지난 2000년 유명 웹사이트를 초토화시켰던 유명한 해킹기법인 ‘분산서비스거부(DDoS:Distributed Denial of Service)’ 공격보다 진일보한 새로운 해킹기법인 ‘분산반사서비스거부(DRDoS)’ 공격이 등장해 이에 대한 대책마련이 시급해졌다.
지난 1월 미국에서 처음 발견된 DRDoS 공격은 기존 DDoS 공격에 비해 해커들이 사용하기 쉽고 공격을 당한 사이트들은 북구가 어렵다는 점에서 그 심각성이 높아지고 있다. 업계 전문가들은 국내에서 아직까지 DRDoS 공격에 의한 피해사례가 보고되지 않았으나 이 공격방법이 해커들 사이에서 급속히 확산되고 있어 조만간 국내 웹사이트들도 주요 공격대상이 될 가능성이 있다고 지적했다. 또한 국내는 이 방법으로 공격을 당해도 기존 DDoS 공격과 구별할 방법이 없어 피해를 입어도 뚜렷한 대안이 없는 상태다.
△지능화된 공격기법=DDoS 공격이 일종의 공격도구인 에이전트를 설치해 공격하는 것과 달리 DRDoS 공격은 별도의 에이전트를 설치할 필요없이 네트워크상의 취약성을 이용, 정상적인 서비스를 운영하고 있는 서버를 에이전트로 활용하기 때문에 해커들이 이용하기 손쉬워 점차 주요 해킹방법으로 애용되고 있다.
정보보호 전문가들은 “DRDoS 공격은 에이전트 설치의 어려움을 보완한 공격기법으로 TCP 프로토콜 및 라우팅 테이블 운영상의 취약성을 이용하기 때문에 별도의 공격도구가 필요없으며 인터넷 자체가 공격도구가 될 수 있는 진일보한 해킹기술”이라며 “공격 자체가 용이해 악용될 소지가 많다”고 밝혔다.
△공격방법 파악조차 난해=DRDoS 공격은 피해결과가 DDoS 공격과 흡사해 피해를 입은 후에 공격방법을 파악하기 어렵다. 올해초 이 공격을 처음 발견한 미국의 네트워크 회사인 깁슨리서치(http://grc.com)도 당시 공격을 당한 미국 ASP 전문업체인 베리오(http://www.verio.com)사 사이트를 조사, 초기에는 DDoS 공격으로 단정지었으나 면밀하게 재조사한 이후 새로운 공격방법으로 판명했다. 전문가들은 이 공격방법을 ‘차세대 DDoS 공격’으로 지칭할 정도로 피해정도와 성공률이 DDoS공격과 거의 일치하는 것으로 파악하고 있다. 그러나 공격에 의한 결과는 유사하지만 DRDoS 공격은 피해를 당한 이후에 별다른 해결책이 없다는 점에서 DDoS공격과 비교할 때 가공할 만한 파괴력을 가지고 있다. DDoS 공격은 에이전트가 설치돼 있기 때문에 피해를 당한 후에 에이전트를 파괴하면 공격을 차단할 수 있으나 DRDoS 공격으로 피해를 입을 경우에는 서비스를 폐쇄하는 것 외에는 아직까지 별다른 해결책이 없는 상태다.
△취약 포트 폐쇄가 유일한 해법=전문가들은 DRDoS 공격에 의한 피해가 발생할 경우 이를 무력화하는 방법으로 라우터의 179포트로 유입되는 ‘Ack/Syn 패킷’을 차단할 것을 권고하고 있다. 이는 처음 이 공격에 의해 피해를 입은 베리오사가 사용했던 방법으로 당시 임시적으로 유입되는 패킷을 분석, 해당 서비스포트에 유입되는 패킷을 차단해 해결했다. 전문가들은 그러나 이 방법이 단순히 권고사항일 뿐 근본적인 해결책은 되지 못한다며 앞으로 이에 대한 방어기술 개발이 필요하다고 강조했다.
박종운 시큐브 정보보호기술연구소 해킹DB팀 실장은 “국내 전문가들은 이 공격방법에 대해 알고는 있지만 공격을 당한 이후 판별할 수 있는 방안이 없는 상태”라며 “국내 사이트들도 공격대상으로 노출돼 있어 앞으로 이를 방어하고 해결하기 위한 연구개발이 시급하다”고 말했다.
<서동규기자 dkseo@etnews.co.kr>