정부, 친러 해킹그룹에 홍역… '사이버 대피소' 대안될까

"온라인 행정 유지하려면 IP 은닉·접속 차단으론 해결 힘들어"

최근 친러 해킹그룹의 분산 서비스 거부(DDoS·디도스) 공격으로 인해 국내 정부 기관과 민간 홈페이지가 일시 마비된 가운데 디도스 공격에 쓰이는 대규모 트래픽을 대신 받아낸 뒤 분석하는 '사이버 대피소'가 대안으로 논의된다. 사진은 기사 내용과 무관한 이미지. /그래픽=이미지투데이 제공

최근 친러 해킹그룹의 분산 서비스 거부(DDoS·디도스) 공격으로 인해 국내 정부 기관과 민간 홈페이지가 일시 마비됐다. 대국민 온라인 행정에 쓰이는 홈페이지도 있어 아이피(IP)를 은닉하거나 외부 접속을 무작정 차단하는 방식으론 해결이 어려운 상황이다. 디도스 공격에 쓰이는 대규모 트래픽을 대신 받아낸 뒤 분석하는 '사이버 대피소'가 대안으로 논의된다.

13일 보안업계와 외신 등을 종합하면 친러 핵티비스트 집단(코드네임 '노네임057')은 최근 한국 ▲국방부 ▲합동참모본부 ▲환경부 ▲행정안전부 산하 국가정보자원관리원 ▲국민의힘 등 홈페이지에 디도스 공격을 자행했다.

허용량을 넘어서는 트래픽을 공격 대상 IP로 보내 인터넷 속도를 느리게 하는 공격이다. 정보 탈취 등이 발생하는 건 아니지만 피해 홈페이지는 접속이 힘들어진다.

익명의 정부 관계자에 따르면 이들 활동 정황은 텔레그램에서 포착된다. 정치적 목적으로 활동하는 핵티비스트는 텔레그램을 창구로 사이버 공격을 예고하거나 과시한다. 채팅방 주소에 집단을 특정할 수 있는 문구 등이 삽입됐다고 전해진다.

국가안보실은 최근 브리핑을 통해 이들 활동이 러시아-우크라이나 전쟁과도 관련있다고 밝혔다. 우크라이나를 향한 한국의 군사적 지원을 빌미로 친러 단체의 사이버 공격이 기승을 부린다는 분석이다.

디도스 공격자는 주로 악성코드로 통제권이 뺏긴 '좀비PC' 배후에서 공격을 자행한다. 불특정 다수의 좀비PC들은 이후 일제히 반복접속을 시도해 대규모 트래픽을 일으킨다.

별도 분석 장비가 없다면 공격자를 특정하거나 트래픽 패턴을 분석하기 어렵단 의미다. 이 때 대규모 회선 자원과 분석 장비를 갖춘 사이버대피소가 방법이 될 수 있다.

사이버대피소는 대규모 트래픽을 별도 주소로 우회시킨 뒤 분석을 통해 정상 접속만 서비스 홈페이지로 전달하는 개념이다. 한국인터넷진흥원(KISA)의 경우 보안 여력이 안 되는 중소기업에 대피소를 지원하고 있다. 이번에 피해를 입은 국민의힘도 KISA 사이버 대피소에 입주한 상태다.

KISA 관계자는 "디도스 공격 의심 패턴으로는 통신 프르토콜 상 접속 요청만을 일방적으로 반복하거나, 통신 패킷(데이터 블록)을 일부러 꽉 채워 전송하는 경우 등이 있다"며 "대피소는 이런 트래픽을 걸러내는 필터 역할"이라고 말했다. "통신사와 인터넷 서비스 제공자(ISP), 공공 등 다양한 주체가 대피소를 운영하지만 원리는 비슷하다"며 "민·관·군이 공조해 공격 정황을 상시 모니터링하고 공유하는 게 중요하다"고 덧붙였다.

김성아 기자 tjddk99@mt.co.kr