오늘날 게임업계의 큰 화두 중 하나는 보안이다. 최근 디도스(DDoS) 공격을 통해 인기 인터넷 방송인의 콘텐츠를 방해하거나, 심지어 공식 프로 리그의 경기마저 방해하는 심각한 사태가 펼쳐지기도 했다.

넥슨도 지속적인 해커들의 공격에 시달리고 있다. 웹 보안, 보안 정책 등 사내 인프라 전반에 걸친 보안을 책임지는 글로벌 보안본부를 통해 지속적인 해커들의 공격을 실시간으로 대응하는 것은 물론, 공격을 분석해 재발을 방지하고, 피해를 최소화시키기 위한 각고의 노력을 아끼지 않고 있다.

27일 한국게임미디어협회 산하 한국게임기자클럽은 넥슨코리아 본사에 방문해 넥슨 글로벌보안본부 김동춘 실장을 만나 최근 발생하는 디도스 공격에 대한 설명과 넥슨의 대응 전략에 대한 설명을 들었다.

김동춘 실장은 "디도스 공격은 공격자가 유리할 수 밖에 없는 기울어진 운동장이다"라며, "방어자는 수많은 네트워크 트래픽 속에서 디도스 공격 트래픽만을 골라서 차단하면서 이용자들의 서비스를 보호해야 하는 과도한 어려움을 겪게 된다"라고 설명했다.

디도스 공격은 다수의 악성 코드에 감염된 봇넷(Botnet, 일종의 해킹된 기기의 집합)을 이용해 대규모 트래픽을 보내거나, 어플리케이션 리소스를 고갈시켜 서비스를 못하도록 하는 행위를 말한다.

디도스 공격은 크게 대역폭 고갈 공격과 어플리케이션 리소스 고갈 공격 2가지로 구분된다. 대역폭 고갈 공격은 특정 네트워크 프로토콜의 특성을 이용해 트래픽을 과도하게 생성해 회선 대역폭을 모두 사용시키는 방식으로, 단순하지만 강력한 효과를 지녔다.

어플리케이션 고갈 공격은 게임 서버나, 웹 서버의 어플리케이션 처리 용량을 초과하도록 외부에서 트래픽을 보내 리소스를 고갈시켜 정상적인 서비스가 불가하도록 만드는 공격이다. 공격 방식을 혼합해 사용하는 편이 효과적이기 때문에 2가지 방식이 동시에 진행되는 일이 많다.

디도스 공격을 막는 방법은 2가지 방식에 각각 대응해야 한다. 대역폭 고갈 공격의 경우 특정 네트워크 프로콜에 따라 트래픽을 조정하고 비정상 패킷을 식별해 차단하는 방식으로 진행된다. 어플리케이션 리소스 고갈 공격은 허용 가능한 세션 수를 초과하는 것을 차단하는 것이 가장 효과적인 방어법이라는 설명이다.

만일 앞선 방법으로도 디도스 공격 방어가 어렵다면, ISP(인터넷 서비스 제공자)에서 특정 트래픽을 전면 차단하는 방법, 이른바 '싱크홀'을 사용할 수도 있다. 다만 특정 서비스가 중단될 가능성이 있기에 '싱크홀'은 최후의 수단이다.

디도스 공격의 핵심은 보내는 트래픽 양에 달렸다는 점에서 이른바 '좀비 PC'라고 부르는 봇넷의 규모에 달렸다. 해커들은 악성코드를 이용해 PC에서 정보를 탈취할 뿐 아니라, 봇넷으로 전환해 해당 PC를 디도스 공격에 사용한다.

최근에는 IOT 기기까지 확장됐다. PC와 달리 항시 켜져 있는 경우가 많을 뿐 아니라 PC와 거의 비슷하게 사용이 가능한 만큼, 오늘날에는 IOT 기기가 봇넷의 가장 큰 확상 대상 중 하나다. 다만 이를 식별할 수 있는 뾰족한 수는 마땅치 않은 상황이다.

