게임 업계를 향한 디도스(분산 서비스 거부 DDoS) 공격이 갈수록 위협적으로 다가오고 있다.

넥슨코리아의 글로벌 보안 본부 김동춘 실장은 27일 넥슨코리아 본사에서 ‘디도스 공격 실체와 대응 방법’을 주제로 한국게임전문미디어협회와 함께 강연을 진행했다. 최근 몇몇 사례로 일반 게이머들까지 경각심이 높아진 디도스 공격의 실체와 넥슨의 디도스 공격 대응 사례와 방법이 소개됐다.

이날 강연은 국내 라이브 서비스 게임 최전선에 있는 넥슨, 그중에서도 디도스 공격을 비롯해 웹 해킹 공격과 같은 보안 인프라를 다루고 있는 현업 보안 전문가의 의견을 들을 수 있는 자리로 마련됐다.

■ 디도스 공격 "마치 기울어진 운동장이다"

일반적인 디도스 공격은 서비스 거부 공격을 말한다. 디도스 공격은 다수의 좀비 PC를 이용해 대규모 트래픽을 보내거나 어플리케이션의 가용 리소스를 고갈시켜 서비스를 다운시키는 것을 목적으로 한다.

넥슨은 디도스 공격을 방어하는 입장에서 디도스 공격은 “기울어진 운동장과 같다”고 표현했는데 이유는 최근 발생하는 공격이 규모와 빈도 측면에서 모두 커지고 있으며, 해커뿐만 아니라 일반인까지 접근할 수 있는 낮아진 접근성 때문이다. 기본적으로 대규모 디도스 공격은 막을 수 없다는 것이 김동춘 실장의 견해다.

■ 디도스 공격 방식

디도스의 공격 방식은 크게 두 가지로 나뉘는데 대역폭 고갈 공격과 어플리케이션 고갈 공격이다.

대역폭 고갈 공격은 특정 네트워크의 최대 전송 용량을 초과하는 트래픽을 유발함으로써 네트워크 성능을 저하하는 공격을 말한다.

예를 들어, 500Mbps 또는 1Gbps 대역폭만 사용하는 네트워크에 초과 트래픽이 발생하면 해당 네트워크는 정상적인 서비스 제공이 불가능해진다. 이러한 공격은 네트워크 자원을 과도하게 소모하게 하여, 합법적인 사용자가 서비스를 이용할 수 없도록 만든다.

애플리케이션 고갈 공격은 웹 서버나 게임 서버와 같은 특정 애플리케이션의 처리 용량을 초과하는 요청을 통해 서버를 마비시키는 공격이다.

특정 웹 서버가 동시 접속자 수천 명을 처리할 수 있는 용량을 가졌다면, 공격자는 이 한계치를 넘는 다량의 세션 요청을 보내 서버의 자원을 고갈시킨다. 이 역시 정상적인 사용자들은 서비스를 이용할 수 없게 된다.

실제 두 가지 공격 방식은 혼합되어 사용되며 혼합 시 더 효과적이다. 한편, 김동춘 실장은 게임 서버에서 동시접속자가 몰리는 것과 디도스 공격을 구분할 수 있는가? 묻는다면 거의 구분하기 힘들다고 설명했다.

■ "사실상 디도스 공격을 견딜 수 있는 서비스는 존재하지 않는다"

디도스 공격에서 해커는 다수의 감염된 좀비 PC를 제어하는 명령 서버를 활용한다. 공격의 핵심은 얼마나 많은 좀비 PC를 확보하느냐에 달려 있으며, 숙련된 해커는 이러한 좀비 PC를 통해 단 한 번의 클릭으로 대규모 공격을 실행할 수 있다.

이러한 좀비 PC의 집합체를 '봇넷(Botnet)'이라고 부르며, 그 규모는 매우 크다. 대표적인 예로 '미라이(Mirai) 봇넷'이 있다. 미라이 봇넷은 2016년에 처음 등장한 악성코드로, 주로 IoT(사물 인터넷) 기기를 감염시켜 좀비화하고 이를 통해 대규모 디도스 공격을 수행하는 악성 네트워크를 말한다. 현재 오픈 소스로 공개됐으며 엄청난 규모를 자랑한다.

