© News1 손형주 기자

지난 6월 말부터 지방은행과 증권사 등 5개 금융사에 디도스(DDoS·분산서비스거부) 공격을 감행하며 한 달 가량 국내 금융사들을 불안에 떨게 한 '유럽발(發) 공격'이 한국을 비켜간 것으로 보인다.

금융보안원은 지난 23일 유럽의 해커 그룹 'DD4BC'에 대해 "보안원의 비상대응센터를 이용해 효과적으로 대응했다"며 사실상 '디도스 종식선언'을 했다. 지난 3일 미래에셋·한국투자증권에 대한 마지막 공격 이후 현재까지 이들에 의한 디도스 공격은 발생하지 않은 것으로 알려졌다.한 차례 태풍은 지나갔지만 국내 금융사는 그 외 디도스 공격에 지속적으로 노출돼 있는 실정이다. 공격이 들어온 후에 대응해야 하는 등 '선제적 대응'이 불가능한 디도스의 특성상 필요한 대비를 하지 못하면 피해를 입을 수 있다.

특히 금융사의 경우 몇 분 가량의 거래 오류만으로도 금전적 손실과 고객 신뢰도 저하 등의 막대한 피해를 입을 수도 있다. 전문가들은 디도스 공격이 들어오기 전에 미리 대비를 하고, 공격이 들어올 경우에는 침착하게 공격 유형을 파악한 후 필요한 대응을 해야 한다고 조언했다.

◇실제 공격을 받았다면…즉시 과부하 재배치·비상대피소 이용해야이번 디도스 공격은 금융사의 전산 시스템에 압도적인 부하를 흘러보내는 'UDP(User Datagram Protocol) 증폭반사' 방식이다. 일반적으로 IP를 가진 프린트 등 전자기기에 '현재 잘 작동하고 있냐'고 묻는 패킷(packet)을 보내면, 해당 기기는 '작동하고 있다'는 응답 패킷을 상대방에게 보낸다.

DD4BC는 이 같은 원리를 이용했다. 전자기기에 작동 여부를 묻는 10바이트(byte) 가량의 패킷을 보내면서, 그 응답을 '내가 아닌 어떤 금융사 홈페이지에 500바이트 가량으로 하라'는 위조된 패킷을 보냈다. 이렇게 반사된 패킷들이 해당 금융사에 밀집해 과도한 부하를 발생시킨 것이다.

이번에 공격을 받은 부산·대구·전북은행과 미래에셋·한국투자증권 등 5개 금융사는 비슷한 규모의 디도스 공격을 받은 것으로 알려졌다. 전북은행이 조금 작은 규모였지만 대부분은 초당 20~25기가바이트(Gbit) 수준으로 같았다.

전문가들은 공격을 받을 경우 해당 디도스가 어떤 유형인지 파악하고, 그 대응 방법을 재빠르게 결정하는 게 필요하다고 조언했다. 그에 따라 ICP(Internet contents provider)의 협조를 신속하게 받고, 들어오는 패킷을 내부 네트워크 중 어느 쪽에 몰아넣을지 결정하는 등 부하를 재배치하는 작업을 해야 한다는 것이다.

지난달 26일 DD4BC의 디도스 공격을 국내에서 처음으로 받은 부산은행 측 관계자는 "공격 직후 네트워크와 정보보호부서에서 인지하고 공격 유형을 파악했다"며 "이후 즉시 ICP의 협조를 요청해 대응했다"고 밝혔다. 당시 부산·대구·전북은행은 한 시간 간격으로 똑같은 디도스 공격을 받았다. 해당 공격으로 대구은행은 15분 가량 온라인 서비스 일부가 지연됐었다.

발생한 과부하를 해당 금융사 외의 다른 기관으로 돌리는 방안도 미리 준비해야 한다. 이와 관련해 금융보안원 내 비상대피소로 과부하를 돌리는 방법이 있다. 과다하게 발생한 트래픽을 넘기면, 대피소는 3가지 필터링을 통해 정상적인 접속으로 발생한 트래픽만 걸러 금융사로 되돌려주는 방식이다.

