2021년 11월 MS 애저 3.47Tb 공격 및 2022년 6월 토스 30Gb 공격 등 꾸준하게 발생
정부 ‘디도스 사이버대피소’ 운영…디도스 대응 어려운 중소·영세기업에 최대 160Gb 대응 지원
[보안뉴스 원병철 기자] 2009년 발생한 7.7 디도스(DDoS) 공격은 주요 정부기관은 물론 은행과 포털 등을 대상으로 진행됐다. 이 사건은 사이버공격이 현실에도 큰 피해를 입힐 수 있다는 것을 증명했고, 정부와 기관, 기업들은 디도스 대응 장비 도입을 서둘렀다.
![[보안뉴스 / 7.18.] 아직 현재진행형 '디도스 공격, 어떻게 방어해야 하나](http://www.boannews.com/media/upFiles2/2022/07/280527511_2607.jpg)
[이미지=utoimage]
DDoS(Distributed Denial of Service attack, 분산 서비스 거부 공격)는 기존 DoS(Denial of Service attack, 서비스 거부 공격) 공격을 여러 대의 IT 기기를 이용해 확대한 공격이다. 즉, DoS 공격은 공격자가 직접 준비한 PC 혹은 IT 기기를 이용해 공격한다면, DDoS는 먼저 다른 PC나 IT 장비를 공격해 악성코드를 감염시킨 후, 이 장비들을 좀비 PC나 좀비 단말로 만들어 ‘봇넷(botnet)’을 구성해 공격하는 방식이다. 최근에는 IP 카메라나 AI 스피커 등 일상생활에서 쉽게 볼 수 있는 IoT 기기를 이용한 DDoS 공격도 발생하고 있다.
언뜻 비슷한 공격처럼 보이지만, 이를 막아야 하는 입장에서는 엄청난 차이가 있다. DoS의 경우 1대의 장비만 막으면 되지만, DDoS는 수십에서 수천대의 IT 장비를 모두 막아야 하기 때문에 중소·영세기업들은 대응에 한계가 있다. 중소·영세기업들이 디도스 공격의 사각지대에 놓이자, 정부는 2009년 7.7 디도스 사건 이후 중소·영세기업 대상의 디도스 공격 방어를 위한 ‘디도스 사이버대피소’를 만들어 공동 대응에 나섰다. 2010년 설립된 디도스 사이버대피소는 한국인터넷진흥원(이하 KISA)이 맡았으며, 현재 KISA 최고의 서비스 중 하나로 손꼽히고 있다.
![[보안뉴스 / 7.18.] 아직 현재진행형 '디도스 공격, 어떻게 방어해야 하나](http://www.boannews.com/media/upFiles2/2022/07/280527511_2401.jpg)
▲중소·영세기업 대상 DDoS 공격 현황[자료=KISA]
디도스 공격, 3가지 방법으로 대응 가능
2009년 7.7 디도스 공격을 시작으로 2011년 10월 정부사이트 공격과 2013년 6.25 사이버테러, 2020년 8월 금융권 공격과 2021년 3월 포털 공격에 2022년 6월 30Gb의 토스 공격까지 디도스 공격은 지금도 계속 발생하고 있다. 특히, 해외에서는 2016년 10월 Dyn의 1.2Tb 공격과 2021년 11월 MS 애저(Azure)의 3.47Tb 공격 등 테라바이트 공격을 넘는 대규모 공격이 발생하고 있다.
또한, 디도스 사이버대피소 자료에 따르면 2018년 16.7Gb에서 2019년 68Gb까지 오르는 등 중소·영세기업 대상의 디도스 공격 규모도 꾸준하게 증가하고 있다. 공격방법도 다양해지고 있는데, 특히 한 번의 공격에 다양한 공격기법을 복합적으로 사용하는 복합공격이 비율이 늘고 있다.
그렇다면 디도스 공격을 막는 방법은 어떤 것이 있을까? 크게 세 가지 방법이 있는데, 첫 번째는 인터넷의 대역폭을 확보하는 방법이다. 두 번째는 주요 콘텐츠나 데이터베이스를 분산해서 배치하는 방법이며, 세 번째는 인터넷 트래픽을 실시간 모니터링해 디도스 공격이 발생할 경우 즉각 대응할 수 있도록 하는 방법이다. 문제는 이러한 방법들 모두 ‘비용’과 ‘인력’을 필요로 한다는 점이다. 이처럼 중소·영세기업은 디도스 방어방법을 쉽게 추진할 수 없기에 정부가 디도스 사이버대피소를 운영하고 있는 것이다.
