중소기업 노린 디도스 공격 12년간 1400건…정부 '사이버대피소' 이용 급증

2022-07-18 11:30
12년 전 국내 '7·7 디도스' 사건 계기
공격 대신 받는 사이버대피소 가동
올 상반기 이용 5443곳, 방어 40건
KISA "추후 디도스 외 방어도 지원"

[사진=게티이미지뱅크]

사이버 범죄자가 다수의 스마트폰과 인터넷공유기를 조종해 인터넷서비스에 비정상 네트워크 트래픽을 일으켜 운영 장애를 유발하는 분산서비스거부(DDoS, 이하 '디도스') 공격 위협이 일상으로 자리 잡았다. 이는 해킹과 디도스 공격 등 사이버 침해 위협에 대비할 여력이 부족한 중소기업에 예외가 아니었다. 국내 중소기업을 노린 디도스 공격이 지난 12년간 약 1400건, 최근 4년 연속으로 연간 세 자릿수 이상 발생한 것으로 나타났다. 이에 정부 지원으로 운영되는 디도스 공격 회피 서비스를 찾는 중소기업들이 급증하고 있다.

18일 과학기술정보통신부 산하 한국인터넷진흥원(KISA)에 따르면 이 기관이 운영하는 '디도스 사이버대피소'는 2010년 9월 말 개소 이후부터 올해 상반기까지 약 12년간 중소기업 대상 디도스 공격 1391건을 막아냈다. 특히 2018년(126건), 2019년(167건), 2020년(235건), 2021년(108건) 등 지난 4년 동안 세 자릿수 공격을 방어한 것으로 기록됐는데 이는 과거 대비 공격 건수가 증가하고 있음을 시사한다. 2010년부터 2017년까지 8년 사이에 연간 디도스 공격 방어 건수가 100건 이상으로 집계된 해는 2012년(138건), 2013년(116건), 2014년(110건) 등이다.

디도스 공격은 왜 발생할까. KISA 측 설명에 따르면 사업 목적으로 인터넷서비스를 운영하고 있는 기업은 이 서비스가 디도스 공격 등으로 마비됐을 때 영업이 중단되는 피해를 입게 된다. 이때 불편을 겪는 이용자가 다른 서비스를 찾아 떠나면 공격을 당한 기업은 신뢰성과 고객을 잃는 2차 피해까지 입게 된다. 공격자가 직접 이런 피해를 일으킬 수 있음을 빌미로 사업자에게 금전을 요구하며 협박하거나 특정 분야 기업이 경쟁사 인터넷서비스 장애를 일으키고 신뢰성에 타격을 입히기 위해 해커를 사주하는 경우도 있다.

앞서 지난 2009년 7월 7일 국내 주요 정부기관, 포털사이트, 은행 등 금융사 대상으로 발생한 대규모 디도스 공격(일명 '7·7 디도스 사건')으로 국내 기업과 일반인에게 광범위한 피해가 발생했다. 이후 대기업을 중심으로 디도스 공격 대응을 위한 보안장비 도입이 활발해졌고 통신사들이 기업용 유료 보안 서비스를 상품화해 제공하기 시작했다. 하지만 재정적 여유가 부족한 영세 사업장이나 중소기업은 디도스 공격을 방어하는 보안 솔루션과 서비스를 선뜻 구매하기 어려워 이들의 인터넷서비스는 여전히 위협에 노출돼 있다.
 

김은성 한국인터넷진흥원 탐지대응팀장이 국내외 주요 디도스 공격 사례를 소개하고 있다. [사진=한국인터넷진흥원 유튜브 중계영상 갈무리]

이런 중소·영세기업 인터넷서비스는 디도스 공격에 큰 피해를 입을 위험이 있다. 정부는 디도스 사이버대피소를 구축해 피해 방지에 나서고 있다. 즉 KISA가 운영하는 디도스 사이버대피소는 인터넷서비스를 운영하고 있지만 정보보호 기반 환경과 보안 솔루션에 투자할 여력이 부족한 중소기업·영세사업자를 위해 구축된 사이버 침해 위협 대비 서비스다. 김은성 KISA 탐지대응팀장은 "디도스 사이버대피소는 160기가(Gbps·초당기가비트) 트래픽을 수용해 정상 이용자에게 인터넷서비스를 제공하고 디도스 공격만 차단한다"고 설명했다.

