IT이야기 / 디도스(DDoS) 이야기

출처 : https://pixabay.com/

최근 국내 통신사의 전국 장애가 있었고, 이에 따른 원인으로 '디도스(DDoS)'라는 이야기를 속보로 내놨다. 하지만 정확한 내용을 파악하니 디도스가 아닌, 부산의 라우터 설정 문제라는 원인이 나왔다. 하지만 아마 디도스라고 말했던 시점, 네트워크 공부를 조금이라도 해본 사람들은 'DDoS는 거짓말'라고 생각했을 것이다. 아마 통신사는 "일반인들은 모르겠지, " 하고서 말했을 것 같지만 요즘 세상은 SNS으로 빠른 정보가 오가는 시대이기 때문에, "통신사의 디도스(DDos) 언급은 이상하다"는 내용은 빠르게 퍼져나갔습니다.

그럼 이 디도스(DDoS)가 무엇이길래, 네트워크가 끊기는 문제가 발생했을 때, 서비스 제공자들이 쉽게 변경거리로 자주 사용하는지, 그럼 디도스(DDoS)는 누가 하는 짓인지 간단하게 이야기해보도록 하겠다. 디도스는 '분산 서비스 거부 공격'으로 해킹 기법 중 하나이다. DDoS라고 쓰는 이유는 Distributed Denial of Service attack의 약자이기 때문이다. 디도스는 '네트워크 장비나 컴퓨터/서버를 대상으로 많은 통신 데이터 트래픽을 발생시켜 공격하는 방식'이며, 이 기법은 네트워크가 생겼을 때부터 발생된 방법 중 하나이다.

원리를 이야기해보자면, 5대의 서버로 이루어진 서비스가 있는데, 위 그림의  서버는 각각 100대의 컴퓨터를 소화할 수 있는 능력을 가지고 있다. 이때, 100,000대의 컴퓨터가 접속을 하면, 과연 이 서비스는 어떻게 될까? 사용자들은 하얀 화면밖에 볼 수 없는 상황이 발생된다. 이렇게 말하면 이해가 안 될 수 있는데, 커피집에서 한 번에 소화 가능한 커피 주문은 100잔인데, 갑자기 100,000잔을 배달해달라는 주문이 오는 상황이고, 이 100,000중에 진짜는 없는 거짓 주문이라는 것. 이게 DDoS를 설명하기 편하겠다.

이렇게 서버가 과부화가 걸려서 서비스를 이용하지 못하는 경우는 인터넷 공간에서 많이 경험할 수 있다. 뮤지컬표 예매하는 상황이라던지, 혹은 수강 신청할 때 몰려서 서비스가 오류가 난다는지 등.. 이런 경우는 '트래픽 몰림 현상'에 의해 해킹이라고 할 수 없다. 하지만 고의적으로 좀비 PC, 단말기 등을 만들어서 하나의 서비스에 막대한 트래픽을 날리는 건 해킹에 해당되어 처벌을 받는다. (그래서 경찰이 수사에 나섰던 것이다.)

출처 : https://m.yna.co.kr/view/GYH20211025001700044

이런 이야기를 들어보면, DDoS를 하려면 우선 공격자는 무조건 상대방보다 몸집이 커야한다. 즉, 트래픽을 그만큼 발생시킬 수 있는 인프라가 있어야 한다는 뜻이다. 해커들은 '좀비 PC'를 구성하는 등의 다양한 방법으로 본인들만의 공격형 인프라를 구축해놓는다. 그렇다면 최근 통신사의 변명 중 'DDoS'라고 말했던 말이 왜 거짓말인지에 대해 이야기해보자면, 그 국내 최대 통신망을 가진 업체만큼의 몸집이 큰 공격자가 전 세계에 어디 있을까..라는 의문을 가져야 한다. 만약, 우리나라 5천만 인구의 접속자만큼의 트래픽을 이겨내는 통신망을 뚫어내려면, 똑같은 수의 좀비 PC가 준비되어 있어야 하는데.. 우선 가능성이 희박하다. 그렇기 때문에 관련업을 하고 있는 사람들은 '식상하다, 재미없다' 등의 반응을 내비친다.

