디도스 피해 '대피소' 입주하는 中企…개소 이후 '52곳→7천271곳' [데이터링]

[아이뉴스24 김혜경 기자] 매년 분산서비스거부(디도스‧DDoS) 공격이 증가하면서 한국인터넷진흥원(KISA)이 제공하는 '사이버대피소'에 입주하는 중소기업도 늘어나고 있다. 사이버대피소는 2009년 '7‧7 디도스 사태'를 계기로 도입됐다. 당초 디도스 공격을 방어하기 위해 구축됐지만 최근 사이버 위협이 지능화되면서 KISA는 다양한 공격 유형에 대응할 수 있도록 시스템을 고도화한다는 방침이다.

17일 KISA에 따르면 사이버대피소 서비스를 신청한 국내 중소기업은 2010년 개소 당시 52개에 불과했지만 지난해에는 7천271개로 급증했다. ▲2016년 1천12개 ▲2018년 2천854개 ▲2019년 3천839개 ▲2020년 4천590개 등으로 증가 추세다. 개소 이후 연평균 56.7%의 증가율을 보이고 있다.

지난 2009년 7월 7일 주요 정부기관과 포털, 금융기관 사이트를 겨냥한 디도스 공격이 발생해 서비스가 마비된 사태가 벌어졌다. 디도스란 정보통신서비스에 장애, 마비 등을 유발시키기 위해 대량의 비정상적인 트래픽을 일으키는 공격이다.

공격자는 여러 대의 IT 기기를 감염시켜 공격에 동원하며, 최근에는 비정상 트래픽을 유발하는 기기가 다양해지고 있다는 점이 특징이다. 대표적인 유형은 '봇넷(Botnet)' 공격으로, 봇넷은 소프트웨어 로봇(robot)의 집합을 뜻한다. 공격자는 악성파일을 유포해 불특정 다수의 PC나 기기를 감염시켜 이른바 '좀비 PC'로 만들고, 복수의 감염된 기기들이 네트워크로 연결돼 하나의 봇넷이 되는 구조다.

해당 사건을 계기로 국내에서는 디도스 대응 장비 도입이 활성화되고, 통신사에서 제공하는 '클린존 서비스' 등이 등장했다. 다만 중소기업은 이같은 서비스에 비용을 부담할 수 있는 여력이 되지 않았다. KISA가 디도스 사이버대피소를 구축해 무료 지원하게 된 이유다.

해당 서비스는 디도스 트래픽을 대피소로 우회해 분석‧차단함으로써 해당 웹사이트가 정상 운영될 수 있도록 지원한다. 기업 도메인 네임 시스템(DNS)의 웹서버 IP 정보를 대피소 IP로 교체해 방어하는 방식이다. KISA는 통신사의 회선을 임차해 시스템을 직접 구축한다. 인터넷 대역폭을 확보하고, 일부가 공격을 받더라도 나머지 시스템에서 정상적인 서비스가 제공될 수 있도록 시스템을 분산‧배치하는 방식으로 대응하고 있다.

대피소 입주 기준은 중소기업이면 누구나 가능하다. 다만 불법적인 서비스를 제공하는 곳은 제외된다. 해당 서비스를 지원받는 업체들은 입주 기업과 대기 기업으로 나뉜다. 디도스 공격이 발생하기 전 입주하는 경우와 공격 발생 후 긴급 입주하는 방식이다. 7천271개사의 대부분은 사전에 등록한 기업이다. 지난해까지 총 1천351건의 디도스 공격을 방어함으로써 중소기업 피해 최소화했다고 KISA는 설명했다.

김은성 KISA 탐지대응팀장은 "2009년 디도스 사태 이후에도 금융권과 대형 포털 등을 겨냥한 디도스 공격이 지속 발생하고 있지만 서비스 마비로는 이어지지 않고 있다"고 설명했다. 최근 국외에서 가장 규모가 컸던 사례는 지난해 11월 마이크로소프트(MS) 애저(Azure)를 대상으로 한 공격이다. 초당 트래픽 유발량이 3.47테라바이트(Tb)로 집계된 바 있다.

최근 국내 사례는 지난달 토스에 대한 디도스 공격으로 초당 트래픽 유발량은 30기가바이트(Gb)였다. 실제 피해는 발생하지 않은 것으로 알려졌다.

김 팀장은 "통상 국내에서 개별 중소기업을 대상으로 한 디도스 공격 규모는 1Gb 미만 수준에 그친다"며 "사이버대피소는 160Gb까지 수용할 수 있어 아직까지는 여유가 있는 상황이지만 만일의 사태에 대비할 수 있도록 통신사와의 업무협약을 통해 순간 트래픽에 대응할 수 있도록 조치할 것"이라고 말했다.

김혜경 기자의 다른 기사 보기

• 안랩 "성인용 게임 파일로 위장한 디도스 악성코드 주의"

• 잊을만하면 등장하는 '봇넷'…IoT 기기 취약점 파고든다