시스템을 향한 대규모 공격, DDoS

안녕하세요. 보안클라우드입니다!

 최근 외국의 해킹단체가 금융권을 대상으로 DDoS 공격을 예고하며 비트코인을 요구하는 협박이 빗발치고 있다고 하네요. 얼마전 일어난 호스팅업체의 랜섬웨어 사건 때 해커에게 복호화 비용으로 13억을 지불함으로써 전 세계의 해커들이 한국을 대상으로 공격을 퍼부을 것이라는 전문가들의 의견들이 많았습니다. 우려가 현실이 된 것 같아 안타깝습니다.

 이번에는 협박을 위한 공격으로 랜섬웨어가 아닌 DDoS 공격을 하겠다고 밝혔는데요, 대체 DDoS 공격이 무엇인지 한번 알아보겠습니다.

#DoS란 무엇일까?

 DDoS공격을 알기 전에, DoS 공격이 무엇인지부터 알면 더 좋을 것 같아요^^
 먼저 DoS란, Deny of Service의 약자로 서비스 거부 공격이라고 불리는 공격 종류입니다. 간단히 설명드리면, 악의적인 목적으로 시스템 자원이 고갈되도록하여 정상적인 서비스를 하지 못하도록 하는 것이죠.

 예를 들어, 한 웹 서버가 동시접속을 수용할 수 있는 최대 인원이 500명이라고 할 때, 공격자는 1명이지만, 500명 분의 접속을 한다면 다른 정상적인 사용자들은 해당 웹 서버에 접속하지 못하겠죠?
 

DoS 공격의 기본적인 구성도

 공격자는 Three way Handshaking 과정 중 중간에 멈춰버리는 방법으로 수 많은 세션을 생성하거나, 웹 서버가 감당할 수 없는 만큼의 대량의 UDP 패킷을 임의로 생성해서 웹 서버에 전송하는 등의 방법으로 악의적으로 웹 서버 서비스를 무력화 시키죠.
 

#그렇다면 DDoS는 무엇일까?

 DDoS는 이와 같은 맥락입니다. DDoS는 Distributed Deny of Service, 즉 분산 서비스 거부 공격이라는 의미입니다. DoS 공격이 한명의 공격자에 의해서 이루어졌다면, DDoS는 다수의 공격자에 의해서 발생되는 공격이죠.

 하지만 공격자가 다수라는 것은 시스템을 공격하고 싶어하는 사람이 많다는 의미는 아닙니다.
 

기본적인 DDoS 공격의 구성도

 공격자는 악성코드 등을 배포하여 자신의 명령을 수행할 좀비 PC를 생성합니다. 감염된 좀비 PC는 또 다른 좀비PC를 생성하므로써 공격을 수행할 PC의 수를 증가시키는것이죠. 일반적으로 공격자가 배포하는 악성코드는 숨어서 활동하기 때문에 좀비PC는 자신이 감염되었다는 사실을 알기 어렵습니다. 이렇게 많은 좀비 PC들이 구성이 되었다면, 공겨자들은 좀비PC에게 명령을 내려 웹 서버를 대상으로 한 DoS 공격을 수행시킵니다.
 각각의 PC들이 DoS 공격을 하지만, 다양한 PC로 분산되어서 수행한다고해서 분산 서비스 거부 공격이라고 불리는 것입니다.
 

#서비스 거부..? 그게 대체 뭐에요?

 쉽게 예를 들어보면, 학생들의 경우 수강신청 시간만 되면 수강신청 페이지가 오류나고, 접속이 안되는 상황 많이 겪으실텐데, 그게 바로 DDoS 공격의 형식입니다. 수 많은 사용자가 한꺼번에 몰려서 웹 서버에 과부하가 걸려 정상적인 서비스를 못하는 것이죠.
 일반인들의 경우에는 웹 쇼핑몰 등에서 파격적인 타임 세일을 진행할 때 꼭 그 시간에 접속하면 로딩이 안되서 다른사람들이 한정된 수량을 이미 다 구매하는 경우가 많이 있을 것입니다. 그것 또한 과부하로 인한 정상적인 서비스가 불가능 한 상황이죠.
 그러한 방식을 악의적인 목적으로 수행한다면, 그게 바로 DDoS입니다.
 

#DDoS 공격을 방어하기 위해서는 어떻게 해야하나요?

 이러한 서비스 분산 공격은 주로 기업들의 웹 서버를 대상으로 이루어지기 때문에 기업들은 DDoS 방어 솔루션을 구축하여야 합니다. 또한 수많은 패킷이 동시에 요청되기 때문에 웹 방화벽 등에서 너무 많은 요청이 있을 경우 차단하는 정책을 구현하는 것이 좋습니다. 만약 DDoS 공격이 발생하였을 경우에는 빠른 침해사고 분석을 통해 공격자들의 IP를 차단하고, 후속조치를 해야합니다.
 그리고 좀비 PC를 대상으로도 공격을 수행할 가능성이 있기 때문에 본인의 PC가 좀비PC가 되었다는걸 알았을 경우에는 백신을 이용하여 악성코드를 제거해야 합니다. 이 때, 시스템의 시간을 감염 전 날짜로 바꾸고 백신을 사용하는 것이 좋습니다. 또한, KISA(한국인터넷진흥원)의 보호나라에 접속하여 원격 점검을 받아 치료하는 방법도 있습니다.

KISA 보호나라 PC 원격점검 페이지

 오늘은 DDoS에 대해서 알아봤는데요. 발생하고 있는 금융권 DDoS 협박 사건들이 잘 대처되어 아무 피해가 없었으면 좋겠습니다. 그럼 모두 안전한 인터넷 즐기시기 바라며 다른 주제로 또 찾아뵐게요!


 

  • 이전 데이터를 이용한 인질극, 랜섬웨어
  • 다음 가상화폐와 사이버범죄, 현재 문제점은?