[정보통신신문=박광하기자]

지능화되는 DDoS(Distributed Denial of Service) 공격 위협에 국내 기업·기관이 적절하게 대응할 수 있도록 돕는 서적이 나와 주목을 받는다.

과학기술정보통신부와 한국인터넷진흥원(KISA)은 최근 'DDoS 공격 대응 가이드'를 발간, 국내 기업·기관이 참고할 수 있도록 공개했다.

DDoS 공격이란 다수의 서버, PC등을 이용해 비정상적인 트래픽을 유발시켜서 대상 시스템을 마비시키는 공격 행위를 뜻한다.

가이드에 따르면, 공격자는 DDoS 공격을 위해 먼저 취약한 서버를 공격해 악성코드를 배포하고, 유포지·경유지 서버에서 악성코드를 내려 받은 서버·기기들을 이용해 봇넷을 구축한다. 공격자는 봇넷에 명령을 전달해 대규모의 트래픽을 유발(DDoS 공격)시키거나, 취약한 서버를 악용해 반사공격(DRDoS 공격)을 수행한다.

DDoS 공격은 공격 형태에 따라 크게 △대역폭 공격 △자원 소진 공격 △웹·DB 부하 공격이 있다. 각각의 공격 형태마다 특징이 있으며, 대응하는 방법도 각기 다르다. 모든 DDoS 공격은 공격을 수행하는 봇넷의 규모에 따라 위험도가 비례하고, 통상 대부분의 공격은 여러 공격 유형을 혼합하는 멀티벡터 공격을 사용한다. 예를 들어 웹·DB 부하 공격을 대역폭 공격과 함께 사용할 경우 공격 식별 및 대응이 어려워진다.

대역폭 공격의 종류로는 UDP Flooding, ICMP Flooding, DRDoS 등의 수법이 있다.

UDP Flooding은 대역폭 공격 중 가장 대표적인 공격 방식으로, 데이터를 전송할 때 TCP 프로토콜의 연결 지향(connection-oriented)이 아닌 UDP 프로토콜의 비연결형(connectionless) 특성을 악용한 공격이다. 출발지 IP를 위·변조한 후 UDP 프로토콜로 대규모 데이터를 생성해 피해대상 시스템을 향해 전달한다. UDP Flooding은 대상서버에서 UDP Port를 사용하지 않아도 공격할 수 있으며, 공격을 수행하는 감염된 기기가 많을수록 위험도는 증가한다. 단순한 공격방식과 강력한 효과로 과거부터 현재까지 지속적으로 사용되는 공격방식이다.

ICMP(Internet Control Message Protocol) Flooding 수법은 주로 ICMP Request와 Reply를 사용한다. ICMP Flooding은 ICMP Request 패킷을 이용해 피해서버로 대량의 ICMP 패킷을 생성, 전달해 피해서버의 대역폭을 고갈시키는 공격방식이다. 반사공격과 다르게 ICMP Flooding은 증폭이 발생하지 않기 때문에 공격기기의 대역폭에 따라 공격 규모가 결정된다.

DRDoS(Distributed Reflection Denial of Service) 공격은 단순 DDoS 공격에서 더 발전된 공격형태다. 봇넷 기기들이 직접 공격을 수행하는 것이 아닌 증폭공격에 활용되는 서비스를 제공하는 서버 및 서버 역할을 할 수 있는 단말 장비(네트워크 장비, 공유기 등)까지 공격기기로 이용한다는 특징이 있다.

자원 소진 공격으로는 SYN Flooding, ACK Flooding, DNS Query Flooding 등이 알려져 있다.

SYN Flooding은 자원 소진 공격에 가장 대표적인 공격방식으로서 과거부터 현재까지 가장 많이 사용되는 공격방법이다. TCP Protocol의 3-way-handshake를 악용한 공격기법으로 SYN Flag만 지속적으로 전달하고 돌아오는 SYN·ACK 패킷에 대한 응답을 주지 않아서 피해 서버의 자원를 소모하게 만드는 공격기법이다. bps에 비해 높은 pps를 보이는 것이 특징이며, 대역폭 공격과 다르게 대규모의 트래픽을 발생시키지 않아도 서비스 접속 불가를 유도할 수 있다.

ACK Flooding은 SYN Flooding과 유사하게 3-way-handshake의 특성을 악용한다. 다량의 ACK Packet을 피해대상에게 보내서 자원을 소모하게 만드는 공격기법이다. 피해서버는 ACK Packet을 수신하면 자신이 보낸 Packet에 대한 응답인지 확인하기 위해 서버의 컴퓨팅 성능을 많이 소모하게 되며, 결과적으로 정상 사용자들이 접속할 수 없게 된다. SYN Flooding과 동일하게 높은 pps를 보이며, IP 위·변조가 가능하다. 또한 DRDoS 형태로 공격이 가능하다는 특징이 있다.

