠르게 방어할 수 있는 민첩함이 있으며 방대한 인프라를 갖추고 있고 확장성이 뛰어나다. 전세계에서 디도스 공격이 동시에 발생하더라도 방어할 수 있는 환경을 갖추고 있다”고 강조했다.

글. 바이라인네트워크
<이유지 기자>yjlee@byline.network

관련 글

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다