‘정보보호의 날’의 유래
매년 7월 둘째 주 수요일이 무슨 날인지 아시나요? 바로 ‘정보보호의 날’입니다.
정부 부처에서 공동으로 사이버 공격을 예방하고 국민들의 정보보호를 생활화하기 위해 2012년에 제정한 법정기념일인데요. 2009년, 우리나라의 정부 기관 및 금융, 민간기관 홈페이지가 DDoS 공격을 받아 피해를 입은 ‘7.7 DDoS 사태’가 계기가 되어 제정되었습니다.
‘7.7 DDoS 사태’란 2009년 7월 7일부터 만 3일 동안 좀비 PC 11만 5천여 대가 청와대 홈페이지를 포함, 국내외 주요 홈페이지를 공격하여 접속 장애가 발생한 것인데요. 정확한 경제 사회적 피해 현황은 조사되지 않았지만, 당시 최소 363억 원에서 최대 544억 원의 금전적 피해가 발생한 것으로 추정되고 있습니다.
7.7 DDos 공격 과정
① 1차 공격: 7월 7일 오후 6시경, 청와대, 국회, 국방부 등 국가 주요 기관과 함께 주요 언론사와 주요 정당, 포털 등 국내 12개 사이트에 공격 (24시간 지속)
② 2차 공격: 7월 8일 오후 6시경, 국내 16개 사이트 피해 (24시간 지속)
③ 3차 공격: 7월 9일 오후 6시경, 국가정보원과 일부 금융기관 홈페이지 등 국내 7개 사이트 접속 장애 발생 (3시간 만에 정상화)
출처 : 7.7 DDoS 사고 대응의 문제점과 재발방지 방안, 국회입법조사처, 2009
증가하는 DDoS 위협
DDoS 공격은 특정한 날에 국한되지 않고, 언제 어디서나 발생할 수 있습니다. 과학기술정보통신부에 따르면, 국내 DDos 공격 건수는 2021년 4분기 9건에서 2022년 3분기 48건으로 급증했으며 지속적으로 증가하고 있는 추세입니다.
그렇다면 DDoS 공격은 무엇이고, 이에 대응하기 위한 방안들은 어떤 것들이 있는지 알아보겠습니다.
DDoS 공격이란?
DDoS 공격은 Distributed Denial of Service의 약자로, 분산 서비스 거부 공격을 의미합니다. 여러 대의 공격자를 분산 배치해 대량의 트래픽을 순간적으로 일으켜 서버를 마비시키는 사이버 공격인데요. 즉, 감당할 수 없는 트래픽을 유발시켜 네트워크의 성능을 저하하거나 시스템을 중단시키는 공격 행위입니다.
원리는 간단합니다. 먼저, 공격자는 다른 PC나 IT 장비를 공격해 악성코드를 감염시켜 다수의 좀비 PC를 만듭니다. 좀비라고 표현하는 이유는 기존 PC 소유자의 의사와 상관없이 공격자의 명령에 따라 좀비처럼 움직이기 때문인데요. 공격자는 이러한 봇넷을 통해 대량 트래픽을 동시에 발생시켜 공격 대상 서버를 마비시킵니다.
*봇넷(Botnet) : 악성코드에 감염된 피해 PC, IT 장비, 서버들로 구성된 네트워크 집단
DDos 공격 유형별 구분
DDoS 공격은 공격 형태에 따라 크게 대역폭 공격, 자원 소진 공격, 웹/DB 부하 공격으로 구분됩니다.
| 구분 | 대역폭 공격 | 자원 소진 공격 | 웹/DB 부하 공격 |
| 공격 특성 | 높은 bps | 높은 pps, 높은 connection | 높은 pps, 높은 connection |
| 공격 유형 | UDP Flooding 및 UDP 기반 반사 공격 (DNS, NTP, CLDAP, SSDP 등), Tsunami syn flooding, ICMP Flooding 등 | TCP SYN, ACK Flooding 등 | GET Flooding, POST Flooding 등 |
| 피해 대상 | 동일 회선을 사용하는 모든 시스템 접속 불가 | 대상 서버, 네트워크 장비 등의 과부하 발생 | 대상 웹/DB 서버 과부하 발생 |
| Protocol | UDP, ICMP, TCP, GREE | TCP | HTTP, HTTPS |
| IP 위/변조 여부 | 위/변조 가능 | 위/변조 가능 | 위/변조 불가능 (실제 IP로 공격) |
| 비고 | 일시적으로 대량의 트래픽을 발생시키기 때문에 회선 대역폭이 작으면 방어가 어려움 | 대역폭 공격에 비해 적은 트래픽으로도 서버 과부하를 유발할 수 있음 | 정상적으로 세션을 맺은 후 과도한 HTTP 요청으로 웹/DB 서버의 과부하를 유도함 |
DDoS 공격 동향
기업들은 이러한 DDoS 공격에 대비하기 위해 방어를 강화하고 있는데요. 공격자들은 새로운 공격 유형과 더 큰 규모의 공격으로 대응하고 있습니다.
