[현장] 게임에 대한 DDoS 공격, “기울어진 운동장이지만, 적극 대응 중” < 취재 < 게임 < 기사본문

올해들어 ‘리그 오브 레전드’와 관련해 유저들과 인플루언서, e스포츠 선수들은 물론 LCK 리그에 대한 무차별 디도스(DDoS) 공격이 이뤄졌다. 그러면서 디도스 공격은 자연스럽게 게임계의 화두가 되었고, 라이엇게임즈가 대응을 하겠다는 입장을 밝히고 있다.

사실 디도스 공격은 게임업계에 있어 계속되고 있는 이슈다. 게임 서비스에 문제를 일으켜 자신의 능력을 뽐내고, 여기에 더해 돈을 요구하는 해커들의 공격은 과거부터 끊임없이 진행되어 왔다.

그렇다면 디도스 공격의 정체는 무엇이고, 게임사는 어떻게 대응하고 있을까? 이 궁금증을 해결하기 위해 한국게임미디어협회 산하 한국게임기자클럽은 넥슨코리아 글로벌보안본부 김동춘 실장을 만나 이야기를 들어봤다.

참고로 넥슨 글로벌보안본부는 게임 해킹툴을 제외하고 나머지 인프라나 디도스 웹해킹, 내부 보안 등 보안 전체를 담당하는 부서다. 24시간 365일 구동되는 부서이며, 실시간 공격 대응과 분석, 재발방지 및 피해 최소화에 노력하는 부서다.

■ 2가지의 디도스 공격 방법, 해커들은 함께 쓴다

디도스 공격은 다수의 클라이언트나 PC를 이용해 네트워크 회선에 대규모 트래픽을 보내거나 리소스를 고갈시켜, 서비스를 멈추게 하는 것이 목적으로 한다. 여기에는 크게 2가지 방법이 있는데, 대역폭 고갈 공격과 어플리케이션 리소스 고갈 공격이다. 먼저 대역폭 고갈 공격은 회선을 공격 트래픽으로 채워 서비스를 방해하는 방법이다. 속된 말로 무식한 방법이지만 아주 효과가 좋다고 한다.

그리고 어플리케이션 리소스 고갈 공격은 서버 세션이나 유저 입장 한계치를 넘겨 시도하는 것이다. 특정 사이트에 많은 사람이 접속하게 하는 것을 말하는데, 시스템 입장에서 접속이 동시에 몰리는 것과 디도스 공격을 구분하기 힘들다고 한다. 그래서 막기가 아주 힘들고, 공격자가 우위를 점하고 있는 구조다. 해커들은 이 두 가지 방식을 혼합해서 사용한다고 한다. 그것이 효과적이기 때문이라는 것.

그렇다면 기업 입장에서 이 공격을 어떻게 막을까? 먼저 대역폭 고갈 공격의 경우 특정 프로토콜을 파악해 패킷 단위를 드랍시키는 방법이 있다. 하나의 IP나 PC에서 초과되는 데이터를 보내도 차단시키고, 특정 숫자 이후의 패킷도 차단시키는 방법도 있다.

최상위 ISP에서 특정 트래픽을 돌려서 가지 못하게 하는 방법도 있지만, 그렇게 되면 특정 서비스가 중단될 수 있기 때문에 최후의 수단으로 남겨둔다고 한다. 어플리케이션 리소스 고갈 공격의 경우에는 허용 가능한 세션수를 넘어가는 것들을 차단한다. 이것이 기본이면서 효과적인 방법이라고 한다.

디도스 공격은 해커가 명령 서버에서 지시를 내리고, 대량의 감염된 좀비 PC를 통해 이뤄진다. 좀비를 얼마나 확보하느냐가 공격의 핵심이다. 그리고 좀비가 모여 있는 집단을 ‘봇넷’(BotNet)이라고 하며, 그 규모는 어마어마하다. 가장 유명한 미라이 봇넷의 경우 100여개 이상의 해커 그룹에서 사용 중이다 오픈소스로 공개되어 있어서 많이 쓰인다고 한다.

무엇보다, 요즘 봇넷은 IOT 기기로 확장되었다. PC와 달리 24시간 켜져있고, OS가 PC와 비슷한 만큼 좀비 PC 확산에 큰 비중을 차지하고 있다고 한다. 하지만 방어자 입장에서는 이를 식별하기는 어렵다.

미라이 봇넷은 초당 1.2Tbps의 규모로 공격하며, 이것을 그냥 버티는 서비스는 없다고 한다. 그리고 이 봇넷은 특정 지역에 몰려있지 않고, 세계에 퍼져있다. 그래서 글로벌 서비스를 하는 업체 입장에선 막기가 어렵다고 한다. 주로 보안업체가 추적하는데, 활성화된 봇넷이 3~30만 정도로 파악하고 있으며, 이를 감당할 수 있는 곳은 거의 없다.

초당 5.8Tbps까지 대규모 공격이 가능한 해커도 있으며, 요즘 해커들은 대규모 봇넷을 구독형 서비스로 제공하고 있다. 해커들도 사업자인 만큼 하나의 산업의 형태로 움직이고 있다는 것이다. 그래서 목적에 따라 상품을 다양화시키고 코인으로 비용을 받는다. 디도스 공격이 몇 분의 공격이라도 큰 효과를 거두기 때문이다.

해커들은 디도스 방어를 무력화한다며 광고하고, 먹튀가 아닌 신뢰성있는 서비스를 강조하고 있으며, 구매 전 샘플 서비스까지 제공한다고 한다. 특히 해커들이 게임사를 상대로 소규모의 공격을 한 뒤, 더 공격하지 않을테니 금전을 요구하는 경우도 있다고 한다.

