최근 매주 금요일마다 금융권 분산서비스거부(DDoS) 공격이 반복되고 있다. 동일한 해커는 지난 2주간 금요일마다 금융사를 공격했으나 목적을 달성하지 못했다. 타 산업 분야로 공격 대상을 전환할 가능성도 있다. 금융사는 금요일을 ‘다크 프라이데이’라고 부른다. 금융보안원을 비롯한 관계기관이 DDoS 공격 긴급 대응체계를 유지하며 사태에 대비하고 있다.

지난 6월 26일 처음 대구은행 등 지방은행 세 곳이 DDoS 공격과 협박을 받았다. 7월 3일에는 증권사가 목표물이 됐다. 그동안 공격 패턴을 고려하면 10일 3차 공격이 예상된다.

◇금융권 공격 불발, 타 분야로 목표 전환할 수도

연이어 국내 금융권을 공격한 해커는 ‘DD4BC’다. ‘DD4BC’는 두 차례 금융권 공격에서 별 소득을 얻지 못했다. 금융권과 금융보안원, 한국인터넷진흥원 공동 대처로 큰 장애는 발생하지 않았다. ‘DD4BC’는 비트코인을 요구하면서 협박했지만 성과는 없었다.

콘텐츠 전송 네트워크(CDN) 기업 아카마이 분석에 따르면 ‘DD4BC’는 최근 금융권 외에 △지불결제 △도박 △석유&가스 △전자상거래 △첨단기술 컨설팅·서비스 기업까지 공격 대상을 확대했다.

‘DD4BC’는 1차 공격 후 해당 웹서비스에 나온 홈페이지 관리자 이메일로 협박문을 보냈다. 자신의 정체를 밝히고 비트코인을 요구했다. 요구사항을 들어주지 않으면 1차 때보다 강도 높은 공격을 할 것이라며 협박했다. 노골적으로 비트코인을 구매하는 방법과 시세까지 알려줬다.

◇주로 증폭 DDoS 공격 감행

‘DD4BC’는 좀비PC를 활용하기보다 각종 프로토콜 취약점을 주로 악용한다. 최근 가장 많이 동원된 방법이 SSDP 취약점 공격이다. 이 프로토콜은 기기가 네트워크에 연결된 다른 기기를 찾고 통신할 수 있게 허용한다. 공격자는 SSDP 취약점을 이용해 시스템에 지속적으로 패킷을 보낸다. 이런 공격은 손쉽게 50기가바이트(GB) 이상 트래픽을 발생시킨다.

사물인터넷(IoT) 기기가 SSDP 공격에 활용된다. 무선공유기나 IP카메라 등을 사용하는 일반인은 스스로 보안 취약점을 찾아 패치하는 데 능숙하지 않다. 이점에 착안해 해커는 이들을 제물로 삼았다. SSDP 증폭 공격은 IP 추적도 쉽지 않고 기존 DDoS 장비에서 대응도 어렵다.

이국희 아카마이코리아 이사는 “공격자가 서비스형소프트웨어(SaaS)로 DDoS 공격 서비스를 대행하는 형태로 발전하고 있다”며 “돈만 주면 원하는 목표 인터넷 서비스에 장애를 일으킬 수도 있다”고 설명했다.

◇DDoS 공격은 증가 추세

DDoS 공격이 돈벌이 수단으로 악용되며 피해는 더욱 커졌다. 올해 세계 1분기 DDoS 공격은 사상 최고치에 달했다. 아카마이는 작년 동기 대비 두 배 이상 증가했다고 밝혔다. 공격시간도 42% 늘었다. 100Gbps를 초과하는 대형 공격은 8차례 발생했다. 대규모 공격은 1년 전에는 거의 목격되지 않았다. 1분기 관측된 최대 디도스 공격은 170Gbps에 달했다.

한국에서 발생한 공격도 전체 6.23%로 공격 발생 국가 순위 7위를 차지했다. 중국(23.45%)이 1위, 독일(17.39%), 미국(12.18%), 이탈리아(8.38%), 스페인(7.29%), 인도(6.93%) 순이다.

DDoS 공격이 발생하면 금융보안원이나 한국인터넷진흥원 대응센터, 전문 업체에 협조를 요청해 함께 대책을 강구해야 피해를 줄일 수 있다.

김인순기자 insoon@etnews.com