[CEO단상]디도스 공격, 입체적 방어 나서자

똑같은 일이 또다시 반복됐다. 악성코드는 계속 진화하고 있고, 보안 대란은 언제든지 일어날 수 있지만 이번에도 또 '분산서비스거부(DDoS)'가 문제를 일으킬 것이라고는 생각지 못했다. 우리가 두 번 당할 정도로 허술하게 대비를 했으리라고 생각하지 않는 것이 공격자의 상식이기 때문이다. 하지만 이런 예상을 깨고 7ㆍ7DDoS 대란으로 온 나라가 혼란을 겪은 지 2년도 안 돼 유사한 형태의 3ㆍ4DDoS 공격 사건이 발생했다.
　
사태가 진정된 후 이번 DDoS 공격을 정리하는 시간을 가졌다. 이번 공격은 여러모로 2009년의 7ㆍ7DDoS와 유사한 점이 많았다. 주요 정부기관과 금융기관, 포털 등을 동시 다발적으로 노렸고 특정 시간에 동작하도록 했다는 점은 거의 같다. 선정된 대상은 일부 다르지만 대체로 7ㆍ7과 성격은 유사했다. 주로 악성코드 배포지로 P2P(Peer to Peer) 사이트를 이용했으며 공격 목적이 불분명하고, 하드디스크 파괴로 공격이 종료된다는 점 또한 유사하다. 이와 반대로 공격 대상사이트는 더욱 늘었으며, 공격 종료시점은 따로 없었다. 손상시키는 운영체제도 대폭 확대돼 기술적인 측면에서만 본다면 7ㆍ7DDoS 대란보다 더욱 교묘하게 설계돼 있었다.

일부에서는 이번 3ㆍ4DDoS 공격이 7ㆍ7DDoS 대란과 비교해서 미미한 사건이라고 평가 절하하지만, 이는 사실과 다르다. 다만 이번에는 사전에 악성코드의 배포처를 추적해 신속하게 차단했고 유관기관 간 준비 대응 체제가 구축돼 있어 피해가 확산되지 않아 체감효과가 줄었을 뿐이다. 악성코드는 더 복잡해졌고 자유자재로 공격 시간과 작전을 원격 조종하는 형태는 한층 진일보한 공격이었다. 분석된 정보를 미리 받아 준비한 기업이나 기관에서 공격의 형태를 미리 예측해 방어하자 공격자는 치밀하게도 좀비PC들의 하드 디스크를 즉각 무력화시키는 지령을 보냈다.

이렇게 지능화하는 DDoS 공격을 막으려면 어떻게 해야 하는 것일까? 많은 업체가 선보이고 있는 전용 방어 장비도 좋은 해법이 될 수는 있다. 하지만 여기에만 의존해 공격을 막겠다는 것은 부족한 발상이다. 조금만 DDoS 공격의 본질을 들여다본다면 다음의 네 가지로 정리할 수 있다.

첫째, DDoS 공격은 악성코드에 의해 생성된 좀비PC에서 시작된다. 따라서 실제로 공격 트래픽을 발송하는 좀비PC에 대응할 수 있어야 한다. 이번 3ㆍ4DDoS 공격에서 사태 초반 악성코드 배포지를 신속히 찾아 파악한 것도 클라우드 기반 기술과 분석 및 대응이 원활히 연결되는 대응체계가 있었기 때문이다.

둘째, DDoS 공격이 발생해 공격 트래픽이 피해지로 도달하면 피해지의 네트워크, 서비스 인프라, 기존 보안 제품, DDoS 공격 대응 제품에 모두 영향을 주게 된다. 따라서 신속하게 대응하기 위해서는 전체적인 서비스 인프라 차원에서의 공격 대응을 유기적으로 이끌어내는 입체적인 DDoS 운영 프로세스가 필요하다.

셋째, 이 DDoS 운영 프로세스에 대해서는 최종적인 점검은 물론 모의 공격 대응 등 주기적인 훈련이 반드시 필요하다.

넷째, DDoS는 공격이 발생하자마자 대규모 트래픽이 집중되므로 그 즉시 피해 증상이 나타난다. 따라서 DDoS 공격의 피해를 최소화하기 위해서는 24시간, 365일 상시 모니터링 및 긴급 대응이 요구된다.

이를 종합하면 입체적인 사이버 보안 대응 체계가 필요하다는 얘기다. 2009년의 7ㆍ7DDoS와 2011년의 3ㆍ4DDoS는 우리의 보안 방어력을 단적으로 보여주는 사건이었다. 항상 방어만 해야 하는 입장에서, 점차 지능화하고 있는 사이버 공격에 맞서기 위해서는 입체적인 대응 체계가 필수적이다.