㈜소프트이천

최근 국제 정세를 악용한 해외 해킹 그룹의 디도스(DDoS) 공격이 국내 기관과 기업을 공격하고 있다. 실제로 공공 분야 현장에서도 공격 시도가 포착되며, 서비스 가용성 보안에 대한 경계가 한층 높아진 상황이다. 이번 위협은 대규모 트래픽 유발과 웹 자원 고갈을 동시에 노리는 복합 공격 양상으로, 사전 대비와 신속한 대응 체계가 무엇보다 중요하다. 특히 정부·공공기관은 물론 주요 민간 기업까지 공격 대상이 확대되고 있어 선제적 점검이 필요하다. 지금 바로 디도스 대응 체계와 서비스 가용성 보호 현황을 살펴보자.

국제 정세 연계 해외 해킹 그룹의 디도스 공격 주의

최근 한국인터넷진흥원(KISA) 사이버 위협정보 분석·공유 시스템(C-TAS)을 통해 러시아-우크라이나 전쟁, 중동 지역 분쟁 등 불안정한 국제 정세를 틈타 해외 해킹 그룹의 디도스 공격이 지속되고 있는 정황이 확인됐다. 대표적으로 RipperSec, BD Anonymous, Noname057(16) 등이 국내 정부 기관과 공공기관, 주요 민간 기업을 대상으로 정치적 메시지를 전달하거나 서비스 마비를 유도하는 방식으로 공격을 수행하는 사례가 발견됐다. 이로 인해 각 기관 및 기업이 제공하는 서비스 가용성 보안에 대한 우려가 커지고 있는 상황이다.

최신 디도스 공격은 단순한 트래픽 과부하를 넘어, 여러 기법을 결합한 복합 공격 형태를 보인다.

• 복합 공격 수행: 대량의 트래픽을 유발하는 볼류메트릭(Volumetric) 공격과 웹 애플리케이션의 자원을 고갈시키는 L7 공격(HTTP/HTTPS Flood)을 병행한다.
• 분산된 공격 자원: 전 세계에 분산된 봇넷(Botnet)과 다양한 해외 IP를 활용해 차단 정책을 우회한다.
• 공격 예고 및 확산: 텔레그램(Telegram) 등 SNS 채널을 통해 공격 대상을 사전에 공개하고 지지자들의 참여를 유도해 공격 규모를 확대하는 양상도 보이고 있다.

서비스 가용성 확보를 단계별 대응 조치

디도스 공격은 사전 준비 여부에 따라 피해 규모가 크게 달라질 수 있다. 특히 공격이 본격화된 이후에는 대응 가능한 시간이 매우 짧기 때문에, 평상시 점검과 예방 조치로 가용성 저하 가능성을 최소화해야 한다.

• 모니터링 강화: 인터넷 구간의 트래픽을 실시간으로 점검하고, 비상 상황에 대비한 유입량 임계치(Threshold)를 재설정한다.
• 차단 솔루션 활용: CDN(콘텐츠 전송 네트워크) 또는 클라우드 기반 안티 디도스(Anti-DDoS) 서비스를 적용해 트래픽을 분산하고 악성 유입을 사전에 차단한다.
• 인프라 최적화: 중요 서비스에 대한 서버 이중화 및 부하 분산(L4/L7 Switch) 구성을 점검하고, 사용하지 않는 불필요한 포트와 서비스는 비활성화한다.

탐지 및 대응 체계는 더 빠르고 정교하게

디도스 공격은 짧은 시간 안에 대규모 트래픽을 유발해 서비스 운영에 직접적인 영향을 줄 수 있어, 이상 징후를 얼마나 빠르게 포착하고 대응하느냐가 피해 규모를 좌우한다. 특히 최근에는 네트워크와 애플리케이션 계층을 동시에 겨냥하는 복합 공격이 늘고 있어 보다 정교한 대응 체계가 요구된다.

• 실시간 대응 체계 운영: 공격 발생 시 피해를 최소화하려면 비정상적인 트래픽 급증을 즉시 탐지할 수 있는 모니터링 체계를 운영한다.
• 정책 최적화: 공격 징후 확인 시 해당 IP 대역 차단 및 국가별 IP 차단(Geo-blocking), Rate Limiting 정책을 신속히 적용할 수 있도록 사전 정책을 정비한다.
• 웹 보안 강화: 최근 증가하는 L7 계층 공격에 대응하기 위해 WAF(웹 방화벽)를 적극 활용하고, 최신 공격 패턴을 반영한 룰셋을 업데이트한다.

대응 프로세스 점검과 로그 관리도 필수

기술적 방어와 함께 조직 차원의 대응 프로세스 점검도 중요하다. 특히 디도스 공격은 발생 직후의 초기 대응과 사후 분석 체계에 따라 피해 확산 여부가 달라질 수 있어 대응 절차와 기록 관리 체계를 함께 정비해 둘 필요가 있다.

• 매뉴얼 현행화: 디도스 대응 매뉴얼과 비상 연락망을 최신 상태로 유지하고, 정기적인 모의훈련을 통해 실제 상황에서의 대응 역량을 점검해야 한다.
• 증적 확보: 향후 유사 공격 분석과 대응 및 재발 방지를 위해 네트워크 로그와 시스템 로그를 장기 보관하고, 위협 인텔리전스 정보를 적극 활용하는 체계도 필요하다. 공격 발생 시점의 증적을 충분히 확보해야 원인 분석과 후속 대응의 정확도를 높일 수 있다.

공격 발생 시 즉시 신고 및 지원 요청

서비스 장애가 발생하거나 자체 대응이 어려운 경우에는 외부 지원 체계를 활용해 도움을 요청한다. KISA는 보호나라 홈페이지 내 침해사고 신고 채널과 인터넷침해대응센터 종합상황실을 통해 관련 신고를 접수받고 있다.

한국인터넷진흥원(KISA) 신고

- 보호나라 홈페이지(www.boho.or.kr) → 침해사고 신고
- 인터넷침해대응센터 종합상황실: certgen@krcert.or.kr

전용 방어 서비스 활용
- 영세·중소기업: KISA 무료 디도스 방어서비스(사이버 대피소) 신청 (문의: help@ddos.or.kr/02-405-4769)
- 일반 기업: 이용 중인 통신사(ISP) 및 안랩 등 전문 보안업체의 디도스 방어 서비스 적극 활용

이번 위협은 특정 기관만의 문제가 아니라, 공공과 민간 전반의 서비스 가용성에 영향을 줄 수 있는 사안이다. 각 기관과 기업에서는 관련 공격 동향을 예의주시하고, 사전 예방부터 탐지·대응, 신고 체계까지 전반적인 방어 체계를 다시 한번 점검해야 할 시점이다.

출처 : AhnLab