매년 이맘 때가 되면 한 해를 돌아보고 내년을 전망해보는 다양한 이야기들이 회자된다. IT 업계 종사자들은 기술과 산업의 트렌드에 특히 주목한다. 그 중에서 가장 관심이 쏟아지는 분야가 보안이다.

이에 필자도 2018년 한 해를 분석한 인터넷과 보안 현황 보고서(SOTI: State Of The Internet /Security)를 통해 지난 1년간의 보안 트렌드를 간략히 살펴보고, 2019년을 준비해보고자 한다.

SOTI 보고서는 아카마이(Akamai)가 매일 수집하는 방대한 인터넷 트래픽을 통해 얻은 정보를 분석하여 작성하고 있고, 인터넷 트래픽의 증가 추이 및 DDoS나 웹 애플리케이션 공격과 같은 악성 트래픽 패턴에 대한 정보를 싣고 있다. SOTI 보고서는 단순히 DDoS나 웹 애플리케이션 공격 뿐만 아니라, DNS나 봇(Bot) 등을 포함한 광범위한 IT 보안에 위협이 되는 전반적인 분야에 대해 지속적으로 분석하고 있는 내용을 포함하고 있다.

SOTI 보고서는 매년 6차례 이상 발간이 되고 있다. 가장 최근에 발표된 자료에 따르면 최근 2년간의 사이버 공격의 형태는 공격의 규모와 방식을 제외하고 지난 20년의 굵직한 사례들과 거의 유사한 공격과 방어의 패턴을 띄고 있다는 결과를 발표했다.

그럼 2018년에는 어떤 괄목할 만한 사건들이 있었을까?

▶ 디도스(DDoS) 공격

DDoS 공격 패턴은 매년 거의 비슷하다. 일반적으로 대역폭(bandwidth)을 DDoS의 피해량을 측정 할 때 단위로 사용하는데, 이는 악의적인 공격자가 단위 시간당 발생하는 트래픽을 의미한다. 통계적으로 분석을 해보면, 전세계의 DDoS 공격은 분기 당 약 9% 정도씩 공격의 대역폭이 증가하고 있으며, 이는 2년 전과 비교하면 현재는 거의 두 배에 달하는 규모다.

9%씩 증가한다는 의미는 통상적인 시간과 비례한 증가를 의미하는 것은 아닌, 지난 2년간의 관찰에 의한 정보이다. 2017년의 IoT 장비를 이용한 미라이(Mirai) 공격이나, 2018년의 멤캐시드(Memcached) 리플렉션 공격의 경우와 같이 공격자가 봇넷이나 오픈소스 취약점을 이용한 리플렉션 공격 등, 새로운 방식의 DDoS 공격 방법을 만들면서 공격량이 늘었는데 이는 2년간 결과적으로 분기 별 9%씩 증가했다는 것을 의미한다.

Memcached 취약점을 이용한 DDoS 공격 사례
Memcached 취약점을 이용한 DDoS 공격 사례

위의 그래프는 2018년 2월에 있었던 S/W 개발자 코드 공유 사이트를 상대로 한 대규모 DDoS 사례이다. 피크 시, 초당 1.35Tbps나 되는 공격이 유입이 되었고, 이는 인터넷 역사상 가장 큰 규모의 공격이었으며, 트래픽 우회 방식의 스크러빙(scrubbing) 센터를 이용하여 막을 수 있었다.

▶ 애플리케이션 레벨 공격(Application-Level Attacks)

애플리케이션 레벨 공격은 DDoS와 달리, 공격을 통해 발생한 대역폭 보다는 얼마나 많은 피해를 시스템에 입었는지 가 관건이다. 주로 웹 서버의 기술적 결함이나, 리소스 관리가 허술한 취약점을 공격한다. 예를 들면 슬로우리스 공격(Slowris Attack)의 경우, HTTP 연결 시, 요청 헤더를 종료하지 않고 계속 열어두고 연결 소켓의 수를 계속해서 증가시켜, 웹 서버의 커넥션 단의 자원을 고갈시키는 방법을 사용 한다.

따라서 방어자의 입장에서도 'low and slow' 방식의 방어가 필요한다. 웹 애플리케이션 공격의 경우, 계속해서 새로운 방식의 공격 패턴이 탐지되고 있다. 이에 대한 방지책이 발견되면 공격자들은 기존의 공격 방식을 버리고, 또 다른 새로운 방식의 공격을 사용하는 추세를 보이고 있다.

