[보안뉴스 문가용 기자] 2017년 2사분기에 디도스 공격자들이 중국의 한 통신업체에 277시간 동안 디도스 공격을 퍼부었다고 보안 업체 카스퍼스키가 발표했다. 2017 디도스 첩보 보고서(2017 DDoS Intelligence Report)를 통해서다. 이 보고서를 만들기 위해 카스퍼스키는 여러 봇넷들을 확보해 데이터를 수집했다고 한다. 11일간 지속된 디도스 공격은 적어도 2017년 상반기에는 최고 기록이다.

[이미지 = iclickart]

올해 들어 가장 용량이 컸던 공격도 2사분기에 일어났다. 1초에 20GB의 트래픽이 유발된 공격이었다. “그 공격의 경우 대략 한 시간 정도 지속됐고, 무연결 UDP(connectionless User Datagram Protocol)가 활용되었습니다. UDP 공격 대부분 초당 4GB를 넘지 않는 게 보통입니다. 특이한 경우였죠.” 카스퍼스키의 멀웨어 및 봇넷 수석 분석가인 올레그 쿠프리브(Oleg Kupreev)의 설명이다.

디도스 공격이라는 유행이 다시 돌아온 걸까? 아니면 더 무섭고 폭력적인 디도스 공격법이 개발된 걸까? 카스퍼스키는 디도스의 ‘컴백’ 현상에 대해 지적하고는 있지만, 그 이유는 확실히 밝히고 있지 못하다. 쿠프리브는 “디도스 공격 시간이 그렇게나 집요하게 길어진 이유는 확실치 않다”며 “원래 디도스 공격이라는 게 트렌드 없이 일어난다”고 설명한다.

한편 네트워크 보안 전문업체인 코레로 네트워크 시큐리티(Corero Network Security)는 “아직도 네트워크를 가장 빈번하게 위협하는 건 볼륨이 낮은 디도스 공격”이라고 한다. “2사분기 때 디도스 공격을 당한 국가는 1사분기의 72개국을 넘는 86개국이었습니다. 가장 많은 공격을 당한 10개 국가는 차례대로 미국, 중국, 대한민국, 홍콩, 영국, 러시아, 이탈리아, 프랑스, 캐나다, 네덜란드였습니다.” 코레로 측의 설명이다.

카스퍼스키의 쿠프리브는 “다른 나라에 서버를 두고 온라인 자산을 보관하는 국가들이 많고, 그 서버들이 많은 곳은 디도스 공격에 자주 당할 수밖에 없다”며 “중국, 미국, 대한민국이 항상 디도스에 노출되어 있는 건 이 때문”이라고 분석했다. 특이할만한 건 이탈리아를 겨냥한 디도스 공격이 10배나 늘었고, 네덜란드 역시 1.5배 증가했다는 것이다. “이 때문에 1사분기 탑10에 있었던 베트남과 덴마크가 밀려났습니다.”

랜섬웨어형 디도스 공격도 2사분기 때 ‘기묘하게’ 증가했다. 랜섬웨어형 디도스 공격이란 사이버 공격자들이 디도스 공격을 잠깐 하고, 기업 측에 돈을 내지 않으면 더 큰 공격을 하겠다고 협박하는 형태의 범죄를 말한다. “보통은 맛보기 공격이 먼저 들어가곤 하는데, 2사분기 때는 그런 것도 없었습니다. 겁주기 위한 최초 공격 없이 협박만 들어간 겁니다. 위협만으로도 돈을 내는 기업들이 있었던 것이고, 그걸 범죄자들이 알아챈 것이죠.”

이는 디도스를 일으킬만한 기술적인 지식이 없어도 범죄를 저지르고 운이 좋으면 실제로 적잖은 금액을 벌어들일 수 있다는 뜻이 된다. “그런데 암시장에 가보면 디도스를 서비스해주는 곳이 있어요. 시간 당 얼마, 분 당 얼마, 하는 식으로 거래되죠. 물론 2사분기에는 그런 거래조차 줄어들었을 정도로 범죄자들이 게을러지긴 했지만요.” 카스퍼스키 디도스 부문 책임자인 키릴 일가나에브(Kirill Ilganaev)의 설명이다.

다만 협박만 하려는 범죄자들은 기술적으로 대처할 능력이 현저히 떨어지는 곳을 주로 노리는 듯 하다고 키릴은 설명을 보충했다. “기업들 중 디도스 같은 ‘사이버 공격’이 들어오면 아무런 대처를 못하는 곳도 생각보다 많습니다. 패닉에 빠지든가 당황하던가 평소에 IT 쪽으로는 전혀 관심이 없었던가, 그런 곳이죠. 이런 곳들은 협박만 들어와도 돈을 낼 확률이 높습니다.”

쿠프리브는 “랜섬웨어형 디도스 공격이 디도스의 주류가 될 것 같지는 않다”고 조심스레 예측했다. “보통의 디도스는 그저 실제 마비 현상을 일으키는 것에 그 목적이 있습니다. 그런 디도스의 본질까지 사라질 것 같지는 않습니다. 지금의 협박 범죄는 잠깐 지나가는 유행일 가능성이 높아 보입니다.”

그 이유에 대해 “디도스 공격자들의 가장 주요한 동기는 ‘돈’이 아니기 때문”이라고 그는 설명한다. “정치적인 목적을 가진 디도스 공격도 있고, 시장 선점을 위해 경쟁사를 괴롭히는 경우도 있으며, 핵티비스트들도 디도스를 자주 이용합니다. 돈을 노리는 범죄자들은 이런 디도스 공격자들 중 작은 비율만을 차지합니다. 적어도 아직까지는요.”
[국제부 문가용 기자(globoan@boannews.com)]