DDoS 공격 피해 남의 일 아니네!

DDoS 공격 피해 남의 일 아니네!

주난주 목요일! 막 잠을 자려고 하는데 휴대폰으로 문자가 하나가 날라왔습니다. 뭔가 해서 봤는데 "DB서버 CPU 사용율 90% 이상, 위험!" 이라는 문자가 온것입니다. 이 문자는 저희 홈페이지에서 사용되는 웹서버나 DB서버등의 CPU 사용율이 90%이상이 되면 날라오는 문자입니다. 사실상 CPU 사용율이 90% 이상이라면 홈페이지 접속이 되지 않으므로 다운을 알리는 문자입니다. 이런 문자다 보니 내용을 보는 즉시 잠이 싹 달아났습니다.

이미지출처. 세계일보

원인을 몰라서 바로 웹사이트 유지보수 업체에 전화를 했습니다.
급박한 목소리로 "우리 서버 다운됬습니다. 빨리좀 빨리좀... 해결좀 해주세요! "
이후로도 위험을 알리는 휴대폰 문자는 5분, 10분단위로 새벽 4시 50분까지 계속오고 저는 잠을 이룰 수가 없었습니다. 문자가 온다는 것은 아직도 해결이 되지 않았다는 결과이기 때문입니다.

다음날 출근하여 확인해보니 다행이 웹사이트는 접속이 잘 되더라고요! 그리고 서버 관리업체에서 연락이 왔습니다.

관리업체 직원. "홈페이지가 공격받았습니다."
Kay~ . "예? 공격이요? 무슨 공격이요?"
관리업체 직원. "DDoS 공격입니다. 무차별로 홈페이지에 접속하여 서버 과부하가 걸리게 하는 그런 공격입니다."
Kay~. "허걱"

말로만 듣던 DDoS 공격을 받은것입니다.

DDoS공격이란? DDoS(Distribute Denial of Service attack; 분산서비스 거부공격)란 공격자가 사전에 다양한 경로를 통하여 수천 수만대의 일반 사용자 PC에 바이러스를 감염시켜 좀비PC로 만든 후 특정사이트를 공격하도록 공격명령을 내립니다. 그러면 좀비pc들은 해당 사이트에 지속적으로 접속시도를 하여 대량의 트래픽을 유발하는 공격방식입니다. 이미지출처. 디지털타임스 개인정보를 빼가는 해킹과는 다른 디도스 공격을 받으면 짧은 시간에 서버에 대량의 트래픽이 발생하게 되고 공격받은 웹서버는 트래픽 과부하로 접속 지연 또는 접속 불능상태가 되는 즉, 사실상 접속이 되지 않는 현상이 발생하고,  유료 사이트의 경우 수천, 수십억의 피해를 발생시키게 됩니다.

그렇게 공격을 받고 끝난줄로만 알았는데.. 관리업체 직원한테서 연락이 왔습니다. 보통 DDoS 공격이 있는 경우 금품을 요구하는 경우가 있다는 것입니다. 혹시라도 금품을 요구하면서 계좌번호 같은것을 알려주면 바로 연락을 달라는 내용이었습니다. 저희 회사 서버는 KT IDC센터에 들어가 있는데 KT측에서도 범인 색출을 위해서 다방면으로 알아보고 있는것 같더라고요.

그렇다면 이번의 공격이 아직 끝난게 아니고 공격을 알리는 통보란 말인가?
"휴~~!" 땅이 꺼지는 한숨입니다. 
아무것도 할 수가 없는 내 자신이 초라하기 그지 없습니다. 일찌기 해킹기술이라도 배워둘껄 하는 생각이 들기도 하고 앞으로 닥칠 공포의 시간을 어떻게 대처해야 할지.. 깜깜하기만 했습니다.

금요일 오전의 회사 사무실은 폭풍전야처럼 고요하기만 했습니다. 기다리는 전화는 오지 않더군요. 그래서 혹시나 해서 이메일을 열어봤는데... 오지 않기만을 기대하던 내 마음을 비웃기라도 하듯.. "사이트 다운 관련" 이라는 제목으로 메일 한통이 와 있는 것이었습니다.

회사 메일로 날라온 공격자 현수의 메일

현수라는 사람한테서 온 메일의 내용은 아주 간단합니다. 사이트 공격자인데 연락을 달라는 내용이었습니다.
어떻게 나오는지 보려고 바로 답장을 보내려다가 웹서버 관리회사에 전화를 했더니 일단 반응을 하게되면 계속 공격할 가능성이 있다면서 답장을 보내지 말라고 하더군요.

공격 재시작

그리고 이날 오후 5시! 홈페이지 접속이 지연되기 시작하더니 더 이상 접속이 되지 않는 것이었습니다.
본격적인 공격이 시작되었습니다. 전직원 비상! 전운이 감도는 가운데 직원들이 초긴장 상태로 돌입하기도 전에

따르, 따르, 릉, 따따르르릉!

있는 전화, 없는 전화 모두 동시에 벨이 울리기 시작했습니다. 저희 회사의 경우 동영상 서비스를 하는 교육사이트라서 서버에 문제가 발생하면 즉각적으로 반응이 옵니다. 서버가 다운이 되면 사무실은 순식간에 공포분위기로 바뀌게 됩니다. 같은 계통이나 유사계통에서 일을 하시는 분이라면 이런 분위기 잘 아실것입니다. 웹서버(또는 DB서버나 미디어서버)가 다운이 되면 서버관리업체에서 원인을 찾는데만도 30분이상이 소요가 됩니다. 원인도 해결책도 모른상태에서 고객들의 무차별한 항의전화에 마땅한 답변을 찾을 수가 없어 땀을 삐질 삐질 흘리며 죄송합니다만 연발해야 하는 상황, 그야말로 당장 직장을 때려치고 싶을 정도로 치명적이고 이러한 문제가 반복이 되다 보면 노이로제에 시달려야 합니다. 그야말로 이보다 더한 공포는 없습니다.