해커들은 이 악성코드를 이용해 PC를 감염시키고, 정보를 탈취한 후 좀비 PC로 전환하여 디도스 공격에 활용한다. IoT 기기로 확산된 이 봇넷은 24시간 작동 가능한 좀비 PC로 역할 한다. 현재 디도스 공격에 사용되는 좀비 PC의 대부분은 IoT 기기에서 발생하며, 이를 식별하는 것은 매우 어렵다.

내부적으로 80Gbps의 회선을 사용하더라도, 미라이 봇넷 단일 봇넷이 초당 1.2Tbps의 트래픽을 유발할 수 있다. 이는 기존 회선 용량의 100배에 달하는 트래픽으로, 이를 견딜 수 있는 서비스는 사실상 없다.

미라이 봇넷의 공격은 특정 지역에 국한되지 않고 전 세계적으로 분산되어 있다. 따라서 글로벌 서비스를 진행하는 게임사 입장에서 지역적으로 트래픽을 차단하는 것은 불가능하다.

봇넷은 주로 보안 업체들이 추적하고 있는데, 실제 활성화된 봇의 수는 최소 3만에서 최대 30만 대에 이른다. 이를 동시접속자로 환산하면 30만 명에 달하며, 각 봇이 단 하나의 패킷이나 세션만 생성해도 30만 개가 된다.

김동춘 실장은 다시 한번 “이를 감당할 수 있는 서비스 제공자는 거의 없다”고 강조했다.

■ 디도스 공격의 서비스화

디도스 공격은 이제 해커만이 수행할 수 있는 전유물이 아니다. 최근 해커들은 봇넷 서비스를 구독형 모델로 제공하여 누구나 디도스 공격을 실행할 수 있게 만들고 있다. 특정 서비스를 중단시키고 싶은 유저는 일정 금액(주로 암호화폐)을 지불하고 봇넷의 일부를 빌려 공격할 수 있다.

게임 서버의 입장에서 보면, 단 몇 분간의 디도스 공격만으로도 큰 피해를 입을 수 있다. 1분에서 5분 동안 동시 접속자가 떨어져 나가고, 공격을 받은 서버는 복구하는 데 5분, 10분, 혹은 1시간 이상 걸릴 수 있다. 짧은 시간 동안의 공격으로도 막대한 영향을 미칠 수 있는 것이다.

해커들은 최근 악성 코드를 배포하여 단순히 데이터를 탈취하는 것에 그치지 않고 탈취한 데이터를 협박의 도구로 사용하거나 다크웹에 판매하며, 감염된 PC와 IoT 기기를 좀비화하여 디도스 공격에 활용하는 산업을 구축하고 있다. 과거 사례 중에는 해커들이 디도스 공격을 소규모로 진행한 후, 금전을 요구하는 메일을 보낸 적도 있다.

익명화된 플랫폼에서 디도스 공격 서비스 광고를 쉽게 찾을 수 있는 지경이다. 중국 일부 해커는 최대 5Tbps 트래픽을 유발할 수 있다고 광고하는데 이는 기간사업자(기간통신사업자)도 무너뜨릴 수 있는 수준이다.

해커들은 디도스 방어 서비스를 우회할 수 있다고 광고한다. 장비 기반 또는 클라우드 기반의 디도스 방어 서비스도 무력화할 수 있다는 것이다. 또한 신뢰성을 강조하며, 돈을 지불하면 샘플 공격을 보여주고 체험판 서비스도 제공할 정도다.

■ 디도스 공격 현황 “게임 산업은 디도스 공격을 가장 많이 받는 분야”

2023년과 2024년의 디도스 공격 현황을 보면, 2022년과 비교하여 공격 횟수는 다소 감소했으나, 공격 규모는 점차 더 커지고 있다. 한 번의 공격으로 더 큰 피해를 주려는 경향을 나타낸다.

