DDoS도 '융합'이 대세...L7 까지 함께 노려

일반입력 :2013/03/13 15:46    수정: 2013/03/13 15:49

손경호 기자

분산서비스거부(DDoS) 공격은 대규모 트래픽을 유발하는 것에 그치지 않고 애플리케이션 영역(L7)까지 노리는 복합적인 형태를 띄고 있습니다. 몇 년새 공격트래픽 자체는 줄어든 것처럼 보이지만 위험도는 오히려 더 높아졌습니다.

12일 국내 비지니스 협력차 방한한 제프 뷸 아버네트웍스 아태평양 지역 부사장은 기자간담회를 통해 DDoS 공격의 최신 동향을 이 같이 설명했다.

지난 7.7 DDoS 대란 이후 한국인터넷진흥원(KISA), 공공 및 기업 등에서도 DDoS 대응 장비를 갖추고 대비책을 마련하고 있다. 일부 보안담당자들은 더이상 국내에서 대규모 DDoS 공격이 발생할 가능성은 희박하다고 말한다.

그러나 아버네트웍스는 지난 2011년 10월부터 2012년 9월 말까지 전 세계 250개 이상 인터넷 서비스 프로바이더(ISP) 업체들에서 나오는 트래픽을 분석한 결과 복합적인 공격(멀티벡터 공격)을 당한 적이 있다고 밝힌 응답자가 46%로 절반가량을 차지했다. 뷸 부사장은 약 3년전만해도 평균 100Gbps의 공격이 최대치를 기록했으나 최근에는 오히려 공격트래픽은 이보다 떨어져 60Gbps 이하 수준에 머물고 있다고 밝혔다.

그러나 중요한 것은 기존에 좀비PC를 동원한 공격들과 달리 자동화된 봇을 동원해 소량의 트래픽을 지속적으로 전송하는 식으로 L7 영역을 노린 공격들이 함께 발생하고 있다는 점이라고 뷸 부사장은 설명했다.

이러한 멀티벡터 공격을 보여주는 가장 최근 사례는 지난 9월 오퍼레이션 아바빌이라는 단체가 미국 주요 은행 및 금융기관을 공격한 사건이다. 이들은 '이슬람교도들의 결백(Innocence of Muslims)'이라는 비디오를 인터넷에서 철회할 것을 요구하며 DDoS 공격을 감행했다. 당시 공격에는 자동화된 DDoS 공격용 봇넷과 좀비PC가 동시에 사용된 것으로 알려졌다.

L7 영역을 노린 공격은 기존 방화벽이나 침입방지시스템(IPS) 등으로 막기가 어렵다. 몇 가지 공격유형(DDoS 시그니처)을 기반으로 트래픽을 걸러내는 기존 방식으로는 정상적인 데이터를 위장한 소량의 트래픽까지 걸러지지 않기 때문이다.

이에 따라 뷸 부사장은 시그니처에 기반해 DDoS 공격으로 의심되는 트래픽을 차단 혹은 분석하는 방법 외에도 데이터가 보여주는 여러가지 행위들을 세밀하게 분석해 상황에 맞게 보안적인 조치를 취할 필요가 있다고 설명했다.

예를들어 공항 검색대를 통과할 때 옷차림이나 외모 등을 확인하는 것이 대규모 트래픽을 막아내는 방법과 같다면, 주위를 두리번거리거나 팔을 꼬고 있는 행동 등 잠재적으로 위험이 있을 것으로 우려되는 행위들까지 분석해내는 기술이 추가로 필요하다는 것이다.

회사는 기존에 익명화된 데이터 래픽을 '아틀라스'라는 보안위협분석시스템에 취합한 뒤 의심스러운 트래픽의 행위를 확인해 '에이서트'라는 보안엔지니어링팀을 통해 실제 위험여부를 분석한다고 설명했다.

관련기사

뷸 부사장은 한국의 DDoS 대비 현황에 대해 다른 나라에 비해 비교적 높은 보안수준을 유지하고 있는 것으로 알고 있다며 인터넷 인프라가 잘 구축돼있는 만큼 해커들의 공격시도 역시 많은 것으로 보고 있다고 밝혔다.

아버네트웍스의 전 세계 인프라 보안 보고서에 따르면 ISP와 기업고객들의 가장 큰 고민거리는 지속가능위협(APT) 공격으로 꼽았다. 응답자의 61%가 봇에 감염되거나 훼손된 호스트가 문제가 된다고 밝혔다. 또한 데이터센터 운영자 중 90%가 DDoS 공격 대비가 비즈니스에 가장 큰 운영비용을 차지한다고 답했다. 도메인네임서비스(DNS) 인프라에 대한 DDoS 공격은 전년보다 약 두배 늘어났다.