변형된 IP 공격과 UDP 공격 동시 시도

공격자는 IP가 차단이 되니까 IP를 변형하여 재차 공격을 시도하면서 UDP 포트도 동시에 공격을 하기 시작하더군요. UDP 포트를 공격하면 IDC 전체 네트워크에 영향을 미치게 한다고 하더군요. 정말이지 이렇게 공격을 받으면 회사에 엄청난 피해가 오는것도 있지만 전화응대에 쩔쩔매는 직원들에게 관리자로서 아무것도 해줄 수 없는 것이 너무도 미안하기만 합니다.

DDoS 공격 피해자 급증

이러한 DDoS 공격으로 피해를 입는 업체는 최근들어 기하급수적으로 늘어나고 있습니다. 연말이라서 그런것일까요?  네이버카페 "디도스공격 방어전문가 및 피해자모임" 에는 이같이 피해를 입은 사람들이 모여 공격에 대한 방어책과 금품요구에 대한 많은 글들이 올라오고 있습니다. 한 피해자가 금품을 요구하는 협박성 메일을 게시판에 올린 내용을 보니 저희 회사 공격자하고 동일 인물이더군요. 이 사람 아주 유명한가 봅니다.

협박성 메일. 하나

협박성 메일. 둘

 

 

저희 회사가 공격받은 지난주말에 게임아이템 전문 중개사이트인 아이템베이와 아이템 매니아 역시 공격을 받았나 봅니다. 

DDoS 피해 관련뉴스 - 아이템매니아, DDoS에 적극 대처 (머니투데이 12/17) - 게임아이템 중개없체, DDoS 대란에 또 '홍역' (아이뉴스 12/17) - 돈노린 해커 잡을 묘안 없나 (etnews 12/16)

DDoS 공격, 대응방법은 있을까?

사이트가 이렇게 지속적으로 공격을 받다 보니 이제 이를 원천적으로 봉쇄할 수 있는 대응 방법에 대해서 서버 관리업체에 문의를 해보니 IDS(침입탐지시스템), IPS(침입방지시스템) 기능의 방화벽구성이 필요하다고 하더군요. DDoS를 차단할 수 있는 이런 장비는 수억이나 가는 고가 장비지만 100% 방어를 할 수 있는 것은 아니라고 하더라고요. 다행히 한 업체에 나온 2천만원대 장비가 있다 하더군요. 100% 방어는 할 수 없다 하여도 그나마 피해를 줄이기 위해서는 장비를 구매하거나 임대를 할 수 밖에 없는 이러한 피해 사이트는 뉴스에 발표된 사이트외에도 아주 많은것으로 알려져 있습니다. 커뮤니티 포탈사이트 디시인사이드, 일본네티즌으로부터 공격을 받은 민간 사이버 외교 사절단 홈페이지인 반크, 바가지머리, 꽃배달 사이트 OK 플라워등 무수히 많습니다.

한 꽃배달 사이트 게시판에 공격자가 올린 내용   이메일 주소를 보니 저희사이트를 공격한 사람하고 동일인물이네요. 그리고 공격자의 신분노출을 방지하기 위하여 개인정보없이 가입이 가능한 hotmail과 msn 메신저를 이용해서 요구사항을 말하나 봅니다.

 

문제는 이렇게 공격을 받아 피해를 입은 사이트가 많이 있고 앞으로 기하급수적으로 늘어날텐데 효과적인 대응방법은 없다는 것입니다. 한가지 효과적인 대응법이라면 수억원이나 하는 장비를 도입하는 것외에 별다른 방법이 없다하니 정말 큰일이 아닐 수가 없습니다. ( 관련글. DDoS 위협과 기업의 효과적인 대응방안 )

 

정말이지 연말 특정 사이트 초토화 DDOS 공격 ‘공포’ 와 같은 제목의 기사는 피해를 업체에게는 공포 이상입니다. 뉴스에 이런 공포스러운 제목좀 붙이지 않았으면 좋겠습니다.

사이트 공격을 받은 직후 한국정보보호진흥원에서 운영하는 인터넷침해사고대응 지원센터(118)에 전화를 했지만 이런 문제는 사이버수사대에 신고를 하라고 하더군요. 뉴스에서 알려진것처럼 118은 피해사이트에 실질적인 도움은 주지를 못하는것 같더군요. 이런 저런 핑계로 먼저 사이버수사대에 확인을 하라는 말 밖에 듣질 못했으니까요.

현재 저희 사이트는 사이버수사대에 신고를 한 상태이나 사태가 급박한 피해사이트는 아랑곳없이 수사진행은 더디게만 진행이 됩니다. 아마도 상황이 종료된 후에나 진행이 되지 않을지 의문스럽습니다.

칩입방지 시스템을 도입한다 하더라고 막대한 자금이 소요되고, 또 다른 유형의 공격앞에서는 속수무책일 수 밖에 없는 현실에서 저희와 같은 소규모 사이트에서는 공격자가 공격을 멈춰주기만을 기다리는 것 밖에 없습니다.

지금도 공격이 계속되고 있는데 이 공격은 언제쯤 끝날까요? 화도 나고, 답답하기도 합니다.

이러한 피해를 줄이는 방법은 개인사용자들의 도움이 필요합니다. 바이러스 백신, 악성코드 치료프로그램으로 수시로 검사및치료를 해주시는 것이 이런 디도스 공격자들을 뿌리뽑는 발판이 될것입니다.

※ 이글이 도움이 되셨다면 RSS로 구독해보세요!