보안 전문가들, 네트워크 보호를 위해 ISP에 트래픽 필터링 실시 촉구.
세계적으로 11,000개가 넘는 분산 네트워크로부터 피크 트래픽 15억 패킷/초(packets per second)를 기록한 대규모 DDoS 공격의 역설적인 표적이 바로 DDoS 스크러빙 서비스 자체였다. 이름이 언급되지 않은 이 DDoS 스크러빙 제공업체는 또 다른 DDoS 방어 회사인 FastNetMon의 도움을 받아 마침내 공격을 완화하는 데 성공했다. 하지만 이번 사건을 계기로, 공격의 규모와 범위가 점점 커지고 있어 ISP(인터넷 서비스 제공업체) 수준에서의 추가적인 지원이 필수적이라는 경고가 함께 제기되었다.
분산 서비스 거부(DDoS) 공격의 목적은 네트워크나 서비스를 과도한 트래픽으로 마비시켜 완전히 정지시키거나 다운시키는 것이다. 이에 따라 봇넷이나 감염된 하드웨어를 통해 트래픽 소스를 늘려 공격이 더욱 정교해지면서, 방어 시스템 역시 그에 맞춰 강화되어야만 한다. DDoS 스크러빙은 패킷 검사(packet inspection), 이상 탐지(anomaly detection), CAPTCHA 확인 등의 기술을 이용해 트래픽을 분류함으로써 정상 사용자를 식별하고 악성 접속을 차단하는 대표적인 방어 수단이다.
그러나 DDoS 스크러빙 제공업체 역시 자체적인 방어 체계가 필요한데, 이것이 이번 공격에서 피해자가 방어력을 보강하기 위해 FastNetMon을 지원받은 배경이다. 비록 이번 사례에서는 방어에 성공한 것으로 보이지만, 공격의 압도적인 크기와 지속성은 주목할 만했다.
공격 규모를 이해할 수 있도록 참고하자면, 클라우드플레어(Cloudflare)는 최근 역사상 가장 큰 DDoS 공격을 완화한 바 있다. 당시 최고 피크는 11.5테라비트/초(Tbps)와 51억 패킷/초(packets per second)에 달했다. 이번 최신 공격과 직접 비교할 수는 없지만, 비록 규모 면에서 차이가 있을지라도 역대급 초대형 공격 중 하나였으며, DDoS 공격 주체들의 역량이 얼마나 커지고 있는지를 보여준다.
FastNetMon과 해당 DDoS 스크러빙 서비스가 이번 공격을 막아냈다고 해도, 이것이 항상 가능한 것은 아니다. 따라서 이러한 증대하는 문제를 효과적으로 방어하기 위해서는 추가적인 규제와 ISP 수준의 필터링 및 지원이 필요하다.
FastNetMon은 "이 사례가 주목할 만한 점은 순전히 엄청난 수의 분산 소스와 일상적인 네트워크 장비의 악용 때문"이라고 지적하며, "선제적인 ISP 수준 필터링 없이는 감염된 소비자 하드웨어가 대규모로 무기화될 수 있다"고 경고했다. 또한 "이러한 사건들은 적대 세력들이 패킷 용량과 대역폭 플러드를 많은 네트워크가 대응하기 어려운 수준까지 고조시키고 있음을 보여준다"고 덧붙였다.
DDoS 공격의 가장 교묘한 측면 중 하나는 그 목적이 명확하지 않다는 점이다. 랜섬웨어나 악성코드 공격은 대부분 몸값 요구 또는 신원 도용을 통해 금전적 이득을 추구하지만, DDoS 공격은 목표가 모호하다. 이는 기업 스파이 행위, 국가 차원의 위협 행위자(nation-state actors), 또는 봇넷에 충분한 시간과 접근 권한을 가진 고도의 동기 부여를 가진 개인과 관련될 수 있다.
하지만 동기가 무엇이든 간에, FastNetMon과 업계 전문가들은 이것이 여전히 거시적인 차원에서 해결해야 할 지속적인 문제라고 인식하고 있다.
(본문 끝에 위치한 홍보 문구는 기술 보고서의 내용에 포함하지 않습니다.)