지능화된 DDoS 공격, 위험성 가중

홈 > 뉴스 > 테크가이드 > 보안

지능화된 DDoS 공격, 위험성 가중

응용계층 노린 특화 공격 발생 … 내외부 교차 방어체제 구축 ‘절실’

관련기사

“DDoS 공격 위협 여전, 대응방안 마련 필수”

2011년 02월 09일 20:27:05

데이터넷

webmaster@datanet.co.kr

조원용
시큐아이닷컴 부장
wonyong.cho@samsung.com

국내에 본격적으로 분산서비스거부(DDoS) 공격의 개념이 등장한 것은 1·25 인터넷 대란으로 불리는 2003년 슬래머웜(Slammer worm) 공격이 시초다. 슬래머웜은 트래픽을 집중시켜 대역폭 자원을 고갈시키는 공격으로 공격대상 사이트를 마비시켰다. 대역폭 고갈 공격은 DDoS 기법의 대표적 방법이지만, 현재는 보다 정교하고 교묘하게 발전해 맞춤형 복합형 공격이 진행되고 있는 상황이다. 비교적 단순한 형태에서 지능화된 복합 공격이 발생하고 있어 이를 효과적으로 방어하기 위한 보안업체의 노력은 현재도 계속되고 있다.

정교한 DDoS 공격 증가
기존의 DDoS 공격이 주로 목적 서버의 자원을 고갈시키기 위한 공격과 대역폭 고갈 공격이 주로 이뤄진 반면, 2009년 7·7 대란으로 인해 주요 사이트들의 DDoS 공격에 대한 대비가 강화되면서 최근의 공격은 보다 정교한 형태로 진화되고 있다. ▲플래그먼트 플루딩 ▲SYN 플루딩 ▲HTTP 플루딩 등은 최근 진행되는 정교한 DDoS 공격의 대표적 방법이다.

:: 프래그먼트 플루딩(Fragment Flooding) 공격
대역폭 고갈을 목적으로 하는 공격으로 가장 단순하면서 가장 강력한 공격 수단 중 하나다. 주로 UDP, ICMP를 이용해 대량의 트래픽을 전송하는 방식을 사용하며, 공격 트래픽 생성이 용이하고 효과가 높아서 많은 공격에 이용되고 있다. 프래그먼트 플루딩 공격은 탐지는 비교적 쉽게 할 수 있으나, 이미 공격 트래픽이 대역폭을 점유하고 있는 관계로 해당 사이트에서의 조치는 제한적일 수밖에 없다. 따라서 이러한 공격은 공격에 사용된 트래픽의 종류와 공격자 IP를 추출, 상위 망 관리자에게 협조를 구해 해당 트래픽을 차단해야 한다.

:: SYN 플루딩 공격
주로 서버의 자원을 고갈시키기 위한 공격으로 탐지 및 방어가 용이하다. 기존에는 허위(Spoofed) IP를 이용한 공격이 많았으나, 점점 이러한 IP의 사용은 줄어들고, 대량의 좀비 PC를 이용한 실제(Real) IP기반의 공격이 많아 지고 있다.

:: HTTP 플루딩 공격
대부분의 사이트에서 웹 서버를 운영하면서 이를 노리는 HTTP 관련 공격이 늘어가고 있으며 점점 지능화되고 정교해지고 있다. 가장 일반적인 형태의 HTTP 플루딩 공격은 공격 대상 웹 서버로 대량의 HTTP 요청(Request)을 전송해 웹 서버의 정상적인 운영이 되지 않도록 하고 있다.

다수 IP 이용 특화 공격 대두
2009년 7·7 대란 이후 공공기관을 중심으로 금융기관, 기업까지 전문화된 DDoS 대응체계를 구축한 곳이 많아지면서 DDoS 공격은 새로운 특징이 나타나고 있다. 이러한 대응체계 및 장비를 우회하기 위해 더욱 실제 사용자 트래픽과 유사한 형태로 발전, 공격 트래픽과 정상 트래픽을 구분하기 어려운 공격이 진행되고 있는 것이다. 7·7 이후 나타난 DDoS 공격의 특징을 정리하면 다음의 세 가지로 요약된다.