- 공격 규모 성장
IoT 기기의 확산으로 인한 대규모 DDoS 공격 증가입니다. 5G 시대가 도래함에 따라 사람들이 사용하는 IoT 디바이스가 급증하면서, 이를 활용한 대규모 DDoS 공격이 증가한 것입니다.
과학기술정보통신부에 따르면, IoT 악성코드에 감염된 영상저장장치, 셋톱박스 등이 DDoS 공격에 악용된 것으로 나타났습니다. 또한 DDoS 공격 규모 자체도 커졌는데요. 2021년 11월, 마이크로소프트 애저 서비스를 대상으로 발생한 DDoS 공격 규모는 무려 3.47Tbps였습니다.
- 공격의 복잡성 증가
여러 공격 유형을 혼합한 멀티벡터(Multi-Vector) 공격이 확산하며 공격의 복잡성이 증가했습니다. 예를 들어 대역폭 공격을 웹/DB 부하 공격과 함께 사용하여 공격하는 것인데요. 여러 공격 벡터를 사용하기 때문에 대응 방식도 훨씬 더 어려워졌습니다. 새로운 공격 방법도 지속해서 등장하고 있습니다.
- 랜섬 디도스 공격 증가
랜섬 디도스 공격이란, ‘인질(Ransom)’과+ ‘디도스(DDoS)’를 합친 말입니다. 서비스 자체를 인질 삼아 금전을 요구하고, 이에 응하지 않을 시 DDoS 공격으로 서비스를 마비시키는 방식인데요. 금융사나 가상화폐 관련 기업, 서비스 플랫폼처럼 서비스 중단 자체로 기업 이미지 훼손과 금전적인 피해를 입는 기업이 주된 타깃입니다.
DDoS 공격 대응 방안
이렇듯 계속해서 진화하는 DDoS 공격을 100% 방어하는 것은 불가능에 가깝습니다. 예방하고, 빠르게 탐지하고, 즉각 대응할 수 있는 프로세스를 구축함으로써 DDoS 공격 피해를 최소화하는 것이 중요합니다. 이를 위한 몇 가지 방안을 소개해드리겠습니다.
- 공격 가능 지점 최소화
공격받을 수 있는 영역을 최소화하여 DDoS 공격으로 인한 피해를 줄일 수 있습니다. 주요 콘텐츠나 데이터베이스를 분산 배치하거나, 인프라 특정 부분에는 인터넷 트래픽이 접근하지 못하도록 제한을 두는 방법 등이 있습니다. 서버의 경우, 내부망과 외부망으로 분리하여 기업 내부용 서버는 외부에 노출되지 않도록 운영할 수 있습니다. - 트래픽 실시간 모니터링
인터넷 트래픽을 실시간으로 모니터링함으로써 DDoS 공격에 빠르게 대응할 수 있습니다. 먼저, 체계적인 모니터링 시스템을 구축하여 평상시에 발생하는 정상 트래픽을 파악하고 주기적으로 모니터링 합니다. 비정상 트래픽 발생 시 이를 빠르게 탐지하여 방어 프로세스를 즉각 가동시킴으로써 피해를 최소화할 수 있습니다. - 전문적인 DDoS 대응 서비스 이용
자체적으로 DDoS 대응 프로세스를 구축할 경우 많은 인력과 비용을 필요로 합니다. 이에 전문적인 DDoS 대응 서비스를 이용하는 것이 효율적일 수 있는데요. DDoS 대응 서비스를 통해 기업에 적합한 방어 프로세스를 구축한 후 정기적으로 점검해야 합니다.