호주의 보안 서비스 업체에서 분석한 트렌드에 따르면 공격 횟수는 적어졌지만, 공격량은 매우 커진 걸 확인할 수 있다. 또한 클라우드 플레어가 발표한 지표에서는 매 분기마다 횟수와 규모가 커져가고 있다고 밝히고 있다.

이날 강연 발표에 따르면, 전 세계적으로 디도스 공격은 주로 웹 도박 및 게임 산업을 표적으로 삼는 경향을 보인다. 글로벌 통계에 따르면, 게임 산업은 디도스 공격을 가장 많이 받는 분야 중 하나다.

■ 넥슨의 디도스 공격 대응 전략

현재 넥슨은 디도스 공격을 거의 매일 받고 있다. 주기적으로 대규모 공격이 유입되고 있으며, 이 공격의 규모는 30Gbps, 60Gbps, 80Gbps 등으로 점점 증가하는 추세다.

넥슨은 디도스 공격에 대응하기 위해 여러 단계의 방어 전략을 사용한다. 유저가 게임 서버에 접속하는 과정을 몇 가지 구간으로 나누어 각각의 구간마다 다른 전략을 적용하고 있다.

유저가 처음 접속하는 단계인 중간 네트워크 구간에서는 트래픽을 임계치 기반으로 거칠게 제어한다. 이때 인텔리전스 기반의 봇넷 식별 기법을 사용한다고 밝혔다. 대규모의 좀비 PC IP 목록을 제공받아 필터링을 진행하는데 특히, IoT 기기와 VPN, 중국 사업자 IP 등 소위 좀비 PC 블랙리스트에 포함된 IP를 중간 네트워크 구간에서 차단하는 것이다.

게임 서버에 접속한 유저의 트래픽을 정교하게 관리하기 위해 추가적인 식별 과정을 도입한다. '챌린지'라고 불리는 이 과정에서는 사용자가 실제 사람인지 여부를 판단한다.

우리가 흔히 웹에서 "당신은 사람인가요?"와 같은 질문을 받는 방식을 말한다. 그러나 이와 같이 유저가 인지할 수 있는 직접적인 노출 방식만이 다가 아니다. 사용자가 알아차리지 못할 정도로 백그라운드에서 작동하는 기술 방식이 있다. 두 가지 방식을 모두 사용해 필터링의 정확성을 높인다.

공격의 대역폭을 감당할 수 없을 경우 국가기관의 지원을 요청하여 트래픽을 완전히 차단하는 방법이 있다. 넥슨의 경우, 디도스 공격으로 피해가 발생하면 한국인터넷진흥원(KISA)과 과학기술정보통신부에 신고하고, 공격에 사용된 IP 주소를 국가기관에 제출한다.

국가기관은 국내 IP가 디도스 공격에 사용된 경우, 해당 좀비 PC를 비활성화하여 디도스 공격을 완화하는 작업을 수행한다.

 

■ 결론: 디도스 공격, 대응하기 정말, 정말 어렵다

디도스 공격에서 공격자는 항상 유리한 위치에 있다. 많은 IoT 기기들이 감염되었으며, 이들 기기는 가정 내 공유기를 통해 일반 사용자의 IP로 들어오는 경우가 많다. 이러한 IP는 블랙리스트에 포함되기도 하고 화이트리스트에 포함되기도 한다. 이를 핀셋으로 정확하게 식별하고 차단하는 것은 매우 어려운 일이다.

다음은 강연 직후 나온 질의응답이다. 보안 문제로 민감할 수 있는 사례는 생략됐다.

Q. 좀비 PC 감염 여부를 스스로 알 수 있는 방법이 있나?

김동춘: 내부 임직원들에게는 반드시 백신 소프트웨어를 사용하라고 권장한다. 또한, 한국인터넷진흥원(KISA)에서 제공하는 점검 툴을 활용할 수 있다. 특히 IoT 기기의 보안 취약점은 주로 ID와 패스워드 취약 설정에서 발생하므로, 설정을 강력하게 하는 것이 중요하다.

