글로벌 및 국내 디도스 공격 트렌드
가장 오래된 사이버 공격 방법 중 하나인 디도스 공격은 최근 폭발적인 증가 추세에 있습니다. 디도스 공격의 전성기라고 볼 수도 있을 만큼 단순히 공격 횟수만 늘어난 것이 아니라, 진화된 형태의 디도스 공격이 그동안 타깃이 되지 않았던 새로운 산업 분야에서 발생했습니다. 국내의 경우에도 마찬가지로 게임 및 금융 산업을 중심으로 다양한 분야에서 갖가지 디도스 공격 사례가 보고되고 있습니다.
디도스 탐지 건수 및 규모
2021년도 수치를 살펴보면 디도스 공격은 횟수와 크기에서 지속적으로 증가하였는데 특히 금융 기업을 타깃으로 한 디도스 공격은 최근 발표한 ‘2021 인터넷 보안 현황 보고서’에 따르면 한 해 동안 110%나 증가했으며 보통 2월, 8월, 11월에 급증하는 모습을 보여주고 있으며 이는 2021년에도 동일합니다.
디도스 트래픽이 늘어가는 것은 코로나 팬데믹 상황이 지속되며 생긴 충격일 수도 있습니다. 업무의 상당 부분이 디지털로 전환되고 재택근무가 많아지면서 디도스를 포함해 백엔드 서버를 노리는 사이버 보안 공격의 정도가 심해지고 있습니다.
디도스 트래픽 형태의 의미
과거의 디도스 공격은 단순히 방대한 트래픽 양으로 서버를 마비시키는 방식이었다면 이제는 다양한 기법을 통한 디도스 공격이 동시에 이루어지고 있습니다. 디도스 공격을 빌미로 협박하는 랜섬 디도스와 마이크로소프트의 RDP 프로토콜을 이용한 디도스 공격 증폭 등 공격 방법도 다양해져 피해가 확산되고 있습니다. 일례로 소프트웨어 버전 관리 서비스를 대상으로 한 디도시는 최고 초당 1.4 테라바이트 규모에 초당 8억 9백만 패킷의 위력을 가진 디도스 공격이었는데 당시에 최소 9가지의 공격 기법을 감지했고 최대 14가지 공격 기법을 쓰는 경우도 관측되었습니다.
디도스 공격을 성공적으로 방어하는 방법
항상 보안에 대한 위협은 언제 나타날지 예상할 수 없기 때문에 일반적인 상황에서 시스템과 프로세스의 준비가 필요합니다. 웹 서비스를 운영 중이라면 웹 방화벽 설정만으로는 디도스 방어가 완벽하지 않기 때문에 보안 장비가 견딜 수 있는 네트워크 크기와 예비 회선의 준비도 필연적입니다.
효과적인 보안 개념인 ‘보안 접근 서비스 엣지(SASE, Secure Access Service Edge)’와의 연계도 고민해볼 수 있습니다. SASE는 네트워크 및 네트워크 보안 솔루션의 기능을 글로벌 클라우드 네이티브 서비스로 통합한 보안 개념입니다. 디도스 방어 서비스 또한 SASE의 보호 대상에 포함이 되어야 하고 디도스 장비에 대한 접근 권한과 운영 또한 SASE 프레임워크를 도입했다면 이와 연계하는 방안이 필요합니다. SASE는 사용자의 접속 경로와 열람 데이터를 일일이 추적하고 검증하는 제로 트러스트, 통합 인증 등 민첩하고 확장 가능한 보안을 제공합니다. 이는 디도스 공격이 발생해도 비즈니스 안정성을 유지할 수 있게 해주는 순기능을 포함합니다.
클라우드 시장의 성장에 따른 디도스 완화 서비스 추세
기업이 클라우드로 데이터를 옮기며 클라우드 시장의 성장은 가속화되고 있습니다. 그에 따라 보안 체계도 변화하고 있는데요, 클라우드의 보안을 지켜야 하는 동시에 클라우드를 통해 보안을 지키기도 합니다. 과거의 보안은 성 주위에 해자를 파고 유일한 통로를 지키는 방식이었다면, 이젠 모든 클라우드, 그리고 좀 더 나아가 클라우드에 배포된 엣지를 사용하여 모든 네트워크 통로를 지키는 방식을 선호하고 있습니다.
국내에서 사용하는 디도스 완화 서비스
최근 국내에서도 금융권과 공공, 제조업을 수행하는 대기업에 이르기까지 다양한 업종에서 디도스 공격이 늘어나고 있기 때문에 이에 맞는 디도스 완화 서비스 시장도 늘어나는 편입니다. 일반적으로 데이터센터의 네트워크 진입 부분에 온-프레미스 방식의 장비를 도입하는 방식, ISP 사업자나 디도스 전문 방어 회사가 준비한 다른 네트워크 구간에 준비된 대피소를 사용하는 방식, 퍼블릭 클라우드 업체가 보유한 리전(region) 형태의 네트워크에서 디도스를 차단하는 방식, 별도의 디도스 트래픽 클리닝을 수행하는 스크러빙 센터로 트래픽을 우회하여 클린 트래픽만을 전달받는 방식 등 다양한 해법의 서비스들이 존재합니다.
국내에서의 디도스 공격 대응 체계는 잘 갖춰진 편입니다만, 소규모의 네트워크로 구성한 완화 서비스 방식의 보안이라면 대규모의 디도스 공격에 대응하기 위해서는 충분하지 않음을 인식하고 있어야 합니다. 지난 2020년 6월 21일 대형 유럽 은행을 노린 공격은 809 Mpps(Million Packets Per Second)에 달하는 초당 패킷을 기록하며 업계 최고 기록을 경신했습니다. 2020년 6월 초에도 금융 서비스 기관을 대상으로 385 Mpps의 대규모 디도스 공격을 관측되었는데, 이번 공격은 예전 공격의 2배를 넘어서는 규모였으며 규모뿐 아니라 공격 속도 역시 최고 수준을 기록했습니다. 정상 트래픽 수준인 418 Gbps 규모에서 약 2분 만에 809 Mpps에 도달했고 공격 시간은 약 10분 동안 지속되었습니다. 공격이 진행되는 동안 공격에 사용된 IP 주소의 수 또한 600배 이상 급증했습니다.
이런 사례를 통해 최근의 디도스 공격은 고도로 분산된 공격임을 알 수 있습니다. 디도스 방어 기술 또한 이렇게 변화하는 트렌드에 맞게 대형화, 정교화되어야 한다고 생각합니다. 디도스 공격은 차단 혹은 완화의 방식을 사용하는데 후자가 좀 더 정교하고 세밀한 트래픽의 분석과 관리가 필요한 기술 방식이라 할 수 있습니다.
.