[DDoS] 네트워크 보안 사례

안녕하세요 :)

이번 포스트에서는 사물인터넷(Internet of Things)의 발달에 따른 네트워크 보안 사례를 다뤄보려 합니다!

사물인터넷(IoT) 기술 발전에 의해 모든 사물들이 네트워크로 연결되는 와중에 많은 보안 이슈가 발생하고 있습니다. 사람들이 주고받는 네트워크에 침입하여 훼방을 놓거나 도청하여 이익을 얻어내려는 해커들이 있기에 다양한 분야의 기업들과 사람들은 끊임없이 피해를 받고 있습니다. 그리고 기업을 대상으로 시도하는 네트워크 해킹 종류는 다양하지만, 그 중에서도 DDoS(Denial of Service)가 많이 발생한다고 합니다.

2020년 하반기에는 지난해 대비 3배 이상의 디도스 공격이 발생했는데, 2020년 상반기와 비교해도 30% 이상 증가한 것이라는 연구결과가 나왔습니다 (자세한 내용은 맨 아래에 표기해둔 출처 링크들을 참고바랍니다!). 즉, 기업들은 공격을 당했을 때에 발생할 수 있는 모든 가능성들을 염두에 두고 사용자들에게 더욱 편리한 서비스를 제공할 수 있는 방안을 지속적으로 모색해야 합니다.

오늘은 다양한 네트워크 해킹 사례들 중 2020년 8월에 발생하였던 금융업계에서의 DDoS 공격 이슈에 대해 상세히 알아보고, 기업들을 위협한 디도스 공격이 무엇인지, 어떤 대응 방안들이 마련되어 있는지, 그리고 보안 취약성을 분석하며 마무리하려 합니다.

 

---

 

 [ 네트워크 보안 사례 분석 ] 

금융당국에 따르면 2020년 8월 14일부터 17일 사이에 국제 해커 집단 ‘아르마다 콜렉티브 (Armada Collective)’가 신한은행, 카카오뱅크, 그리고 케이뱅크에 비트코인을 요구하며 협박 서한을 보냈지만 세 은행이 반응하지 않자 디도스 공격을 수행한 것으로 알려졌습니다. 다행히 신한은행과 케이뱅크는 보안 시스템이 정상적으로 작동하면서 서버 지연이 일절 일어나지 않았고, 카카오뱅크는 30분간 서비스 장애를 일으킨 것 외에 다른 금전적 피해는 없었다고 합니다.

 

1)     DDoS 공격 기법 및 유형

국제 해커 집단이 시도한 디도스 (Distributed Denial of Service, DDoS) 공격은 무엇일까요?

DDoS는 ‘분산 서비스 거부’ 공격이라고도 불리며 공격자가 불특정 다수의 컴퓨터에 악성 코드를 퍼뜨려서 봇넷으로 만들고, 봇넷을 활용하여 대규모 비정상적인 패킷을 전송하여 트래픽 과부하를 일으키는 수법입니다. 결과적으로, 서비스 체계를 마비시켜서 정상적인 사용자의 서버 연결을 방해하여 서비스를 받지 못하게 하죠.

봇넷은 악성코드에 감염된 좀비 시스템이며, 인터넷을 통해 서로 연결되고 통신할 수 있으므로 IoT가 발달한 현재 해커들의 공격 도구로 활용될 수 있습니다. 즉, 인터넷 사용자는 본인의 PC가 악성 바이러스에 감염되었는지를 모른 채 해커의 도구로 이용당할 수 있습니다.

DDoS Attack Utilizing Zombie PC (출처: 한국인터넷진흥원)

한국인터넷진흥원(KISA)에 따르면 최근 공격은 인터넷 회선 대역폭을 고갈시키는 *UDP Flood를 통한 디도스 공격 트래픽인 것으로 드러났습니다. 한마디로 공격자가 서버의 네트워크 환경에서 사용 가능한 대역폭을 빠른 속도로 전부 소비하여 정상적인 접근을 막을 수 있게 된 것입니다. 이에 대해 금융당국은 사전에 강화된 보안체계를 유지하여 디도스 공격을 차단해야 할 것이라 강조하기도 했습니다.

*UDP Flood : 사용자가 서비스 연결을 시도하면서 UDP 패킷을 수신하는 포트가 열리는 순간 공격자가 봇넷을 통해 대량의 트래픽을 빠르게 전송하는 기법

 

2)     DDoS 공격 대응방안

금융회사들은 이전부터 무차별적인 DDoS 공격을 당하며 전산망 마비를 겪었고, 추후에 일어날 공격에 대비하기 시작했습니다. 그 덕분에 이번 사태에서 큰 피해는 없었지만 해커들의 협박 수위와 공격 규모는 점차 증가하는 추세이고, DDoS 공격 횟수는 잦아지고 있습니다. 예를 들어, 과거 공격 수준은 주로 1~10 Gbps였지만 이번 사태에서 은행들은 약 3배 이상인 평균 30 Gbps 규모의 공격을 받게 되었다고 합니다.