대표적으로 해커들이 디도스 공격에 사용하는 봇넷인 미라이(Mirai)는 오픈소스로 공개돼 있어 일반인마저도 사용이 가능하다. 미라이 봇넷은 초당 1.2Tbps 규모의 공격이 가능하며, 이를 버틸 수 있는 서비스는 없다는 설명이다. 나아가 특정 지역에 국한된 것이 아닌 전 세계에 퍼져있기 때문에 글로벌 서비스를 진행하는 게임사에서는 막기가 어렵다.

김동춘 실장은 "봇넷에서 활성화된 봇의 수를 추정했을 때 최소 3만 대에서 30만 대에 이를 것으로 예상되고 있다"라며, "단순히 동시접속자로 환산해도 30만 명에 달하며, 단순히 1개의 세션만 생성해도 30만 개가 된다. 이를 감당 가능한 서비스는 거의 없다"라고 강조했다.

디도스 공격은 해를 거듭할 수록 공격 강도가 점차 커지고 있다. 이날 발표에 따르면 2022년부터 2023년까지 전체적인 디도스 공격 수는 소폭 감소했지만 대규모 공격 횟수는 늘어나고 있으며, 올해부터는 공격 횟수와 공격량이 함께 증가하는 분석이 제기되고 있다.

전 세계적으로 해커들의 공격 분야가 다르지만 아시아권에서는 게임 분야에 대한 해커들의 공격 빈도가 가장 높은 것으로 조사됐다. 글로벌 디도스 공격을 가장 많이 받는 분야도 역시 게임산업이다.

넥슨도 해커들의 디도스 공격을 끊임없이 받고 있다. 이를 방어하기 위해 넥슨은 중간 네트워크 구간, 서버 네트워크 구간, 게임 서버 구간 총 3가지에 다른 방어 전략을 사용해 디도스 공격을 막아내고 있다.

중간 네트워크 구간에서는 임계치를 걸어 1차적으로 차단을 하고, 봇넷 여부를 식별하는 봇 챌린지를 통해 필터링하는 과정을 거친다. 필터링에는 사람에게 직접 체크를 요청하는 방식과 브라우저에서 자동으로 진행되는 2개의 방법이 모두 사용된다.

서버 네트워크에서는 일정 트래픽 이상을 보내는 이용자들을 식별해 차단한다. 게임별 머신러닝을 통해 임계치가 확인된 상태에서 비정상적인 트래픽 유입이 확인되면 차단이 진행된다. 통신 과정에서 네트워크 챌린지를 통해 봇넷 여부를 확인하는 절차도 거치고 있다.

만일 게임 서버까지 디도스 공격이 진행된 경우에는 빠르게 서버를 늘리게 된다. 다만 서버를 무작정 늘리는데는 비용의 한계가 있다. 클라우드로 서비스되는 게임의 경우에는 대응이 용이하지만, 출시가 오래된 게임들에는 적용이 어렵다. 이때에는 앞서 언급한 최종 방안인 '싱크홀'을 진행할 수도 있다.

김동춘 실장은 "감행되는 공격의 규모를 알고 있다면 해당 수준에 맞게 보안을 강화하겠지만, 언제 대규모 공격이 진행될 지 모른다는 점에서 방어자는 보안 투자에 대한 딜레마를 겪게 된다"라며, "오늘날 공격 비용 대비 보안 서비스 비용이 높기 때문에 방어자는 손해를 볼 수 밖에 없는 구조"라고 설명했다.

나아가 "봇넷 및 악성코드 감염 여부를 확인하기 위해서는 백신이 효과적인 방안"이라며, "윈도우에서 제공되는 윈도우 디펜더의 성능도 나쁘지 않다. IOT 기기의 경우 감염이 의심된다면 초기화시키는 편이 가장 효과적이다"라고 강조했다.

이학범 기자 (ethic95@dailygame.co.kr)