디도스란 무엇일까? 공격 방법과 방어방법(+뜻 원리 처벌수위)

디도스란 무엇일까? 공격 방법과 방어방법(+뜻 원리 처벌수위)

 

10 25일 KTSMS 서비스 장애 문제로. 25일 전국적으로 일시 먹통 현상이 발생했던 KT 유·무선 인터넷 네트워크가 정오께 정상화됐습니다. KT 가 디도스 공격을 받았다 했다가. 서비스 라우팅 설정 오류의 문제로 정정 했습니다.

25일 전국적으로 일시 먹통 현상이 발생했던 KT 유·무선 인터넷 네트워크가 정오께 정상화됐습니다.

KT에 따르면, 25일 오전 11시20분 서비스 장애 이후 KT 네트워크에 대규모 분산서비스거부(DDoS) 공격 발생으로 인해 유·무선 음성·데이터 서비스 등에 장애가 발생했다. 라고 발표를 했었는데 DDoS 는 과연 무엇 인지 알아보는 시간을 가져보겠습니다.

 

목차

• 디도스 공격이란?
• 디도스 공격은 누가 ? 하는 이유는? 
• 디도스 공격방법
  • 1.f5 키 연타 
  • 2. 좀비 PC 이용
  • 3. Ping of death
• 디도스 방어방법
  • 1. 임계치 기반 규칙 방어
  • 2. 인증 기반 대응
  • 3. 하이브리드 디도스 공격 대응
• DDOS 유형별 자세한 방어 방법
• 디도스 활용 범죄 및 처벌수위

디도스 공격이란?

분산 서비스 거부 공격(Distributed Denial of Service attack)이란 특정 서버(컴퓨터)나 네트워크 장비를 대상으로 많은 데이터를 발생시켜 장애를 일으키는 해킹 기법입니다. 보통 앞글자만 따서 디도스 공격이라고 부른입니다. 서비스 거부 공격 DoS(Denial of Service attack)에서 한 단계 진보된 사이버테러 방법입니다.

간단하게 말하면 좀비 PC 등을 이용하여 고의로 서버를 터뜨리는 것입니다. 디도스 공격 방법은 다양하지만, 사이트를 마비시키기 위하여 여러 클라이언트를 동원해 서버에 무리를 준다는 점은 똑같습니다. 쉽게 말해 컴퓨터와 네트워크 상에서 일어나는 다구리라고 보면 됩니다.

대상 웹 서버에 비정상적으로 많은 트래픽을 흘려보내 웹 서버가 과도한 트래픽 소모 및 프로세스 진행, 과도한 입출력등을 통해 서버가 먹통이 되게 만듭니다. 어찌보면 굉장히 간단하지만 의외로 확실하게 막을 방안이 없습니다. 그래서 디도스 공격은 사이버 범죄자들이 가장 오랜 기간 애용하는 공격 기법입니다.

대학교 수강신청, 콘서트 티켓팅 때문에 웹사이트 접속이 폭주해서 먹통이 되는 것도 사실 디도스 공격과 같은 원리입니다. 다만 이쪽은 사이트를 공격하기 위해 일부러 서버를 터뜨린 것이 아니기 때문에 '공격'이라고 부르지 않습니다. 즉 Distributed Denial of Service으로 Attack이 빠진 DDoS입니다.

디도스 공격은 누가 ? 하는 이유는? 

 

DDoS 공격은 강력하고 정교해졌지만 거의 모든 사람이 기본적인 DDoS 공격을 수행할 수 있습니다. 일반 사용자는 목적한 온라인 또는 암거래 대상에 대한 DDoS 공격에 대해 손해를 볼 수 있습니다. 심지어 악의적인 계획을 수행하기 위해 기존 봇넷을 빌리거나 임대할 수도 있습니다.

 

일반적으로 이들은 DDoS 공격을 사용하는 사람들이며 그 이유는 다음과 같습니다.

