2016.10.25

“인터넷 붕괴?” Dyn DDos 공격에 대해 알아야 할 것과 해야 할 것

Tim Greene | Network World
지난 주 DNS 서비스 업체 Dyn과 그 고객사를 무너뜨린 대규모 DDoS 공격은 온라인 인프라의 전반적인 보안과 그 성능에 대한 수많은 의문을 불러 일으켰다. 이번 공격은 결국은 완화되고 진정되었지만, 이번 공격에 사용된 수법은 여전히 유효하며, 언제라도 다른 대상을 찾아 봇넷을 가동할 수 있는 상태이다. 과연 무슨 일이 어떻게 일어났고, 또 앞으로도 같은 일이 일어날 수 있는지, 그 피해는 어떨지 주요 질문과 답변을 정리해 본다.

인터넷이 붕괴된 것인가?
아니다. 최소한 더 이상은 이전과 같지 않다. 인터넷은 독립적인 업체와 기관으로 이루어진 시스템으로 구성되어 있으며, 이들은 서로 협조해 전 세계의 웹 사이트에 대한 액세스를 제공한다. 각각의 동작은 각 구성원의 이익을 위한 것이지만, 다른 구성원과의 협력으로 시스템이 모두를 위해 동작하도록 한다. 물론 다른 시스템과 마찬가지로 인터넷도 결함과 약점을 가지고 있다. Dyn 공격자는 이런 취약점 중 일부를 목표로 삼았고, 이를 이용해 피해를 극대화했다.

그저 Dyn이 공격 받았을 뿐인데, 왜 인터넷 전체가 중단된 것처럼 보이는가?
DDoS는 공격은 대상을 완전히 특정할 수 있다. 심한 경우 특정 웹 사이트를 호스팅하는 서버 한 대가 공격 대상이 될 수 있다. 하지만 공격 대상의 역할에 따라 그 피해는 얼마든지 커질 수 있다. 이번 경우 공격 대상은 Dyn의 DNS 서버였다. 이 서버는 인간의 언어로 된 URL을 기계가 읽을 수 있는 IP 주소로 바꿔주는 역할을 한다. 이를 통해 인터넷 통신은 드넓은 인터넷 상에서 정확한 컴퓨터로 전달된다. 공격자는 수많은 인기 웹 사이트에 DNS 서비스를 제공하는 서버를 공격 대상으로 골랐다. Dyn이 손상되면서 공격은 전 세계의 수천 개 인터넷 도메인에 대한 액세스에 영향을 미친 것이다. 이들 주요 사이트에 접속하려고 한 사용자에게는 인터넷 전체가 먹통이 된 것처럼 보일 수 있다.

이런 공격을 하는 데 어떤 수단을 사용했는가?
공격자는 수십만 대의 인터넷 연결 디바이스, 이른바 사물 인터넷 디바이스를 공격에 동원했다. 이들 수많은 디바이스의 내재적인 약점을 이용했는데, 주로 쉽게 추측할 수 있는 패스워드를 사용하고, 거의 아무런 보안 기능이 없고, 인터넷에 항상 연결되어 있다는 점 등이었다. DVR과 네트워크 카메라가 대표적인 디바이스이다.

이전에는 이런 일이 없지 않았는가?
있었다. 지난 달 미라이 봇넷은 대대적인 데뷔 행사를 치렀다. 이 악성코드는 수십 만대의 사물 인터넷 디바이스를 동원해 막대한 규모의 DDoS 공격이 가능하도록 했다. 처음으로 대중에 알려진 공격은 사이트 하나를 대상으로 한 것이었는데, 보안 전문 사이트인 크렙스 온 시큐리티(Krebs on Security)였다. 이 공격은 당시까지 최대 규모의 DDoS 공격으로, 미라이 봇넷이 어느 정도의 공격을 만들어 낼 수 있는지 공개 시연한 것으로 볼 수 있다.

그래서 미라이가 원흉인가?
Dyn이 밝힌 공격에 가담한 사물 인터넷 디바이스의 숫자가 수십 만대라는 점을 고려할 때 분명히 큰 역할을 했다. 하지만 공격을 관찰한 애널리스트들은 다른 디바이스도 포함되어 있었다며, 전통적인 봇넷들과 집단을 이루었을 가능성이 있다고 말한다. 이런 분석은 이렇게 모인 봇넷이 기존에 단일 공격자가 자신의 역량만큼 봇넷을 구성하던 것과는 달리 빌려온 자원으로 구성됐다는 것을 의미한다. 다시 말해 누군가 비용을 충분히 지불해 이런 서비스를 빌린다면, 같은 공격을 할 수 있다는 것이다.

