본문 바로가기
IT/IT월드

원시적이지만 무서운 DDOS공격

by 썬도그 2009. 7. 9.
반응형
DDoS(Distributed Denial of Service·분산 서비스거부 공격은  이미 잘 알려진  인터넷 공격입니다.
언론들은  이 공격이 원시적이라고 말하지만  원시적이지만  해결책이  뚜렷하게 없는게  이 DDOS공격입니다.

이 DDOS공격은 해킹공격이라고 할수는 없습니다. 해킹이란 상대 시스템에 침투하여  루트 권한(관리자 권한)
을 획들하여 자료를  빼내거나  변조시키거나 서버를 마음대로 조정하는것을  해킹이라고 하지만
DDOS공격은  중요한 자료를 서버에서 빼내는것은 아닙니다.  다만  서버를 다운시키거나  정상적인 서비스를 못하게 하는 것이죠.

예를 들어 어느 백화점이 맘에 안들어서 아침 개장시간에  수백만명이 입구에 기다리고 있다가  백화점 영업시간이 되자 수백만명이 백화점에 몰려듭니다. 백화점측에서는  이게 왠떡이야~~  하고 좋아할것 같지만  이  수백만명중 진짜 구매고객은  몇 안되고 가짜고객들이나  최면술에 걸려서  조정당하는 좀비같은 사람들이 대다수라면 이 백화점  영업을 할수 없습니다.

백화점측에서는  불순분자나 좀비고객을 색출하고자 일일이 검문검색을 하지만 그 검문검색하다가는 날샙니다.
이렇게 영업을 방해하는  공격 즉 서비스를 마비시키는 공격이 DDOS공격입니다.
이 공격을 해결하는 방법은 간단합니다. 

백화점 입구에  금일영업을 중단합니다~~ 라고 써놓고 문을 닫으면 되죠.  아니면  모든 고객을 경찰력을 동원해서 해산시키면 됩니다.  시청앞광장에서  사람들이 모이니까 모든 시민을  불법폭력시위자라고 주홍글씨로 써놓고  한국경찰처럼  모두 막아서면 됩니다.  시청광장을 사용하지 못하게 차벽으로 둘러치면 됩니다.  이렇게 하면 막을수 있습니다.  그러나 이건 해결책이 아닙니다.    공격자가 시청광장을 아무도 사용하지 못하게 하는게 목적이라면 성공한것이니까요.

비유가 적절한것은 아니지만  이런식으로  아예 영업을 못하게 하는게 목적인 공격자에 따라  움직일수 밖에 없는게
DDOS공격입니다. 오늘 2차 DDOS공격이 있었고 내일은 3차가 그 다음은 4차 5차 공격이 예상됩니다.
오늘은 보니 안철수 백신싸이트와  국가정보원까지 공격했더군요. 



좀비PC를  일정량 이상 제거하지 않으면  이 공격은 멈추지 않을것 입니다. 원시적이지만 아주 효과적인  공격이고
딱 부러지게  막아내는 방법도 없습니다.   뭐  라우터나 IPS에서  짧은시간에  과도한 접속요청을 하는  의심스러운 IP들을  블러킹하면 되긴 합니다. 또한  해외에서 접속하는 것이라면  해외IP를 모두 블럭시키면 됩니다.

그런데 이번 공격은 국내PC들이 많이 공격하는것 같더군요.  보안이 취약한 윈도우 업데이트를 하지 않고 무료백신이 널리고 널렸는데도  깔지 않은 PC들이 봉기한듯 합니다.  사용자들은 자신의 PC가 좀비PC가 되어  해커와 공격자들에게  이용당하는지도 모를것입니다.

어떤것이  정상적인 접속요청인지  불량스러운건지 좀비PC인지를  IPS나 IDS나  방화벽 라우터들이 분간하기 힘듭니다.다만 패턴을 유심히 살피다가  의심스러운 패턴을 보이는 IP를  데이터베이스에 등록해서 막아내는 방법밖에는 없습니다. 그러나 이 마져도  거대한 DDOS좀비PC의 공격엔 무용지물입니다.

