진화하는 디도스 공격에…정부, '사이버 대피소'로 中企 지킨다

KISA 디도스 사이버 대피소 개념도(사진=KISA 홈페이지)

[이데일리 김가은 기자]‘정보보호의 날’ 지정의 계기가 됐던 분산서비스거부(디도스, DDoS) 공격은 오랜 시간 지속돼 온 ‘전통적 공격 방식’으로 꼽힌다. 단순하지만 원천 차단이 어려운 데다, 큰 피해를 입힐 수 있어 기업과 기관 대상으로 많은 공격이 이뤄지고 있다.

최근에는 ‘도메인 이름 시스템(DNS) 디도스’, ‘랜섬디도스’ 등으로 고도화를 거듭하고 있어 방어자들의 부담이 커진 상황이다. 특히 자금이 부족한 중소·영세기업들은 대응책 마련이 더 버겁다.

과거 디도스 공격은 특정 서비스를 제공하는 웹사이트나 서버, 네트워크에 악성 대규모 인터넷 트래픽을 발생시켜 과부하와 시스템 마비를 일으키는 것이 기본적 형태였다. 그러나 최근에는 웹사이트와 연결되는 DNS 서버를 직접 공격해 여러 웹사이트를 동시 다발적으로 마비시키거나, 사전에 협박 이메일을 보낸 후 금전을 요구하는 랜섬디도스 형태로 진화했다.

이 중 가장 성행하고 있는 공격 방식은 DNS 디도스다. DNS는 인터넷상 전화번호부와 같은 역할을 한다. 일반적으로 사용자들이 알고 있는 웹사이트 주소를 숫자로 구성된 IP주소로 변환하는 역할을 한다. 인터넷 서비스를 이용하는 만큼 외부에 개방돼있어 언제든 디도스 공격을 받을 수 있는 가능성이 있다.

글로벌 웹 서비스·보안기업 클라우드플레어에 따르면 지난 2분기 전 세계에서 가장 많이 발생한 공격 유형도 DNS 기반 디도스 공격이었다. 공격자들은 주로 정상적 서비스를 제공하는 DNS로 위장해 대규모 트래픽을 보내 서버를 마비시키는 방법을 채택한 것으로 알려졌다.

과도한 양의 트래픽이 탐지되더라도 정상적인 경로를 거치기 때문에 구분이 어렵다는 점을 노리는 점이 골자다. 실제 사용자가 접속을 위해 접근하는 정상 트래픽과 공격자가 보내는 악성 트래픽을 구분하기가 어려워 원천 차단이 쉽지 않다는 점을 공략하는 것이다. 올초 피해를 겪은 국내 도메인 등록·웹호스팅 업체 ‘가비아’도 DNS 서버에 디도스 공격을 받아 여러 고객사 홈페이지가 ‘먹통’에 빠진 경우다.

이처럼 디도스 피해가 이어지는 가운데, 전문가들은 대응책으로 인터넷 대역폭 증설, 주요 데이터베이스(DB) 분산 배치, 인터넷 트래픽 실시간 모니터링 등을 손꼽는다. 문제는 이 방법들이 ‘비용’과 직결된다는 점이다. 중소·영세기업들의 부담이 더 클 수밖에 없는 이유다.

이에 한국인터넷진흥원(KISA)은 2010년부터 ‘디도스 사이버 대피소’를 운영 중이다. 이 대피소는 기업에 들어오는 대량의 트래픽을 대신 받아내 피해를 예방한다. 총 160GB에 달하는 트래픽을 수용할 수 있을 뿐만 아니라, 주요 통신서비스 제공 사업자(ISP) 장비를 임차해 긴급한 상황에서 용량을 확장할 수도 있다.

뿐만아니라 공격자들이 최근 사용하고 있는 DNS 기반 디도스 공격도 방어가 가능하다. 김은성 KISA 탐지대응팀장은 “기존에 운영 중인 사이버 대피소에 DNS 방어 기능을 탑재해 하루에 수십 차례 자행되는 공격을 막고 있다”며 “현재 기술적 대응이 모두 가능하고, 중소 호스팅 기업 3곳이 입주해 보호를 받고 있다”고 설명했다.

이어 “입주 방식은 일반 디도스 대피소와 동일하다”며 “홈페이지를 이용해 신청하고, 기업 담당자들과 소통해 입주해 필요한 절차를 진행하는 방식”이라고 덧붙였다.