 

Q. 윈도우 디펜더를 사용하는 것으로 충분할까?

김동춘: 윈도우 디펜더 하나만 사용해도 충분하다고 말할 수 있을 것 같다.

 

Q. 건물의 회선 전체를 공격하거나, 서버 단위로 특정 IP를 공격하는 사례가 많이 있는지 궁금하다.

김동춘: 건물 전체를 대상으로 하는 공격은 훨씬 쉽다. 해당 건물이 아무리 좋은 회선을 사용하더라도 1Gbps에서 10Gbps를 넘기 어렵기 때문이다. 대역폭 공격을 받으면 쉽게 마비될 수밖에 없다.

디도스 공격 방어 장비를 행사만을 위해 구축하는 것은 사실상 어렵다. 특히 소규모 행사장이라면 공격이 훨씬 쉽다. 반면 클라우드 기반의 메인 서비스를 공격하는 경우, 공격이 상대적으로 더 어려워진다.

 

Q. IoT 기기가 악성코드에 감염되어 좀비 PC가 되는 것을 일반 사용자가 막기 어려운데, 이미 감염된 상황에서는 어떻게 해야 하나?

김동춘: 초기화가 답인 것 같다. IoT 기기는 초기화하는 것이 가장 좋아 보인다.

 

Q. 디도스 공격에 대한 정부 기관과 수사 공조는 어떻게 이뤄지는가?

김동춘: 먼저 디도스 공격이 들어오면 국가에서 지정한 신고 기준에 따라 한국인터넷진흥원(KISA)과 과학기술정보통신부에 신고하게 되어 있다. 기준은 피해가 발생했을 때다. 이때는 의무 사항이다. 신고 시 관련 자료들, 예를 들어 공격자의 IP와 좀비 PC의 IP 등을 수집하여 제출한다.

국가기관은 수집된 IP가 국내 IP일 경우, 해당 웹서버의 운영자에게 악성코드 감염 여부를 조사하도록 요청한다. 추가적으로 경찰에 신고하면, 경찰이 공격자를 추적하여 대응한다.

실질적으로는 대처가 쉽지 않은 것으로 안다. 공격자를 보면 국내에서 나오는 IP가 많지 않다. 대부분 해외 IP다. 더 많은 협조가 필요하지 않을까 생각한다.

 

Q. 조만간 넥슨에서 글로벌 서비스 게임이 출시되는데, 넥슨 자체 플랫폼에서 준비할 때와 콘솔 타 플랫폼과 연계할 때의 대처 방법이 다른가?

김동춘: 게임 보안 측면에서 클라이언트 보안은 거의 동일하게 적용된다. 게임을 실행하는 런처나 플랫폼에 따라 약간의 차이는 있을 수 있지만, 게임 보안에 대한 전체적인 로드맵은 동일하다. 스팀에서 서비스를 하든 다른 플랫폼에서 하든, 보안 접근 방식은 비슷하게 유지된다.

다만, 연동 방식은 플랫폼에 따라 조금씩 달라진다. 특히 콘솔과 PC는 생태계가 크게 다르기 때문에 보안 접근 방식도 달라진다.

 

Q. 디도스 공격이 계속해서 심해지고 있는데, 공격이 계속 커지다 보면 대응 비용도 계속 늘어날 것으로 보인다. 보안 대응 비용이 임계치를 언젠가 넘을 수도 있을 것이라 생각하나?

김동춘: 그렇다. 기로에 서 있다. 만약 공격이 연중 계속 발생하고, 특히 100Gbps 이상의 대규모 공격이 지속적으로 유입된다면, 보안을 강화해야 할테다. 그러나 공격이 분기별로 한 번씩 발생한다면, 비용을 추가로 투입할지 고민하게 된다. 딜레마가 있다.

보안에 있어서 서비스 수익과 보안 비용 간의 균형을 맞추는 것이 문제다. 보안 비용이 서비스 수익을 초과할 수는 없다. 이러한 상관관계 때문에 공격자에 비해 항상 불리한 위치에 놓이게 된다. 또한 보안 장비와 보안 서비스의 단가는 매우 높은 편이다.