[NDC2013] DDoS 공격, 철저한 대비로 방어할 수 있다

최근 DDoS 공격으로 대표되는 서버 보안에 대한 이슈가 화제가 되고 있는 가운데 DDoS 공격에 대한 다양한 사례를 소개하는 강연이 넥슨 개발자 컨퍼런스2013(이하 NDC2013)에서 진행됐다.

넥슨의 북미 스튜디오 넥슨 아메리카의 보안 서버담당 강병탁 매니저의 설명으로 진행된 이번 강연에서는 북미에서 일어나는 DDoS 공격 사례와 이에 따른 대응 방법 등 DDoS 공격에 대응하기 위한 자세한 이야기를 들을 수 있었다.

강병탁 매니저는 보안이 큰 이슈가 되고 있지만 실제 이에 대한 정보를 획득하기 어려운 것이 사실이며, 보안 컨퍼런스에 방문해 보아도 제품 판매위주의 세션이 진행되고 게임보다는 웹 관련 이슈를 다루는 경우가 많아 대다수의 개발자들이 서버 보안에 대한 고민이 크다고 말했다.

더불어 그는 DDoS 공격으로 대표되는 서버 공격에 효과적으로 대체하기 위해서는 서버의 구성과 현재 서버성황에 대한 세부적인 파악이 중요하며, 가장 필요한 것은 현재 게임 회사가 가진 인프라에 대한 정확한 이해와 구간별 모니터링, 해커의 공격방법에 대한 정확한 분석이 동반돼야 한다고 강조했다. 단순히 좋은 장비를 구입하기보다는 현재 상황에 대한 정확한 확인이 필요한 것이 중요하다는 것이다.

이어서 대부분의 서버는 크게 인터넷-라우터-방화벽-서버(공적)-서버(내부) 등으로 이루어져 있으며, DDoS 공격에 대응 하려면 공격 수단을 정확히 알아야 한다고 지적했다. 서버공격 방식은 방화벽을 완전히 무력화 시키는 경우, 라우터에 부하를 강하게 주는 경우, DB커넥션에 부하를 주는 경우, 어플리케이션 즉 실행 파일을 무력화시키는 경우가 있으며, 이러한 공격방식을 확인하지 않고 어설픈 대응을 한다면 불필요한 비용과 시간만 낭비하는 결과를 초래할 수 있다고 설명했다.

강병탁 매니저는 이에 대한 해결방안으로 구간별 과부화 상황을 확인하는 모니터시스템을 꼽았다. 각 부분별 단계에 대한 모니터링을 실시간으로 확인해야 하고, 만약 DDoS 공격이 발생한다면 어느 부분에서 과부화 혹은 서비스 오류가 나타나는지 정확하게 분석하고 이에 대한 대응을 해나가야 한다는 점을 강조했다.

아울러 그는 서버 보안을 위해서는 정확한 서버 현황 파악과 빠른 대처 역시 중요하지만 각 부처간의 긴밀한 협조 없이는 이 모든 것이 무용지물이 될 수 있다고 전했다. 만약 보안 팀과 서비스 팀 등 내부의 부서들이 긴밀한 협조를 하지 않고 서로 책임을 미루는 일이 벌어진다면 많은 피해가 발생하기도 하며, 보안에 대한 이슈를 일정 부처가 독점할 경우 복합적인 DDoS 공격에 매우 취약해 질 수 도 있다는 것이다.

이어서 그는 DDoS 공격에 대한 다양한 방어적에 대한 방법을 소개했다. 게임 회사는 평소 패킷 캡처 툴을 이용해 IP별 포트를 일일히 체크하는 방법 등을 통해 포트를 통해 서버에 접속하는 포트를 정리해야 하며, 이를 통해 대역폭 공격이 시작됐을 때 이에 대한 문제점을 빠르고 쉽게 파악할 수 있다고 말했다.

더불어 많이 알려진 서버 공격방법은 대부분이 방화벽에 막히는 경우가 많기 때문에 이에 대한 과민반응을 할 필요는 없으며, DDoS 공격 툴을 직접 서버에 침투시켜 대응훈련을 하여 이에 따른 서버와 장비 상황을 체크하는 것이 필요하다고 강조했다.

마지막으로 가장 중요한 것은 전문적인 해커가 아닌 일반인이 시도하는 해킹 툴에 당하지 않도록 주의를 기울여야 하며, 한번 서버가 뚫렸다는 소문이 퍼질 경우 너도나도 서버 해킹을 시도해 보려고 하기 때문이라고 설명해 좌중을 웃음바다로 만들기도 했다.

강연을 마치며 NDC2012에 참석할 수 있어 매우 좋다고 소감을 밝힌 강병탁 매니저는 “DDoS 공격 등의 서버 공격을 막는 가장 중요한 것은 명확한 판단이 필요하다”라며, “만약 해킹 공격을 박았을 경우 DDoS 공격인지 아니면 단순한 서버다운인지 빠르게 판단하는 것이 중요하다”고 말했다.