12년간 디도스 공격 1351건 방어, 매년 연평균 57% 이용률 증가

한국인터넷(KISA) 분산서비스거부(DDoS, 이하 디도스) 사이버대피소 이용기업이 디도스 공격 위협 증가로 2010년 개소 이후 지난 10여년간 연평균 57%가량 증가한 것으로 나타났다.

디도스 사이버대피소는 지난 2009년 7월 주요 정부기관, 포털, 은행 사이트 등을 대상으로 대규모 디도스 공격이 발생해 주요 인터넷 서비스가 마비된 ‘7.7 디도스 공격’을 계기로 사이버보안 인력과 예산이 충분치 않은 중소·영세 기업을 디도스 공격으로부터 보호하기 위해 만들어져 운영해왔다.

디도스 사이버대피소는 디도스 공격 피해를 입거나 공격 협박을 받은 기업, 또는 디도스 공격에 대한 대응 역량이 부족한 중소·영세기업이 신청해 이용할 수 있는 서비스이다. 입주 기업은 디도스 공격을 받을 경우 디도스 사이버대피소에서 공격 트래픽을 차단하며 정상 서비스는 이용가능하도록 디도스 공격 대응·모니터링 서비스를 제공한다.

김은성 KISA 사이버침해대응본부 침해대응단 탐지대응팀 팀장은 “2010년 최초 52개 기업을 시작으로 2021년 7271개 기업이 사이버대피소에 입주해 보호를 받았다. 서비스가 개시된 2010년 이후 연평균 56.7%의 이용 증가율을 보이고 있다”라면서 “2021년까지 총 1351건의 디도스 공격을 방어했고, 국내 중소 영세기업이 안정적으로 정보통신 서비스를 운영할 수 있도록 사이버대피소가 든든한 버팀목이 되고 있다”고 강조했다.

또한 김 팀장은 “디도스 사이버대피소 서비스를 통해 보호 받았던 기업의 경우, 디도스 공격 대응체계 마련의 중요성을 스스로 인식하고 호스팅사의 보안관제 서비스를 신청한다거나 실제 통신사 클린존 서비스를 직접 신청해 이전하는 사례 등이 있어 긍정적인 효과도 보이고 있다는 점에서 방어만이 아니라 기업들의 보안 인식 제고에 도움을 주고 있다“며 ”디도스 공격에 대한 대응 역량 강화를 위해 모의훈련을 진행하고 싶은 기업도 요청하면 공격 유형별로 선택해 공격 트래픽을 생성해 발송하고 있다. 기업들이 평소에 디도스 대응체계를 점검하는데 도움을 주고 있다“고 덧붙였다.

디도스 공격은 ‘7.7 디도스 공격’ 이후에도 국내외 금융권과 대형 포털, 정부기관, 대규모 인터넷·클라우드서비스 기업 등을 대상으로 지속적으로 발생하고 있다. 디도스 공격은 매년 공격 규모가 커지고 있다. 지난 2021년 11월 마이크로소프트 애저 서비스를 대상으로 발생한 디도스 공격 규모는 무려 3.47초당테라비트(Tbps)로, 지난 2015년 10월 미국 도메인네임서비스(DNS) 서비스기업 다인(Dyn)을 대상으로 가해진 1.2Tbps 공격 규모를 크게 넘어섰다. 국내에서도 지난해 6월 토스를 대상으로 30기가비트(Gbps) 규모의 공격이 발생하기도 했다.

김 팀장은 “디도스 사이버대피소 이용기업이 꾸준히 증가하고 있는 수치는 실제 디도스 공격 위협이 증가하고 있다는 것을 보여준다”며 “디도스 사이버대피소로 유입된 공격 시도 규모만 보더라도 최대 50G 이상으로 공격 규모가 커졌다. 또 서버 자원을 고갈시키거나 데이터베이스(DB)를 마비시키려 하거나, 특정 공격 기법이 유행했다기보다는 한 번의 공격에 여러가지 다양한 공격 기법을 복합적으로 사용한다. 비정상 트래픽을 유발하는 기기가 다양하고, 다양한 악성코드로 여러 개의 봇넷을 사용해 공격하고 있다는 것을 유추할 수 있다”고 설명했다.

여력이 부족한 중소·영세 기업은 디도스 공격이 사이버대피소에 입주해 피해를 최소화하고 서비스를 유지할 수 있다.

디도스 사이버대피소에 유입된 디도스 공격 규모는 2018년 16.7G에서 2019년 68G, 2020년 62G, 2021년 53G에 달했다. 공격 종류(UDP·ICMP·HTTP GET·TCP Flag)도 다양하며, 단일공격과 복합공격이 모두 발생하고 있다.


현재 KISA 디도스 사이버대피소는 160G 규모의 디도스 공격 트래픽을 수용할 수 있도록 인프라를 구축해 24시간 이상 트래픽을 상시 감지하고 차단할 수 있는 모니터링 체계를 운영하고 있다. 이 용량을 넘어서는 대규모 공격이 들어올 경우엔 통신사와 협력해 대응한다.

김 팀장은 “디도스 사이버대피소 입주자를 대상으로 작년 4분기에서 이제 올 1분기까지 발생한 공격 추이를 봤을 때 전체 방어 내역의 90% 이상은 1G 미만의 공격으로, 임계치 미만의 저대역 공격이 주를 이뤘다. 현재까지 160G 수용 규모가 부족한 수준은 아니라고 판단하고 있지만, 혹시라도 대규모의 공격이 들어오면 트래픽이 피크치에 오른 순간에 통신사들이 회선(빠른 임차 지원)을 도와줄 수 있도록 협력하고 있다”고 말했다.

KISA는 공격 트렌드 변화에 맞춰 사이버대피소 인프라를 지속적으로 고도화하는 한편, 침해사고 발생기업도 사고 대응과 복구를 수행하는 동안 사이버대피소에서 보호받을 수 있도록 기능을 확대할 예정이다.

김 팀장은 “디도스 사이버대피소는 약 12년의 기간 동안 KISA의 대표 서비스로 자리매김해왔다. 디도스 공격으로 인한 중소·영세 기업의 피해를 막는 첨병의 역할을 해왔고, 앞으로도 그 역할에 충실할 예정”이라며 “이에 더해 앞으로는 디도스 공격 외에 다른 공격에 의한 피해 기업들도 보호하려고 한다. 정보 유출 등 침해 사고로 피해를 입은 기업들은 복구 과정이 이뤄지는 기간에 추가 공격이 이뤄질 수 있다. 복구 기간 동안 보호가 필요한 상황으로 사이버대피소가 추가적인 공격을 받지 않도록 입주해 보호 받을 수 있도록 기능을 확장하고자 한다”고 계획을 밝혔다.

글. 바이라인네트워크
<이유지 기자>yjlee@byline.network

Similar Posts

답글 남기기

이메일 주소는 공개되지 않습니다.