DNS Query Flooding은 DNS서버에 대량의 DNS 질의를 보내서 정상 서비스를 할 수 없게 만드는 공격이다. DNS 서버는 UDP 프로토콜 53번을 통해 도메인 정보에 대한 IP주소를 요청을 받으면 해당하는 IP값을 응답하는 역할을 한다. 이런 서비스 구조를 이용해 DNS서버로 단시간에 대량의 DNS 질의를 보내면 DNS서버는 요청한 DNS 질의에 대한 응답을 보내기 위해 자원을 소모하기 때문에 결과적으로 정상 사용자의 IP주소 질의에 대해서는 응답을 할 수 없게 된다.

웹·DB 부하 공격 수법에는 GET Flooding, Slowloris Attack, RUDY Attack, Slow read Attack 등이 있다.

GET Flooding은 웹과 DB 부하 공격의 가장 대표적인 공격방식으로 최근에도 활발하게 이뤄지고 있는 공격 방법이다. 공격자는 TCP Protocol의 3-way-handshake를 통해 서버와 세션을 맺은 후, HTTP GET 메소드 요청을 통해 웹서버의 자원을 소진함과 동시에 DB서버까지 자원을 소진 시켜서 정상적인 사용자의 웹서비스 이용을 차단한다. 자원 소진 공격과 유사하게 bps에 비해 높은 pps를 보인다. 정상 요청과 유사한 요청을 보이기 때문에 사전 대비가 어렵고 적은 개수의 좀비 PC·단말로도 서비스 장애를 유도할 수 있다는 특징이 있다.

Slowloris Attack은 GET Flooding에 비해 상대적으로 규모가 작은 공격이다. HTTP GET 메소드 요청과 유사하지만 단시간 내 폭발적으로 요청하는 공격이 아니라 오랜 시간 동안 지속적으로 공격을 수행한다는 차이점이 있다. 정상적인 HTTP 패킷의 헤더는 개행 문자(Carriage Return & Line Feed)가 두번 나타난다. 첫 번째 개행 문자는 헤더의 종료이며 두 번째 개행 문자는 전체 헤더의 종료를 의미한다. 만일 헤더의 마지막에 개행 문자를 하나만 전송하면 웹서버는 헤더가 모두 도착하지 않은 것으로 간주하고 연결을 유지하며 대기상태를 유지한다. 즉, 지속적인 공격으로 서버의 자원을 잠식하는 공격이다.

RUDY(R-U-Dead-Yet) Attack이란 POST Method를 이용하는 대표적인 Slow 공격 유형이다. POST 요청은 전달할 데이터의 크기를 Content-Length 헤더에 삽입해 보내게 되는데, RUDY Attack은 이 크기를 매우 크게 설정한 후 서버로 전달할 데이터를 장시간에 걸쳐 조금씩 분할해 전달하게 한다. 그렇게 되면 서버는 아직 모든 데이터가 수신되지 않았다고 판단해 장시간 연결을 유지하게 되며 결과적으로 정상 사용자들의 요청을 서비스할 수 없게 된다.

Slow read Attack은 TCP 통신에서 사용되는 windows size를 악용한 공격기법이다. Client마다 한번에 처리할 수 있는 패킷의 크기가 다르기 때문에 해당 크기를 windows size 필드를 통해 전달하며, windows size를 기준으로 패킷을 주고받게 된다. Slow read Attack은 windows size를 낮게 설정해 서버로 전달하고, 해당 size를 기준으로 통신하면서 데이터 전송이 완료될 때까지 Connection을 유지하게 만들어 서버의 Connection 자원을 고갈시키는 공격이다.

가이드에서는 다양한 유형의 DDoS 공격을 예방할 수 있는 방법이 안내돼 있다.

먼저, DDoS 공격 대응 서비스에 가입하는 것이다. 1Gbps 이상의 대규모 DDos 공격에 대응하기 위한 자체 인프라 구축에는 인력과 비용 측면에서 현실적인 한계가 있다. 보다 효과적인 대응을 위해 인터넷 회선 제공업체(ISP)나 클라우드 서비스에서 제공하는 DDoS 대응 서비스를 이용하는 것이 바람직하다. 또한, 중소기업은 KISA의 '사이버대피소 서비스'를 사용해 DDoS 공격을 방어할 수 있다.

백업 서버 구축도 권장된다. DDoS 공격에 의한 서버 장애를 대비해 중요서버들은 서로 다른 회선에 이중화 구성을 해야 한다. 서로 다른 회선을 이용해서 이중화를 구성하면 Master 서버의 회선에 DDoS 공격으로 인한 장애가 발생해도, 다른 회선에 있는 Slave 서버가 동작해 서비스 장애를 최소화하는 게 가능하다.

공격 대상의 최소화도 고려하는 게 좋다. 외부에 노출된 웹 서비스 외 기업 내부용 서버는 외부에 노출되지 않도록 내부망으로 망분리 조치 후 운영한다. 내부용 서버는 DDoS 공격 및 기타 사이버 공격을 예방하기 위해 기업의 내부 서버 IP 및 서비스가 외부에 OPEN 돼 있는지 주기적인 스캐닝을 시행하고, Shodan 또는 다크웹 노출여부를 확인한다. 외부에서 부득이하게 내부망으로 접속이 필요할 경우에는 DDoS 대응 및 방어 설정이 가능한 가상 사설망(VPN)등의 별도 서비스를 이용한다.

박광하 기자 다른기사 보기