▶ 크리덴셜 스터핑(Credential Stuffing)

크리덴셜 스터핑이란, 보안적으로 취약한 구조를 가진 웹 사이트에서 공격자가 탈취한 사용자의 인증 정보와 같은 민감한 개인 정보를, 단어 뜻 그대로 타 시스템에 동일한 인증 정보(credential)을 마구 대입해보는(stuffing) 공격 기법이다. 국내에서도 지난 6월, 유명 은행 사이트에서 이 공격을 통해 약 5만6천건의 고객 정보가 유출된 사례가 있었다.

이 공격은 일반적으로 사용자들이 아이디와 비밀번호를 서비스 별로 굳이 다르게 사용하지 않는 습관에서 기인되었다. 즉 유출된 개인 정보를 타 시스템에 무차별 대입(Brute Force) 방식으로 로그인을 시도하고, 로그인을 성공한 계정의 경우, 해당 사이트에서 개인 정보를 다시 유출하는 방식을 사용한다. 일반적으로 이 공격을 통해 로그인이 성공할 확률은 0.1~ 0.2% 정도로 알려져 있다. 하지만 유출된 계정의 수가 수십 만개라면, 하나의 시스템에서 몇 백개 이상의 개인 정보가 탈취될 수 있다는 점을 시사한다.

크리덴셜 스터핑 공격에 대한 공격 사례
크리덴셜 스터핑 공격에 대한 공격 사례

위의 그래프는 2018년 9월에 외국의 한 금융권 회사를 대상으로 한 크리덴셜 스터핑 공격 사례 이다. 평소 시간 당 10만번의 로그인 시도가 발생하는 사이트에서 약 3배에 달하는 시간당 291,101번의 악의적인 로그인 시도가 감지 되었고, 봇 매니저를 통해 로그인을 지속적으로 시도하는 2개의 공격자에 대한 접속 패턴을 막고 나서야, 비로소 시스템이 정상화 되었던 사례이다.

▶ 가상화폐(Cryptocurrencies) 시장

2019년의 IT 보안 시장을 이야기할 때 빠질 수 없는 부분이 블록체인과 가상화폐 분야다. 가상화폐가 IT 산업군에서 중요성이 높아짐에 따라, 공격자의 관심 또한 이 분야로 이동하기 시작했다. 공격 방식은 가상화폐 서비스를 운영하는 회사에 대한 직접적인 공격 보다는 크립토재킹(cryptojacking)과 같이 특정 웹사이트를 공격해 가상화폐 채굴 프로그램 코드를 몰래 심어 놓는다. 또 광고물로 위장한 배너 등을 보안상 안전하지 않은 HTTP 통신상에서 접속한 사용자에게 클릭하게 해 이들의 PC를 사용자도 모르게 가상화폐 채굴에 사용하는 방식이다. 혹은 많은 기업들이 사용하는 클라우드 인스턴스의 리소스를 몰래 사용하는 경우도 많이 발견되었다.

2018년은 전 세계 인터넷의 트래픽 양이나, 악의적인 공격의 대역폭 양 두개의 관점 모두에서 과거의 기록을 갈아치운 해이다. 2019년에는 보다 대규모의 지능적인 공격이 계속 될 것으로 예상한다. IT 보안은 끊임없이 날카로워지는 창과 같은 공격과, 견고하게 방어하는 방패와 같은 방어의 싸움이다.

모순(矛盾)은 무엇이든 뚫을 수 있다는 창과 무엇이든 막을 수 있다는 방패를 의미하는 앞뒤가 맞지 않다는 말이다. 이 말은 보안에서도 적용된다. 모든 공격을 예상하고 100% 미리 방어할 수 없기 때문이다. 그렇다면 어떻게 해야 할까? 무엇보다 최근의 사례에서 얻은 경험을 바탕으로 선진적인 방어 사례의 도입과 실제 서비스에 지속적으로 유입되고 있는 공격의 형태와 이에 노출되고 있는 시스템의 취약점을 미리 파악하고 예방하는 것이 최선이 될 것이다.

강상진 sangjinn@gmail.com 필자는 삼성SDS와 Microsoft를 거쳐, 현재는 CDN(Content Delivery Network)과 클라우드 보안 전문 기업인 아카마이 테크놀로지스(Akamai Technologies)에서 Web Performance 제품을 담당하고 있다. 다양한 IT 기술을 글과 컨퍼런스, 교육을 통해 많은 이들에게 전달하고 공유하며, 상호 작용하는 IT 엔지니어의 삶을 즐기고 있다.

(*이 칼럼은 Nextdaily의 편집방향과 다를 수 있습니다.)

관련기사

저작권자 © 넥스트데일리 무단전재 및 재배포 금지