1위 호스팅 업체까지 뚫는 ‘디도스’ 공격…일반 트래픽 구분 어려워 발 동동

By이진호

LG유플러스에 이어 도메인 등록 및 웹호스팅 업체 가비아도 최근 분산서비스거부(DDoS·디도스) 공격을 받으면서 사이버보안 경각심이 높아지고 있다. 최근 디도스의 타깃이 된 대형 기업이 늘어나고 있는 가운데 원인과 대응 방안에 관심이 쏠린다.

지난달 24일 오전 가비아는 도메인네임시스템(DNS)서버에 디도스 공격을 받아 가비아 홈페이지를 비롯해 다수의 고객사 홈페이지에 접속 장애가 일어났다.

가비아에 따르면, 네임서버에 대한 공격을 인지한 것은 이날 오전 10시 12분쯤이다. 이후 가비아는 질의가 과도하게 들어온 도메인과 해외 IP를 막았고, 서비스는 2시간 48분쯤 멈췄다가 이날 오후 12시 58분 정상화됐다. 당일 한국인터넷진흥원(KISA)에 침해 사실을 신고한 가비아는 구체적인 공격 로그를 분석하는 중이다.

가비아는 공격 의심 IP가 프랑스 소재인 것까지는 확인했지만 이 또한 충분히 위장이 가능한 것이라 해킹 주체 확인까지는 시간이 걸릴 전망이라고 밝혔다. 가비아 관계자는 “정확한 해킹 주체와 목적을 확인하는 중”이라고 말했다.

1999년 설립한 가비아는 국내 1위 도메인 및 웹호스팅 업체로 알려져 있다. 앞서 LG유플러스도 디도스 공격을 받았다. 통신사까지 뚫리자 정부와 KISA는 특별조사점검단까지 가동한 상태다.

대형 업체들마저 디도스에 뚫렸다는 점에서 경각심이 요구되는 상황. 왜 많은 보안 인력을 보유한 큰 기업도 디도스 공격의 희생양이 되는 걸까.

디도스 공격은 쉽게 말하면 질의, 즉 서버 접속을 과도하게 해 서버의 정상 작동을 막는다. 정상적인 트래픽 통행을 방해해 웹사이트를 마비시키는 게 목표다. 주로 좀비PC로 불리는 봇을 활용한다. 하지만 갈수록 고도화되는 수법에 방어가 쉽지 않다는 토로가 나온다. 디도스는 트래픽을 과도하게 밀어넣는 방식이기 때문에 서버 증설이 1차적 방어망으로 꼽히지만 공격성 접속 자체를 걸러내기 어렵다는 게 업체의 설명이다.

가비아 관계자는 “과거와 달리 디도스 해킹 방법도 발전해 도메인 데이터를 분석해 들어오는 방식으로 변하고 있다”며 “과도한 접속이 탐지되긴 하지만 정상적인 경로이기 때문에 사실상 걸러내기가 쉽지는 않다”고 말했다. 정상 접속과 비정상 접속을 구별하기 힘들고, 그렇다고 해서 모든 트래픽을 막을 수는 없기 때문에 고충이 있다는 뜻이다.

가비아는 서비스 정상화 다음날인 25일 새벽 네임서버를 교체하고 긴급 증설 작업을 완료했다. 또 상반기 내로 서버를 추가로 증설해 현재의 대비 10배의 트래픽을 수용할 수 있도록 할 방침이다. 가비아는 현재 고객사들로부터 구체적인 피해 사례를 수집하고 향후 피해 보상 방안 등을 논의하고 있다.

반대로 홈페이지를 운영하는 기업 차원에서는 디도스 공격에 대응하기 위해서는 백업 시스템을 갖추는 게 필요하다. 상대적으로 여유가 있는 대형 기업들은 백업 서버를 마련해 빠른 복구가 가능하지만, 소기업은 그렇지 못한 곳이 많다.

이에 클라우드가 대안이 될 수 있다는 게 전문가의 조언이다. 온프레미스로 바로 서버를 놓기보다는 비용 절감 차원에서 클라우드를 활용하라는 뜻이다. 권헌영 고려대 정보보호대학원장은 “클라우드와 IDC(인터넷데이터 센터)를 십분 활용하라”면서 “커버가 되지 않는 것에 대한 투자가 필요하다”고 말했다. 보안 인력이 부족한 기업들은 반대로 클라우드나 IDC가 제공하는 보안 인프라를 활용해 서비스를 지켜야 한다는 뜻이다.

만약 중소·영세 기업이라면 KISA가 운영하는 디도스 사이버 대피소를 이용하는 것도 좋다. 실제 2010년부터 운영된 대피소는 지난달까지 3만6069건의 이용건수를 기록할 정도로 많은 기업의 디도스 방어에 힘을 보탰다. 반대로 말하면 그만큼 디도스 공격이 빈번하다는 뜻도 된다.

피해 웹사이트로 향하는 디도스 트래픽을 대피소로 우회해 분석, 차단해준다. 본래의 서버로 유입되던 모든 트래픽을 대피소가 대신 받는 형태다. KISA는 대피소에 대해 최대 180Gbps까지 대규모 트래픽 소화가 가능하다고 설명했다.

김은성 KISA 탐지대응팀장은 “평소 기업 스스로 네트워크 트래픽 양을 인지하고 이상징후 탐지를 위한 모니터링이 필요하다”며 “서비스 장애 예방을 위해 분산 운영체계를 갖추는 것이 중요하다”고 조언했다.

글. 바이라인네트워크
<이진호 기자>jhlee26@byline.network

보이는 것만 믿지 않겠습니다.
jhlee26@byline.network

관련 글

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다