check 3d gpu
바로가기
왼쪽 메뉴로 이동
본문으로 이동

[김혁준 칼럼] 사이버전의 역사(3)-7.7 DDoS, ‘기술 대 전술’

2019년 06월 05일(수)
공유하기

구글+구글+ 카카오톡카카오톡 카스카스 라인라인 밴드밴드 URL복사URL복사

URL 복사

아래의 URL을 길게 누르면 복사하실수 있습니다.

- 기술 기반 정보보호 체계, 전술 기반 공격 대응으로 새로운 전환점 맞고 있어

kk.JPG
침해사고대응 전문기업 나루씨큐리티 김혁준 대표가 데일리시큐를 통해 <사이버전의 역사>를 주제로 연재를 진행합니다. 바쁘신 가운데 기고 수락해 주신 점 감사 인사를 전합니다. 보안의 다양한 주제들을 가지고 김혁준 대표와 데일리시큐 독자들간 의견교환과 정보공유를 할 수 있는 소중한 시간이 되길 바랍니다. -편집자 주-

한번 지나간 강물을 다시 만질 수 없듯이 완전히 동일한 침해사고는 다시 발생하지 않는다. 하지만 물을 다스리는 근본적 방법은 과거와 현재가 다르지 않고 이는 침해사고 대응에도 동일하게 적용된다.

2009년 최초의 국가기반 사이버전이라 칭할 수 있는 ‘7.7 서비스거부공격’이 발생한 이래 지금까지 기술적 측면에서는 단 한 번도 같은 공격이 발생하지 않았지만 전술적 측면에서는 동일한 공격이 반복되고 있다. 연재 3번째 이야기인 “기술 대 전술”에서는 기존의 기술적 관점에서 벗어난 전술적 관점의 분석을 통해 공격과 방어의 상호작용을 다루고자 한다.

정보보호에서 방어는 항상 공격에 대한 맞대응으로 이루어진다. 정보보호 대응 체계는 2003년 1.25 대란의 기술적 맞대응으로 제2의 사고 발생을 예방하기 위해 진행되었다. 사고 발생 이후 트래픽 폭증을 탐지하기 위해 실시간 정보공유 체계를 운용하고(2003년), 봇넷의 통신을 차단하기 위해 도메인 싱크홀 체계를(2005), 공격발생의 원인이 된 악성코드 전파 및 유포에 대응하기 위해 악성코드 탐지/대응 체계를(2006년), 7.7 DDoS가 발생하기 수개월 전인 2008년 인터넷 연동구간에 서비스거부공격 대응체계를 구축하여 운용하였다. 당시 공격자는 사회적으로 인정받지 못한 소수의 해커가 지하실에서 충혈된 눈으로 자판을 두드리는 정도로 여겨졌고 2003년 이래 7년간의 노력은 이에 대응하기에 충분한 것으로 인식되었다.

하지만 7.7 DDoS는 국가기반 공격자가 충분한 자원과 치밀한 계획을 통해 기존까지 유지되던 방어자와 공격자의 위태로운 균형을 완전히 무너뜨린 공격이었다. 대역폭소진 공격을 대비한 연동구간 DDoS 대응 체계는 어플리케이션 수준 공격으로 우회되었고, 지역 공격에 최적화된 대응 체계는 국가 전반에 대한 광역 공격에 철저하게 무력화되었다. 수많은 봇넷을 성공적으로 탐지하고 제거하여 국제사회에서 성공사례로 인정받고 있던 DNS 싱크홀은 도메인을 사용하지 않는 공격자에게는 속수무책이었다.

DNS 싱크홀의 사용을 사전에 인지한 공격자는 공격 발생 수개월 전 23개국 33개 네트워크의 사용자 컴퓨터를 해킹하여 악성 이력이 없는 공격 인프라를 구성하였고, 배후를 감추기 위해 공격이 끝난 후 단 한 번도 재방문 하지 않았다. 이러한 철저한 준비과정 중 무엇보다도 주목해야 할 것은 공격자의 봇넷 구성 방법이다. 공격의 성공을 위해 공격자는 방어자원보다 큰 공격자원을 확보하고 공격자원의 분포가 단일방어지점을 구성하지 못하도록 하기 위해 치밀한 전술적 고려가 수반되어야 한다.