이 DDOS공격이 무서운것은 여기에 있습니다. 
바이러스로 치면  사람을 죽일만큼 치명적인  바이러스는 아니지만 걸리면  치료가 힘든  병이라고 할까요.
어제 공격목표 다르고  오늘 다르고 내일 다르는것을 보면  분명  특정집단이 뿌린  악성코드가 담긴  스파이웨어나 웸바이러스에 걸린 PC들이  계속 조정당하는것 같습니다.

정부에서는  좀비PC들을 색출하고 전화까지 걸 생각인가 본데  그건 현명한 모습은 아닙니다.
차라리  중국의 그린댐프로그램처럼   강제적으로  모든 PC에  정부에서 제공하는 프로그램을 깔아서 정부에서 한국의 모든 PC를 관리하는게 낫겠죠. 하지만 이 마져도 악용될 위험, 즉  정부가  개개인의 PC를 들여다 볼수 있는 부작용이 생기고  온라인마져도  국가에 통제되는  흉칙한 세상이 되기때문에 실현가능성은 없습니다.

그렇다고 계속 이렇게 지낼수는 없죠.
이 글을 읽는 분들이라면  당장이라도  윈도우 업데이트를 하시고  네이버나 다음툴바 혹은 V3같은 무료백신을 설치하고 PC점검을 해주길 바랍니다. 

또한 언론은  DDOS공격이 원시적인 공격이라고 호들갑 떨지 말고 그 무서움과 대비책이 없는 공격이라고 알려줘서
경각심을 알려줘야 할것입니다. 

국정원은  공격당한 싸이트를 보고  북한의 소행이라고  섣부른 판단을 그대로 언론에 발표했습니다.
아무런 증거도 없이  국가 공신기관이  그렇게 쉽게 말하는것은  지금 이 사태에 도움이 안됩니다.
DDOS공격으로 온라인이 위기인데  이념전쟁까지  부축이면   국정원의 위신은  땅에 쳐박히다 못해 지하로 내려갈것입니다.


또한  DDOS공격이  아무런 대비책이 없는것이 아니기에  각종 네트웍장비와 방화벽장비를 능수능란하게  다루는 엔지니어들을 많이 키웠으면 합니다.  1차 공격과 2차공격에서  빠진 싸이트가 있고   계속 공격받는 싸이트가 있고  새로 공격받는곳이 있습니다. 1차공격때는 당했으나 2차공격때 빠진 싸이트들은  대비책을 마련하고  해결을 한것일것입니다.
공격자가  여긴 그만공격하자~~ 라고 할리 만무합니다.   이런 모습을 보더라도  막아낼수 있습니다. 네이버가 2차공격때 빠진것을 보면 네이버쪽 방어가 좋은가 봅니다.  조선일보, 외환은행, 국방부는 1,2차 공격때 모두 당했죠.
이것을 보면 조선일보, 외환은행, 국방부의 엔지니어의 능력과 시스템을 검증해야 할것입니다.

덧붙임 :  저의 짧은 식견으로 생각해보면  이런 해결방법도 생각납니다. 정부가  일일이 좀비PC색출하는것 보다는
아파트 지하에 있는  KT나  하나로같은 통신업체 장비들을 관리하는 업체들이  이상한 패킷들이 발생하는지 살펴서  대량 패킷 그러나  의심스러운 패킷을  살펴서  해당 사용자에게 전화를 하는게 더 낫지 않을까요?  제가 인터넷을 많이 사용하다 보니  가끔  제 PC만 인터넷이 안되서  KT 유지보수 업체가 많이 다녀갔는데  그때마다 불량패킷이 발생했다고 하더군요.  장비들이 갑자기 패킷량이 과도하게 많아지면 포트를 블럭시킨답니다. 지금은  직접 연락하는 관계까지 되었는데요.  나중에는  110으로 고장신고 하지말고 직접 전화해달라고 하더군요. 원격으로 살펴보고 아파트나 주택에 있는  스위치허브만 잘 살펴봐도 좀비PC를 색출할수 있지 않을까요?  주제넘는 생각도 해봅니다.

반응형