공격하는 방법에는 여러가지가 있다. '트래픽'을 발생시켜 서버로 공격하는 방식이라면, 우리가 사용하는 '새로고침'으로 계속해서 새로운 정보를 불러오면 네트워크에 무리가 가지 않을까 라는 생각을 하는 사람이 분명히 있을 것이다. 하지만 이 방법은 매우 위험한 방법이며, 500명이 모여서 상대방 서버에서 F5를 연타하여 공격을 가한다면, 그 이후에 로그에 남아 잡혀가는 것은 그 500명이 될 것이다.

그래서 좀비 PC를 이용한다. 이전의 P2P 서비스 등을 통해 오픈되어있는 '구멍'으로 상대방의 PC의 리소스를 사용하거나 혹은 바이러스를 심어서, 상대방의 리소스를 바탕으로 다른 곳으로 사용하는 것으로 좀비 PC가 완성이 된다. 이를 바탕으로 여러 좀비 PC를 하나의 서비스망으로 만든 뒤, 이를 조정하여 하나의 서비스를 공격하는 것이 DDoS 공격 형태 중 하나이다.

 

출처 : https://pixabay.com/

그럼 왜 DDoS 공격을 하는 것이며, 누가 하는 것일까? 대부분의 공격은 해커들이 많이 진행한다. 해커는 돈을 바라고 서비스 업체들을 공격하고 주기적으로 서비스를 원활하게 진행하지 못하게 한 뒤, 돈을 요구한다. 마치 랜섬웨어와 같다. 이 DDoS를 막을 수는 없냐는 질문들이 많다. DDoS의 흐름을 본다면 '네트워크 트래픽 과부하 공격'이라고 볼 수 있는데, 이러한 공격 형태는 완벽하게 막기란 힘들다. 우리가 아는 큼직한 서비스들이 DDoS 공격을 받아서 영향을 받았다고 하는 이유가 이 이유이다. 최대한 공격당하기 전에 DDoS를 탐지해서 미리 네트워크망을 우회하는 방어체계를 구축하거나, 광대역 네트워크 기반의 대응 기술을 만들어두어야 한다. 

 

하지만 DDoS는 서비스 공급자만 잘 방어한다고 해서 되는 것이 아니다. 서비스를 이용하는 이용자들도 보안에 취약한 부분을 만들지 않도록 자주 검사를 해야 하고, 컴퓨터를 안전하게 사용해야 한다. 특히, 토렌트 같은 공유 서비스를 이용하는 사람들은 조심해야 하는 부분은 나도 모르는 'Port'가 열려있어서 내 컴퓨터의 리소스를 다른 누군가가 사용할 수 있다는 부분이다.

 

마치 DDoS를 방어하려면 의사가 말해주는 '담배 끊고, 술 끊고, 고기 줄이고..'의 전형적인 건강해지는 처방 중 하나처럼 컴퓨터에서도 '무분별한 컴퓨터 프로그램을 설치하지 말고, 다른 사람이 주는 링크는 클릭하지 않으며..'의 법칙들을 잘 지켜야 할 것이다. 보통 IDC를 통해 사업을 진행하시는 분들의 경우에는 '클린존'같은 서비스를 이용할 수 있다. 아마 가격을 알아보신다면 금액적으로 깜짝 놀라실 수 있는 부분은 감안하시길 바라며..

특히, 앞으로 블로그에서는 깊은 기술적인 이야기를 올리는 형태의 IT 이야기보다 어떻게 진행되는지 간단하게 훑어서 이야기하는 방향식으로 말하는 쪽으로 방향성을 잡고자 한다. 그러다 보니 주관적인 이야기가 많고, 가끔 틀린 부분도 업로드될 수 있으니 참고해주시면 감사.. [기술적인 블로그는 이미 너무 많다.. :)