“디도스(DDoS·분산서비스거부) 공격, ‘U⁺ DDoS 세이퍼(Safer)’라는 최강의 방패가 다 막아준다. 24시간 모니터링, 디도스 공격 실시간 탐지 및 완벽 차단!”
LG유플러스(032640)가 지난해 4월 기업용 보안솔루션 ‘디도스 세이퍼’의 우수성을 홍보하며 홈페이지에 올린 글이다. 하지만 최근 디도스 공격으로 잇따라 서비스 장애가 발생하면서 LG유플러스의 보안 신뢰도에 금이 가고 있다. 사실상 디도스를 막아야 할 방패가 뚫려버린 셈이다. 디도스는 특정 서버(컴퓨터)나 네트워크 장비를 대상으로 많은 데이터를 발생시켜 장애를 일으키는 사이버 공격이다.
이번 LG유플러스에 대한 디도스 공격은 네트워크 시스템에서 데이터를 옮기는 역할을 하는 ‘BGP(Border Gateway Protocol·경계경로 프로토콜)’에 트래픽을 집중하는 방식으로 이뤄진 것으로 확인됐다. 이 기술은 위변조가 가능하고 적은 트래픽에도 시스템에 과부하를 일으킬 수 있어 탐지와 방어가 쉽지 않다. LG유플러스는 최고경영자(CEO)를 필두로 한 전사 위기관리 태스크포스(TF)를 가동했다. 정부도 LG유플러스에 대한 엄중 경고와 함께 6일 긴급 회의를 소집하며, 특별조사점검에 들어갔다.
◇ 정부, 6일 특별조사 착수… “대응체계, 훈련 등 다각도 점검”
LG유플러스와 과학기술정보통신부 등에 따르면, 과기정통부는 이날 오전 9시 30분 LG유플러스에 대한 긴급 특별조사 회의를 소집했다. 한국인터넷진흥원(KISA)에서 열리는 회의에는 특별조사점검단장인 홍진배 과기정통부 네트워크정책실장을 비롯해 보안전문가와 LG유플러스 네크워크, 코드분석 담당자들이 참석했다. 과기정통부는 이번 사태의 원인을 집중적으로 조사하고 대응책을 마련하기로 했다.
이번 공격은 ‘BGP’라는 특정 프로토콜을 노린 공격으로 적은 트래픽으로도 서버 과부하를 일으킬 수 있다. BGP는 인터넷의 우편 서비스라고 부른다. 누군가 우체통에 편지를 투입하면 우체국에서 이 편지를 수거해서 수신자에게 전달하기 위한 빠르고 효율적인 경로를 선택한다. 마찬가지로 누군가 인터넷을 통해 데이터를 제출하면 BGP는 해당 데이터가 이동할 수 있는 가용 경로를 모두 검토하고 최적의 경로를 선택하는 일을 담당한다.
BGP 프로토콜은 적은 트래픽으로도 시스템 과부하를 일으킬 수 있고, 공격 방식도 다양하게 바꿀 수 있어 탐지나 방어가 쉽지 않다. 다만, LG유플러스 측은 그간 수집된 공격 방식을 분석해 대응 체계를 갖춘 상태다. 실제 지난 5일에도 디도스 공격이 들어왔지만, 서비스 장애로 이어지지 않은 것으로 전해진다.
하지만 전문가들은 일반 기업이 아닌 인터넷 서비스 업자(ISP)의 백본망이 디도스 공격으로 여러 차례 장애를 일으켰다는 것에 대해 이례적인 일이라고 분석했다. 정부는 LG유플러스의 디도스 대응체계, 훈련, 보안 투자 등을 여러모도로 점검하고 있다.
이번 사태로 LG유플러스의 유무선 통신 보안 신뢰성 타격은 불가피할 전망이다. 인터넷 커뮤니티 등에서는 “인터넷이 안된다”, “게임이 중단됐다”, “캐릭터가 죽었다” 등 장애로 인한 피해를 호소하고 있다.
과기정통부 관계자는 “디도스 공격에 반복적으로 서비스 장애가 발생했다는 점을 의아하게 생각하고 있다”라며 “통신사의 경우 중소기업 등에 디도스 대피소를 운영하는 등 사업을 펼치고 있는데, 정작 이번 디도스 공격에 왜 대응을 하지 못했는지 면밀하게 분석하고 대응책을 강구할 예정이다”라고 했다.
◇ LGU+ “대역폭 확장, 빠른 탐지·복구·방어 병행”
현재 LG유플러스는 디도스 공격에 대응하기 위해 전사 위기관리태스크포스(TF)를 가동하고 ‘탐지’, ‘방어’, ‘복구’ 등 세 가지 방식의 방어 전선을 구축했다. 언제 어디서 트래픽이 쏟아질지 모르는 상황에서 최선의 방어는 빠른 탐지와 차단이다. 이후 장애를 최소화 하도록 빠르게 시스템을 복구하는 식이다.
디도스를 방어하는 방법은 크게 두 가지다. 우선 대량의 디도스 트래픽을 압도하는 대역폭을 확장하는 것이다. 현재 LG유플러스도 디도스 공격에 대비해 대역폭을 확장해둔 상태다. 대역폭은 고속도로의 차선과 같은 역할을 한다.
예를 들어, 차량(데이터)으로 꽉 막힌 왕복 2차선 도로를 4차선으로 확대할 수 있다면, 한 번에 오갈 수 있는 차량이 2배 증가하면서 교통체증이 금세 해결될 수 있다. 이처럼 디도스 공격으로 대량이 트래픽이 들어와도 장비에 과부하가 걸리지 않도록 대역폭을 확장해두는 것이다.
현재 LG유플러스가 어느 수준까지 대역폭을 확대했는지는 확인되지 않지만, 최소 기가급 이상으로 확장했을 것으로 추정된다. 디도스 공격 트래픽 규모는 점차 증가해왔다. 한국인터넷진흥원에 따르면, 디도스 공격 규모는 2018년 16.7Gbps(초당 기가바이트) 수준에서 2021년에는 53Gb 수준으로 3배 이상 커졌다. 그만큼 방어 측이 준비해야 할 대역폭도 점차 커지고 있다는 것이다.
두 번째로 인터넷 트래픽을 실시간으로 모니터링해서 디도스 공격을 빠르게 탐지하고 즉각 대처하는 방법이다. 최근 동영상 서비스 등 고용량 데이터 서비스가 인기를 끌면서 일반 사용자의 트래픽과 디도스 공격의 트래픽을 구분하기 어려워졌다. 회사별로 특정 패턴을 기반으로 디도스 공격의 트래픽을 확인하고 있다. 탐지된 디도스 공격용 IP는 차단을 한다.
또 공격 당하는 IP 정보를 디도스 대피소로 빠르게 이전 시키는 것도 방법이다. 메인 시스템과 무관한 디도스 대응망(대피소)에 트래픽을 분산해, 메인 시스템을 대신에 대응망이 디도스 공격을 받게 하는 것이다. 확장된 대역폭을 가진 대피소에서 디도스 트래픽이 소진되는 식이다. 하지만 이러한 방법은 결국 ‘인력’과 시간’이 투입된다.
LG유플러스 관계자는 “언제 어디로 디도스 공격이 오는지 알 수 없는 상황에서 디도스 공격이 탐지되면 트랙픽이 대응망으로 갈 수 있도록 이전시키고 있다”라며 “다만, 현재 이러한 작업을 하는 데 시간이 다소 소요되고 있으며 지난 4일 디도스 공격 당시, 대응망에 연결하기까지 약 20분 정도 소요됐는데 점차 시간을 줄여가고 있다”고 했다.