중소기업 노린 디도스 공격 12년간 1400건…정부 '사이버대피소' 이용 급증
2022-07-18 11:30
12년 전 국내 '7·7 디도스' 사건 계기
공격 대신 받는 사이버대피소 가동
올 상반기 이용 5443곳, 방어 40건
KISA "추후 디도스 외 방어도 지원"
공격 대신 받는 사이버대피소 가동
올 상반기 이용 5443곳, 방어 40건
KISA "추후 디도스 외 방어도 지원"
18일 과학기술정보통신부 산하 한국인터넷진흥원(KISA)에 따르면 이 기관이 운영하는 '디도스 사이버대피소'는 2010년 9월 말 개소 이후부터 올해 상반기까지 약 12년간 중소기업 대상 디도스 공격 1391건을 막아냈다. 특히 2018년(126건), 2019년(167건), 2020년(235건), 2021년(108건) 등 지난 4년 동안 세 자릿수 공격을 방어한 것으로 기록됐는데 이는 과거 대비 공격 건수가 증가하고 있음을 시사한다. 2010년부터 2017년까지 8년 사이에 연간 디도스 공격 방어 건수가 100건 이상으로 집계된 해는 2012년(138건), 2013년(116건), 2014년(110건) 등이다.
디도스 공격은 왜 발생할까. KISA 측 설명에 따르면 사업 목적으로 인터넷서비스를 운영하고 있는 기업은 이 서비스가 디도스 공격 등으로 마비됐을 때 영업이 중단되는 피해를 입게 된다. 이때 불편을 겪는 이용자가 다른 서비스를 찾아 떠나면 공격을 당한 기업은 신뢰성과 고객을 잃는 2차 피해까지 입게 된다. 공격자가 직접 이런 피해를 일으킬 수 있음을 빌미로 사업자에게 금전을 요구하며 협박하거나 특정 분야 기업이 경쟁사 인터넷서비스 장애를 일으키고 신뢰성에 타격을 입히기 위해 해커를 사주하는 경우도 있다.
앞서 지난 2009년 7월 7일 국내 주요 정부기관, 포털사이트, 은행 등 금융사 대상으로 발생한 대규모 디도스 공격(일명 '7·7 디도스 사건')으로 국내 기업과 일반인에게 광범위한 피해가 발생했다. 이후 대기업을 중심으로 디도스 공격 대응을 위한 보안장비 도입이 활발해졌고 통신사들이 기업용 유료 보안 서비스를 상품화해 제공하기 시작했다. 하지만 재정적 여유가 부족한 영세 사업장이나 중소기업은 디도스 공격을 방어하는 보안 솔루션과 서비스를 선뜻 구매하기 어려워 이들의 인터넷서비스는 여전히 위협에 노출돼 있다.
디도스 사이버대피소는 입주 중소기업이 운영하는 인터넷서비스로 들어오는 트래픽을 실제 서버보다 먼저 받아내 해당 서비스를 표적으로 삼은 디도스 공격 트래픽을 걸러내는 방식으로 작동한다. 정상적인 이용자나 공격 트래픽이 입주 기업의 인터넷서비스에 사용된 문자 형태의 '도메인이름(domain name)' 기반 인터넷 주소(URL)를 입력했을 때 공격으로 판정된 접속 요청은 걷어내고 정상 접속 요청만 실제 서버에 도달할 수 있는 숫자 형태의 '인터넷프로토콜(IP) 주소'로 연결해 주는 원리다.
중소기업이 디도스 공격 피해를 막기 위해 두 가지 사이버대피소에 입주하는 방식은 두 가지로 나뉜다. 한 가지는 중소기업이 먼저 디도스 공격으로부터 보호하려는 인터넷서비스 도메인명, IP주소, 서비스 이용에 필요한 웹보안(SSL) 인증서 정보 등을 제출해 사이버대피소 입주를 신청하는 '사전 심사'를 거쳐 입주하는 방식이다. 다른 한 가지는 중소기업이 갑자기 시작된 디도스 공격에 대처하지 못할 때 KISA의 판단으로 일단 사이버대피소에 입주해 공격을 방어하도록 한 뒤 사후에 지원 대상인 중소기업 요건에 맞는지 보는 '사후 심사' 방식이다.
KISA는 사이버대피소가 10여년간 운영되면서 기관의 대표 서비스로 자리 잡았다고 판단하고 앞으로도 디도스 공격 위협에 대비할 여력이 부족한 중소기업과 영세 사업자를 보호하기 위한 '사이버 보안 첨병' 역할을 충실히 수행할 계획이다. 김 팀장은 "향후 디도스 사이버대피소를 통해 디도스 공격 외 다른 공격 유형 피해로부터 보호하는 서비스도 제공할 예정"이라면서 "사이버 침해로 정보 유출 등 피해를 입은 기업이 시스템을 복구하는 단계에 추가 피해를 입지 않도록 대피소에 입주시켜 보호하는 쪽으로 기능을 확장하고자 한다"고 말했다.
일반 기업이 취할 수 있는 디도스 공격 대책 중 하나는 회선용량 증설 등으로 인터넷서비스 운영 시스템에서 처리할 수 있는 트래픽 수용량을 확대해 공격을 흡수하는 것이다. 다른 하나는 공격이 유입되는 일부 시스템이 원활하지 않은 상황에도 나머지 운영 시스템이 정상 가동되도록 '콘텐츠 전송망(CDN)'과 같은 솔루션으로 인터넷서비스를 구성하는 콘텐츠를 여러 곳에 분산시키는 것이다. 마지막 하나는 보안 모니터링 체계를 갖춰 평소 정상적인 트래픽 범위와 유입 IP주소 대역을 설정해 이상 징후 발생 시 차단 등으로 트래픽을 걸러내는 것이다.