또한 모의 훈련 등을 꾸준히 진행하여 공격 발생시 빠르게 대응할 수 있도록 준비해야 합니다. 특별히 중소기업은 한국인터넷진흥원(KISA)에서 제공하는 ‘사이버대피소’ 서비스를 이용할 수 있습니다. 사이버대피소는 입주 중소기업의 트래픽을 실제 서버보다 먼저 받아 DDoS 공격을 미리 걸러주는 방식인데요. 실제로 많은 중소기업이 이용하며 DDoS 공격에 대응하고 있습니다.
사이버대피소 서비스 현황 (단위: 건)
| 구분 | 2010 | 2011 | 2012 | 2013 | 2014 | 2015 | 2016 | 2017 | 2018 | 2019 | 2020 | 2021 | 합계 |
| 서비스 이용 업체 | 52 | 101 | 175 | 260 | 413 | 593 | 1,012 | 1,640 | 2,854 | 3,839 | 4,590 | 7,271 | 22,800 |
| 디도스 공격 방어 | 25 | 60 | 138 | 116 | 110 | 83 | 96 | 87 | 126 | 167 | 235 | 107 | 1,350 |
정리하며
DDoS 공격을 받을 경우, 서비스의 성능이 저하되거나 완전히 중단되어 고객들에게 정상적인 웹사이트 서비스를 제공할 수 없게 됩니다. 이에 따라 해당 기업은 재정, 운영, 평판 등에 막대한 손상을 입게 되는데요.
한국인터넷진흥원(KISA)의 ‘사이버 침해사고 피해에 대한 경제·사회적 비용 추정 연구’에 따르면, 2020년 사이버 공격을 받은 101개 기업의 비용 손실은 약 7,000억 원으로 추산됩니다.
기업당 연간 피해액은 대기업이 4억 원, 중견기업이 5,970만 원, 소기업이 5,244만 원으로 예상되며, 소프트웨어 대체, 매출, 데이터 재생산 등 여러 부문에서 손실이 발생했습니다.
이렇듯 기업에 치명적인 DDoS 공격은 전 세계적으로 증가하고 있으며, 위험성 또한 커지고 있습니다. DDoS 공격 기법이 진화하고 있는 만큼 예방/방어 대책을 지속적으로 점검하고, 정기적인 DDoS 공격 모의 훈련을 진행함으로써 DDoS 공격 피해를 최소화하기 위해 노력해야 합니다.
가비아는 클라우드 CSAP (IaaS) 인증 기업 중 유일한 과학기술정보통신부가 지정한 ‘보안관제 전문기업’입니다. 가비아 고객은 보안 전문가의 365일 24시간 보안관제 서비스를 받을 수 있습니다.
위협을 기술로 통제하는 가비아 시큐리티를 경험해 보세요!
DDoS란?
DDoS 공격은 Distributed Denial of Service의 약자로, 분산 서비스 거부 공격을 의미합니다. 여러 대의 공격자를 분산 배치해 대량의 트래픽을 순간적으로 일으켜 서버를 마비시키는 사이버 공격인데요. 즉, 감당할 수 없는 트래픽을 유발시켜 네트워크의 성능을 저하하거나 시스템을 중단시키는 공격 행위입니다.
DDoS 공격의 원리는 무엇인가요?
원리는 간단합니다. 먼저, 공격자는 다른 PC나 IT 장비를 공격해 악성코드를 감염시켜 다수의 좀비 PC를 만듭니다. 좀비라고 표현하는 이유는 기존 PC 소유자의 의사와 상관없이 공격자의 명령에 따라 좀비처럼 움직이기 때문인데요. 공격자는 이러한 봇넷을 통해 대량 트래픽을 동시에 발생시켜 공격 대상 서버를 마비시킵니다. *봇넷(Botnet) : 악성코드에 감염된 피해 PC, IT 장비, 서버들로 구성된 네트워크 집단
DDoS 공격의 대응 방안은 무엇인가요?
이렇듯 계속해서 진화하는 DDoS 공격을 100% 방어하는 것은 불가능에 가깝습니다. 예방하고, 빠르게 탐지하고, 즉각 대응할 수 있는 프로세스를 구축함으로써 DDoS 공격 피해를 최소화하는 것이 중요합니다. 이를 위한 몇 가지 방안을 소개해드리겠습니다. 대응 프로세스로는 ① 공격 가능 지점 최소화, ② 트래픽 실시간 모니터링, ③ 전문적인 DDoS 대응 서비스 이용이 있습니다.
