[케이스 스터디] 쓰레기 트래픽에 연간 300만원「구멍」

‘쓰레기’ 인터넷 트래픽 때문에 회사가 돈이 얼마나 드는지 궁금하게 생각해본 적이 있는가? 최근 조나단 야튼과 그의 한 동료가 그에 대해 알아봤다. 이 사례 연구를 통해 그런 정보를 어떻게 모았는지 살펴보고, 원치 않는 트래픽이 조직의 수지 타산에 얼마나 영향을 미치는지 알아보자.몇 년 전, 한 동료가 내게 간단한 질문을 하나 했다. 네트워크를 통해 들어오는 트래픽 중에 '쓰레기(junk)'인 게 얼마나 되며, 원치 않는 트래픽 때문에 돈이 드는 건 얼마나 되는지 말이다. 그가 질문한 내용에 대해 깊이 생각해 보기 전에 나는 그에게 쓰레기라는 용어가 무엇인지 정의해줄 것을 요청했다. 그가 쓰레기라고 분류하는 건 포트를 검색하는 수상한 패킷, 애플리케이션의 알려진 결점을 악용하려는 시도, 서비스를 제공하지 않는 호스트로 TCP와 UDP 서비스를 연결하려는 시도 같은 것들이다.IP 주소 추적, 통계 작업그는 내게 과거 30일동안 쓰레기 트래픽의 근원이었던 짜증나는 네트워크들에 대해 목록을 만들어줄 것을 요청했다. 처음엔 너무나도 쉬워보였다. 하지만 몇 시간 작업해 보니 정말로 과소평가했다는 생각이 들었다.결국 며칠 동안 작업을 끝마친 후 쓰레기 데이터의 근원인 상당히 포괄적인 IP 주소 목록을 만들어내게 됐다. 데이터를 수집하는 데에는 넷플로우(NetFlow) 데이터, 시스템 로그 파일, 스노트(Snort), 다크넷 등 다양한 도구를 사용했다.다해보니 지난 달에는 전세계에 걸쳐 대략 280만 대의 서로 다른 IP 주소들에서 우리 회사 네트워크로 쏟아져 들어오는 쓰레기 트래픽을 발생시키고 있었다. 이 수치에는 스팸 등 쓰레기 이메일이 들어오는 것은 포함되지 않음을 명심하기 바란다.다음으로 나는 이처럼 서로 다른 IP 주소들을 네트워크별로 분류하여 쓰레기 트래픽이 어디에서 오는지 알아낼 필요가 있었다. 그렇게 많은 데이터를 다룬다는 게 녹록한 작업은 아니었다.첫 단계가 데이터 수집이었기 때문에 나는 ARIN(American Registry for Internet Numbers)의 FTP 사이트에서 쓰레기 트래픽을 발송한 인터넷 네트워크 목록을 얻기로 했다. 하지만 ARIN은 BGP(Border Gateway Protocol)을 사용하고 있었고, BGP가 동작하는 방식 때문에 내가 초점을 맞출 수 있었던 최소의 네트워크 단위는 /24(C 클래스) 네트워크였다.한두 시간 코딩과 테스팅을 거친 후 전세계에 걸쳐 있는 네트워크의 쓰레기 발송 IP 주소를 정리해주는 총체적인 도구를 만들었다. ARIN에서 얻은 약 25만 개의 네트워크 경로와 280만 개의 쓰레기 전송 IP 주소 중에서 지난 달 우리 회사 네트워크로 쓰레기 트래픽을 보낸 책임이 있는 대략 4만 개 정도의 네트워크를 얻게 됐다.다음으로 나는 수집된 정보를 국가에 따라 ARIN(북미, 카리브 해 지역, 남아프리카), APNIC(아시아, 태평양 지역), LACNIC(남아메리카, 카리브 해 지역), RIPE(유럽, 중동, 중앙 아시아, 북아프리카) 네트워크 정보로 분리하기 위해 또다른 프로그램을 사용했다. 이윽고 일부 흥미로운 통계 수치가 드러나기 시작했다.미국, 중국, 프랑스, 벨기에, 독일 순통계적으로 쓰레기 IP 주소 대다수는 미국 내부에 있으며, 놀라울 만한 일은 아니다. 인터넷 특히 광대역 네트워크에는 트로이 목마 프로그램의 공격을 받은 윈도우 시스템이 수백만 대나 존재하고 이 시스템 대다수는 미국 내에 있다. 전세계 해커들은 정기적으로 이 엄청난 수의 공격받은 윈도우 시스템들을 봇넷(botnets)으로 조직화해 대규모 DoS 공격 등 불법 행위를 위해 사용하고 있다.쓰레기 인터넷 트래픽을 보내는 IP 주소를 보유한 곳 중 2위는 중국이다. 인터넷 사용을 국가가 엄격히 통제하고 있는 중국이라는 나라가 '중국이라는 거대한 방화벽'을 유지하고자 수백만 달러를 쏟아붓고 있음에도 불구하고 이런 수치가 나온다는 건 다소 역설적이다.그런데 중국은 자국 내에서 인터넷을 통해 나가는 것보다는 자국으로 들어오는 것에 대해 더 신경쓸 가능성이 높다. 이는 아마도 꽤 많은 쓰레기 이메일 발송 업체들이 중국에서 인터넷 서비스를 사용하고 있기 때문인 것 같다.쓰레기 이메일을 보내고 싶다면 중국 내에서 찾아보면 보낼 데가 많다. 그리고 많은 스팸 보고 서비스에서도 이를 충분히 확인할 수 있다. 어쨌든 그렇게 많은 중국 내 IP 주소들에서 SMTP와 다양한 TCP 프록시 서비스를 스캔했다는 사실 때문에 중국이 내가 작성한 쓰레기 발송 IP 주소 목록에서 2위를 차지했다.쓰레기 인터넷 트래픽 근원지 중 상위 5위 안에 드는 나머지 국가는 프랑스, 벨기에, 독일이지만 이 나머지 세 국가가 차지하는 비율이 그래프 상으로 종형 곡선을 그리지는 않기 때문에 합쳐서 이야기했다.30일동안 의심스러운 인입 데이터의 총량에 근거해 보고서를 작성해 보니 우리 회사 네트워크로 들어오는 인터넷 트래픽 중 대략 7%가 쓰레기 트래픽으로 분류됐다. 1Mbps 당 약 50달러의 비용이 든다고 추산해보면 쓰레기 트래픽으로 우리 회사는 매달 255달러, 연간 약 3060달러를 들이는 것이다.하지만 우리 회사 전체 대역폭 비용과 비교해 보면 이 양은 아주 보잘 것 없고 무슨 조치까지 취해야할만큼 가치도 없다. 쓰레기 트래픽을 보내는 네트워크 관리자에게 접촉하는 수고를 들이면서 비용을 들일만한 정당성은 없고, 어쨌든 그런 데들 중 대부분은 아마도 문제가 있다고 이야기한들 어떤 조치도 취하지 않을 것이다. 따라서 많은 여타 인터넷 문제들처럼 쓰레기 인터넷 트래픽을 다루는 가장 좋은 해결책은 아무 것도 안하는 것이다.@