디도스 사이버대피소는 첫 번째와 세 번째 방법을 함께 사용한다. 디도스 사이버대피소는 기업 DNS의 웹서버 IP 정보를 대피소 IP로 교체함으로써 외부 공격을 받아 차단하는 방식으로 디도스 공격을 방어한다. 즉, 기업에 쏟아지는 디도스 공격을 사이버대피소가 대신 받는 것이다. 이 때문에 높은 트래픽의 공격을 막기 위한 많은 대역폭의 확보와 24시간 트래픽 상시 분석을 진행하고 있다.
디도스 사이버대피소는 총 160Gb의 트래픽을 수용할 수 있으며, 통신사 장비를 임차했기 때문에 긴급한 상황에서는 트래픽 용량을 확장할 수도 있다.
![[보안뉴스 / 7.18.] 아직 현재진행형 '디도스 공격, 어떻게 방어해야 하나](http://www.boannews.com/media/upFiles2/2022/07/280527511_5510.jpg)
▲디도스 사이버대피소 이용대상 및 절차[자료=KISA]
디도스 사이버대피소, 연평균 80~150여개의 디도스 공격 방어
그렇다면 기업들은 디도스 사이버대피소를 어떻게 운영할 수 있을까? 일반적인 중소·영세기업이라면 누구든 이용이 가능하다. 다만, 사행성 사업이나 불법적인 사업의 경우는 지원이 어렵다. 신청 절차는 2가지인데, 첫 번째는 사전 등록을 통해 미리 가입하는 방법과 실제 공격을 받았을 경우 긴급 대처 후 등록하는 방법이다. 사전 등록은 간단한 서류접수와 서비스 환경을 분석한 후 적격심사를 거쳐 대기한다. 이후 실제 디도스 공격을 받을 경우 긴급하게 해당 기업의 웹사이트 DNS를 변경해 IP를 디도스 사이버대피소로 옮겨 대신 공격을 받아 방어한다.
두 번째는 사전등록을 하지 않았더라도 갑작스럽게 디도스 공격을 받아 KISA 혹은 디도스 사이버대피소에 요청할 경우 필수정보를 확인(구두 확인)하고 대피소에 등록하고 방어한다.
디도스 사이버대피소는 이렇게 기업의 디도스 공격을 대신 받아들여 방어한 후, 공격이 끝나면 결과보고 및 사후 모니터링을 진행한다.
KISA에 따르면 디도스 사이버대피소는 2010년 개소한 이후 이용고객이 연평균 56.7% 이상 증가했다. 2021년까지 총 7,271개의 기업이 등록했거나 서비스를 받았으며, 현재도 약 900~1,000여개의 기업이 사전 등록한 상황이다. 이중 실제 공격을 받았거나 위급한 상황임을 인정받아 디도스 사이버대피소에 입주한 기업은 100~200여개다.
디도스 사이버대피소는 2021년까지 총 1,351건의 디도스 공격을 방어했으며, 2013년 이후 꾸준하게 80~150여건의 공격을 매년 방어하고 있다. 아울러 디도스 공격 모의훈련도 진행, 요청 기업에게 공격 트래픽을 생성해서 방어체계를 점검할 수 있도록 하고 있다.
실무를 담당하고 있는 김은성 KISA 탐지대응팀장은 “새로운 공격기법에 대한 고도화를 진행하고 있다”면서, “관련 장비 구축 등 기본 셋팅은 끝났지만, 아직 디도스 공격 방어가 기본인 것은 잊지 않고 있다”고 설명했다. 아울러 “침해사고 발생기업은 사이버대피소로 즉시 입주를 지원하고, 침해사고 피해기업이 복구시까지 대피소에서 보호받을 수 있도록 기능을 확대할 예정”이라고 덧붙였다.
[원병철 기자(boanone@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
![[보안뉴스 / 7.18.] 아직 현재진행형 '디도스 공격, 어떻게 방어해야 하나](https://mlsixs8vyvqc.i.optimole.com/U4pfbHs.KYFx~5c965/w:300/h:66/q:auto/https://cybersecurity.re.kr/wordpress/wp-content/uploads/2021/05/연구회-footer-로고.png "연구회 footer 로고")
