월요일, 7월 13, 2009

DDoS 공격과 대응

새삼스럽게 DDoS공격 피해로 인터넷이 들끓고 있다. 그런데 문제는 이러한 문제에 대해서 알고 있었음에도 불구하고 마땅한 대책이 없다는데 있다.

원래 통신이라는 것은 안되면 난리가 나지 않은가? 그런 의미에서 기존 전화망인 PSTN은 엄청나게 안정적인 망이다. 정전은 되더라도 전화는 되지 않았던가 말이다. 전화 통신회사에서는 이러한 이유로 장애에 대해 엄청나게 민감하다. 통신회사에서 가장 두려워하는 장애는 바로 호 폭주다. 왜냐하면 대책이 없기 때문이다. 대책이 없을 뿐더러 누구도 결과를 예측할 수 없다.

인터넷은 그 태생 자체가 불안정하다. 애초에 가정 부터 불안한 망을 전제로 했기 때문에 그 누구도 품질을 보장하지 못한다. '최대한 노력은 한다'는 아주 무책임한 방식을 적용했기 때문에 그것을 수용하던지 아니면 별도로 대책을 세워야 한다. 철저하게 제어가 되는 PSTN도 막지 못하는 폭주를 이런 태생을 안고 있는 인터넷이 막을 수 있을 리가 없다.

그러면 대책은 정말 없을까? 대책이 없다기 보다는 그 대책이 과연 인터넷에 사용할 수 있느냐와 그러한 방법을 적용함으로써 잃는 것이 무엇인지가 더 논의 대상이 되어야 한다.

DoS(Denial of Service)공격은 서비스를 할 수 없도록 만드는 공격이다. 예를 들어 맥도널드 같은 패스트푸드점에 줄을 길게 늘어서서 아무 것도 사지 않고 가격만 물어보고 나오면 실제로 맥도널드에서 햄버거를 사려던 사람은 포기 할 것이다. 일반적인 사람은 이런 짓을 체계적으로 할 리가 없으므로 대책을 세울 필요도 없지만, 만약 이런 짓을 진짜로 한다고 하더라도 줄 서있는 사람들의 뒷조사를 해 보면 대략 배후가 밝혀질 것이기 때문에 문제가 없다. 하지만 인터넷에서 떠돌고 있는 '패킷'들이라면 이야기가 다르다 패킷은 인성이 없기 때문에 목적지로 갈 뿐이다. 패킷을 전달하는데 들어가는 비용도 없다.

사람들이 맥도널드에서 줄을 서서 서비스 방해를 한다고 해도 각 개개인들의 시간과 노력이 들어가기 때문에 그런 정도의 사람을 끌어모으기도 힘들고 각자 의식을 가지고 있기 때문에 자신이 손해보는 짓은 하지 않을 것이다.

대책이라면 이런 대책이 있을 수 있다: 패킷에게 딱지를 붙이고 패킷이 사용하는 자원에 대해 패킷 발행자에게 비용을 물리게 하는 것이다. 소위 말하는 인터넷 종량제가 되는 것이고 개인들은 이런 피해를 막기 위해 자발적인 노력을 할 것이다. 기술적으로는 더 이상 TCP/IP가 아닐 수 있다. 기존 인터넷 망에서 패킷에 (개인의 결제가 가능할 정도의 신뢰도 있는) 딱지를 붙인다는 것은 어불성설이기 때문이다.

또 다른 대책도 있다. 극단적으로 PC의 능력을 줄여버리는 것이다. PC는 단지 보여 주기 위한 부분만을 가지고 있고 소프트웨어 설치는 없다. 필요하다면 간간히 극도의 보안상태가 유지되는 환경에서 펌웨어 업그레이드만 제공된다. 이 경우 소위 말하는 바이러스는 침투여지가 적어진다. 또한 좀비가 되어 공격할 수 있을 정도의 스크립트 실행 권한 자체를 없애버리므로 DDoS의 숙주가 될 가능성도 없어진다는 개념이다.

개인적으로는 둘 다 꽤 괜찮은 방법이라고 생각하고 있다. 종량제에 대해 극도로 혐오감을 가진 사람에게는 혹시나 한 마디 물어보고 싶다. 문자 메시지가 건당 30원을 하는데(싸게 하더라도 10원 수준), 혹시나 인터넷과 용량/시스템구축비용/안정성 등에서 데이터 전달에 대해 나은게 무엇인지 묻고 싶다. 우리 모두 문자를 보냈다고 하는데 못받은 기억과 더불어 한 시간 전(심지어는 하루 전)에 온 문자를 받는 기억도 있지 않은가?

두 번째 대책은 OS파트를 극도로 얇게 가져가고 presentation레이어를 높이는 Android나 크롬OS를 내 놓는다면 현실성이 없지는 않다.

댓글 없음: