DDoS 공격의 발전 추세
DDoS는 2000년대 초반 현실화 되기 시작한 이후로 급속히 발전해 오고 있다. 2002년 중반 윈도우 운영체제에서 악성bot (malicious BOT)이 발생하기 시작하면서 봇넷을 이용한 DDoS 공격들이 다양한 방법을 도입하면서 발전하고 있다. 최근 5년이내에는 IoT 장치들이 사회에 다양한 모습으로 도입되기 시작했고, 이에 따라 봇넷들이 이러한 IoT 장치들을 점령하기 시작하였다.
이들 봇넷으로 인하여 발생하는 DDoS 공격은 초기에 트로이전을 수동으로 감염시켜 발생시키던 때에는 수백Mbps 정도였으나 봇넷이 대형화, 조직화되기 시작한 2002년 이후에는 수Gbps의 DDoS 공격이 수시로 발생하였고, 최근 발생한 2016년 Dyn에 대한 DDoS 공격시 1.2T의 공격트래픽이 발생했다고 보고되기도 했다[1]
이렇게 DDoS에 의한 피해가 현실화 되면서 보안전문기관과 네트워크서비스회사 (ISP)들에서는 이러한 DDoS 공격에 어떻게 대응할 것인지가 큰 목표가 되었다.[2] 이에 따라 네트워크 장비제조사에서는 네트워크 인입단에 DDoS 트래픽을 걸러주는 장비를 제공하기도 하였고, ISP 역시 공격으로 의심되는 트래픽들을 우회시키는 방법을 사용해 사용자들을 보호하는 서비스를 제공해 주기도 하였다. 그러나 DDoS 트래픽이 서비스를 제공하는 서버가 연동된 네트워크 회선의 대역폭을 상회하는 경우 대부분 공격자의 의도는 성공하게 되며, 최근들어 발생하는 DDoS의 공격 볼륨은 공격에 효과적으로 대응하기 힘든 상태에 이르렀다.
EOS 체계와 DDoS
BitCoin이나 이더리움과 같은 블록체인은 Block을 생성해 내는 노드들이 제한되지 않아서 상당히 많은 수의 노드들이 DDoS 공격을 받아 서비스를 제공해 주지 못하더라도 이로 인한 영향은 상당히 제한된다.
그러나 제한된 수의 BP로 구성되는 EOS는 DDoS 공격에 대해 더 취약할 수 있다. 즉, EOS는 블록생산에 관여하는 BP의 수가 21개로 한정되며, 이에 따라 최근 발생했던 organized 공격이 일정 수 (1/2~2/3)의 BP들에게 가해진다면 voting 등 일정 수 이상의 BP가 컨센서스를 이루어야 할 때 문제가 발생할 수 있다.
EOS 생태계에서 DDoS 대응을 위한 거버넌스 체계의 필요성
EOS BP 보안 거버넌스 구축을 위한 제안
- 보안이벤트 커뮤니케이션을 위한 BP간 커뮤니케이션 채널 구축
- 심각한 보안 공격 공동대응 위한 커멘드 센터 구축
- 국가별 침해사고 대응기관 (CSIRT)과 협력
위에서 간단하게 설명한 것과 같이 최근의 사이버 공격이 금전적 이익을 추구하고 있기 때문에 암호화폐를 다루는 EOS BP 네트워크는 DDoS의 공격 대상이 될 가능성이 높다.
DDoS가 발생할 경우를 예측해 보면 다음과 같은 시나리오들이 있을 수 있겠다.
- 특정 BP에 대한 DDoS 공격으로 해당 BP를 갈취하거나 신뢰성을 떨어뜨려 BP 지위를 잃게 만듦
- 동시에 다수의 BP가 공격당해 EOS 체계가 정상적인 voting을 하지 못하게 만들어 EOS 생태계를 위협
1)번의 경우는 각 BP가 DDoS 대응체계에 의해 대응하도록 하고, EOS 시스템에서는 공격이 받는BP가 정상적인 상태로 복구될 때까지 컨센서스 도출에서 제외될 수 있도록 하는 체계가 필요하다.
DDoS 공격이 동시에 여러 BP에 대하여 가해진다면 2)번의 상황으로 빠질 수 있다. 이러한 공격에 대응하기 위해서는 모든 BP들이 참여하는 코디네이트된 대응체계가 필요하다. 먼저 각 BP들은 다른 BP들의 상태 (공격 또는 장애)를 인지할 수 있는 기능이 필요하다. 이렇게 다른 BP들의 상태를 인지하면 정상적인 BP들은 공격을 당해 정상적인 활동을 하지 못하는 BP를 컨센서스 도출에서 제외하고, 그 BP의 활동을 대신할 수 있어야 한다.
다음으로 BP가 공격을 받았을 때 이 상황을 다른 BP들에게 전파하여 모든 BP들이 공격상황을 인지하고 공동대응 할 수 있도록 Command Center 체계가 있어야 한다. 이 체계는 각 BP들이 공격상황을 다른 BP와 공유하고, 공격받는 BP가 공격 상황에서 원만하게 탈출할 수 있도록 협력하는 체계가 되어야 한다. BP가 속한 국가의 CSIRT(국가별 침해사고대응기관)와의 협력 등을 통해 DDoS 공격의 원인과 근원지를 파악하고, 이를 제거하는 협력활동이 이 체계의 일부가 될 수 있다.
최근에 발생하는 DDoS 공격들은 Mirai 봇넷 등 고도화된 봇넷에 의하여 발생하고 있으며, 그 규모가 수 테라bps에 이르는 등 단위 기관(또는 BP)가 대응하는 것은 매우 어렵다. 이러한 공격에서 EOS가 살아남기 위해서는 EOS 생태계에 참여하는 모든 entity들이 같이 참여하여야 한다.
[1] https://dyn.com/blog/dyn-analysis-summary-of-friday-october-21-attack
[2] https://www.krcert.or.kr/webprotect/cyberShelters/cyberShelters.do
좋은 글 이네요. 단연 DDoS 뿐만 아니라 다양한 공격에 대한 BP 보안체계가 필요한게 사실이고, 어떻게 보면 현재 금융시스템에 대한 보안수준이 필요할것으로 보이네요.
중소기업에 해당하신다면, DDoS 공격 방어를 위해 KISA의 사이버대비소를 이용해 보시는것도 방법일것 같습니다.
https://www.krcert.or.kr/webprotect/cyberShelters/cyberShelters.do