일반적으로 UDP Flood 형태의 디도스 공격에 대응하기 위해서는 네트워크 로그 기록을 살펴볼 수 있습니다. 1개의 IP 주소에서 정상적인 UDP 네트워크 포트가 아닌 다른 곳으로 무수히 많은 네트워크 통신 요청들을 보냈을 때, 방화벽에 도착한 요청들 사이에서 공격 UDP 패킷을 찾아내는 방법을 말합니다. 이때 통신 요청들은 다양한 크기와 서로 다른 전송 속도를 가진 수많은 패킷들을 의미합니다. 나아가서 방화벽의 임곗값을 설정해주면 1개의 IP에서 특정 URL을 임계치 이상으로 요청할 시 네트워크 연결을 차단하여 공격에 대응할 수 있습니다.

그렇다면 현재 금융업계는 어떤 대책을 마련하였을까요?

제가 알아본 것은 대용량 디도스 공격 대응체계, 클린존서비스, 사이버대피소까지 총 3가지입니다 (물론 찾아보면 더 많겠죠?!).

보안뉴스에 따르면 금융보안원이 2020년 3월부터 ‘대용량 디도스 공격 대응체계’를 본격적으로 도입했다고 합니다. 이는 기존 금융보안원의 디도스 공격 비상대응센터에 클라우드를 접목시킨 시스템으로, 총 2단계의 방어 절차를 거쳐서 최대 5Tbps 규모의 대용량 DDoS 공격에 대응할 수 있게 됩니다. 해당 대응체계에 참여하는 모든 금융기업은 금융 IT 인프라의 가용성을 확보할 수 있으므로 신뢰할 수 있는 전자금융서비스를 소비자들에게 제공할 수 있게 됩니다. 아울러 이번 사례에서 신한은행은 ‘대용량 디도스 공격 대응체계’로 약 30Gbps 규모의 공격을 성공적으로 막아내면서 보안수준이 한 층 높아졌음을 보이기도 했습니다.

카카오뱅크, 케이뱅크 등의 중소기업은 통신사의 클린존서비스와 한국인터넷진흥원(KISA)에서 제공하는 사이버대피소 등을 활용하여 사전 예방 대책을 세울 수 있습니다.

• 클린존서비스 : DDoS 공격을 감지하면 정상적인 트래픽만 서버로 전달하여 사이트를 문제없이 운영할 수 있도록 하는 서비스. 해당 통신사 인터넷 망에 구축된 DDoS 탐지 및 방어 시스템으로 보호받으며 지속적으로 고객사 특성에 맞는 서비스를 제공받을 수 있으므로 안전할 것으로 보입니다.

• 사이버대피소 : 보호대상 웹사이트로 이동중인 트래픽을 대피소로 우회하여 분석한 후, 웹사이트가 원활하게 운영될 수 있도록 정상적인 트래픽만 보내는 서비스. 클린존서비스와 마찬가지로, 지속적인 사후 모니터링 및 방어서비스의 결과를 고객사에 통보하여 보다 높은 보안수준을 보여주기도 합니다.

 

 [ 보안 문제의 발생 원인 (보안 취약성) ] 

앞서 다룬 네트워크 보안 사례에서 DDoS공격은 무엇인지, 그리고 공격받은 기업들이 각각 어떻게 대처하였는지를 알아보았습니다. 마지막으로, 철저히 높은 수준의 보안성을 유지하던 기업들에게 어떻게 보안 문제가 발생할 수 있었는지에 대해 알아보도록 합시다. 크게 금융 회사 내부와 외부적인 요소 – 클라우드 기술의 보안 취약점과 재택근무로 인한 보안 문제 – 두 가지로 나누어 분석하고, 각 요인들이 어떤 리스크를 일으키는지 살펴보도록 하겠습니다.