 

• 경쟁자 중의 우위를 확보하려는 기업 오너
• 사람들이 특정 콘텐츠에 접속하지 못하게 하는 활동가
• 목표물에 대한 복수를 제정하는 자
• 트래픽 해결을 빌미로 금전 요구를 하는 해커

디도스 공격방법

 

1.f5 키 연타 

브라우저에서 특정 웹 페이지를 열어놓고 F5키를 계속 연타하면 서버에 해당 웹 페이지 크기와 F5를 누른 횟수를 곱한 만큼의 트래픽을 주기 때문에 DDoS 공격에 해당됩니다. 물론 혼자서 해서는 여러 대의 컴퓨터라는 정의에 맞지 않기 때문에 단순 DoS 공격일 뿐이고, 조직적으로 특정한 시간대를 정해 다수의 인원이 동시에 F5키를 연타해 트래픽을 흘려넣으면 DDoS라고 부르는 것이 가능합니다.

 

디시의 유명 프로그램 방법시리즈가 이 방식입니다. 2010년 삼일절 사이버 전쟁 또한 수천 명이 Low Orbit Ion Cannon이란 프로그램으로 연타를 가해 서버를 다운시켜 승리했습니다.

일반인들도 누구나 할 수 있는 방법입니다. 하지만 원한이 있다고 DDoS를 남발하지 맙시다. 서버에 로그가 남기 때문에 적발되는 순간 철창행입니다. 대표적인 사건은 수능 갤러리 강제정모. 그리고 폭력조직의 청부폭력에 사용된 사례도 있습니다.

2. 좀비 PC 이용

불특정 다수의 PC에 악성코드를 심어 유사시에 공격이 가능한 좀비 PC로 만든 뒤 공격에 동원하기도 합니다. 악성코드에 감염된 수많은 좀비 PC가 공격자의 명령에 따라 일제히 서버에 대량의 트래픽을 전송하는 방식으로 이루어지며, 서버가 허용하는 트래픽 용량을 넘어서게 되면 정상적인 클라이언트가 서버로 접속할 수 없게 됩니다.

 

근래 들어 수많은 컴퓨터가 좀비 PC가 되었습니다가 맛이 가는 사례가 뉴스에 종종 보도되니 주의합시다. 다만 좀비 PC가 맛이 가는 경우는 DDoS 공격 자체의 특성이 아니고 좀비 PC를 조종하는 공격자가 파괴 명령을 내린 것입니다. 그렇지 않다면 좀비 PC측의 피해는 컴퓨터가 느려지는 정도. 그 외에 좀비 PC에서 개인정보를 꺼내가기도 합니다.

3. Ping of death

'죽음의 핑', 혹은 '죽음의 핑 공격' 으로도 불립니다.
우리가 익히 알고 있는 명령 프롬프트에서의 '( "ping [IP.IP.IP.IP]" )'의 패킷 크기를 정상 크기보다 매우 큰 수치로 부풀려 공격하는 것, 만들어진 패킷은 라우팅 되어 공격 대상지에 도달하는 동안 파편화(fragment)되고, 공격 대상은 파편화된 패킷을 모두 처리해야 하여 리소스 사용량이 급증하여 정상적 이용이 불가능해집니다.

디도스 방어방법

모든 디도스 공격을 100% 방어하는 것은 불가능에 가깝습니다. 영어로도 디도스 공격 대응을 표현할 때 방어가 아닌 완화(Mitigation)라는 단어를 주로 사용합니다.

1. 임계치 기반 규칙 방어

모든 디도스 대응 솔루션은 임계치 기반 규칙을 포함하고 있습니다. 임계치 기반 규칙은 패킷의 구성 요소를 일일이 셈하여, 기준치 이상의 트래픽이 발생할 경우 디도스 공격으로 탐지해 대응하는 기법입니다.

임계치 기반 규칙은 크게 ‘도스(DoS)’와 ‘디도스(DDoS)’ 규칙으로 구분합니다. 도스의 경우 단일 출발지 IP를 기준으로 패킷의 양을 측정하며, 단일 IP에서 트래픽이 많이 들어오는 관계로 즉각 차단하더라도 문제가 적어 차단·격리 방법으로 주로 대응합니다. 

