5G시대, 사물인터넷과 함께 진화하는 DDoS

[CCTV뉴스=최형주 기자] 지난 2001년, 일본 역사교과서 왜곡에 항의하기 위해 국내 네티즌들이 일본 문부과학성과 자민당 홈페이지를 마비시켰다.

방법은 간단했다. 많은 네티즌이 해당 홈페이지에 접속해 새로고침(F5) 버튼을 눌러 인터넷 홈페이지 서버에 과부하를 준 것이다.

이러한 방식으로 탄생한 공격 메커니즘, 디도스(DDoS)공격으로 해커들은 세계 각국을 공격하고 있다.

인터넷망이 우리 삶의 일부가 된 이래로 DDoS 공격은 가장 쉬운 사이버 공격 수단 중 하나로 자리 잡았다. DDoS 공격은 정부, 금융사, 포털 등 중요 홈페이지의 서비스 중단을 목표로 하며 대중에게도 직접적 혹은 간접적으로 피해를 준다.

특히 공격 대상이 마비될 때까지 과부하를 주기 위해선 많은 개인PC를 좀비PC로 만들어야 한다. 사실 우리가 지금 사용하고 있는 컴퓨터도 이미 해커의 손아귀에 넘어간 좀비PC일 가능성이 없지 않다.

세상을 떠들썩하게 했던 ‘1.25 인터넷 대란’을 비롯한 국가차원의 DDoS 공격부터 소규모 DDoS 공격까지, 그동안 일어났던 DDoS 공격 사례들을 소개한다.

1.25 인터넷 대란

2003년 1월 25일 한국통신공사(현 KT) 혜화국사의 DNS서버에 대량의 트래픽이 발생했다. 마이크로소프트 SQL 서버의 ‘버퍼 오버플로(buffer overflow)’를 악용하는 악성코드, ‘슬래머 웜’의 DDoS 공격을 받은 것이다.

슬래머 웜은 2003년 1월 25일 새벽 5시 30분부터 단 10분 만에 약 7만 5천 대의 컴퓨터를 감염시켰고, 이때 생겨난 좀비PC들이 KT혜화국사의 DNS서버를 공격했다.

시 KT혜화국사는 국내 전화국사 중 유일한 통신관문국으로, 국내 모든 DNS서버와 인터넷 통신망 중계기가 집중돼 있었다. 혜화국사의 DNS서버 마비에 따라 인터넷을 통한 전자거래, 금융 등의 서비스가 모두 중지됐다.

사실 KT혜화국사 공격에 사용된 슬래머 웜이 노린 보안취약점은 최신 OS패치 등의 조치로 어렵지 않게 해결할 수 있는 문제였다. 즉, KT혜화국사의 보안에 문제가 생겼다기보다, 부족한 보안의식을 가진 기관과 기업들이 부실한 서버 관리로 쏟아지는 공격 트래픽을 감당하지 못했을 뿐이다.

지난 7월 혜화지사가 통신재난 대응훈련을 실시하고 있는 모습(사진: KT)

이후 KT는 서울 시내 6개 전화국사에 관문국 시설을 분산했고, 이때부터 정보통신부는 대대적인 보안패치 조사를 실시했다.

7.7 DDoS공격

2009년 7월 7일엔 한국과 미국의 정부기관, 포털, 금융 서비스 등을 마비시킨 사건이 일어났다. 이 공격은 미국의 독립기념일인 7월 4일에 시작됐다. 당시 백악관을 비롯한 미국 27개 사이트가 공격받았고, 한국에서는 7월 7일 오후 6시 경부터 7월 9일까지 청와대, 백악관, 언론사, 포털사 등이 공격받았다.

1차 공격 직후 곧바로 전용백신을 공급한 안랩(당시 안철수 연구소)에 따르면, 공격은 TCP, UDP, ICMP 등 다양한 프로토콜을 이용해 특정 웹사이트를 공격하도록 설계됐다. 가장 문제가 됐던 것은 GET Flooding 공격으로, HTTP 공격과 랜덤 데이터를 TCP 80포트에 전송하는 공격이다.

