호기심의 발단은 국내 모 쇼핑몰 보안담당자와 만나면서부터였다. 그는 국내에서 초당 300기가비트(Gbps)급 대규모 분산서비스거부(DDoS) 공격이 들어오면 아마 국내 환경에서는 버텨내지 못할 것이라고 운을 뗐다.
얘기를 듣고나니 문득 궁금해졌다. 국내 네트워크 인프라는 지난해 스위스에 있는 비영리 스팸대응조직인 스팸하우스를 공격한 300G급 DDoS 공격, 올해 초 프랑스에서 발생한 400G급 타임서버 증폭(NTP 리플렉션) 공격이 발생했을 때 감당해낼만한 수준일까?
국내 업계 전문가들의 말을 빌리면 결과적으로 공격에 대응할 수 있는 대비체계는 갖춰져 있으나 완벽하게 막아낸다고 보기는 힘들다. 한국에서 대규모 DDoS 공격이 발생했을 경우 빠른 초기대응만이 거의 유일한 해결책이라는 얘기다.
2009년 발생했던 7.7 분산서비스거부(DDoS) 공격 대란 이후 국내에서는 DDoS 대응장비를 대대적으로 도입하고, 대규모 트래픽을 분산시켜 급한 불을 끌 수 있는 사이버대피소를 마련했다.
한국인터넷진흥원(KISA)이 구축한 사이버대피소는 초당 100G 수준의 DDoS 공격을 수용할 수 있다. 이밖에 KT에서는 DNS서버를 노린 DDoS 공격 트래픽을 분산시키기 위해 애니캐스트 방식으로 DNS 서비스를 제공하고 있다.
보안 업계 관계자들에 따르면 300G급 DDoS 공격을 막기위해 국내 네트워크 인프라는 '블랙홀'이라는 기능을 활용한다. 국내외 인터넷서비스사업자(ISP) 망을 통해 DDoS 공격 트래픽이 유입되면 해당 트래픽을 모조리 눌(null) 처리해서 망이 마비되는 사고에 임시대응한다.
예를 들어 A라는 목적지에 평균 10G 트래픽이 전송되는 것이 일반적일 경우 200G~300G 공격 트래픽이 그대로 들어오게 되면 망이 죽어버린다. 만약 해당 망이 국방망, 조달청 등 정부 주요 업무망이라고 하면 문제는 심각해 진다. 이에 대한 대비책으로 잠시동안 망이 수용할 수 있는 용량 이상의 트래픽을 블랙홀에 집어넣어버리는 것이다.
관련기사
- DDoS 위력 여전, 지난해 기업 40%가 공격 받아2014.07.30
- 월드컵 개막…관련 웹사이트 DDoS '몸살'2014.07.30
- 2014년 최대 규모 DDoS 공격, 프랑스 강타2014.07.30
- KISA, DDoS 공격 유발 좀비PC 주의 당부2014.07.30
그 사이 DDoS 공격을 유발한 원인에 대한 대응책을 빠르게 내놓아야 한다. 만약 이 기간이 길어지면 정상적인 업무가 불가능하게되는 혼란을 초래할 수 있다. 더구나 블랙홀에 트래픽이 유입된다는 것은 DDoS 공격 트래픽에 섞여있는 정상적인 트래픽도 유통되지 못한다는 뜻이다.
금융보안연구원 관계자에 따르면 2012년 미국 주요 6개 은행 전산망을 마비시켰던 DDoS 공격은 그나마 인터넷뱅킹 수요가 우리나라처럼 많지 않아 대응이 가능했지만 한국 처럼 90% 이상이 스마트폰, PC로 실시간 뱅킹을 하는 나라에서는 훨씬 피해규모가 클 수 있다고 설명했다. 더구나 최근 유행하고 있는 DNS서버 공격, 타임서버 증폭 공격은 국내 인터넷을 활용하기 위해 필수적인 서버를 공격하고 있는 만큼 충분한 대비책을 보완할 필요가 있다는 지적이다.