"노릴 이유 없는데"…타깃은 따로 있었다? LG유플 디도스 '미스터리'

머니투데이 황국상 기자 2023.01.31 06:05
글자크기

전문가들 "ISP 기업 백본망 장애 발생한 것은 극히 이례적"
2014년 SK브로드밴드 DDOS 공격과 유사, 다른 타깃 공격 과정에서의 사고 가능성도

서울 용산구 LG유플러스 본사 모습. 2020.8.24/뉴스1  서울 용산구 LG유플러스 본사 모습. 2020.8.24/뉴스1


"ISP(인터넷 서비스 업자)에 대한 디도스(DDOS, 분산서비스 거부) 공격은 성공하기 어렵고 실익도 없다. LG유플러스가 아닌 다른 대상을 노린 공격을 진행하던 과정에서 생긴 장애였을 가능성이 있다."



지난 29일 LG유플러스 (9,970원 ▼80 -0.80%)에서 발생한 두 차례 디도스 공격에 대해 전문가들은 의구심을 표한다. 일반 기업의 홈페이지나 서비스에 대량 트래픽 공격이 가해져 서비스가 먹통이 되는 경우는 종종있다. 그런데 LG유플러스와 같은 ISP(인터넷 서비스 업자)의 기간망을 대상으로 디도스 공격을 벌여 장애를 일으킨 것은 극히 이례적이어서다.

앞서 LG유플러스에서는 지난 29일 새벽 2시56분부터 3시15분까지 19분간 유선 인터넷 접속 장애가 발생한 데 이어 같은 날 오후 5시58분부터 6시20분까지 22분간 또 다시 유선 인터넷 장애가 발생했다. LG유플러스 관계자는 "대규모 트래픽으로 유선 인터넷 장애가 발생했기에 디도스 공격이 있었던 것으로 추정된다"고 설명했다.



"이상 트래픽은 즉각 차단해 디도스 실익 없는데 왜?"
디도스 공격은 대상 서버나 네트워크 장비가 감당하지 못할 수준의 대규모 인터넷 트래픽을 일으켜 서버·장비를 먹통으로 만드는 방식의 공격이다. 대개 공격자는 대상 서버·네트워크 장비를 공격하기 전 불특정 다수가 보유한 PC나 네트워크 장비를 감염시켜 '봇' 또는 '좀비'로 만든 후 이들이 만들어낸 '봇넷'이 동시다발적으로 공격에 나선다. 최근에는 개인 PC에 비해 보안성이 더 취약한 IoT(사물인터넷) 장비들이 봇으로 많이 활용된다.

한 보안업계 관계자는 "특정 기업의 사이트나 서비스 일부가 아니라 LG유플러스 인터넷망 전반에 영향이 있었다"며 "디도스로 ISP 기업의 백본망(Backbone망, 대규모 기간망)에 장애가 발생했다는 자체가 매우 이례적"이라고 했다.

일반 기업들의 경우 대량의 트래픽이 IT장비에 부하를 가중시킬 때 트래픽을 분산하는 등 조치를 통해 대응하는 반면 ISP들은 망 장애 예방을 최우선시해, 이상 트래픽이라고 판단되면 즉각 트래픽을 차단하는 방식으로 대응한다. 이 때문에 ISP를 대상으로 한 디도스 공격은 성공하기가 어려울 뿐 아니라 공격 시도 자체가 매우 어렵다.


"다른 타깃 공격한 여파 였을 수도"
이 때문에 배경을 놓고 다양한 추정이 나온다. 가장 먼저 다른 타깃 공격설이다. 한 보안 전문가는 "2014년 공격자가 다른 대상을 공격하기 위해 일으킨 대량의 트래픽으로 인해 SK브로드밴드 DNS(도메인네임시스템) 서버에 부하가 걸려서 SK브로드밴드 인터넷망이 먹통이 된 사례가 있다"며 "이번 LG유플러스의 사고도 LG유플러스를 직접 타깃으로 한 공격이라기보다 다른 타깃을 대상으로 한 공격의 여파였을 수 있다"고 분석했다.

이 전문가는 "만약 LG유플러스를 직접 타깃으로 했다면 적은 양의 트래픽만으로 네트워크 리소스(자원)를 장시간 소진시키는 방식의 슬로우로리스(Slowloris) 디도스 등 기법이 활용됐을 수 있다"며 "기존 디도스 방어 시스템은 365일 24시간 트래픽을 감지해 일정 수준 이상 트래픽이 늘어나면 즉각 차단하도록 하지만 슬로우로리스 공격에는 속수무책일 수 있다"고 했다.

또 다른 전문가는 "인터넷 서비스는 ISP사업자와 개별 이용자를 연결하는 과정에 수많은 단계들이 있고 이들 단계 중 상당 부분이 외부에 노출돼 있다"며 "디도스 방어가 잘 안돼 있는 중간단계를 노려 공격을 가했을 가능성도 있다"고 추정했다.

한편 과학기술정보통신부와 KISA(한국인터넷진흥원)는 30일 오전 서울 상암동에 있는 LG유플러스의 IDC(인터넷데이터센터)를 방문해 현장조사에 들어갔다. 이와 별도로 LG유플러스는 이달 초 발생한 18만여명의 개인정보 유출사고와 관련한 조사도 받고 있다.

과기정통부 관계자는 머니투데이와의 통화에서 "LG유플러스와 같은 기간통신사업자에서 한달새 3차례나 사고가 발생했다는 점은 납득하기 어렵다"며 "대응 체계에서 취약한 점이 있는지, 평소 사고대응 훈련이 잘 안된건지 등을 살펴보고 필요시 시정조치 등을 요구할 예정"이라고 했다.
TOP