이 공격은 악성코드 공격 간 협업으로 이뤄지는 특징이 있었으며, 하드디스크의MBR(Mater Boot Recorder)과 파티션 정보를 손상시켜 정상 부팅이 불가능하게 만들었다. 또한 .doc, .docx, .wpd, .wpx, .wri, .xls, .xlsx, .mdb, .ppt, .pptx, .pdf, .accdb, .db 등의 중요한 문서 확장자 파일을 찾아 손상시켰다.

7.7 DDoS 공격 이후 정부는 통합전산센터를 통해 주기적으로 사이버 공격 대응상황을 점검한다
(사진: 국가정보자원관리원)

7.7 DDoS 공격으로 5개 분야 범정부 DDoS 대응체계 구축 사업이 시작됐고, DDoS 대응장비가 별도로 지정됐다. 또한 국가정보원장 주재로 열린 ‘국가 사이버안전 전략회의’를 통해, ‘국가 사이버위기 종합대책’이 수립되고 시행됐다. 아울러 국방부는 2010년 1월 ‘사이버방호사령부’를 신설하기도 했다.

3.3 DDoS 공격

2011년 3월 3일에는 국내외 공공기관 사이트와 쇼핑몰, 포털, 금융, 교통기관 등을 공격한 DDoS 사건이 발생했다. 이스트시큐리티에 따르면 공격은 P2P 파일 공유 사이트의 일부 파일에 삽입된 악성코드가 원인이었으며, 공격 종료 시간이 정해져 있던 7.7 DDoS 공격과 다르게, 종료 시간이 따로 없어 감염된 좀비 PC가 지속적으로 공격을 수행했다.

공격은 HTTP, UDP, ICMP 프로토콜을 이용해 DDoS 공격 패킷을 발송하는 방식으로 이뤄졌다. 특히 해당 DDoS 툴을 설계한 해커들은 7.7 DDoS 공격에서 교훈이라도 얻었는지, 공격 대상이 특정 조건을 갖추지 않아도 하드디스크가 파괴되도록 기능을 보강하는 등 공격 자체가 진화했다.

여기에 악성코드에 대한 삭제와 수정, 이동, 변조가 있을 경우에도 곧바로 하드디스크 파괴를 시작했다. 정교함도 추가됐다. 3.3 DDoS 공격은 백신에 의한 치료를 막기 위해 Host 파일을 변조해 정상적 업데이트를 막았다.

실제 변조된 Host 파일(자료: 이스트시큐리티)

또한 공격 대상인 웹사이트가 기록된 DAT 파일은 난독화 처리됐고, 서버 간 통신에 암호화 기법이 적용됐으며, 5일부터는 변종까지 등장했다.

또 다른 DDoS

지금까지 소개해온 DDoS공격들은 익히 잘 알려진 공격들이다. 여기까지 본다면 제대로 된 DDoS 공격은 국가를 상대로한 테러 전략처럼 보인다. 그러나 DDoS 공격은 특정 커뮤니티나 기업들을 대상으로 더 빈번하게 일어나고 있다. 정치적 성향이 편향된 것으로 유명한 한 커뮤니티 사이트는 단골 DDoS 공격 대상 중 하나다.

이 커뮤니티는 2012년 12월 14일 40Gbps 수준의 대규모 DDoS 공격을 시작으로, 2013년에만 3차례나 공격받았다. 초기 커뮤니티가 받은 DDoS공격은 언론과 매체를 통해 보도됐으나, 이후 거의 매년 행해지는 잦은 DDoS공격에 현재는 해프닝 수준으로 끝나는 정도다.

이 외에도 국내 주요 사이트인 디시인사이드, 오늘의유머, 아프리카TV, 뽐뿌 등이 DDoS 공격에 피해를 입은 바 있고, 게임아이템 거래 중개 사이트인 아이템베이는 2년에 걸쳐 꾸준히 DDoS 공격을 받아 화제가 되기도 했다.

