연초부터 인터넷 방송인 및 프로게이머를 향한 네트워크 공격으로 인해 방송 및 게임 진행이 불가능했던 사건이 발생한데 이어 심지어는 '리그 오브 레전드(LoL)'의 국내 공식 e스포츠 리그 'LoL 챔피언스 코리아 2024' 스프링 시즌의 진행을 방해하는 사건이 벌어지면서 디도스 공격 대한 국내 게이머들의 관심이 높아졌다.

다만 프로그래머가 아닌 일반인 입장에서 디도스 공격은 웹과 게임 진행을 불가능하게 만드는 공격이라는 두루뭉술한 정보만 알고 있는 상황에서 디도스 공격이 정확하게 어떻게 진행되고 왜 공격으로 인해 게임 진행이 불가능해지는지 복구에 어떤 어려움이 있는지를 파악하기란 매우 어려운 상황이었다.

이에 대해 넥슨코리아의 글로벌 보안 본부 김동춘 실장이 누구나 이해하기 쉬운 설명으로 디도스공격의 정의와 현재 상황 그리고 게임사의 대응 방식을 설명해 눈길을 끌었다.

디도스 공격이란 무엇인가
디도스 공격이란 특정 웹사이트, 모바일 애플리케이션, 게임 같은 인터넷 서비스를 다운시키거나 방해하여 서비스를 불가능하게 만드는 것을 목표로 일반적으로 서버와 서비스가 처리할 수 있는 트래픽보다 더 많은 트래픽을 피해자에게 전송하는 공격을 뜻한다.

디도스 공격은 크게 대역폭 고갈 공격, 애플리케이션 리소스 고갈 공격 2종류로 구분된다.

대역폭 고갈 공격은 네트워크의 대역폭을 고갈시켜 서비스를 방해하는 공격 방식으로 피해자의 가용 가능한 회선 대역폭을 모두 공격 트랙으로 채워 정상 서비스를 방해하는 것이다. 쉽게 말해 정상적으로 운행하는 도로에 멈춰 있는 차들을 가득 채워 정상적으로 도로에 진입하려는 다른 차들을 차단하는 것과 같은 방식이라고 보면 된다.

대역폭 고갈 공격은 소량의 좀비 PC로도 가능해 해커 입장에서는 가장 효율적인 디도스 공격이다.

애플리케이션 리소스 공격은 서버에서 받을 수 있는 최대 유저 수를 넘어서 접속 시도하는 방식으로 대역폭 고갈 공격과 달리 대량의 IP로 접속을 시도해야 해 대역폭 고갈 공격과 달리 대량의 좀비 PC가 필요하며 공격으로 인해 서버가 다운될 가능성이 존재한다.

김동춘 실장에 따르면 현재 해커들이 하는 디도스 공격은 저 두 가지 방식을 혼합 사용해 대응에 더욱 주의를 기울여야할 것으로 예상된다.

디도스 공격의 진행 방법
일반적으로 디도스 공격은 해커들이 자신이 보유한 좀비 PC 컨트롤하는 명령 서버를 통해 공격을 진행한다. 해커가 명령 서버를 통해 특정 서비스의 공격을 명령하면 악성 코드에 노출 된 다량의 좀비 PC들이 일제히 공격 서비스에 접속을 시도하고 이로 인해 정상적인 서비스가 불가능해지는 것이 현재의 디도스 공격 방식이다.

그렇기 때문에 해커 입장에서는 공격 타이밍 때 몇 개의 좀비 PC가 동시에 접속 시도하는지가 중요한데 일반적으로 해커들은 본인들이 직접 좀비 PC의 IP를 갖고 있기보다는 좀비 PC의 정보를 대량으로 보유하고 있는 봇넷 서비스를 이용하는 것으로 알려졌다.

봇넷 서비스 중 가장 유명한 서비스인 '미라이 봇넷'의 경우 2016년부터 활동을 시작했으며 100여 개 이상의 해커 그룹에서 사용하는 것으로 알려졌다. 특히 미라이 봇넷의 경우 소스 코드가 공개돼 있어 해커 그룹이 다양한 변종을 제작해 사용하고 있는 것으로 나타났다.

미라이 봇넷은 최대 1.2 테라 바이트 규모로 디도스 공격이 가능하며 작게는 1~30기가 바이트, 일반적으로는 200~300기가 바이트 등 다양한 규모의 공격이 가능하다. 아울러 보유한 좀비 PC의 IP가 여러 국가에 산발해 있으며 공격 시도 시 3만 개에서 30만 개까지의 좀비 PC가 동시에 접속을 시도해 정상적인 서비스를 방해한다.

