1.
DDoS 얘기를 하기 전에 DoS공격에 대한 얘기를 해야 하는데, 이건 윈도우 이전의 운영체제인 DOS(Disk operating system)과는 전혀 다름. DoS = Denial on Service. 간단히 얘기하여 서버에 무식하게 여러번 접속함으로써 서버를 마비시키는 공격기술임.
개념 자체가 서버에 무식하게 계속 박치기를 하는거다 보니 서버 접속이 원활하지 않게 되는 것을 제외 하면 공격 대상 사이트가 얻는 피해는 없음. (개인정보 유출이라던지 데이터 변조라던지 하는게 불가능하다는 얘기)
2.
그런데 이 DoS공격은 사실 막기가 쉬움. 한놈이 계속 무식하게 접속한다? 그냥 해당 IP를 차단해 버리면 됨. 서버가 하는 서비스라는 것은 대략
1) IP를 검사한다
2) 실제 요청이 뭔지를 검사한다(ex/ kivol.theand.net의 n번째 글)
3) 서비스를 해준다
의 과정을 거친다고 할 수 있는데, IP를 차단을 해버리면 실제 서버에 부하를 주는 부분의 대다수인 2)와 3)을 안하고 막아버릴 수 있기 때문임.
3.
그래서 이 DoS공격이 발전되어 나온게 문제의 DDoS, Distributed Denial on Service임. distributed라는 단어에서 알 수 있듯이 서버에 죽어라 박치기를 하는데 여러명이 나눠서 박치기를 하는 것임.
문제는 이 여러명이라는게 한두서너댓명이 아니고 몇천대 몇만대 이렇게 됨. 그러면 공격하는 놈은 이 몇천대 몇만대의 공격용 PC를 어떻게 확보하는가? 특정 악성코드나 바이러스 등에 감염된 PC는 그 PC가 켜져있는 한 외부에서 (PC의 주인도 모르는 상태에서) 원격으로 조종하는 것이 가능한데, 이 PC등을 조종해서 한날한시에 특정 사이트에 접속박치기를 하게 하면 됨. 여기서 이 감염된 PC를 언론에서 요즘 좀비PC라고 부르는 것임.
4.
이 DDoS는 최근 한 1~2년 전부터 기승을 부리기 시작했는데, 보통 대륙의 해커들이 국내 업체를 상대로 '돈 안보내면 DDoS로 너희 사이트 마비시켜버리겠음!' 이런 협박을 해서 돈을 뜯어내기 위함이었음. 가장 제대로 당하는건 합법과 불법의 경계에 있는 사이트, 즉 아이템중계사이트 같은 곳들인데, 특히 이 중 가장 큰(컸던) 아이템베이가 재작년인가 작년인가에 호되게 당했었음.
그런데 이번 케이스는 무언가 협박이 있었던 것도 아니고 그냥 닥치고 '다 마비시키겠다' 이러는 것 같아서 좀 당황스러움. 즉 공격하는 애들의 의도를 모르겠다는 것. 청와대, 정부여당, 국내최대신문, 국내최대은행, 국내최대포털의 웹사이트가 동시에 공격받았다! 라고 하면 뭔가 대단해 보이지만 사실 위에서도 썼듯이 DDoS는 웹사이트의 내용을 변조하거나 정보를 빼가거나 하는 것이 아니고 그냥 남들이 접속 못하게 막는 것일 뿐이기 때문에 그렇게 대단한게 아님. 그래서 '대체 왜 한거냐'에 대한 의문은 전혀 풀리지 않음.
5.
게다가 이들 사이트들이 처음에 공격을 좀 맞은 뒤에 여러 가지 방법으로 잘 막고 있음.
자. DDoS를 어떻게 막는가?
1) 기본적으로는 위에서 썼듯이 공격하는 IP들을 차단하면 될텐데 이건 일단 공격하는 IP가 너무 많아서 불가능함.
2) 패턴인식을 통해 공격하는놈과 공격 안하는 놈을 구분할 수는 없을까? 이 쪽은 많이들 연구되고 있으나 아직 굉장히 좋은 결과물이 나오고 있지는 못함. Juniper나 다른 여러 보안업체에서 이런걸 탑재한 장비를 몇억에 팔기도 함.
3) 무식하게 서버랑 네트웍을 열심히 때려박아서 그 모든 공격을 다 받아주고 서버가 안뻗어도 됨. 사실 이게 우리 회사의 접근방법인데 -_-; 생각보다 아주 잘먹힘. 우리 회사가 그 방법으로 아이템베이를 거의 완벽하게 막아주고 있음.
청와대나 조선일보 이런데가 저 중에 어떤 방식으로 막고 있는지는 잘 모르겠고 별로 관심도 없어서 패스 =_=
6.
