[IT강의실] 백만 좀비PC가 한 서버에 몰려든다 - 디도스(DDOS)
[용어로 보는 IT 2015년 개정판] 하루에 수십 대의 차량이 통과할 것을 예상하고 만들어 놓은 한적한 2차 도로가 있다. 어느 날 이 도로에 갑자기 수천, 수만 대의 차량이 나타나면 어떻게 될까. 단순 정체를 넘어서 주차장에 가까운 형태가 될 테고 결국은 오도가도 못하는 통행불능에 빠질 것이다. 이와 같은 현상은 실생활에서 거의 보기 드문 일이지만 온라인에서는 종종 발견된다. 바로 분산서비스거부(Distribute Denial of Service), 다른 말로 디도스(DDoS) 공격이라고 불리는 크래킹의 일종이다. 디도스 공격은 수십 대에서 많게는 수백만 대의 PC를 원격 조종해 특정 웹사이트에 동시에 접속시킴으로써 단시간 내에 과부하를 일으키는 행위를 뜻한다.
공격자들은 서버나 네트워크 대역이 감당할 수 없는 많은 양의 트래픽을 순간적으로 일으켜 서버를 마비시키는데, 그에 따라 일반 사용자들의 사이트 접근 및 사용이 차단된다. 디도스 공격의 목적은 자료를 유출하거나 삭제하는 것 아니라 단순히 서버를 마비시키는 것이다. 하지만 지속적인 서비스 운영이 필수인 인터넷 쇼핑몰이나 관공서 웹사이트는 서버가 단 몇 시간만 마비돼도 치명적인 피해를 입을 수 있다. 또한 디도스 공격의 특성상 초기 진원지를 추적하기가 어려워 재발 가능성이 있다는 점에서 더 위협적이다.
디도스 공격 과정
디도스 공격에는 서버가 마비될 정도로 많은 PC가 필요하다. 하지만 그 많은 PC를 공격자가 일일이 조종하는 것은 아니다. 공격자들은 자동화 프로그램을 통해 한 번에 여러 PC에 명령을 내릴 수 있다. 이를 위해 공격자들은 사전에 몰래 다른 사람들의 PC에 악성코드를 설치해 원격에서 제어가 가능하게 만들어 놓는다. 이 악성코드에 감염된 PC는 주인의 의사와는 상관 없이 공격자들의 명령에 따라 좀비처럼 움직인다고 해서 ‘좀비 PC’라고 불리기도 한다.
<디도스 공격은 많은 수의 PC를 원격 조종해 특정 웹사이트에 동시에 접속시켜 과부하를 일으키는 것이다>
악성코드는 다양한 경로를 통해 유입될 수 있다. 특정 웹사이트에 방문 시 액티브X 형식으로 설치될 수 있고, 특정 프로그램을 설치할 때 자신도 모르게 함께 설치되는 경우도 있다. 또한 이메일의 하이퍼링크나 첨부파일을 통해서도 들어올 수 있다. 이렇게 주인 몰래 유입된 악성코드는 PC에 잠복해 있다가 공격자가 활동 명령을 내리거나 특정 날짜가 되면 좀비 PC로 변신하게 된다. 좀비 PC가 되면 CPU 사용율이 일정 부분 높아지기는 하지만 육안으로는 확인하기가 힘들다. 공격자들이 좀비 PC가 크게 느려지지 않는 한도 내에서 공격 범위를 설정하기 때문이다. 만일 눈에 띄게 PC가 느려질 경우 이상한 낌새를 느낀 사람들이 PC를 포맷하거나 백신 프로그램으로 치료를 할 수 있으니 공격에 차질이 생긴다. 따라서 공격자들은 좀비 PC의 존재를 쉽게 알아채지 못할 만큼 강도를 조절해 사람들은 자신의 PC가 좀비 PC가 된 것을 모르거나 뒤늦게 깨닫게 된다.
이렇게 만들어진 좀비 PC들은 공격자의 명령에 따라 특정 웹사이트를 공격하게 된다. 만일 해당 웹사이트가 높아진 부하를 감당할 만한 장비를 갖추고 있다면 문제가 되지 않겠지만, 그렇지 않다면 시스템이 마비돼 접속이 불가능해진다. 디도스 공격은 좀비 PC를 크래킹하는 게 아니라 특정 웹사이트를 마비시키는데 목적이 있다. 따라서 좀비 PC가 된다고 해서 큰 피해를 입는 일은 드물다. 하지만 공격자들이 마음만 먹는다면 좀비 PC까지 피해를 끼칠 수 있다. 하드디스크를 손상시키거나 PC 안의 정보를 빼낼 수도 있고, 희박한 확률이지만 도청이나 도촬도 가능하다. 따라서 좀비 PC임이 감지되면 백신 프로그램 등으로 검색하여 즉시 악성코드를 치료하는 것이 좋다.
디도스공격 사례는?
사실 지금 이순간 어디선가 디도스 공격은 계속 이어지고 있다. 다만 그걸 느끼기가 쉽지 않아졌을 뿐이다. 최근에는 대규모 공격을 방어하는 방법이 다양해졌기 때문이다. 하지만 디도스는 물량공격 기반이기 때문에 처음 이를 막아내기가 어려웠다. 우리나라도 큰 피해를 입은 바 있는데, 몇몇 사례를 정리했다.
1.25 인터넷 대란
2003년 1월 25일, 디도스 공격으로 국내 인터넷 망이 마비되어 혼란에 빠진 바 있다. 마이크로소프트의 SQL 서버의 허점을 이용하는
슬래머 웜이 문제였다. 감염된 좀비 PC들은 대량의 데이터를 만들어 KT(혜화전화국)의 DNS 서버를 공격하면서 대란은 시작됐다. 이 전화국
서버가 마비되자 트래픽이 백본망으로 우회하기 시작했고 결국 다른 지역의 서버도 마비됐다.