봇넷 서비스는 사용을 원하는 해커들에게 일반적인 구독형 서비스처럼 제공되는 것으로 알려졌다.해커는 봇넷 서비스 사업자에게 원하는 봇넷의 규모, 사용 시간에 따라 가격을 지불하고 공격에 사용한다.

좀비 PC의 대부분은 IoT 기기
문제는 일반적인 PC의 경우 사용자의 생활 패턴에 따라 꺼지는 시간이 존재하지만 IT 기기의 발전과 개인의 편리한 생활을 위해 널리 도입된 IoT 기기들이 해커들로 인해 좀비 PC로 탈바꿈하는 경우가 대폭 증가했다.

실제로 김동춘 실장은 좀비 PC 대부분이 IoT 기기로 밝혀졌다고 전했다.

이는 IoT의 OS가 PC와 흡사하고 일반적으로 PC나 웹서비스의 보안에는 신경쓰지만 IoT 기기의 비밀번호 등은 간단하게 설정하는 등 느슨한 보안 감각이 크게 영향을 준 것으로 판단된다.

김동춘 실장은 유저들이 좀비 PC 감염을 막는 가장 좋은 방법은 백신을 꼭 쓰는 것이라 밝혔으며 윈도우에 기본 탑재된 MS의 '윈도우 디펜더' 또한 여러 개량을 거쳐 좋은 백신임을 강조했다.

국가 기관에서도 악성코드 감염 여부를 확인할 수 있는 툴을 따로 공유하고 있으므로 이를 통해 개인의 PC 관리를 철저히 할 것을 당부했다.

IoT 기기의 경우 현재 이를 해결할 수 있는 방법이 없으므로 초기화가 답일 것 같다는 의견을 보였다.

IoT 기기가 좀비 PC로 사용되면서 게임사 입장에서 이를 차단하는 난이도도 증가했다. 넥슨으로 들어오는 IP는 하나인데 IoT가 감염됐을 경우 이를 블랙 IP로 차단하면 정상적으로 PC에서 게임에 접속하는 화이트 IP까지 같이 차단되는 경우가 있어 이를 필터링하는데 어려움이 있다고 김동춘 실장은 전했다.

디도스 공격 규모와 횟수도 크게 증가
김동춘 실장은 디도스 공격이 2022년에 비해 2023년 공격 시도 횟수는 줄었지만 규모가 점점 증가하고 있다고 밝혔다. 심지어 클라우드 플레어의 발표를 토대로 2024년에는 2023년 대비 디도스 공격의 규모도 커지고 횟수도 증가하면서 위험도가 높아졌음을 경고했다.

디도스 공격을 하는 해커들의 목적에 따라 다르지만 아시아의 경우 대부분 게임과 도박 관련 서비스 쪽에 시도가 높은 것으로 나타났다. 또한 러시아와 우크라이나의 전쟁에서도 디도스 공격이 하나의 전쟁 방식 중 하나로 사용됐다는 점도 눈에 띄었다.

넥슨 또한 365일 1기가 미만의 소규모 공격부터 600기가 이상의 대규모 공격이 진행되고 있다고 그는 밝혔다.

넥슨의 대응
해커들의 디도스 공격을 방어하기 위해 넥슨은 게임 접속까지 단계를 구분하고 각 구간마다 공격을 거르는 다양한 장치를 해둔 상태이다.

먼저 유저가 가장 먼저 게임에 접속을 시도하는 중간 네트워크 단계에서는 인텔리전스 정책을 통해 봇넷과 중국의 악성 사업자 IP 등을 1차 필터링을 진행한다.

이후 애플리케이션 레벨에서 정상적인 브라우저와 클라이언트만 통과할 수 있는 챌린지를 진행하게 된다(우리에게 가장 익숙한 챌린지는 지정된 미션에 맞는 이미지를 클릭하는 캡차 서비스).

이후 서버 네트워크 단계에서는 각 게임마다 유저들이 사용하는 패킷이 어느 정도 정해져 있는데 이를 과도하게 넘어가는 유저를 차단하는 작업을 진행한다. 여기에 또 한번의 챌린지를 통해 사람인지 봇넷인지를 필터링하는 작업을 진행하게 된다.

이 외에도 공격이 들어왔을 때는 게임 서버 및 네트워크의 성능을 확장해 방어하게 된다.

다만 최근에 개발된 게임들은 클라우드 기반으로 제작됐기에 오토 스케일링 기능을 통해 자유롭게 공격에 대응할 수 있게 규모와 성능을 업그레이드 할 수 있지만 서비스 기간이 오래된 게임의 IDC나 레거시 서버의 경우 실제 서버를 늘리는 추가 작업을 진행해야 한다.

이 외에도 넥슨 국가기관과의 협동 대응으로 디도스 공격을 막으려 노력하고 있다.