2013년 5월 3일 금요일

진화하는 DDoS 공격, 그 끝은 어디인가?

2012년 3월 즈음에 분석2팀의 정관진 책임님과 함께 작성한 원고가 "진화하는 DDoS 공격, 그 끝은 어디인가?" 입니다. 당시 해당 원고는 3.4 DDoS가 발생한지 1주년을 맞아서 DDoS(Distributed Denial of Service) 공격의 현재 상황과 향후에 발생 가능한 공격 형태들을 다루어보고자 작성하였습니다.

해당 원고에서 저는 현재의 DDoS 공격 현황과 언더그라운드에서 사용하는 DDoS 공격 툴들을 분석하는데 중심을 두었으며, 정관진 책임님께서는 네트워크과 패킷 관점에서 DDoS 공격 형태들을 분석하는데 중점을 두셨습니다.

원고는 3월에 작성 완료하였지만 내부 업무 사정으로 인해 5월로 조금 연기되어 안랩닷컴에 공개되었으며, 최초의 원고 내용에서 크게 벗어나지 않은 선에서 정리가 되었더군요.

+-------------------------------

우리는 한 번도 겪기 힘든 대형 DDoS(Distributed Denial-of-Service, 분산 서비스 거부) 공격을 두 차례나 겪었다. 대량의 네트워크 트래픽을 유발해 특정 웹 사이트들이 정상적인 동작을 하지 못하도록 마비시키는 DDoS 공격을 두 차례나 겪은 것은 다른 어느 국가에서도 찾아보기 힘든 보기 드문 사례다. 한편으로는, 이를 통해 우리는 DDoS 공격과 그에 따른 피해가 얼마나 심각하며 우리 생활에 어떠한 피해를 유발할 수 있는지를 몸소 체험하며 보안 인식을 한층 고취시킬 수 있었다. 이 글에서는 최근 국내?외에서 발생했던 DDoS 공격 양상과 특징, 네트워크 관점에서 주목해야 할 점들에 대해 살펴보겠다.

국내,외 주요 DDoS 공격의 특징

[표 1]은 2011년 하반기부터 2012년 현재까지 다른 나라에서 발생한 주요 DDoS 공격 사례들을 정리한 것이다.

[표 1] 2011~2012년 국외 주요 DDoS 공격 사례

국외에서 발생한 주요 DDoS 공격 사례들의 가장 큰 특징은 특정 목적 하에 공격 대상을 선정하고 DDoS 공격을 가한다는 점이다. 여기서 특정 목적이란 현재 인터넷에서 발생하는 사이버 범죄들의 금전적인 목적과는 확연히 다른 목적이다. 즉, 특정 단체의 정치적인 의견을 표현하기 위한 하나의 수단으로써 DDoS 공격을 행하고 있다는 것이다.

특히 어나니머스(Anonymous)의 DDoS 공격들은 2011년 11월부터 2012년 2월까지 이집트, 이스라엘, 브라질과 이탈리아 등 다수 국가의 정부기관 웹 사이트들을 대상으로 집중적으로 발생했다. 이 공격들은 금전적인 대가를 위한 것이 아니라 해당 해킹 그룹이 가지고 있는 정치적인 의견을 인터넷으로 표출하기 위한 것이었다.

[그림 1] 2011~2012년 국내 주요 DDoS 공격 사례

[그림 1]은 같은 기간 국내에서 발생한 주요 DDoS 사례들이다. 국내 사례들은 국외 사례들과는 조금 다른 목적을 갖고 있었음을 알 수 있다.

국내의 경우에는 정치적인 성격이 드러난 2011년 10월 선거관리위원회 웹 사이트 DDoS 공격 사례와 2012년 3월 여성가족부 웹 사이트 DDoS 공격 사례를 제외하고는 모두 금전적인 목적의 공격이었다.

DDoS 공격 기법 면에서도 차이가 있다. 국외에서 발생한 DDoS 공격 사례들 중 어나니머스에 의해 발생한 사례들은 대부분 [그림 2]와 같은 네트워크 트래픽 테스트 용도로 제작된 공개 유틸리티를 악용했다.

[그림 2] DDoS 공격에 사용된 네트워크 관련 공개 툴

그러나 국내에서는 [그림 3]과 같이 중국에서 DDoS 공격을 목적으로 제작된 악성코드 생성기를 이용한 사례가 많았다.

[그림 3] 중국에서 제작된 DDoS 공격을 위한 악성코드 생성기

특정 단체의 정치적인 의견을 피력하기 위한 DDoS 공격은 단체에 소속된 조직원들의 자발적인 참여로 이루어진다. 그러나 금전적인 목적의 DDoS 공격에서는 인원이 많지 않으므로 악성코드를 유포하여 감염된 다수의 시스템들을 악용하는 수법을 이용한다.
그렇다면, 국내 공격 사례에서 흔히 볼 수 있듯이, 악성코드에 감염된 다수의 시스템들을 악용하는 DDoS 공격를 네트워크 관점에서 살펴보자.

네트워크 관점에서 본 DDoS 공격

네트워크 관점에서 보면, DDoS 공격은 다수의 악성코드 감염 시스템을 통해 대량의 트래픽을 유발해 네트워크 대역폭을 소모시켜 정상적인 서비스를 할 수 없도록 만든다. 이 때 발생되는 트래픽은, 공격지의 서비스 종류에 따라 다르겠지만, 빠른 속도로 트래픽을 전달하거나 대량 패킷 데이터를 만들어내는 것이 보통이다.

