김동춘 넥슨코리아 글로벌보안본부 CERT실장 인터뷰
e
스포츠 겨냥한 ‘디도스 공격’에 관심 집중
디도스 구독 제공하는 등 불법 산업화
“
디도스는 일상” 수차례 필터링과 트래픽 학습 거쳐 맞대응
최종적으로 클라우드 서버 늘려 대응하기도…비용 관건
“요새는 해커가 (디도스 공격을 위한) 봇넷 서비스를 구독형 서비스로 제공하고 있습니다. 예를 들면 ‘3만대를 1분만 쓸께요’하는 식입니다. 텔레그램이나 다크웹 등에서 개인이 구독하고 코인으로 지불하고 렌트하는 형식인데요. 해커들도 사업자입니다.”
김동춘 넥슨코리아 글로벌보안본부 CERT실 실장<사진>이 최근 한국게임기자클럽 초청 인터뷰에서 디도스(DDOS·분산서비스거부) 공격의 최신 트렌드를 공유했다.
디도스 공격은 특정 서버를 대상으로 지속적이고 많은 양의 트래픽을 유발시켜 접속 과부하 등 정상적인 서비스가 불가능하도록 만드는 해킹 기법이다. 최근 라이엇게임즈 e스포츠를 겨냥한 디도스 공격이 성행하면서 게이머 사이에서도 관심이 높아졌다. 일각에선 단순 디도스 공격이 아닌 특정 PC를 노린 악성코드 감염 등 다양한 의견이 제시되고 있다.
“해커가 데이터만 탈취하진 않습니다. 이걸로 협박을 합니다. 탈취한 데이터는 다크웹에 올려서 팔고, 그 다음 (악성코드 배포로) 좀비화된 PC와 IoT기기를 디도스 공격에 사용하는 형식으로 산업이 굴러가고 있는 상태이고요. 저희한테도 공격을 조금씩 쏘기도 합니다. 그리고 메일 한통을 날리죠. ‘내가 공격을 안 할 테니까 얼마만 줘’ 이렇게 요구하고요. 이런 케이스들이 굉장히 많습니다.”
전 세계 100개 이상 해커그룹이 미라이(Mrai) 봇넷과 같은 악성코드를 활용한다. 오픈소스로 공개된 미라이 봇넷은 계속해서 변종이 등장하며 PC와 IoT 기기들을 감염시키고 있다. 이렇게 좀비화된 기기들이 디도스 공격에 동원된다. 그 트래픽이 초당 1.2Tbps(초당 테라비트 수, 1테라비트는 1조 비트 정보 처리량을 의미) 규모의 공격이 가능할 정도다. 이를 버틸 수 있는 서비스는 사실상 없다는 게 정 실장의 설명이다.
“저희는 내부적으로 80Gbps(초당 기가비트 수) 회선을 사용합니다. 초당 1.2Tbps는 (회선 대역폭의) 100배 이상이죠. 이걸 한 방에 맞아서 버틸 수 있는 서비스는 제가 봤을 땐 없습니다. 이 정도 규모로 움직이기 때문에 너무 어렵다는 겁니다. (방어하는 입장에서) 기울어진 운동장이죠. 봇넷은 전 세계에 다 퍼져있기 때문에 이걸 막을 수도 없습니다.”
넥슨은 시장조사 결과를 인용해 전 세계적으로 2022년 대비 2023년엔 디도스 공격 횟수가 줄었으나, 한번의 공격이 더욱 커졌다고 전했다. 클라우드플레이 집계에 따르면 2023년 대비 2024년 들어선 디도스 공격횟수도 규모도 더욱 커지는 중이다.
“세계적으로 봤을 때, 게임이 가장 디도스 공격을 많이 받는 산업군 중 하나입니다. 저희도 마찬가지이고요. 사실 일상입니다. 하루도 안 빠지고 있습니다. 최근 6개월 동향을 보면 잔잔하게 들어오다가 주기적으로 한 번씩 계속적으로 크게 들어옵니다. 30Gbps, 60Gbps, 70Gbps, 80Gbps 이런 식으로 들어오는 거죠.”
이쯤 되면, 넥슨이 어떻게 디도스 공격을 막는지 궁금해진다. 회선 대역폭을 꽉 채운 디도스 공격이 들어와도 게임 서비스가 정상적으로 이뤄지는 까닭이다. 국내에서 가장 많은 라이브 게임을 운영 중인 넥슨은 안정적인 퍼블리싱(서비스) 역량으로 첫손에 꼽히는 회사다.
“유저가 게임 서버에 들어오기 전 ISP사업자를 거쳐서 오는 중간 네트워크 구간과 서버 네트워크 구간, 게임 서버 구간 3군데를 나눠 조금씩 대응 전략을 다르게 하고 있습니다. 중간 네트워크 구간에선 인텔리전스 정보라고 좀비 PC IP들을 대규모로 제공해주는 서비스들이 있습니다. 그 IP들을 1차적으로 필터링을 합니다. 그러면 IoT기기나 감염이 된 PC가 많이들 떨어져 나갑니다. 중국 쪽 블랙리스트 IP들도 있죠. 중간 네트워크에서 대부분 다 필터링을 하고요.”
“그 다음 (애플리케이션 리소스를 고갈시키는 공격에 대해선) 정상인지 판정하고 식별하는 과정을 추가로 넣습니다. 웹 서비스할 경우 브라우저에 가끔 ‘당신은 사람인가요? 아니면 클릭해주세요’ 이런 것들을 볼 수 있는데요. 직접 노출시키고 클릭 후 체크해서 넘기는 방식이 있고 유저가 인지 못할 정도로 브라우저 뒷단에서 돌아가는 기술적 방법도 있습니다. 이 두 가지를 모두 넣어서 필터링합니다. 이렇게 필터링이 되면 트래픽이 쭉 내려오겠죠.”
“각 게임 서비스별 임계치를 머신러닝으로 다 학습을 해놓고 있습니다. 임계치를 넘겨서 (비정상적으로 많은 패킷을) 보내는 유저들은 필터링하고 서버 임계치를 넘어선 경우에 상세 트래픽 정책에 따라 다시 한번 필터링을 거칩니다. 사람인지 봇넷인지 구분하는 과정이죠. 이렇게 했는데도 게임서버까지 쭉 밀고 들어오면, 어떻게 하냐 서버를 늘립니다. 오토스케일링이라고 하는데요. 클라우드로 가게 되면 오토스케일링을 하면 됩니다. 문제는 비용이죠.”
이처럼 보안 사고를 막고 안정적인 서비스를 위해 늘어나는 비용에 대한 질문도 있었다. 넥슨도 현재 진행형인 고민이다.
“저희도 기로에 있기는 합니다. 다만 임계치를 매번 넘겨서 공격이 들어오진 않기 때문에 비용을 얼마나 더 써야하나 이런 딜레마가 생길 수밖에 없는 상황입니다.”
글. 바이라인네트워크
<
이대호 기자>ldhdd@byline.network
![[사설]생성형 AI 악용, 신종 금융사기 주의보](https://img.etnews.com/news/article/2024/06/28/news-p.v1.20240628.9361f5434d3f428dada907b58078a6e3_P1.jpg)
![벌써 올해 목표 '초과달성'…네이버 클립, 유튜브 대항마 될까 [팩플]](https://pds.joongang.co.kr/news/component/htmlphoto_mmdata/202407/03/04c63b72-655d-4bae-9351-6a753aa1eebb.jpg)