특집

“DDoS공격 대처할 예방 중심 대응체계 필요”

디지털데일리 발행일 2011-03-16 17:44:18
이유지 기자
- “악성코드는 진화했지만 3.4 DDoS 공격 패턴은 단순”…전문가 진단

[디지털데일리 이유지기자] 3.4 분산서비스거부(DDoS, 디도스) 공격 분석과 향후 대응방안을 논의하기 위한 전문가 토론의 장이 16일 한국침해사고대응팀협의회(CONCERT)와 금융보안연구원이 공동 개최한 기업 정보보호 이슈 전망 세미나인 ‘시큐리티 포어캐스트(Security FORECAST)’에서 열렸다. 

이날 토론에 참여한 보안 전문가들은 변화하는 공격에 대비할 꾸준한 보안 투자와 함께 공격에 악용되는 악성코드 유포를 방지해 사전 예방적 보안체계를 수립해야 한다는 점을 한목소리로 강조했다. 

이번 DDoS 공격이 지난 2009년 발생한 7.7 공격과 방식이 유사했지만 공격 명령을 실시간 변경하고 전용백신 설치를 방해하는 등 변화된 형태를 나타냈기 때문이다. 

이날 패널토의에서 사회를 맡았던 성재모 금융보안연구원 본부장은 “이번 3.4 DDoS 공격은 민·관 합동으로 대응이 잘 이뤄졌다고 평가되지만, 공격자가 국내 대응체계를 마치 테스트하는 것처럼 대응현황에 맞춰 공격명령을 바꿨다”며, “향후 변화하는 공격에 대응할 방안과 더불어 악성코드 감염을 방지할 수 있는 사전 대응이 중요하게 제기됐다”고 결론지었다.  

◆악성코드는 진화, DDoS 공격 기법은 단순=이호웅 안철수연구소 시큐리티대응센터장(실장)은 이에 대해 “3일 발생한 사전 공격이 정확히 포착해 초기 대응이 이뤄지면서 4일 오전 10시 공격이 발생한 것으로 보인다”며, “특이할만한 점은 악성코드의 하드디스크 파괴 설정이 7.7 때는 하드코닝돼 있었지만 이번엔 공격자가 파괴 시간을 조정하고, 감염 시간 이전으로 PC의 로컬시간을 돌리면 파괴하도록 설정돼 있었다”고 설명했다. 

악성코드 차원에서는 진화된 형태가 나타났지만, DDoS 공격 패턴 자체는 굉장히 단순해 대응하기에 수월했다는 평가도 나왔다.  

그 이유로 전문가들은 향후 보다 지능적인 공격 수법에 대응할 수 있는 고도화된 체계가 필요하다고 지적했다. 

홍석범 씨디네트웍스 부장은 “이번 DDoS 공격은 GET 플루딩 패킷을 분석하고, 네트워크 장비에서 플로우 정보를 볼 수 있다면 쉽게 100% 차단이 가능했던 공격으로, 마치 공격을 한다고 알려주는 것처럼 캐시콘트롤 값이 설정돼 있었고, 7.7 때처럼 스푸핑된 트래픽이 없어 대응하기 매우 쉬운 공격이었다”며, “패턴이 굉장히 단순했다”는 분석을 내놨다. 

구자만 다음커뮤니케이션 정보보호팀장 역시 “이번 공격은 사전에 공격 징후를 감지해 정보가 공유돼 기존에 수립해온 대응체계를 가동해 수월하게 대응할 수 있었지만, HTTP GET 플루딩 위주로 한 사이트에 집중되는 공격 패턴과 형태는 단순해 제대로 대응하지 못했다면 큰 이슈가 됐을 것”이라며, “하이브리드 공격이나 변화하는 여러 지능화된 공격기법 대응방안을 지속 강구해야 한다”고 강조했다. 

◆악성코드 유포 근절 등 사전예방책 적극 강구돼야=이어 구 팀장은 “포털 입장에서 DDoS 공격을 사전예방적으로 대응하기 위해선 악성코드 게시물을 막을 수 있는 프로세스를 구축해 악성코드 유포자들이 배포 사이트로서 매력을 상실시켜야 한다”고 방안을 제시했다. 

또 “다음을 포함해 다른 포털사들도 관련 투자를 진행하고 있고, DDoS 공격이 벌어질 때 국민에게 이를 알리고 치료하는 창구로서 역할을 하고 있다”며 “이것이 포털의 사회적 역할”이라고 말했다. 