당시 공격자는 최근 정보보호 업계에 화두가 되는 소프트웨어 기반 공급망 공격을 통해 많은 사용자를 확보하고 있던 국내 웹하드 프로그램의 업데이트 파일을 변조하여 손쉽게 50만 이상의 정상 사용자의 컴퓨터를 무기화하였다. 또한 공격에 사용된 컴퓨터의 97% 이상이 국내에 위치하여 공격 트래픽이 단일 방어 지점인 국제 관문국을 우회하도록 하였다. 이러한 전술적 고려는 공격대상이 된 36개의 웹사이트를 완벽하게 서비스거부상태로 만들었다.

이렇게 시작된 국가기반 사이버 공격은 2009년 이후 지속해서 증가하고 있으며 공격 기법은 빠르게 발전하고 있다. 기술적 공격 영역에서 정상과 악성의 구분은 방어자의 자원을 무기화하는 전술적 공격 영역에서는 그 의미를 잃어가고 있다. 불특정 다수에 대한 공격이 아닌 특정 목표에 정밀한 공격을 수행하는 사이버전은 목적 달성을 위해 많은 시간이 소요되는데 이 중 하나의 고리가 끊어져도 공격의 진행을 위해 많은 시간을 재투자하여야 한다.

공격자는 이를 극복하기 위해 정보수집, 무기화, 초기침투, 목적달성의 분업화를 통해 공격의 효율성과 적시성을 최적화하고 있다. 이러한 사례는 2016년 국내 백신 제품 취약점을 이용한 정보탈취 공격 발생 불과 몇 개월 후 동일 제품을 사용하는 국내 ATM을 해킹한 사례는 공격자가 이미 해당 제품을 사용하는 사업장에 대한 정보를 획득하고 있었다는 것을 방증하고 있다. 이러한 사실은 지난 10년간 구축해 온 기술 기반의 정보보호 체계가 전술 기반 공격에 대응하기 위해 새로운 전환점을 맞이하여야 한다는 것을 잘 나타내고 있다.

[참고서적]
1. 국가정보원・방송통신위원회・행정안전부・지식경제부. (2012). 「2012 국가정보보호백서」. 국가정보원・정보통신부. (2012). 「국가정보보호백서」
2. 김혁준 “일회성 봇넷의 출현과 DDoS 위협관리”, 제13회 해킹방지워크샵, pp.120-143
3. 김혁준, et al. 정책기반의 분산서비스거부공격 대응방안 연구. 정보과학회논문지, 2016, 43.5: 596-605

▲ 필자. 김혁준 나루씨큐리티 대표.
▲ 필자. 김혁준 나루씨큐리티 대표.
[필자. 김혁준 (주)나루씨큐리티 창업자 및 대표이사 / joonkim@narusec.com / △경찰청 사이버범죄 전문가 그룹 자문위원 △정보통신망 침해사고 민관합동 조사단 전문가 △국방데이터센터(DIDC) 자문위원 △한국블록체인협회 보안분과위원(내부망보안, 보안아키택처) △2017/2018 IITP 정보보호 R&D 기획위원회 위원 △고려대학교 사이버국방학과 출강 △(전)사이버사령부 자문위원 △(전)한국인터넷 진흥원 침해사고대응센터 연구원 △알버타 주립대학교 Prediction in Interacting System 센터 연구원 △알버타 주립대학교 컴퓨터공학과 졸업 △2018년 사이버치안대상 감사장 수상 △2008 FIRST Security Best Practice 수상 △네트워크 보안모니터링 외 2권 번역 △사이버전 전장환경 및 네트워크 분석 관련 논문(6) △국제특허 1건을 포함한 3건 보유 8건 출원 △나루시큐리티는 타깃공격대응 전문기업으로 침해사고 원인규명을 위한 사이버킬체인 기반의 사고분석 및 재발방지를 위한 보안아키텍처 수립 방안을 제공하고 있다. 자체 개발한 내부망타깃공격 전문대응솔루션 '컨텍텀(ConnecTome)'과 침해사고대응훈련서비스를 국내외 공공기관 및 기업 등에 제공하고 있다.]

★정보보안 대표 미디어 데일리시큐!★


길민권 기자 mkgil@dailysecu.com

전체선택후 복사하여 주세요. 닫기