미국 동부가 집중적인 피해를 본 이유는 무엇인가?
공격은 두 단계로 진행됐다. 첫 번째 공격은 시카고와 뉴욕, 워싱턴의 Dyn 데이터센터 세 곳을 공격했다. DNS 조회는 가장 가까운 DNS 서버로 향하기 때문에 이 공격으로 미국 동부 지역의 요청이 큰 타격을 받았다. 두 번째 단계는 전세계의 Dyn 데이터센터를 공격했다. 이 두 번째 공격은 치밀한 준비를 필요로 하는데, 공격력을 지역별로 나눠서 배치해야 가능한 공격이기 때문이다.

누가 했는가?
아무도 모른다. 미라이의 첫 공격 대상이었던 브라이언 크렙스는 자신이 Dyn의 연구원과 협업해 DDoS 완화 서비스 업체 백커넥트의 활동을 조사한 글을 쓴 것 때문에 공격 받은 것으로 추정하고 있다. 하지만 이처럼 정교한 대규모 공격이 그런 단순한 복수용으로 사용됐다면, 매우 특이한 경우라고 볼 수 있다.

공격에 동원된 디바이스는 어떤 것인가?
다양한 디바이스가 동원됐지만, 주로 보안 카메라와 DVR, 가정용 라우터가 주류였다. 중국 항조우 시옹마이 테크놀로지의 카메라가 일부 사용됐는데, 시옹마이는 이런 사실을 인정하고 패치를 배포하는 한편, 일부 제품은 리콜을 진행하고 있다.

사용자가 해야 하는 일은 무엇인가?
개인이 할 수 있는 일은 보유한 사물 인터넷 디바이스의 보안 패치를 열심히 하는 것이다. 패스워드를 변경할 수 있는지 확인하고, 기본 설정이 아닌 것으로 변경할 수 있다. 또한 좀 더 나은 가정용 파이어월을 사용해 사물 인터넷 디바이스가 불필요하게 인터넷에 연결되지 않도록 할 수도 있다.

자사의 웹 사이트가 피해를 보지 않았으면 하는 기업이라면, 여러 곳의 DNS 서비스 업체를 이용하고, 만약 이런 공격을 당했을 때 어떻게 대처할 것인지를 잘 정리해두면 좋다. 여기에는 누구에게 연락하고, 어떤 완화 조처를 할 것인지가 포함되어야 한다. 그리고 예행 연습을 해보는 것도 좋은 방법이다.

이런 공격이 또 일어날 수 있는가?
분명히 또 일어난다. 인터넷 공격을 예의주시하고 있는 수많은 보안 전문가들은 시간의 문제일 뿐이라고 말한다.  editor@itworld.co.kr


2016.10.25

“인터넷 붕괴?” Dyn DDos 공격에 대해 알아야 할 것과 해야 할 것

Tim Greene | Network World
지난 주 DNS 서비스 업체 Dyn과 그 고객사를 무너뜨린 대규모 DDoS 공격은 온라인 인프라의 전반적인 보안과 그 성능에 대한 수많은 의문을 불러 일으켰다. 이번 공격은 결국은 완화되고 진정되었지만, 이번 공격에 사용된 수법은 여전히 유효하며, 언제라도 다른 대상을 찾아 봇넷을 가동할 수 있는 상태이다. 과연 무슨 일이 어떻게 일어났고, 또 앞으로도 같은 일이 일어날 수 있는지, 그 피해는 어떨지 주요 질문과 답변을 정리해 본다.

인터넷이 붕괴된 것인가?
아니다. 최소한 더 이상은 이전과 같지 않다. 인터넷은 독립적인 업체와 기관으로 이루어진 시스템으로 구성되어 있으며, 이들은 서로 협조해 전 세계의 웹 사이트에 대한 액세스를 제공한다. 각각의 동작은 각 구성원의 이익을 위한 것이지만, 다른 구성원과의 협력으로 시스템이 모두를 위해 동작하도록 한다. 물론 다른 시스템과 마찬가지로 인터넷도 결함과 약점을 가지고 있다. Dyn 공격자는 이런 취약점 중 일부를 목표로 삼았고, 이를 이용해 피해를 극대화했다.

그저 Dyn이 공격 받았을 뿐인데, 왜 인터넷 전체가 중단된 것처럼 보이는가?
DDoS는 공격은 대상을 완전히 특정할 수 있다. 심한 경우 특정 웹 사이트를 호스팅하는 서버 한 대가 공격 대상이 될 수 있다. 하지만 공격 대상의 역할에 따라 그 피해는 얼마든지 커질 수 있다. 이번 경우 공격 대상은 Dyn의 DNS 서버였다. 이 서버는 인간의 언어로 된 URL을 기계가 읽을 수 있는 IP 주소로 바꿔주는 역할을 한다. 이를 통해 인터넷 통신은 드넓은 인터넷 상에서 정확한 컴퓨터로 전달된다. 공격자는 수많은 인기 웹 사이트에 DNS 서비스를 제공하는 서버를 공격 대상으로 골랐다. Dyn이 손상되면서 공격은 전 세계의 수천 개 인터넷 도메인에 대한 액세스에 영향을 미친 것이다. 이들 주요 사이트에 접속하려고 한 사용자에게는 인터넷 전체가 먹통이 된 것처럼 보일 수 있다.

