클라우드 겨냥 DDoS, 모두가 위험하다

일반입력 :2013/02/04 13:45

손경호 기자

특정 회사만을 노렸던 분산서비스거부(DDoS) 공격이 클라우드의 확산으로 모든 웹서비스를 위협하고 있다. 대규모 인프라를 여러 회사가 공유하는 클라우드가 DDoS 위협도 공유하기 때문이다.

최근, DDoS 보안장비회사 아버네트웍스의 보고서에 따르면, 데이터센터를 겨냥한 DDoS 공격은 정기적으로 이뤄지며, 수법도 점차 복잡해지고 있다.

이런 가운데 갈수록 많은 기업들이 클라우드 서비스 사업자를 통해 회사의 IT인프라를 운영하는 상황이다. 특정 회사를 공격하는 건 전과 같지만, 공격의 파급력은 전보다 더 커질 수 있다는 지적이 나온다.

■DDoS공격 절반 이상이 인터넷서비스, 네트워크 인프라

아버네트웍스가 최근 발표한 '전 세계 인프라스트럭처 보안 보고서'에 따르면 2011년 10월부터 2012년 9월까지 1년간 전 세계 네트워크 엔지니어, 보안엔지니어, 네트워크 담당 관리책임자(CIO/CISO) 등 130명을 대상으로 설문조사를 한 결과, DDoS 공격의 절반 이상이 인터넷서비스와 네트워크 인프라스트럭처에 집중됐다.

응답자들은 전체 DDoS 공격의 절반 가량이 도메인네임서비스(DNS), 이메일 등 인터넷서비스와 라우터, 스위치, 로드밸런서 등 네트워크 인프라스트럭처에 집중됐다고 답했다.

특히 웹사이트 운영에 필요한 웹서버에 대한 공격이 여전히 높은 비중을 유지하고 있는 것으로 나타났다. DDoS 공격이 고도화 되면서 통신포트나 IP 등의 영역이 아니라 HTTP와 같은 영역에 까지 공격이 이어지고 있는 것이다. 최근에는 한꺼번에 대량 트래픽을 유발하는 것이 아니라 낮고 천천히 트래픽을 흘려보내 지속적으로 시스템에 부하를 주는 방법이 주로 사용되고 있다.

전체 네트워크 사업자의 절반이상은 여전히 IDC에 대한 DDoS 공격을 당한 경험이 있는 것으로 조사됐다. 더구나 약 49% 가량은 DDoS공격을 정기적으로 당하고 있다고 밝혔다. 인터넷 서비스에 대한 비중이 높아지는 가운데 이에 대한 공격도 늘어나고 있는 것이다.

지난해에는 주로 전자상거래(e-커머스), 온라인 게임 사이트 등이 주요 공격대상이 됐다.

데이터센터를 겨냥한 공격에 대해 응답자의 78%는 고객들의 웹서버를 직접 노리는 경우가 78%를 차지했다. 데이터센터 내에 인프라스트럭처 서비스(DNS, SMTP) 등에 대한 공격은 61%로 두번째 공격대상이 되고 있는 것으로 나타났다.

기존 독자적인 IDC를 운영해온 회사들은 방화벽, 침입방지시스템(IPS) 등을 사용해 물리적인 서버실을 겨냥한 공격을 막아왔다. 이 경우 DDoS 공격에 당하면 하나의 서비스만 불능상태에 빠진다.

그러나 클라우드 인프라를 기반으로 웹서비스를 운영되면 한 웹서버에 대한 DDoS 공격이 다른 기업의 여러 서비스에도 동시에 영향을 미칠 수 있다. 클라우드 인프라 내부에 존재하는 클라우드 기반 DDoS는 모두를 위험을 공유하기 때문이다.

클라우드는 인터넷 자원을 공유하는 것을 목표로 하기 때문에 여러 웹서비스 제공회사들은 동시에 같은 도메인네임서비스(DNS)를 쓰거나 물리적인 서버 한대를 여러 명이 동시에 사용한다. 이 때문에 클라우드를 활용하는 하나의 웹서비스가 DDoS 공격을 받을 경우 이를 사용하는 여러 개의 다른 웹서비스들도 피해를 입을 가능성이 높다.

클라우드 컴퓨팅 사업자는 서비스수준협약(SLA)을 통해 일정 수준의 품질을 고객들에게 약속하고 이에 위반하면 손해배상책임을 묻는다. DDoS 공격의 경우에도 사용자에게 책임이 있는 만큼 이를 관리하기 위한 투자금 역시 많이 들 수밖에 없는 것이다.

이 때문에 데이터센터 운영회사들은 리스크 관리에 필요한 운영비용면에서 가장 많은 산업적 손실을 내고 있다고 밝혔다.

■KT 매월 DDoS공격 수십건, 사전 대비책 마련에 집중

클라우드를 겨냥한 공격에 대한 위험성에 대해 데이터센터를 운영하는 클라우드 사업자는 사전예방조치 강화로 대비하는 모습이다.

프라이빗/퍼블릭 클라우드 서비스를 모두 제공하고 있는 KT는 매월 TCP/UDP/ICMP 등의 인터넷 프로토콜에 대한 플러딩 등 다양한 형태의 DDoS 공격이 수십건 이상씩 발생하고 있다고 밝혔다.

이중 KT가 특히 강조하는 부분은 DDoS 탐지시스템과 침입탐지시스템(IDS) 등을 통해 실시간 탐지·분석으로 공격트래픽을 차단하는 것이다. 이는 클라우드 기반 웹서비스를 겨냥한 공격에 대한 예방조치에 공을 들이고 있는 것으로 보인다.

관련기사

과거에는 특정IP나 서비스 포트에 대한 DDoS 공격이 주를 이뤘으나 국내에서 발생한 7.7 DDoS, 3.4 DDoS 부터는 클라우드 서비스를 이용하는 고객들의 웹서버를 직접 겨냥한 공격이 주류로 자리를 잡았다. KT는 정상서비스와 구분하기 어려운 소량의 패킷을 다수의 좀비PC를 통해 전송해 웹접속을 지연하는 공격이 지속되고 있다며 클라우드 환경도 안전치 않아 만전을 기하고 있다고 밝혔다.

윤동식 KT 클라우드 인프라 담당 상무는 지난 2003년 발생한 1.25 인터넷 대란 이후 KT는 수백억원을 투자해 보안시스템을 구축해왔다며 DDoS 탐지·차단시스템, IPS, IDS 등의 보안장비를 구축·운영하는 한편 클라우드 기반에 대한 DDoS 공격이 늘어날 것으로 예상된다고 밝혔다.