500G급 대규모 DDoS 공격 몰려온다

인터넷입력 :2016/01/28 10:05    수정: 2016/01/29 10:47

손경호 기자

그동안 잠잠한 것처럼 보였던 분산서비스거부(DDoS) 공격이 지난해에만 최고 500Gbps의 전송속도로 공격을 퍼부었던 것으로 나타났다. 초당 500Gb의 트래픽이 목표로 한 웹서버들을 공격해 초토화시킬 수 있을 정도로 위력이 커지고 있는 것이다.

네트워크 보안 전문회사인 아버네트웍스에 따르면 지난해 500Gbps 공격이 최대 트래픽을 자랑한 데 이어 450Gbps, 425Gbps, 337Gbps급 DDoS 공격들이 발생했었다고 밝혔다.

2013년 스위스 비영리 스팸대응조직인 스팸하우스가 300Gbps급 공격을 당하고, 2014년 초 프랑스에서 400Gbps급 타임서버 증폭NTP 리플렉션)을 당하면서 이전과 달리 DDoS 공격 규모가 급증하기 시작했다.

콘텐츠딜리버리서비스(CDN)를 제공하고 있는 클라우드플레어에 따르면 2014년 중국에 홍콩의 자치권을 보장하라며 불거진 민주화 시위 과정에서 홍콩 내 미디어 사이트들이 500Gbps급 DDoS 공격을 당한 바 있다.

최근 스위스 침해사고대응팀(CERT)은 특정 해커 그룹이 현지 웹호스팅 회사에게 DDoS 공격을 맛보기로 보여준 뒤에 비트코인을 댓가로 지불하지 않으면 공격을 계속하겠다고 협박하는 사례까지 나왔다.

아버네트웍스는 설문조사 결과 3분의2 이상이 DDoS 공격으로 인한 분당 손실비용이 500달러를 넘어서고 있다고 설명했다. 이 회사는 인터넷서비스사업자, 호스팅 업체, 모바일, 기업, 기타 여러 유형의 네트워크 운영자 354명으로부터 조사했다.

국내에서는 한국인터넷진흥원(KISA)이 영세 중소 기업들을 대상으로 100Gbps 공격 트래픽을 수용할 수 있는 사이버 대피소를 운영 중이다. KT의 경우 IP주소에 따라 웹사이트를 연결시켜주는 도메인네임시스템(DNS) 서버를 노린 공격에 대응하기 위해 애니케스트 방식으로 DNS 서비스를 제공하는 중이다. 이밖에도 국내외 인터넷서비스사업자(ISP)들이 자사 망에 DDoS 공격 트래픽이 유입되면 해당 트래픽들을 눌(null) 처리해서 흘려보내는 방식으로 임시대응하고 있다.

우리나라에서 지난해 보고된 것과 같이 500Gbps 규모 공격이 발생한다면 제대로 대응이 이뤄질 수 있을까.

아버네트웍스 코리아 김영찬 지사장은 "국내서 약 300Gbps 정도까지는 DDoS 공격을 처리할 수 있는 용량을 갖추고 있지만 문제는 공격지속시간이 길어질수록 피해가 심각해질 수 있다"고 설명했다.

국내 이동통신회사들은 최대 500Gbps까지 처리할 수 있는 용량을 가진 곳이 있는가하면 일부 혹은 모든 트래픽을 블랙홀 처리하는 등 방식을 쓰는 중이다.

CDN 회사 아카마이 APJ 담당 시니어 엔터프라이즈 시큐리티 아키텍트인 인승진 이사는 "국내는 해외든 500Gbps 규모 공격이 들어온다면 ISP들이 휘청거릴 수밖에 없다"며 "통상 100Gbps~200Gbps급 트래픽을 처리하는 네트워크 장비들을 사용하는 경우가 많기 때문에 유입되는 악성 트래픽들을 처리하기 어려울 수 있다"고 밝혔다.

관련기사

최근 들어 공격 트래픽 규모가 늘어나고 있는 가장 큰 이유는 그만큼 전 세계 네트워크 인프라가 좋아지고 있기 때문이다. 클라우드 서비스가 등장하면서 일반 사용자들 뿐만 아니라 공격자들이 이러한 자원을 DDoS 공격에 악용하는 사례들이 늘고 있기 때문이다.

인 이사는 "최근에는 공격 트래픽의 총량도 문제지만 UDP프로토콜이나 DNS서버 등에 대한 공격이 종합적으로 이뤄지는 추세"라며 "CDN 회사들이 클라우드 서비스 단에서 악성 트래픽을 걸러내는 방식으로 대응하는 중"이라고 설명했다.