아이템 거래중계 사이트 공격
2008년 12월부터 다음해 2월까지 한 아이템 거래중계 사이트에 디도스 공격이 가해졌다. 총 12차례에 이르는 공격으로 해당 사이트는
1,000억 원대 피해를 입었다. 하지만 이는 경쟁사의 전 임원의 소행으로 밝혀지면서 충격을 주기도 했다. 그는 중국 지린성에서 다른 공범과
함께 중국 해커를 모집, 해당 사이트의 서버를 공격하게 했다. 동시에 공격을 중단하는 것을 대가로 금품을 요구한 것으로 알려졌다. 경찰은
범인이 사전에 치밀하게 범행을 계획했다고 발표한 바 있다.
7.7 DDoS공격
2009년 7월 7일,미국과 우리나라 주요 정부기관과 포털 사이트,은행 등이 공격을 받아 서비스를 일시적으로 마비시켜 피해를 줬다. 5일부터
9일까지 5일간에 걸쳐 4차례 공격이 감행됐다. 첫 날에는 백악관 및 27개 사이트가 공격을 받았다.우리나라는 7월 7일, 주요 언론사와
정당,포털 사이트가 공격을 받았다. 이어진 공격에서는 1차 공격 대상이던 사이트 일부와 주요 포털 사이트 메일 서비스가 대상이었다.마지막
공격이 이뤄진 9일에는 국가정보원과 금융기관 일부가 공격으로 서비스 장애가 발생했으나 빠른 시간 안에 정상화가 이뤄졌다.
3.3 DDoS공격
2011년 3월 3일,국내 주요 정부기관과 포털 사이트,은행 등이 DDoS의 공격을 받아 두 차례에 걸쳐 서비스가 마비된 사건이다. 원래
4~7일 가량이 지나면 하드디스크가 파괴되도록 되어 있었지만, 공격에 큰 피해가 없자,이를 앞당겨 하드디스크를 파괴하는 명령과 보호나라
사이트 접속을 막는 명령을 내린 것으로 알려졌다. 방송통신위원회는 해당 디도스는P2P 파일 공유 사이트에 업로드된 일부 파일에
삽입,유포됐다고 발표한 바 있다.
중앙선관위 DDoS 공격
2011년 10월 26일, 중앙선거관리위원회(이하 중앙선관위) 홈페이지에 디도스에 의한 공격이 있었다. 당시에는 재보궐선거가 이뤄지고
있었다. 공격은 당일 오전 9시부터 오후 12시까지 이어졌고 해당 시간에는 중앙선관위 홈페이지 접속을 할 수 없었다.
좀비 PC 치료법
자신의 PC가 좀비 PC로 의심된다면 먼저 한국인터넷진흥원의 보호나라에 접속해 감염을 확인해본다. PC점검 카테고리에서 ‘악성 봇 감염 확인’을 클릭하면 그 즉시 결과를 볼 수 있다. 여기서 감염되었다는 경고를 확인했다면 치료백신을 내려 받는다. 네이버백신, 바이러스체이서, 알약, V3 라이트와 같은 무료 백신(단 개인사용자에 한함)을 이용하면 된다.
<한국인터넷진흥원의 보호나라 웹사이트에서 자신의 PC가 좀비 PC인지 확인할 수 있다>
백신을 내려 받았으면 컴퓨터를 재부팅 한 후 윈도우 안전모드로 들어간다. 이후 감염 전 날짜로 되돌리고 백신 프로그램으로 치료하면 된다. PC에 익숙하지 못한 사람들은 보호나라의 원격서비스를 이용하는 것도 좋다. 보호나라 홈페이지나 전화(국번없이 118)를 통해 서비스를 신청하고 기다리면 상담원이 원격으로 PC에 접속해 악성코드를 점검해준다. 단 무료 서비스이므로 시간이 오래 걸릴 수 있고, 회사나 공공기관은 서비스를 받을 수 없다.
좀비 PC 예방법
디도스 공격은 진원지를 찾기 힘들기 때문에 예방과 방어가 최우선이다. 특히 일반 사람들은 자신도 모르게 디도스 공격의 공범이 될 수 있기 때문에 악성코드와 바이러스에 감염되지 않도록 주의해야 한다. 한국인터넷진흥원이 해킹 및 바이러스를 예방하기 위해 권고하는 5대 정보보호수칙은 다음과 같다.
1. 윈도우 운영체제 보안 패치가 나오면 즉시 업데이트 할 것
2. 백신 프로그램을 항상 사용할 것
3. 컴퓨터에 암호를 설정할 것
4. 신뢰할 수 있는 웹사이트에서만 액티브X를 설치할 것
5. 공인인증서는 USB에 저장하고 금융 정보는 안전하게 관리할 것
먼 외국의 문제로 여겼던 디도스 공격은 어느 새 한국에서도 쉽게 찾아볼 수 있는 사회적 문제가 됐다. 지난 2009년 7월 7일 청와대 및 공공기관 웹사이트와 국내 주요 포털, 쇼핑몰이 동시다발적으로 디도스 공격을 받는 상황이 일어나 큰 논란을 일으켰다. 경쟁사에 디도스 공격을 사주했다가 검거되는 사례도 심심치 않게 발견된다. PC 보안에 만전을 기하는 방법만이 디도스 공격의 피해자도 가해자도 공범자도 되지 않는 길이다.
글 / IT동아 이상우(lswoo@itdonga.com)
본 기사는 네이버캐스트(http://navercast.naver.com/)의 '용어로 보는 IT' 코너에도 함께 연재됩니다.