다수의 서버, PC 등을 이용해 비정상 트래픽을 유발시켜 대상 시스템을 마비시키는 것이 DDoS(Distributed Denial of Service, 이하 디도스) 공격이다.

1999년부터 단순 DoS 공격으로 시작돼다 최근에는 대응 시스템을 우회하거나 압도하기 위한 고도의 신규 디도스 공격 유형들이 등장하고 공격 협박을 해서 돈을 갈취하기 위한 랜섬 디도스 공격까지 기승을 부리고 있다.

디도스 공격자는 취약한 서버를 공격해 악성코드를 배포하고 유포지 경유지서버에서 악성코드를 내려 받은 서버 기기들을 이용해 봇넷을 구축한다. 이후 공격자는 봇넷에 명령을 전달해 대규모의 트래픽을 유발(디도스 공격)시키거나 취약한 서버를 악용해 반사공격 DRDoS 공격을 수행하는 형태로 이루어진다.

디도스 공격은 공격 형태에 따라 크게 △대역폭 공격 △자원 소진 공격 △웹/DB 부하 공격이 있다.

각각의 공격 형태마다 특징이 있으며 대응하는 방법도 각기 다르다. 모든 디도스 공격은 공격을 수행하는 봇넷의 규모에 따라 위험도가 비례하고 통상 대부분의 공격은 여러 공격 유형을 혼합하는 멀티벡터 공격을 사용한다. 예를 들어 웹/DB 부하 공격을 대역폭 공격과 함께 사용할 경우 공격 식별 및 대응이 어려워 진다.

한국인터넷진흥원(KISA) 인터넷침해대응센터는 최신 ‘DDoS 공격 대응 가이드’를 공개하고 공격유형 및 대응방안, 대응프로세스 등에 대해 상세히 가이드하고 있다.

가이드에 따르면, 1기가 이상 대규모 디도스 공격을 대응하기 위해 자체 인프라를 구축하려면 인력과 비용에서 한계가 온다. 보다 효과적인 대응을 위해 인터넷 회선 제공업체(ISP)나 클라우드 서비스에서 제공하는 디도스 방어서비스를 이용할 것을 권장하고 있다. 또 중소기업은 KISA에서 제공하는 사이버대피소 서비스를 이용하는 것도 효과적이다.

또 공격을 최소화하기 위해 외부에 노출된 웹 서비스 외 기업 내부용 서버는 외부에 노출되지 않도록 내부망으로 망 분리 조치 후 운영하는 것이 좋다. 내부용 서버는 디도스 공격 및 기타 사이버 공격을 예방하기 위해 기업의 내부서버 IP 및 서비스가 외부에 오픈 되어 있는지 주기적인 스캐닝을 시행하고 쇼단(Shodan) 또는 다크웹 노출여부를 확인하는 것도 필수다.

외부에서 부득이하게 내부망으로 접속이 필요할 경우에는 디도스 대응 및 방어설정이 가능한 가상 사설망(VPN) 등 별도 서비스를 이용해야 한다고 가이드하고 있다.

이번 ‘DDoS 공격 대응 가이드’는 KISA 인터넷보호나라 홈페이지와 데일리시큐 자료실에서도 다운로드 가능하다.

★정보보안 대표 미디어 데일리시큐!★