넥슨은 이렇게 디도스 공격을 막는다
이 글자크기로 변경됩니다.
(예시) 가장 빠른 뉴스가 있고 다양한 정보, 쌍방향 소통이 숨쉬는 다음뉴스를 만나보세요. 다음뉴스는 국내외 주요이슈와 실시간 속보, 문화생활 및 다양한 분야의 뉴스를 입체적으로 전달하고 있습니다.
넥슨도 지속적인 해커들의 공격에 시달리고 있다. 웹 보안, 보안 정책 등 사내 인프라 전반에 걸친 보안을 책임지는 글로벌 보안본부를 통해 지속적인 해커들의 공격을 실시간으로 대응하는 것은 물론, 공격을 분석해 재발을 방지하고, 피해를 최소화시키기 위한 각고의 노력을 아끼지 않고 있다.
27일 한국게임미디어협회 산하 한국게임기자클럽은 넥슨코리아 본사에 방문해 넥슨 글로벌보안본부 김동춘 실장을 만나 최근 발생하는 디도스 공격에 대한 설명과 넥슨의 대응 전략에 대한 설명을 들었다.
김동춘 실장은 "디도스 공격은 공격자가 유리할 수 밖에 없는 기울어진 운동장이다"라며, "방어자는 수많은 네트워크 트래픽 속에서 디도스 공격 트래픽만을 골라서 차단하면서 이용자들의 서비스를 보호해야 하는 과도한 어려움을 겪게 된다"라고 설명했다.
디도스 공격은 다수의 악성 코드에 감염된 봇넷(Botnet, 일종의 해킹된 기기의 집합)을 이용해 대규모 트래픽을 보내거나, 어플리케이션 리소스를 고갈시켜 서비스를 못하도록 하는 행위를 말한다.
디도스 공격은 크게 대역폭 고갈 공격과 어플리케이션 리소스 고갈 공격 2가지로 구분된다. 대역폭 고갈 공격은 특정 네트워크 프로토콜의 특성을 이용해 트래픽을 과도하게 생성해 회선 대역폭을 모두 사용시키는 방식으로, 단순하지만 강력한 효과를 지녔다.
디도스 공격을 막는 방법은 2가지 방식에 각각 대응해야 한다. 대역폭 고갈 공격의 경우 특정 네트워크 프로콜에 따라 트래픽을 조정하고 비정상 패킷을 식별해 차단하는 방식으로 진행된다. 어플리케이션 리소스 고갈 공격은 허용 가능한 세션 수를 초과하는 것을 차단하는 것이 가장 효과적인 방어법이라는 설명이다.
만일 앞선 방법으로도 디도스 공격 방어가 어렵다면, ISP(인터넷 서비스 제공자)에서 특정 트래픽을 전면 차단하는 방법, 이른바 '싱크홀'을 사용할 수도 있다. 다만 특정 서비스가 중단될 가능성이 있기에 '싱크홀'은 최후의 수단이다.
디도스 공격의 핵심은 보내는 트래픽 양에 달렸다는 점에서 이른바 '좀비 PC'라고 부르는 봇넷의 규모에 달렸다. 해커들은 악성코드를 이용해 PC에서 정보를 탈취할 뿐 아니라, 봇넷으로 전환해 해당 PC를 디도스 공격에 사용한다.
최근에는 IOT 기기까지 확장됐다. PC와 달리 항시 켜져 있는 경우가 많을 뿐 아니라 PC와 거의 비슷하게 사용이 가능한 만큼, 오늘날에는 IOT 기기가 봇넷의 가장 큰 확상 대상 중 하나다. 다만 이를 식별할 수 있는 뾰족한 수는 마땅치 않은 상황이다.
대표적으로 해커들이 디도스 공격에 사용하는 봇넷인 미라이(Mirai)는 오픈소스로 공개돼 있어 일반인마저도 사용이 가능하다. 미라이 봇넷은 초당 1.2Tbps 규모의 공격이 가능하며, 이를 버틸 수 있는 서비스는 없다는 설명이다. 나아가 특정 지역에 국한된 것이 아닌 전 세계에 퍼져있기 때문에 글로벌 서비스를 진행하는 게임사에서는 막기가 어렵다.
김동춘 실장은 "봇넷에서 활성화된 봇의 수를 추정했을 때 최소 3만 대에서 30만 대에 이를 것으로 예상되고 있다"라며, "단순히 동시접속자로 환산해도 30만 명에 달하며, 단순히 1개의 세션만 생성해도 30만 개가 된다. 이를 감당 가능한 서비스는 거의 없다"라고 강조했다.
전 세계적으로 해커들의 공격 분야가 다르지만 아시아권에서는 게임 분야에 대한 해커들의 공격 빈도가 가장 높은 것으로 조사됐다. 글로벌 디도스 공격을 가장 많이 받는 분야도 역시 게임산업이다.
넥슨도 해커들의 디도스 공격을 끊임없이 받고 있다. 이를 방어하기 위해 넥슨은 중간 네트워크 구간, 서버 네트워크 구간, 게임 서버 구간 총 3가지에 다른 방어 전략을 사용해 디도스 공격을 막아내고 있다.
중간 네트워크 구간에서는 임계치를 걸어 1차적으로 차단을 하고, 봇넷 여부를 식별하는 봇 챌린지를 통해 필터링하는 과정을 거친다. 필터링에는 사람에게 직접 체크를 요청하는 방식과 브라우저에서 자동으로 진행되는 2개의 방법이 모두 사용된다.
만일 게임 서버까지 디도스 공격이 진행된 경우에는 빠르게 서버를 늘리게 된다. 다만 서버를 무작정 늘리는데는 비용의 한계가 있다. 클라우드로 서비스되는 게임의 경우에는 대응이 용이하지만, 출시가 오래된 게임들에는 적용이 어렵다. 이때에는 앞서 언급한 최종 방안인 '싱크홀'을 진행할 수도 있다.
김동춘 실장은 "감행되는 공격의 규모를 알고 있다면 해당 수준에 맞게 보안을 강화하겠지만, 언제 대규모 공격이 진행될 지 모른다는 점에서 방어자는 보안 투자에 대한 딜레마를 겪게 된다"라며, "오늘날 공격 비용 대비 보안 서비스 비용이 높기 때문에 방어자는 손해를 볼 수 밖에 없는 구조"라고 설명했다.
나아가 "봇넷 및 악성코드 감염 여부를 확인하기 위해서는 백신이 효과적인 방안"이라며, "윈도우에서 제공되는 윈도우 디펜더의 성능도 나쁘지 않다. IOT 기기의 경우 감염이 의심된다면 초기화시키는 편이 가장 효과적이다"라고 강조했다.
이학범 기자 (ethic95@dailygame.co.kr)
Copyright © 데일리e스포츠. 무단전재 및 재배포 금지.