이호웅 안철수연구소 실장은 대응방안으로 “DDoS 공격은 보안제품 하나만으로 방어하기 힘들고 전반적인 서비스, 대응 프로세스가 갖춰져야 한다”면서, “적극적으로 악성코드 샘플이 수집되야 하고, 분석 과정에서 공조가 이뤄져야 할 뿐 아니라 분석할 인프라를 잘 갖춰야 신속하게 대응할 수 있어 확충이 필요하다. 사후대응보다는 사전예방 역량을 더 키워야 한다”고 강조했다. 

박철순 방송통신위원회 네트워크정보보호팀장은 “이번에 심각한 서비스 장애 없이 민·관 공조와 7.7 이후 수립한 국가 사이버위기대응체계가 잘 이뤄져 성공적으로 방어했다”고 평가하고, “앞으로 더 지능적이고 규모가 큰 사이버공격, 그리고 향후 모바일 DDoS 공격이 예상되므로 침해사고 대응체계를 위한 투자를 지속해 DDoS 예방·대응, 정보보호 역량을 강화해 대비할 필요가 있다”고 강조했다. 

방통위에 따르면, 이번 공격에는 좀비PC가 11만6000여대가 동원된 것으로 최종 집계돼 지난 7.7 DDoS 공격에 맞먹는 수준이었던 것으로 분석됐다. 

공격에 이용된 악성코드는 셰어박스·파일시티·보보파일·지오파일 등 7개 웹하드 사이트에서 유포됐다. 

또 72개국에 산재한 748개의 악성코드 유포·명령 사이트 IP(서버)가 차단 조치됐다. 

박철순 팀장은 “이번에 7개 웹하드 사이트에서 악성코드가 유포되면서 웹하드 업체의 보안조치를 강구할 필요성이 제기되고 있다”며, 악성코드 유포 대응 방안으로 “이들을 대상으로 보안조치를 권고하고 보안진단과 보안도구를 지원하는 등을 추진할 예정이며, 조만간 1000만 사용자가 돌파할 것으로 예상되는 시점에서 스마트 모바일 시대를 위한 신규 보안위협 대응기반을 마련할 것”이라는 계획을 밝혔다. 

더불어 “한선교 의원이 발의한 악성프로그램 방지 등에 관한 법률(좀비PC법)이 4월 문방위에 상정될 것으로 알고 있다”고 말하고, “우리 생활과 아주 밀접한 인터넷 서비스가 지연되거나 마비되면 큰 불편을 겪을 수 있기 때문에 민생법안이라고 할 수 있기 때문에, 공감대를 더 확산해 통과시켜 좀 더 안전한 인터넷 구현에 기여할 수 있게 될 것”이라고 강조했다. 
 
이 자리에선 DDoS 대응방안을 위해선 국가 차원에서 꾸준한 정보보호 투자가 이뤄져야 한다는 점도 역시 강조됐다.  

홍석범 부장은 “지난 7.7 DDoS 공격이 발생한 후 2010년 국가 정보보호 예산이 크게 높아졌다가 한 해 동안 관련이슈가 발생하지 않으면서 2011년에는 삭감된 것으로 알고 있다”면서, “한 때의 유행이나 열병처럼 예산을 높였다 감소시키지 않는 꾸준한 투자가 필요하다”고 지적했다.  

한편, 이날 행사는 대한상공회의소 국제회의장에서 250여 명의 정보보호 관계자들이 참석해 성황리 개최됐다. 

패널 토의 이후에는 전응준 유미(YOUME)법률사무소 변호사가 ‘정보통신망법 및 개인정보보호법에 기반해 기업이 갖춰야 할 개인정보보호 수준’을, 김인석 고려대 교수가 ‘금융IT의 현재와 미래전략’을 정보보호 관점에서 살펴봤다. 

오후에는 앞서 주최측이 기업과 기관 정보보호 담당자들의 의견을 수렴해 올해의 정보보호 이슈로 선정한 ▲개인정보보호법과 그 이후 ▲직원의 근무환경 변화와 보안 관리▲걱정되는 악성코드의 확장 ▲데이터 보안의 본격화 ▲보안활동의 기본-시스템 및 애플리케이션 보안을 주제로 한 발표와 토론을 진행해 각 대응방안이 모색됐다. 

<이유지 기자>yjlee@ddaily.co.kr

Copyright ⓒ 디지털데일리. 무단전재 및 재배포 금지
이유지 기자
webmaster@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기

이 기사와 관련된 기사

디지털데일리가 직접 편집한 뉴스 채널

당신이 좋아할 만한 뉴스

많이 본 기사

연재기사

실시간 추천 뉴스