유명 게임사인 블리자드도 잦은 DDoS 공격에 시달렸다. 2016년 4월엔 블리자드의 게임 서버인 ‘배틀넷’이 월드오브워크래프트 프리서버 폐지를 이유로 DDoS 공격을 받았다. 같은 해 9월엔 블리자드의 FPS게임인 오버워치가 DDoS 공격을 받았으며, 지난 2019년 8월엔 스타크래프트2 대회 결승전이 DDoS 공격으로 지연되는 사태도 발생했다.

좀비PC 계보 잇는 좀비 IoT 기기 등장

해외 DDoS 공격 사례 중엔 공격 규모가 천문학적 수치를 기록한 공격도 다수 존재한다. 2015년 7월 텔레그램(SNS)의 아시아-태평양 서버가 공격받은 사건은 10만 대 정도의 좀비PC가 200Gbps 규모의 트래픽 공격을 행한 것으로 밝혀졌다.

2016년 9월엔 프랑스 호스팅 업체 OVH가 1Tbps급 공격을 받아 역사상 가장 큰 DDoS 공격을 받은 것으로 기록됐었다. 특히 이사례는 해커가 사물인터넷의 취약점을 이용해 14만 5천 대의 CCTV를 이용한 것으로 알려져 DDoS 공격이 한 단계 진화한 것으로 평가됐고, 최대 가용 공격력은 1.5Tbps 수준이었다.

그러나 최고 규모 DDoS 공격 타이틀은 불과 한 달여 만에 갱신됐다. 2016년 10월 미국 호스팅 업체 Dyn이 1.2Tbps급 공격을 받은 것이다. 당시 해커는 ‘미라이’라 불리는 악성코드로 감염시킨 수십만 대의 사물인터넷 장비들을 이용해 DDoS 공격을 가했으며, 공격은 전 세계에 퍼져 있는 Dyn사의 모든 데이터센터를 대상으로 이뤄졌다. 수천 개의 도메인 마비는 물론이고, 미국 동부 인터넷이 마비되는 수준의 공격이었다.

2018년 2월 28일엔 무료 소스관리 툴 저장소인 GitHub가 1.35Tbps 급의 공격을 받았다. 다행히 GitHub는 DDoS공격에 대한 방어가 잘 돼있고, 공격받은 시간이 짧아 간헐적 사이트 접속 끊김 정도의 적은 피해만을 입었다.

GitHub가 받은 1.35Tbps급 DDoS 공격(자료: wired.com)

GitHub를 공격한 해커는 memcached 프로토콜을 기반으로 하는 DRDoS 공격을 가했다. IoT를 감염시켜 이용했던 전의 두 사례들과 다르게 memcached 프로토콜을 기반으로 하는 이 공격은 봇넷을 사용하지 않았음에도 초당 1억 2690만 개의 패킷을 발생시키는 테라급의 대규모 DDoS 공격을 발생시켰다는 점에서 업계에 큰 시사점을 남겼다.

인터넷 발달과 함께 진화하는 DDoS

몇 년 전 구글의 에릭 슈미트는 “인터넷은 사라질 것이다”라고 말하며 “우리가 상호작용을 하면서도 알아채지 못할 만큼 인터넷은 인류 존재의 일부가 될 것”이라고 주장했다. 이제 인터넷은 공기와도 같다. 5G시대에 들어선 현대사회를 살아가는 인류는 결코 인터넷을 벗어날 수 없고, 모든 돈과 정보는 인터넷을 통해 오간다.

그리고 앞서 살펴본 테라급 DDoS 공격 사례를 통해 알 수 있듯, DDoS는 사용되는 기술과 규모면에서 극적으로 진화하고 있다. 5G시대의 핵심인 IoT 디바이스를 이용한 테라급 DDoS공격은 다시 한 번 진화해 감염조차 필요로 하지 않는 강력한 모습을 전 세계에 드러냈다.