DDoS 에 대한 잘못된 상식들
베티의 딱밤님이 쓰신 선관위 DDOS 사태 정말정말 쉽게 설명.JPG 은.. 음.. 선관위의 발표와 마찬가지로 반론하려면 얼마든지 반론할 수 있는 얘기 입니다.
저 역시 선관위의 발표를 그대로 믿지는 않지만, 이 글에 있는 말은 보안 전문가가 아닌 제가 보기에도 근거가 많이 부족합니다.
먼저 DDoS(위키피디아 링크) 는 일반적으로 트래픽 양으로 승부하는게 아니고, 동시 접속 횟수로 승부하는 방법입니다. 보통 서버가 뻗는 경우는 동시에 접속할 수 있는 사용자 숫자를 높은 비율로 초과했을 경우에 나타납니다. 즉, 11Gb 의 트래픽이 있었다고 해서 꼭 2Gb 의 트래픽보다 더 큰 효과를 줄 수 있는 것도 아니고, 2Gb 라도 1Kb 의 패킷을 사용한거라면 약 2백만명의 동시 접속 효과를 보일 수 있습니다. 이 정도면 포탈이라도 일부는 뻗을 가능성이 높은 수치죠. 물론 그 정도는 아니었을 것이라고 생각합니다만, 트래픽 양으로 기준을 삼는 것은 잘못된 상식입니다. 트래픽 양으로 공격하는 것은 대응하기도 어렵지 않고요. (물론 1Kb 정도로 공격하진 않을겁니다. 효율적인 공격을 위해선 적절한 트래픽 양도 중요하니까요. 참고로 1Gb 와 1GB 도 다릅니다. 전자는 비트, 후자는 바이트=비트*8)
그리고, 해커가 한 명이나 작은 팀이더라도 장악하고 있는 좀비 PC 가 어마어마한 양일 수도 있고, 장악하고 있는 좀비 PC 가 적더라도, 확실한 취약점을 파악하고 있다면 대형 사이트도 충분히 공격할 수 있습니다. 또, 탱크 한 대로 대한민국을 동시에 점령할 수는 없습니다만, 짧은 시간만이라면 유능한 해커 한 명이나 팀이 우리나라 네트워크 중 상당부분을 마비시킬 수도 있습니다. 이 후 연계 공격으로 선관위 정도는 한 방에 날려버릴 수 있겠죠. DDoS 가 해킹의 전부도, 가장 대단한 기술도 아닙니다. 이게 바로 사이버 테러가 정말 무섭고, 보안 인력이 충분히 필요한 이유입니다.
다음으로, 하위 도메인이 살아 있다고 상위 도메인도 살아있으리란 법은 없습니다. 서버가 분리되어 있다면 충분히 그럴 수 있습니다. 백화점 예를 들어놓으셨는데, 강도가 들어가서 정문만 막고 서 있을 수도 있는거죠. ㅎㅎ 해킹도 마찬가지입니다. 정문만 점령 당했을 수도 있습니다. 또는 전체 서버의 다운을 막아 대응을 빨리 하기 위해, 트래픽이 집중 되어 있는 대문을 먼저 분리한 후 처리하는 방법을 쓰고 있는 중일 수도 있구요. (DB 역시 분리 및 분산이 가능해서 일부 또는 전체가 살아있을 수 있습니다.)
저 역시 선관위의 발표가 믿음이 가지는 않습니다만, 로그를 전부 살펴 보지 않고는 그렇다 아니다를 말 할 수 있는 정도는 아니라고 생각합니다. 하지만 로그만 공개하면 몇 시간도 안 걸려 누명(?)을 금방 벗을 수 있을테고, 선관위의 서버가 국가 안보에 영향을 미치는 것도 전혀 아닐텐데 공개를 안 하는 이유는 뭐.. 이유가 있겠죠. ㅎㅎ (…)
여담으로 DDoS 에 사용되는 좀비 PC 는 보통 스파이웨어에 감염된 컴퓨터인데, 이 스파이웨어는 일반적으로 불법 다운로드 받은 소프트웨어/게임 또는, 은행이나 쇼핑몰 등에서 국내법 때문에 강제로 깔아야 하는 Active-X 등에 의해 감염됩니다. 그리고, 우리나라 서버들이 많이 해킹 되는 이유는 본인 인증 때문에 주민등록 번호나 휴대폰 번호 등의 개인 정보를 필수적으로 받고 저장해 두게 되니, 해커들이 군침을 흘리지 않을 수 없죠.
즉, 유독 우리나라에 좀비 PC 가 많고, 개인 정보 유출이 많은 이유는 보안 관련법 때문이라는 아이러니한 사실. 높으신 분들께서는 이 사실을 언제나 깨달으시려나 모르겠습니다.
- 지인 중 진짜 전문가의 첨언
트래픽 패턴을 봐서는 인입 외에 아웃풋이 있는걸 봐서, 실제 단순히 트래픽으로만 사이트를 죽이는 공격이라기보다 리퀘스트를 날린거지. 선관위 페이지 중 유독 투표소 검색을 수행하는 페이지를 집중해서 공략한 듯. 디비를 직접 공격하는게 아니라 웹을 공격하면 그 하단의 디비가 가는거지 캐시 제대로 안 하거나 필터링 안하면 요청은 고스란히 디비 부하니 깔끔하게 뻗어 주시겠지. 자세히도 필요 없고 검색 페이지 몇 만번 호출하면 날아갈 수도 있어. 간단하잖아. 졸라 무식해서 선거구 조회 때마다 디비 읽어야 되는 페이지라면 어떻게 되겠냐? PC 한 대로도 죽일 수 있지.
워낙에 다양한 변수가 있어서 직접 상황을 보지 못하고 결론을 내리기는 힘들지만, 선관위는 스스로 무덤을 파고 있는 것 같고 ㅋㅋ 내부자 소행일 가능성은 좀 낮아 보이고, 방치의 가능성은 좀 있어보이지.
그리고 이런 리퀘스트 공격은 마중물 역할을 하기도 하는데, 접속 지연이나 순간적인 디비 지연을 발생시키면 후속으로 들어오는 일반 시용자들이 리로드라던가 쏠림 현상으로 인해 장애가 확대 되지. 근데 이 경우가 정말 난감한게 차단이 불가해. 공격자의 IP는 한정될 수 있지만 이게 정상 사용자인지 공격자인 판단의 근거가 사라지거든. DDoS는 매우 복합적인데, 포탈은 맨날 당하지만 정부 기관이 몇 번이나 경험했을라고.
그냥 음모론 정도의 사이드 의견으로 존재하는 정도여야지 이게 선관위의 부정 선거 사고라는 확신을 가지고 여기에 올인하면 BBK 꼴 난다는.. 진짜일 수도 있으나 서버를 다운 시킨 것 보단 선거구를 바꾼 것과 이 공격이 연관된 것인지, 그게 가장 중요한게 아닌가 싶다.