DDoS (디도스) 공격이란 무엇이며 DDoS를 방어/예방하는 방법은 없는 것인가?

최근에는 드라마에서까지 DDoS에 대한 이슈를 다루고 있습니다.

최근 시청자의 이목을 끌고 있는 "유령" 이 그 주인공인데요, 최근 급격히 발달한 인터넷 환경과 더불어 SNS, 악성코드, 디도스 등, IT 전반에 걸친 문제점을 지목하고 예방하자는 차원에서 이 드라마는 많은 점을 시사하고 있는 듯 합니다.

좀비 PC의 등장으로 인터넷이 되는 곳이면 어디든 사이버 공격, 테러가 가능하다는 점이 가장 문제가 되는 것인데요, 이 부분에서 IT 보안의 이슈 또한 수면위로 크게 떠오르고 있습니다.

평소 ISP나 SP, 네트웍 또는 서버 계통의 전문적인 종사자들이 아니면 잘 알지도 못했던 DDoS 나 DoS 공격의 무서움을 제대로 보여주고 있는데요, 이러한 문제점을 해결해 나가고 예방과 대책을 세워 제대로 준비하지 않으면 크나큰 사이버 테러로 인해 대혼란에 빠질 수 있다는 점 또한 보안적인 측면으로 더 관심을 가져야 한다는 점을 보여주고 있습니다.

그렇다면 대체 DDoS (디도스) 란 무엇일까요?

일전에 포스팅을 했었던 부분이 있는데요, 일단 아래 링크를 통해 간단히 확인하시기 바랍니다.

#DDoS (Distribute Denial of Service, 디도스) 란 무엇인가?

.

DDoS란 한마디로 분산 서비스 거부 공격을 뜻하는 것인데요, 어느 한적한 2차선 도로가 있는데 평소에는 지정체 없이 한두대씩 지나다니는 순탄한 도로이지만 어느 순간 수천/수만대의 차가 한번에 그 도로를 통과하려고 한다면 그 도로는 차로 인해 꽉 막혀버릴테고 차의 이동은 더이상 없어지게 되며, 1m도 앞으로 나아갈 수 없을 정도가 될 것입니다.

이렇게 인터넷망에 터있는 데이터들이 오가는 도로를 대량의 데이터를 한번에 전송함으로써 그 통로를 막아버리는 것을 말합니다.

다른 정상적인 데이터들은 비정상적인 데이터들로 꽉차버린 도로를 더이상 통과할 수 없게 되는 것이죠.

디도스 공격의 대부분은 한군데서 공격하는 것이 아니라 어느 한 순간에 명령을 내리는 좀비PC들의 우두머리의 원격 조정에 의해 이루어지는 것입니다.

감염이 된 좀비 PC들은 일련의 명령에 맞춰진대로 어느 날짜, 몇시 몇분이 되면 한순간에 정해진 목표물로 데이터를 전송하여 파괴시키게 되는 것입니다.

드라마에서 나오듯이 국방부/각 부처/은행권/증권사 등으로 DDoS 공격이 이루어진다면 그 피해는 이루 말할 수 없을 것입니다.

한가지 오류가 있는데요, 위 링크에 설명되어진 DDoS의 피해를 PC의 시간 변경으로 단순히 막을 수 있는 구시대적인 발상은 이제 버려야 합니다.

좀비Pc에 침투한 악성코드는 그리니치 시간을 기준으로 하는 수많은 타임서버와의 동기화를 통해 컴퓨터의 시간과 무관하게 정확한 GMT, KST 시간에 공격을 하게 됩니다.

조금 무섭죠?^^;

자, 그렇다면 좀비PC란 무엇일까요?

좀비 PC란 어떠한 경로를 통해 악성코드의 유입으로 원격 조정의 대상이 되는 컴퓨터를 말하는데요, 좀비 PC에 대한 조금 더 상세한 내용은 아래 링크를 통해 확인하시기 바랍니다.

#좀비PC 감염 증상 및 확인 방법, 좀비 PC를 예방하기 위한 방법

자, 위의 글들을 잠시 읽어보시면 DDoS란 무엇이고 왜 좀비PC가 되어 문제가 되는 것이며 DDoS 공격은 왜 무서운 것인지를 조금이나마 이해하셨을 것이라 생각합니다.