 

반면 디도스는 다수의 출발지 IP 기준, 보호 대상에 인입되는 트래픽의 양을 측정합니다. 단 디도스의 경우 특정 이벤트에 따라 트래픽이 많아지는 경우가 있어 단순히 차단을 할 경우 수많은 정상 사용자를 차단할 위험이 있습니다. 그러므로 인증을 통한 추가 검증 또는 QoS(Quality of Service)를 수행합니다.

임계치 규칙의 경우 일상적인 대용량 공격 대응에 적합하지만, 저용량 정밀 타격 또는 비정상 프로토콜 공격에는 대응이 어렵습니다.

2. 인증 기반 대응

인증 기반 대응은 주로 봇(Bot) 기반의 자동화된 공격을 방어합니다. 즉 저용량 공격이더라도 봇을 활용할 경우 해당 인증 기법으로 대응할 수 있습니다. 대부분의 디도스 공격은 사람이 직접 수행할 수 없습니다. 99% 이상이 자동화 소프트웨어(봇)을 활용하며, 이러한 공격은 인증을 통해 대응이 가능합니다.

3. 하이브리드 디도스 공격 대응

2018년, 소스코드 저장소로 유명한 깃허브(Github)를 대상으로 1Tbps 이상의 디도스 공격이 발생했습니다. 일반적인 기업의 경우, 사용 중인 회선의 대역폭(1G, 10G) 이상의 디도스 공격이 발생할 경우 대응할 수 있는 방법이 마땅치 않습니다.

하지만, 반드시 유지되어야 하는 서비스에 대해서는 초대용량 디도스 공격을 방어할 수 있는 방법이 필요합니다. 우리나라 금융권의 경우 금융보안원이 제공하는 서비스형 보안(SECurity-as-a-Service) 형태의 디도스 공격 대응 서비스 ‘스크러빙센터’의 보호를 받을 수 있습니다.

 

 해당 대응 체계는 ▲1차 방어 – 스크러빙센터 ▲2차 방어 – 금융보안원 비상대응센터 ▲3차 방어 – 금융회사 자체 디도스 대응으로 구성되어 있습니다.

국내 보안회사는 초대용량 디도스 공격 방어를 위한 스크러빙센터를 제공하고 있지 않습니다. 2018년 이후 디도스 공격의 최대 규모가 점차 감소하고 있으며, 실질적으로 국내 일반 기업이 초대용량 디도스 공격에 노출될 가능성이 굉장히 낮기 때문입니다. 실제 스크러빙센터를 이용할 경우 높은 수준의 비용이 청구되는 관계로, 실제 사용 고객은 극히 적은 편입니다. 즉, 스크러빙센터는 혹시 모를 초대용량 디도스 공격 방어를 위한 비상 대응 방안으로 고려 가능합니다.

DDOS 유형별 자세한 방어 방법

DDOS 에는 여러 유형들이 있으며 하단의 파일에 잘 정리가 되어있어 첨부했습니다.

디도스_공격_대응_가이드_최종본.pdf

5.94MB

디도스 활용 범죄 및 처벌수위

디도스의 범죄 처벌은 정보통신망 침해 범죄 에 해당합니다. 정보통신망 이용촉진 및 정보보호 등에 관한 법률에 따라

“인터넷 상에 악성프로그램을 유포하는 행위는 최대 징역 7년 벌금 7,000만 원, 디도스 공격 등을 실행해 정보통신망에 장애를 일으키는 행위는 최대 징역 5년, 벌금 5,000만 원의 처벌을 받을 수 있는 중대한 범죄”에 해당합니다. 해외에서 기업에 타격이 입은 재산적 피해에 비례해 처벌수위가 매겨지는 만큼 한국도 피해량에 비례한 형량이 적용될수 있음을 시사합니다.