금융보안원의 이용이 힘들다면 똑같은 서비스를 제공하는 통신사를 통해 대응하는 방법도 있다. 금융사가 해당 서비스를 받겠다고 통신사와 계약하면, 통신사는 디도스 대응장비로 감시하다가 공격시 차단 서비스를 작동해 금융보안원 대피소처럼 정상 트래픽만 금융사로 돌려준다.

현재 금융보안원이 제공하는 서비스에 가입된 금융사는 22곳이며 50개 가량의 금융사는 통신사에서 제공하는 서비스를 이용하고 있는 것으로 알려졌다. 나머지 중소 증권사와 2금융권 대부분은 대피소 서비스를 이용하고 있지 않다. 이번 DD4BC 사태를 계기로 금융보안원 대비소 서비스의 신청이 늘어나고 있는 추세다.

금융권의 한 보안 담당자는 "디도스 대응 장비를 갖추는 것도 필요하지만 정상적인 고객이 접속하는 인입구간에 문제가 없도록 하는 게 가장 중요하다"며 "통신사를 이용하거나 금융보안원과 협조하는 등의 방법을 통해 해결하는 게 좋다"고 설명했다.

© News1 손형주 기자

◇평상시 대비 필요…미사용 UDP 포트 폐쇄·서버 영향도 평가 등

평소부터 준비해야 하는 대응책도 있다. 공격을 받고 있는 급박한 상황에선 불가능하지만, 잘 준비해 놓으면 위급한 상황에서 큰 도움이 되거나 공격이 들어와도 정상적인 온라인 서비스 제공을 할 수 있다.

우선 금융사는 평소에 사용하지 않는 UDP 포트가 있다면 이를 처음부터 차단시켜야 한다. 금융사가 사용하지 않는 포트를 열어놓을 경우, 디도스 공격자들은 해당 경로를 통해 디도스 공격을 감행한다는 것이다.

금융보안원 관계자는 "그런 포트를 굳이 네트워크 장비에 열어놓을 필요가 없다"며 "온라인 서비스 시행 초기에는 대부분 디폴트값(default·초기값)으로 서비스를 개시하는 일이 많기에 미사용 UDP 포트가 막혀있지 않은 경우가 많을 것"이라고 설명했다.

평소에 각 서버에 대한 공격 영향도 평가를 하는 게 필요하다는 조언도 나왔다. 디도스 공격자들이 어떤 서버를 공격할지 모르니, 미리 영향도 평가를 해 놓고 그 결과별로 대응 방안을 각각 마련해야 한다는 것이다.

증권사의 경우에는 홈트레이딩시스템(HTS)·모바일트레이딩시스템(MTS)이 인터넷 홈페이지와 같은 네트워크를 쓰는지 여부를 확인하고, 동일한 네트워크라면 대응책을 마련해야 한다. 해커들은 보통 금융사의 인터넷 홈페이지를 공격 대상으로 삼는데, HTS 등이 연결돼 있다면 이 역시 장애를 일으켜 실질적인 피해를 불러올 수 있기 때문이다.

실제로 지난 3일 디도스 공격을 받은 미래에셋증권은 두 개 라인의 MTS 중 하나가 홈페이지와 같은 네트워크를 사용했던 것으로 알려졌다. 당시 똑같은 공격을 받은 한국투자증권은 HTS·MTS가 분리돼 있어 인터넷 홈페이지만 다운됐다.

반면 미래에셋은 홈페이지에 대한 디도스 공격으로 이와 연결된 한 쪽 MTS까지 영향을 받아 해당 고객들이 주식 거래를 하지 못하는 등 실질적인 피해를 겪었다. 미래에셋은 이번 디도스 사고를 계기로 홈페이지와 연결됐던 MTS를 분리했다.

금융권 보안 관계자는 "악성코드나 알려져 있는 취약점에 대한 디도스 공격 등은 금융사가 잘 대응해서 드러나지 않았을 뿐이지 사실은 부지기수"며 "언제 DD4BC 같은 해커 그룹에 의한 공격이 발생할지 모르는 만큼 할 수 있는 준비는 미리 해야 한다"고 조언했다.


themoon@news1.kr