디도스 사이버대피소는 입주 중소기업이 운영하는 인터넷서비스로 들어오는 트래픽을 실제 서버보다 먼저 받아내 해당 서비스를 표적으로 삼은 디도스 공격 트래픽을 걸러내는 방식으로 작동한다. 정상적인 이용자나 공격 트래픽이 입주 기업의 인터넷서비스에 사용된 문자 형태의 '도메인이름(domain name)' 기반 인터넷 주소(URL)를 입력했을 때 공격으로 판정된 접속 요청은 걷어내고 정상 접속 요청만 실제 서버에 도달할 수 있는 숫자 형태의 '인터넷프로토콜(IP) 주소'로 연결해 주는 원리다.

중소기업이 디도스 공격 피해를 막기 위해 두 가지 사이버대피소에 입주하는 방식은 두 가지로 나뉜다. 한 가지는 중소기업이 먼저 디도스 공격으로부터 보호하려는 인터넷서비스 도메인명, IP주소, 서비스 이용에 필요한 웹보안(SSL) 인증서 정보 등을 제출해 사이버대피소 입주를 신청하는 '사전 심사'를 거쳐 입주하는 방식이다. 다른 한 가지는 중소기업이 갑자기 시작된 디도스 공격에 대처하지 못할 때 KISA의 판단으로 일단 사이버대피소에 입주해 공격을 방어하도록 한 뒤 사후에 지원 대상인 중소기업 요건에 맞는지 보는 '사후 심사' 방식이다.

김 팀장은 "디도스 사이버대피소에 입주한 중소기업 대상 디도스 공격이 지속적으로 발생하고 있어 최근까지 공격 1351건(2022년 상반기 방어한 공격 40건 제외)을 방어했다"면서 "2021년까지 중소기업 인터넷서비스 7271개가 디도스 사이버대피소를 이용했고 2010년 사이버대피소 운영을 시작한 이후 2021년까지 인터넷서비스 수가 연평균 56.7%씩 증가하고 있다"고 설명했다. 2022년 상반기 디도스 사이버대피소를 이용한 중소기업 인터넷서비스는 5443건으로 이미 2020년 한 해 이용 규모(4590건)를 넘어섰다.

KISA는 사이버대피소가 10여년간 운영되면서 기관의 대표 서비스로 자리 잡았다고 판단하고 앞으로도 디도스 공격 위협에 대비할 여력이 부족한 중소기업과 영세 사업자를 보호하기 위한 '사이버 보안 첨병' 역할을 충실히 수행할 계획이다. 김 팀장은 "향후 디도스 사이버대피소를 통해 디도스 공격 외 다른 공격 유형 피해로부터 보호하는 서비스도 제공할 예정"이라면서 "사이버 침해로 정보 유출 등 피해를 입은 기업이 시스템을 복구하는 단계에 추가 피해를 입지 않도록 대피소에 입주시켜 보호하는 쪽으로 기능을 확장하고자 한다"고 말했다.

일반 기업이 취할 수 있는 디도스 공격 대책 중 하나는 회선용량 증설 등으로 인터넷서비스 운영 시스템에서 처리할 수 있는 트래픽 수용량을 확대해 공격을 흡수하는 것이다. 다른 하나는 공격이 유입되는 일부 시스템이 원활하지 않은 상황에도 나머지 운영 시스템이 정상 가동되도록 '콘텐츠 전송망(CDN)'과 같은 솔루션으로 인터넷서비스를 구성하는 콘텐츠를 여러 곳에 분산시키는 것이다. 마지막 하나는 보안 모니터링 체계를 갖춰 평소 정상적인 트래픽 범위와 유입 IP주소 대역을 설정해 이상 징후 발생 시 차단 등으로 트래픽을 걸러내는 것이다.