디도스의 위엄은 이렇게 수면 위에 떠오르기 이전부터 각 서비스 프로바이더들 사이에서는 크나큰 이슈로 떠올라 있으며, 현 시간까지 적절한 대응 방법을 찾지 못한 채 피해만 받고 있는 실정입니다.

하지만 위안이 되는 것이 DDoS 대응 장비의 개발과 적용입니다.

현재 ISP (Internet Service Provider) 내에서는 여러 10Gigabit Ethernet 링크를 통하여 자신들의 통신망 전체 ip에 대하여 DDoS 패킷에 대한 감시와 차단을 시행하고 있는데요, 솔직히 현 시간까지는 모니터링 후 뒷처리에 불가하였지만 auto detect drop 을 통하여 자동으로 DDoS 공격을 차단할 수가 있는 방법이 존재합니다.

물론 detect 감지하기까지의 시간이 몇초 또는 몇분 이내로 소요되기는 하지만 무시무시한 DDoS 공격을 차단할 수 있다는 점에서 DDoS 대응 장비는 아주 큰 각광을 받고 있습니다.

데이터의 패턴을 통한 감지 방식을 이용하는데요, 평소 사용량이 일정한 ip들에서 갑자기 1G이상, 3G, 4G 이상의 데이터 폭주가 감지된다면 DDoS 대응 장비는 그 패턴을 인지하여 데이터를 유발하고 있는 ip에 대하여 BGP announce 방식을 통한 Null 0 드롭을 자동적으로 시행하게 됩니다.

그 대표적인 장비가 바로 Arbor 장비인데요, 대부분의 SP, ISP 에서는 이 Arbor 장비로 Peakflow 모니터링을 시행하고 있는 것으로 알고있습니다.

하지만 위에 말씀드린 바와 같이 현재까지는 수동적인 차단이 이루어지고 있으며, 그 주요 원인은 정상적인 데이터의 차단으로부터 벗어나기 위한 것으로, 데이터 패턴만으로 정상/비정상적인 패킷을 정확히! 100%! 100퍼센트 분류하기란 불가능한 것이 그 이유에서입니다.

물론 몇단계에 걸쳐서 아주 심각한 데이터량의 변화만 차단할 수 있긴 하지만, 그것 또한 100% 분석된 자료를 토대로 하는 것이 아니기 때문에 서비스를 제공하는 입장에서는 큰 손실이 될 수도 있는 이유 또한 자동으로 차단하지 못하는 이유가 되겠습니다.

물론 특정 ip블록만 모아서 적용할 수 있기에, 문제가 되는 사이트, 공격 피해가 될 소지가 큰 사이트에 대해서는 자동 차단의 적용이 일부 이루어져 있긴 합니다.

갑자기 DDoS 대응장비 판매하는 사람처럼 보이니... -,.-;;

DDoS의 공격과 동시에 수반되는 것이 바로 좀비PC로 인해 감염된 악성코드인데요, 보통의 해커가 아닌 크래커들은 DDoS를 악의적인 목적의 수단으로 이용하기는 하지만, 그 DDoS 공격을 필두로 하여 다른 곳에 최종 목적을 두는 것이 나쁜 크래커들의 근복적인 목적이 되기도 합니다.

그것을 절실히 보여주는 것이 바로 드라마 유령에서 나오듯이 DDoS로 사회적 이목을 집중시킨 뒤 주 목적인 대한전력 망을 마비시켜 사회적 혼란을 일으키는 것이죠...

크래커들을 막기 위한 사이버 대테러 전담반에서도 많은 노력을 기울이기는 하지만 악의를 품은 크래커들의 공격을 미리 차단하기란 정말 어려울 실정이라는 것을 알고 계셔야 합니다...

---

마무리를 하지면, 현재 DDoS 공격은 인터넷을 제공하는 ISP측에서도 큰 골칫거리가 되고 있으며,

그에 따른 대응 장비를 모두 마련한 상태이지만 아직 자동 차단이 적용되는 시점이 아니라는 점과,

좀비 PC의 감염에서 벗어나기 위해 PC방, 그리고 인터넷을 사용하는 모든 이용자들은 경각심을 갖고 보안에 한걸음 다가서야 한다는 것입니다.

-----

방문 감사합니다 (__)