1)    클라우드 기술의 보안 취약점 (내부적인 요소)

2019년 1월부터 클라우드 규제를 개선하면서 적극적으로 클라우드 기술을 활용하고 데이터 관리를 해오던 국내 금융회사들이 전문성 부족으로 인한 시스템 장애와 정보를 유출하는 실수를 겪어왔습니다. 그리하여 클라우드 컴퓨팅 기술을 통해 IT 보안 전문업체들과 협력하였고, 기술적인 결함이나 사이버 공격들에 철저히 대응할 수 있게 되었습니다. 하지만 기업들이 외부 클라우드에 데이터를 저장하고 관리하는 횟수가 증가할수록 해커들은 금전적 이득을 얻기 위해 클라우드가 보관하는 금융회사 고객들의 개인정보를 인질삼아 DDoS 외에도 다양한 공격 기법을 수행하고 있습니다. 그리고 그들은 클라우드의 진화 가상화 취약점을 발견해내고 클라우드 관리자에게 필요한 API 접근권한을 빼앗아 데이터 관리를 방해하는 등 점점 클라우드에 특화된 방식으로 진화하고 있습니다.

또한, 클라우드 보안업체 Armor에 의하면 2018년에 이미 서비스 대상 공격이 대략 6억 8천만번 발생했습니다. 즉, 2018년보다 2020년에 더욱 많은 공격들이 교묘하고 정교하게 변질되어 수행됨을 예상할 수 있죠. 그리고 클라우드 기술 도입을 통해 핀테크 기술이 빠르게 발전하고 금융업계가 확장하였지만, 발전속도에 맞게 클라우드 보안 성능도 향상되어야 비로소 고객들이 안전한 전자금융거래를 할 수 있을 것이라 봅니다.

2)      재택근무로 인한 보안 문제 (외부적인 요소)

코로나 19 사태가 발생한 후부터 많은 기업들이 재택근무를 실시하였고, 인터넷 사용량이 많아진 2020년 하반기에는 보안 취약점을 노리는 디도스 공격이 꾸준히 증가하고 있습니다. 근로자들이 재택근무 중 인터넷 사이트에 접속을 시도하면 네트워크상의 포트를 개방하게 되고 URL 요청 패킷을 전송합니다. 만약 이러한 과정을 높은 수준의 보안이 보장되지 않은 자택에서 진행하게 되면 포트가 개방된 순간을 노리고 신원이 불분명한 공격자가 침입하여 유해 트래픽 전송을 시도할 수 있습니다. 그러면 근로자 입장에서 정상적인 작업을 하지 못하거나 회사의 기밀사항이 유출될 수도 있으므로 주의해야합니다.

그리고 해당 금융회사의 고객들이 허술한 보안 수준을 유지하게 되면 개인 PC 및 스마트폰 등의 사물인터넷 기술이 포함된 전자기기들이 위험에 노출될 수 있습니다. 만약 공격자가 악성코드를 퍼뜨려 고객의 전자기기를 봇넷으로 만들고 DDoS 공격에 활용하게 되면 금융회사가 아무리 철저히 보안 대책을 세운다 해도 보안 문제는 충분히 발생할 수 있다고 볼 수 있죠. 따라서 전자금융서비스 사용자들 또한 기업 못지않게 네트워크 보안에 관심 가질 필요가 있습니다.

 

---

 

5G 및 IoT 기술이 급속히 발전하면서 기기들이 네트워크를 통해 연결되고, 코로나19 상황으로 인해 인터넷에 접속하는 사용자들이 많아짐에 따라 DDoS 및 다양한 해킹 기법들이 고도화되고 있습니다. 그리고 해커들은 금전적인 이익을 얻기 위해 지금만큼 또는 더욱 더 금융권을 공격할 것으로 예상됩니다. 따라서 금융업계는 ‘대용량 디도스 공격 대응체계’나 ‘사이버대피소’의 시스템을 적극 활용하고 끊임없이 발전시키며 항상 긴장상태를 유지해야 할 것으로 보이고, 기업과 고객 모두 DDoS의 좀비 역할을 하지 않도록 철저히 보안에 신경 써야겠죠?

 

 

참고문헌

-      http://it.chosun.com/site/data/html_dir/2020/08/21/2020082104320.html

-      https://www.sedaily.com/NewsVIew/1Z6NYKPUGB

-      https://www.youthdaily.co.kr/mobile/article.html?no=45241

-      https://www.youthdaily.co.kr/news/article.html?no=45241

-      https://www.boannews.com/media/view.asp?idx=82852

-      https://pplus.co.kr/news/?uid=315&mod=document

-      https://www.krcert.or.kr/webprotect/cyberShelters/cyberShelters.do

-      https://www.hankyung.com/it/article/2020082095091

-      https://www.newsis.com/view/?id=NISX20200821_0001137419

-      https://www.boannews.com/media/view.asp?idx=86641&kind=2&sub_kind=

-      https://kt-idc.com/guide/sub3_3_13.jsp

-      2020 사이버보안 이슈 전망 보고서 (출처: 금융보안원)

-      https://pplus.co.kr/news/?pageid=1&uid=318&mod=document