국내에서 발생했던 두 차례의 예를 통해 네트워크 관점에서 DDoS 공격의 특징을 분석해보자.

[표 2] DDoS 공격 유형별 특징

3.4 DDoS 공격 시에는 HTTP, UDP, ICMP의 3가지 공격 유형이 발생되었는데, 패킷 분포 형태를 보면 HTTP가 가장 큰 비중을 차지하고 있다. 이것은 코드상 HTTP가 많이 발생할 수밖에 없는 구조로 공격 패킷이 생성돼 있었기 때문이다.


[그림 4] 3.4 DDoS 당시 사용된 공격 유형 비율

하지만, 이렇게 생성된 트래픽이 대량 트래픽을 생성하지는 않았다. 한 곳을 대상으로 공격하는 트래픽은 초당 25개 정도로, 패킷 크기는 [표 3]에서 보듯이 174바이트 정도였다.

[표 3] 악성코드 감염 시스템 수치별 공격 트래픽 유입 추정(공격 대상 1곳 기준)

이를 2009년 발생했던 7.7 DDoS 공격과 비교해보면 다음과 같다.

- 출발지 IP 위조 기능(IP Spoofing)을 포함하지 않음
- 7.7 DDoS 공격 때와 달리 패킷 전송에 Winpcap을 사용하지 않고, 윈도우의 기본 네트워크 소켓을 사용함
- 2차 공격 이후, 정부기관 1곳, 은행권 1곳 등 공격 대상을 2곳으로 한정
- 3차 공격 시 HTTP Flooding 공격으로만 시도하고 ICMP/UDP Flooding은 제외

3.4 DDoS와 마찬가지로 7.7 DDoS 때도 트래픽 비중은 그다지 크지 않았다. 공격 패킷의 헤더 정보와 페이로드(Payload)만 약간 달라졌을 뿐, 이용된 공격 형태가 비슷하고 트래픽의 비중이 크지 않았던 이유를 다음과 같이 추정할 수 있다.

첫째, 대처 능력을 사전에 판단해 보기 위함이다. 실제로 3.4 DDoS 발생 때에는 신속하게 대응해 피해를 최소화할 수 있었다.

둘째, 공격을 오랫동안 지속하기 위함이다. 사용자가 인지할 만큼 PC의 자원을 많이 사용하지 않으니 노출될 확률이 적어진다.

셋째, 사이버 공격으로 이용하기 위한 효과적인 공격 방법을 검증하기 위함이다. 사이버무기로서의 가능성을 알아보고자 시도한 검증 단계일 수도 있다.

3.4 DDoS는 그 목적이 뚜렷이 파악되지는 않았지만, 공격 대상들의 특징을 본다면 국외 사례들과 유사하다고 할 수 있다. 하지만 세부적인 공격 기법적인 측면에서 국내 DDoS 공격 사례들과 공통점이 있으면서도, 네트워크 패킷 관점에서는 차이를 보이는 특이한 사례다.

네트워크 디바이스를 노리는 DDoS 공격

앞서 국외에서 최근 발생한 DDoS 공격 사례들은 금전적인 목적보다는 특정 단체의 정치적인 의견을 알리기 위한 것이 많음을 살펴보았다. 공격 기법으로는 공개된 DDoS 공격 툴들을 이용하는 경우가 많다는 점도 알 수 있었다.

그러나 국내에서는 금전적인 목적을 위해 악성코드에 감염된 시스템들을 동원하는 사례가 많다는 것을 알 수 있었다.

그렇다면 앞으로 발생하게 될 DDoS 공격들은 어떠한 형태와 특징을 가지게 될까?
안드로이드(Android)와 아이폰(iPhone)으로 대표되는 스마트폰, 클라우드 서비스(Cloud Service) 등 여러 IT 기술적인 면들을 고려해본다면, 가까운 미래에 시스템들과 가정용 전자 제품들은 대부분 네트워크를 통해 인터넷으로 연결될 것이다. 네트워크로 연결되는 디바이스(Device)들이 증가하면, 각 디바이스들의 취약성을 악용한 DDoS 공격들도 증가할 것으로 예측할 수 있다.

[그림 5] 안드로이드 스마트폰에서 실행 가능한 DDoS 공격 툴

[그림 5]와 같이 어나니머스에 의해 안드로이드 스마트폰에서 동작하도록 제작된 DDoS 공격 툴을 보자. DDoS 툴이 스마트폰에서 동작 가능하다는 것은, 공격자가 스마트폰을 통해 시간과 장소에 제한을 받지 않고 언제든지 DDoS 공격을 가할 수 있다는 점을 의미하는 것이다. 즉, DDoS 공격을 목적으로 하는 악성코드가 스마트폰을 감염시켜 동작하도록 제작될 것이다. DDoS 공격의 목적 역시 인터넷을 통해 표출되는 여러 문화들의 다양성과 이해 관계들로 인해 더욱 복잡한 양상을 띨 것이다.

지금은 보안이라는 관점에서 네트워크로 연결되는 모든 디바이스들에 대한 통제와 관리를 심각하게 점검해야 할 시점이다. 이와 함께, 앞으로 발생할 다양한 목적의 DDoS 공격들에 대해 사회 제도적인 관점에서 어떻게 대처할 것인가도 진지하게 고민해봐야 할 것이다.

댓글 없음:

댓글 쓰기