이런 공격을 하는 데 어떤 수단을 사용했는가?
공격자는 수십만 대의 인터넷 연결 디바이스, 이른바 사물 인터넷 디바이스를 공격에 동원했다. 이들 수많은 디바이스의 내재적인 약점을 이용했는데, 주로 쉽게 추측할 수 있는 패스워드를 사용하고, 거의 아무런 보안 기능이 없고, 인터넷에 항상 연결되어 있다는 점 등이었다. DVR과 네트워크 카메라가 대표적인 디바이스이다.

이전에는 이런 일이 없지 않았는가?
있었다. 지난 달 미라이 봇넷은 대대적인 데뷔 행사를 치렀다. 이 악성코드는 수십 만대의 사물 인터넷 디바이스를 동원해 막대한 규모의 DDoS 공격이 가능하도록 했다. 처음으로 대중에 알려진 공격은 사이트 하나를 대상으로 한 것이었는데, 보안 전문 사이트인 크렙스 온 시큐리티(Krebs on Security)였다. 이 공격은 당시까지 최대 규모의 DDoS 공격으로, 미라이 봇넷이 어느 정도의 공격을 만들어 낼 수 있는지 공개 시연한 것으로 볼 수 있다.

그래서 미라이가 원흉인가?
Dyn이 밝힌 공격에 가담한 사물 인터넷 디바이스의 숫자가 수십 만대라는 점을 고려할 때 분명히 큰 역할을 했다. 하지만 공격을 관찰한 애널리스트들은 다른 디바이스도 포함되어 있었다며, 전통적인 봇넷들과 집단을 이루었을 가능성이 있다고 말한다. 이런 분석은 이렇게 모인 봇넷이 기존에 단일 공격자가 자신의 역량만큼 봇넷을 구성하던 것과는 달리 빌려온 자원으로 구성됐다는 것을 의미한다. 다시 말해 누군가 비용을 충분히 지불해 이런 서비스를 빌린다면, 같은 공격을 할 수 있다는 것이다.

미국 동부가 집중적인 피해를 본 이유는 무엇인가?
공격은 두 단계로 진행됐다. 첫 번째 공격은 시카고와 뉴욕, 워싱턴의 Dyn 데이터센터 세 곳을 공격했다. DNS 조회는 가장 가까운 DNS 서버로 향하기 때문에 이 공격으로 미국 동부 지역의 요청이 큰 타격을 받았다. 두 번째 단계는 전세계의 Dyn 데이터센터를 공격했다. 이 두 번째 공격은 치밀한 준비를 필요로 하는데, 공격력을 지역별로 나눠서 배치해야 가능한 공격이기 때문이다.

누가 했는가?
아무도 모른다. 미라이의 첫 공격 대상이었던 브라이언 크렙스는 자신이 Dyn의 연구원과 협업해 DDoS 완화 서비스 업체 백커넥트의 활동을 조사한 글을 쓴 것 때문에 공격 받은 것으로 추정하고 있다. 하지만 이처럼 정교한 대규모 공격이 그런 단순한 복수용으로 사용됐다면, 매우 특이한 경우라고 볼 수 있다.

공격에 동원된 디바이스는 어떤 것인가?
다양한 디바이스가 동원됐지만, 주로 보안 카메라와 DVR, 가정용 라우터가 주류였다. 중국 항조우 시옹마이 테크놀로지의 카메라가 일부 사용됐는데, 시옹마이는 이런 사실을 인정하고 패치를 배포하는 한편, 일부 제품은 리콜을 진행하고 있다.

사용자가 해야 하는 일은 무엇인가?
개인이 할 수 있는 일은 보유한 사물 인터넷 디바이스의 보안 패치를 열심히 하는 것이다. 패스워드를 변경할 수 있는지 확인하고, 기본 설정이 아닌 것으로 변경할 수 있다. 또한 좀 더 나은 가정용 파이어월을 사용해 사물 인터넷 디바이스가 불필요하게 인터넷에 연결되지 않도록 할 수도 있다.

자사의 웹 사이트가 피해를 보지 않았으면 하는 기업이라면, 여러 곳의 DNS 서비스 업체를 이용하고, 만약 이런 공격을 당했을 때 어떻게 대처할 것인지를 잘 정리해두면 좋다. 여기에는 누구에게 연락하고, 어떤 완화 조처를 할 것인지가 포함되어야 한다. 그리고 예행 연습을 해보는 것도 좋은 방법이다.

이런 공격이 또 일어날 수 있는가?
분명히 또 일어난다. 인터넷 공격을 예의주시하고 있는 수많은 보안 전문가들은 시간의 문제일 뿐이라고 말한다.  editor@itworld.co.kr


X