우선 실제 사용자 트래픽과 유사한 공격 트래픽을 사용한 공격이 나타나고 있다는 점이다. 기존에는 대부분의 공격 트래픽이 단순하게 생성돼 정상적인 사용자가 발생하는 트래픽과 어느 정도 구분이 가능했다. 예를 들어 가령 UDP 플래그먼트 플루딩 공격에서는 페이로드를 모두 0x2C로 보내거나, HTTP 트래픽의 경우에는 유저-에이전트(User-Agent) 필드에 비정상적인 값이 들어있는 등 단순한 형태였다. 하지만 최근에는 공격 트래픽을 실제 사용자 트래픽과 유사하게 생성, 방어하는 입장에서 정상 트래픽과 공격 트래픽의 구분이 모호해지고 있으며, 이에 따른 오탐 발생 가능성을 높이고 있다.

공격에 사용되는 공격자 IP 수가 증가하고 있다는 점도 특징이다. 공격에 동원되는 공격자 IP가 증가하면 할수록 이에 대한 방어는 점점 더 어려워질 수밖에 없는 것이 현실이다. 다량의 공격자 IP를 이용해 공격자 IP별 소량의 트래픽만 발생시키도록 하는 공격이 증가, 이에 대한 방어를 더욱 어렵게 만들고 있다. 나아가 최근 점점 증가하는 스마트폰을 대량의 공격도구로 사용하는 공격가능성 역시 배제할 수 없다.

세 번째 특징은 응용계층(HTTP, VoIP) 기반의 특화된 공격이 발생하고 있다는 점이다. 이는 기존의 무차별적인 공격에서 점점 공격 대상에 특화된 정교한 형태의 공격이 증가하는 경향을 나타낸다. 특히 웹서버의 경우 공격 대상 웹서버에 구축된 URL을 먼저 조사하고, 해당 URL을 이용한 공격을 시도, 웹 서버에 부하를 증가시키는 공격도 발생하고 있다.

이러한 최근의 공격 경향으로 보아, 2011년 이후에는 더욱 더 지능적으로 공격이 진화하면서 기존의 단순 플러딩 방식이 아닌 특정 응용계층을 노리는 형태가 예상되며 이때 이용하는 트래픽 양도 점차적으로 소량을 이용한 방식으로 진화하므로, DDoS 전용 방어장비 역시 이러한 점을 감안해야 한다.

지능화 공격 방어 위한 엔진 고도화 필수
지능화된 형태로 DDoS 공격이 진화함에 따라 이를 방어하는 기술도 보다 정교하고 효율적으로 진화해야 할 것이 요구된다. 지능화된 공격에 맞춰 탑재돼야 할 전문 방어 엔진의 몇 가지 방향을 나열해보면 다음과 같다.

첫 번째로 DDoS 대응 장비의 방어 기능도 다양한 응용 계층의 공격을 탐지할 수 있어야 하며, 기존의 알려지지 않은 새로운 형태의 공격에 대해서도 DDoS 대응 장비에서 스스로 트래픽의 패턴을 학습하여 이를 기반으로 공격 패턴을 자동으로 추출 하고 이를 기반으로 차단할 수 있어야 한다.

두 번째로 양방향 트래픽을 모두 수집해 클라이언트-서버 쌍으로 정보를 각각 관리하고, 트래픽의 특성을 분석, 모니터링해 클라이언트 중 공격자 IP를 검출할 수 있어야 한다. 공격자를 검출하는 판단기준은 CBA(Cache Behaviral Anomaly), SBA(Server Behaviral Anomaly), UBA(User Behaviral Anomaly) 엔진이 필요하다.

세 번째로 메시지 차단을 이용해 공격자를 탐지하고 SIP 플루딩 공격을 차단할 수 있어야 한다. 사용자의 메시지를 차단하게 되면, SIP의 재전송 매커니즘에 따라 정상적인 사용자라면 응답이 없는 메시지에 대해서 재전송할 것이고, 비정상적인 사용자라면 재전송을 하지 않을 것이다.

다수의 보안공격이 그러하듯 정교하게 취약점을 파고드는 DDoS 공격 역시 전문 방어장비의 도입은 필수적이자 최선의 선택이다. 하지만, 장비의 도입이 모든 DDoS 공격을 막아주는 완벽한 보안체계를 구축해주는 것은 아닌 만큼 내외부 네트워크에 대한 교차 방어체계 구축이 필요하다. 외부 트래픽을 방어해주는 것이 DDoS 전용 방어장비에 대한 지속적인 시그니처 업데이트 관리 및 내부 네트워크에 좀비PC가 존재했을 경우 등에 대비한 내부 네트워크에 대한 보안체계를 마련해야 한다.