디도스 공격 31.4Tbps 돌파, 저비용 서비스화로 위협 증대 | 종합

2시간 전 204 읽음

디도스 공격 31.4Tbps 돌파, 저비용 서비스화로 위협 증대

IT조선

IT조선은 독자들이 이해하기 어려웠던 보안 용어와 개념을 보다 쉽게 풀어 설명하는 ‘보안TMI(Too Much Information)’ 코너를 새롭게 마련했습니다. 매주 주제를 선정해 개념은 물론 기사에 담지 못했던 배경과 맥락까지 짚어드립니다. 독자들이 보안 관련 뉴스를 보다 명확하게 이해할 수 있도록 돕겠습니다. [편집자 주]

평소 문제없이 접속되던 웹사이트가 갑자기 느려지거나, 아예 열리지 않는 경우가 있다. 새로고침을 반복해도 반응이 없고, 특정 시간대에만 서비스가 멈추는 현상도 나타난다.

이런 문제는 내부 인프라 설정 오류로 발생하기도 한다. 다만 별다른 변화가 없는데도 같은 현상이 장시간 지속된다면 외부 공격을 의심해볼 수 있다. 이때 대표적으로 거론되는 것이 디도스(DDoS, 분산 서비스 거부) 공격이다.

디도스는 데이터를 탈취하거나 시스템을 복구 불가능하게 파괴하는 방식은 아니다. 정상적인 요청을 처리하지 못할 정도로 트래픽을 몰아넣어 서비스를 '멈추게' 만든다. 정보보안의 핵심 요소인 '기밀성'이나 '무결성'이 아니라 '가용성'을 겨냥하는 공격이다.

공격 방식은 단순하다. 특정 서버나 네트워크에 대량의 요청을 동시에 보내 컴퓨팅 자원을 일시에 소모시킨다. 이 요청은 한 곳이 아니라 여러 곳에서 동시에 발생한다. 악성코드에 감염된 수천·수만대의 PC, 서버, 사물인터넷(IoT) 기기들이 동원된다. 이들을 모아 지휘하듯 운용하는 것을 ‘봇넷(botnet)’이라고 부른다.

문제는 이 봇넷이 유발하는 트래픽이 정상 요청과 구분이 쉽지 않다는 점이다. 일시에 발생하는 대규모라는 점만 빼면 정상적인 요청이다. 이에 서비스 입장에서는 이용자 요청을 그대로 처리해야 한다. 일시에 몰리는 대규모 트래픽을 처리하다 감당할 수 있는 수준을 넘어서면 지연이 발생하고, 결국 중단으로 이어진다.

공격 방식에는 몇 가지 종류가 있다. 네트워크가 한 번에 처리할 수 있는 '대역폭'을 채우는 볼륨 기반 공격, 연결 처리 자원을 소모시키는 프로토콜 공격, 웹 요청 자체를 겨냥하는 애플리케이션 공격 등으로 나뉜다. 최근에는 이들 방식을 동시에 사용해 방어를 어렵게 하는 방식이 일반적이다.

공격 규모는 최근 들어 빠르게 커지고 있다. 디도스 공격 중 가장 널리 알려진 2016년 ‘미라이(Mirai)’ 봇넷 사건 당시 약 1Tbps(초당 테라비트) 수준의 트래픽으로 주요 인터넷 서비스가 마비됐다. 당시에는 이례적인 규모로 평가됐다.

이후 기록은 매년 경신되는 추세다. 클라우드플레어, 아카마이 등 콘텐츠 전송 네트워크(CDN) 기업에 따르면 최근에는 3~5Tbps를 넘어서는 공격이 반복적으로 관측되고 있으며, 일부는 10Tbps에 근접하는 사례도 보고됐다. 여기에 2025년 4분기에는 초당 31.4Tbps에 달하는 공격까지 관측돼 급격한 규모의 증가를 보였다. 2016년 미라이 당시와 비교하면 평균 수배에서 최대 수십배 확대된 수준이다.

애플리케이션 계층 공격도 증가했다. 초당 수천만 건 이상의 요청을 보내는 형태의 공격이 등장했고, 정상 이용 패턴과 유사하게 구성돼 탐지가 쉽지 않다.

공격 환경도 바뀌었다. 과거에는 공격자가 봇넷을 직접 구축해야 했지만, 최근에는 '서비스형 디도스(DDoS as a Service)' 형태가 확산됐다. 클라우드플레어에 따르면 시간당 5달러, 월 30달러 정도의 비용만 지불하면 공격 도구를 빌려 사용할 수 있는 것으로 알려졌다. 서비스형 디도스는 공격 진입 장벽을 낮추고 공격 시도 횟수를 늘이는 데 큰 역할을 하고 있는 것으로 분석된다.

금전을 노린 ‘랜섬 디도스’ 공격도 보고되고 있다. 공격을 예고하거나 일부 '맛보기용' 트래픽을 먼저 보내 압박한 뒤 비용을 요구하는 방식이다. 내부 침투 없이도 수행할 수 있어 이른바 '히트 앤 런' 형태로 활용된다.

디도스 공격의 피해는 단순한 접속 장애에만 그치지 않는다. IT에 많은 것을 의존하는 오늘날, 서비스가 중단되면 회사 업무가 멈추고 고객도 떠난다. 디도스 방어 관련 업계는 "장애가 10초를 넘기면 체감 불편이 커지고, 5분 이상 지속될 경우 매출 손실과 브랜드 신뢰 하락으로 이어질 수 있다"고 경고한다.

디도스 방어는 단일 장비 도입으로 해결하기 어렵다. 트래픽을 분산시키는 로드밸런싱(Load Balancing) 장비, 웹 애플리케이션 방화벽(WAF), 전용 디도스 대응 인프라, CDN 기반 처리 등의 방법이 혼합 사용된다. 최근에는 특히 대형 클라우드 사업자나 보안 업체의 CDN 기반 ‘스크러빙 센터(Scrubbing Center)’를 활용해 공격 트래픽을 걸러내는 방식이 일반적으로 활용된다.

디도스 공격 방어의 핵심은 공격을 완전히 차단하는 것이 아니라, 서비스가 멈추지 않도록 유지하는 데 있다. 디도스 공격은 배후를 추적할 만한 흔적을 거의 남기지 않는다. 반면 서비스가 멈추는 순간 피해는 바로 가시화된다. 공격 방식은 단순하지만, 봇넷의 규모가 커져 순간 트래픽이 대비된 수준을 넘어서면 그때부터는 문제가 된다. 오늘날 디도스는 일부 인터넷 서비스 기업과 같은 특정 기업만 걱정해야 할 문제가 아니라, 온라인 서비스를 운영하는 모든 조직이 대비해야 할 기본 리스크가 되고 있다.

정종길 기자

jk2@chosunbiz.com