결론부터 말하자면 “끊임없이 다시 발생한다” 이다.
엊그제 발생한 대대적인 DDOS 공격… 아니나 다를까 또 백신타령이다. 역시나 좀비PC가 된 불특정 다수의 죄없는 일반인들이 해커 대접(?)을 받고 있다. 그나마 이번엔 좀비PC를 양산(?)한 중간 감염 사이트가 운좋게 밝혀졌다.
인터넷 다운로드 사이트인 쉐어박스와 수퍼다운이 해킹되어 이 두 사이트에 접근한 사용자들의 PC에 공격도구를 감염시켰다고 한다.
이전의 국가적인 DDOS 공격이 있었을 때도 분명 이렇게 매개체가 되는 웹사이트가 무척 많았을 것이다. 이번 공격에도 어쩌면 더 많은 웹사이트가 해킹되어 더 많은 PC를 좀비PC로 만들었을 지도 모른다. 다만 밝혀진 웹사이트가 2곳일 뿐일지도 모른다.
이제는 더이상은 많은 피해자(좀비PC의주인들)를에게 주의의 의무만을 지우지 않았으면 한다.
공공의 서비스를 위해 그리고 돈을 벌기 위해 운용중인 수 많은 보안에 취약한 웹서버에 소스위변조 차단을 위해 서버보안 S/W 혹은 위변조 모니터링 솔루션, 홈페이지 위변조 차단 솔루션 등의 설치를 의무화할 필요가 있다고 본다. 대부분의 기업과 공공기관의 PC에 백신설치는 의무화되다시피 했다. 또한 방화벽과 IPS도 거의 의무적으로 도입되다시피 했다. 그럼에도 불구하고 이러한 네트워크 기반의 보안솔루션으로는 홈페이지의 위변조를 차단하지는 못한다. 이제는 서버 내부에서 홈페이지의 보안을 더욱 강화할 필요가 있다.
홈페이지 위변조를 통해 발생하는 해킹의 피해는 이번 DDOS 공격 사건에서 보듯 심각한 수준이다. 더 이상 지체할 수 없는 상황이라는 것을 하루빨리 인지하면 좋겠다.
DDOS공격을 수행하는 좀비PC는 그냥 생기는 것이 아니다. 좀비PC가 왜 생기는지… 어떤 경로로 정상적인 PC가 좀비PC로 변신(?)하는지을 이해해야 한다.
위의 그림의 (1)과 같이 “보안에 취약한 웹사이트”의 홈페이지 소스를 위/변조하여 악성코드를 직접 심어놓거나 타 사이트에 올려져 있는 악성코드를 다운로드 받는 코드를 삽입한다.
그리고 (2)와 같이 보안에 취약한 PC가 해당 웹사이트에 접근하면 악성코드가 PC에 설치되어 좀비PC가 된다.
일단 좀비PC가 되면 (3)과 같이 공격자(해커)의 명령에 따라 (4)와 같이 DDOS 공격을 수행하게 된다.
하지만 해커가 자신의 IP를 직접 노출해가면서 (3) 처럼 직접 공격하는 경우는 드물다. 해커와 좀비PC사이에는 또하나의 명령서버(Command Server)가 존재하는 경우가 대부분이다. (이 그림에서는 생략되어 있다.)
그렇다면 가장 효과적으로 DDOS 공격을 방어하는 방법은 무엇일까..??
지금까지는 (4)번의 DDOS 공격을 막는데 주력하고 있다. 그래서 DDOS 공격이 시작되면 대한민국 국민에게 사용하는 PC에 백신을 설치하라고 방송을 통해서까지 호소하고있다. 과연 이것이 효과적인 대응인지를 곰곰히 생각해볼 필요가 있다.
일단 (1)의 공격이 성공하면 그 이후에는 DDOS공격이 발생하는 것은 시간문제다. 그리고 어느 PC가 좀비PC인지 식별하는 것도 사실상 불가능하다. 국민전체를 믿고 기다리는 것밖에는 할일이 없는 것이다. 너무도 소극적인 대응이 아닌가 ?
가장 효과적인 방법은 바로 (1)을 차단하는 것이다. 웹사이트를 개발하고 운영하는 이들은 누구인가? 바로 영리목적의 기업이거나 공공기관이다. 웹사이트의 보안을 강화하고 해킹을 차단할 능력이 충분히 있다. 다만 비용과 신속한 개발과 빠른 서비스 시작에 목매어 보안을 등한시하고 있을 뿐이다.
(1)의 공격을 막기위해 보안을 강화해야만 효과적으로 DDOS 공격을 차단할 수 있다.