이런 DDoS 공격이 가능한 이유는 사용자의 부주의(+윈도우의 허술한 보안)로 악성코드 이런거에 자꾸 쳐걸려대기 때문인데, 사람들이 좀 더 개념을 찾고 MS도 개념을 찾아서 그렇게 나쁜놈들이 내 PC를 마음대로 조종 못하게 하면 더 밝은 세상이 올 것임.
자. 악성코드에 안걸리려면? 악성코드에 걸릴만한 짓을 안하면 됨.
악성코드에 걸릴만한 짓은?
1) 웹하드에서 뭐 다운받았는데 CDKey를 모르겠어서 구글에서 아무렇게나 찾아서 keygen 돌리는 짓. 바이러스 없는 키젠도 많지만 있는 키젠도 많음. (사실 나도 위험 감수하고 키젠 가끔...이 아니고 꽤 자주 돌림 -_-;)
2) 익스플로러로 웹서핑하다가 위에서 베이지색 줄 뜨면서 ActiveX 깔라고 하면 읽어보지도 않고 설치 실행 누르는 짓. 진짜 네이버 다음 네이트, 혹은 은행사이트같이 믿을만하고도 남는 곳에서 깔라고 하는 ActiveX를 제외하고는 절대 깔지 말 것.
3) '아 컴퓨터 느려짐' 이러면서 윈도우 업데이트 꺼놓는 짓.
4) 메신저나 메일로 아는 사람 누가 'try this! http://blahblah.net' 이러면 덥썩 첨부파일 받아서 실행시키는 짓.
이 정도만 지켜도 백신 없이도 악성코드 안깔리고 잘 살 수 있음. 백신까지 있으면 물론 금상첨화임.
7.
가장 마음에 안드는건 정부와 언론의 대응인데, 제일 최악이었던건 사고가 난 다음날에 한 정부의 '북한이나 종북세력의 소행'드립이었음. DDoS라는게 조종당하는 PC가 있고 그걸 조종하는 IP가 있을텐데, 해커가 바보가 아니기 때문에 다음과 같이 여러 단계를 거치게 됨.
해커의 컴퓨터
-> 해커가 거쳐가는 컴퓨터 여러대
-> 해커가 거쳐가는 컴퓨터들이 거쳐가는 컴퓨터 여러대
-> 해커가 거쳐가는 컴퓨터들이 거쳐가는 컴퓨터들이 거쳐가는 컴퓨터
-> 해커가 거쳐가는 컴퓨터들이 거쳐가는 컴퓨터들이 거쳐가는 컴퓨터들이 거쳐가는 컴퓨터
-> ... -> 수만대의 유저 PC들
그렇기 때문에 실제 source를 찾는건 거의 불가능하다고 보면 되고, 지금 1차적으로 조종하는 source가 19개국 86개IP인가 그렇게 나오던데 앞으로도 아마 잡기 힘들 것으로 사료됨.
결국 북한소행 드립은 정부의 천박한 인식수준(혹은 정치적으로 이용하려는 의도)을 드러내는거라고 할 수 있는데 -_- 이 부분은 손가락만 아프니 여기까지만 하겠음. 그리고 나같은 IT 말단 노동자도 북한드립 들었을때 '웃기시네'라고 생각했는데 전혀 생각도 안해보고(최소한 전문가에게 알아볼 노력도 안하고) 받아쓴 언론들도 좀 나가 죽어야 할듯..
그리고 계속 강조하듯이 DDoS는 정보유출같은게 없기 때문에 그렇게 호들갑 떨어댈 일도 아니고 보안에 대한 걱정을 늘어놓을 것도 아님. 차라리 작년인가에 언젠가 한나라당 홈피 대문이 털렸던 사건이 심각하다면 훨씬 심각하지.
Comment on this post!
우진 2009/07/11 14:02
5-3)은 정말 우리(?) 회사에서 생각하고 또 실행할 법한 방법인듯 ㄷㄷ
어제 아침에 늦게 일어나는 바람에 신문도 안 읽고 나갔는데, 수업 시간에 같은 조원이 DDos 공격 뭐시기 기사를 읽고 있길래 옆에서 봤더니 북한드립; 나같은 평범한 복학생도 1초간 '웃기시네' 했다는... 게다가 기사에 공공기관 정보 이런 게 유출되니 뭐니 써 있었는데 또 피식했음 ㅋ 그리고 듣자하니 유저 PC를 포맷시켜버린다고 하는데 이거 진짜임? 좀비를 굳이 포맷 시키려고 하는 이유도 잘 모르겠고, 감염된 샘플 유출을 방지한다고 하기엔 너무 수가 많아서 바보짓인 거 같고...그냥 놔두는 게 좋지 않나; 아님 이거 전부 DDos(에 의한 정부기관 등의) 피해를 줄이기 위한 언론 플레이인가? ;