2023년 기준으로 해커들의 공격 현황을 보면, 공격 횟수는 2022년 대비 줄었지만, 공격 규모는 커지고 있다고 한다. 특히 올해는 횟수와 공격량도 함께 증가하고 있는 추세라고 한다. 단일 피해자에게 2Tbps로 공격하는 경우도 있고, 초당 5천만에서 2억 개 요청을 서버에 전송하며 공격을 하고 있는 상황이다.

지역별로 보면 아시아는 게임 분야, 유럽과 아프리카는 IT와 인터넷, 호주는 통신사, 미국은 마케팅과 광고 분야에 대해 해커들의 공격 빈도가 높다고 한다. 그리고 가장 공격을 많이 받는 산업은 게임이며, 2가지 공격을 모두 사용하며 게임 서버 및 웹서버를 함께 공격하고 있다. 규모는 1Gbps 미만부터 600Gbps 이상까지 지속적으로 진행되고 있다고 한다.

■ 3단계로 구성된 넥슨의 디도스 공격 대응

넥슨을 대상으로 한 해커들의 디도스 공격은 매일 발생하고, 게임별로 이뤄진다고 한다. 그 규모도 1Gbps 미만부터 30Gbps 이상까지 다양하다. 이를 위해 넥슨에서는 유저가 게임에 접속할 때까지 각 구간의 전략을 다르게 하고 있다고 한다. 유저가 ISP를 거쳐 올 때 중간 네트워크 구간과 서버 네트워크 구간, 게임서버 등 총 3개의 구간을 거치게 된다.

중간 네트워크 구간에서는 러프하게 임계치를 걸어 차단하고, 좀비 PC 서비스의 IP 및 VPN 여부를 식별해 필터링을 한다. 여기에는 접속이 정상인지 아닌지를 식별하는 ‘봇 챌린지’라는 과정을 거친다. 2가지 방식으로 사람에게 직접 체크를 요청하거나, 유저가 인지하지 못하게 브라우저에서 구동하는 방법을 동시에 사용하고 있다.

이를 지나 서버 네트워크까지 오게 되는데, 내부에서는 서비스 단위로 받을 수 있는 임계치를 학습한 상태라고 한다. 그래서 일정치 이상으로 들어오는 유저를 식별해 차단시킨다. 서버 한계치 이상의 트래픽도 차단한다. 이것이 상세 트래픽 정책이다. 그리고 네트워크 단위에서 다시 한 번 필터링을 한다.

이렇게 해도 게임 서버까지 들어올 수 있는데, 이때는 긴급 조치를 통해 서버나 네트워크를 확장하면 된다. 하지만 비용 문제가 있다. 클라우드에서는 부족한 리소스를 자동 확장할 수 있다. 그래서 클라우드로 서비스되는 게임은 대응이 쉽다. 하지만 예전에 출시된 게임은 이 방법을 쓰지 못한다고 한다. 그럴 경우 상황에 따라 ISP나 국가 기관과 협력해 차단을 할 수도 있다. 국내 IP면 사업자나 기관이 대응을 할 수 있다.

김 실장은 “대응 방법이 알려지면 해커들의 타겟이 될 수 있기에 업체들은 보통 공개하지 않는다. 그래서 디도스는 공격자가 유리할 수밖에 없는 ‘기울어진 운동장’이다. 또 IOT로 공격하는 IP를 막았을 때, 내부의 일반 PC의 접속까지 차단된다. 그러다 보니 한계가 있을 수 밖에 없다”여 어려움을 토로했다.

그리고 해커가 회사보다 개인을 공격하는 것이 더 힘들며, 그 이유는 IP 확인이 어렵기 때문이다. 그런 부분에서 스트리머가 공격을 당하는 경우 외부 공격이 아닌 내부에서 감염되어 IP가 전달됐을 가능성이 크다고 지적했다.

또한 디도스 공격으로 최근 화제가 된 게임에 적용된 보안 프로그램은 치팅을 막기 위한 솔루션이기에 디도스와 관련이 없고, 목적 자체가 다르기에 효과는 없을 것이라고 언급했다. API를 오픈하는 것도 디도스 공격과는 관련이 없다고 선을 그었다.

기업에 해킹이나 디도스 공격으로 인한 피해가 발생할 경우, 국가 신고 기준에 따라 한국인터넷진흥원(KISA)에 신고를 의무적으로 하게 되어 있다. 그리고 공격자 관련 자료를 제출하는데, 국내 IP면 차단하고, 경찰이 공격자를 추적하는 경우도 있다고 한다.

하지만 보안에 대응하는 장비나 서비스의 단가가 상당히 높기 때문에 이 비용이 서비스 수익을 넘어설 순 없고, 가끔 공격이 올 경우 기업 입장에서는 비용 추가에 대한 딜레마가 있다고 한다.

좀비 PC의 감염 여부 확인 및 치료법에 대해 김 실장은 백신을 꼭 쓸 것을 강조했다. 윈도우에서 기본 제공되는 디펜더는 충분히 믿을 만 하며, 또한 IOT 기기가 해커에 노출되는 가장 큰 원인은 아이디와 패스워드를 쉽게 하는 것이라고 지적했다. IOT 기기가 감염되면 초기화할 것을 당부했다. 특정 국가에서 생산된 기기는 칩셋이 감염된 경우도 있으니 쓰지 않는 것을 권장했다.