전용 방어 솔루션으로 공격 트래픽 식별, 제거 또는 피해 최소화
그러나 어느 것 하나 해커들의 공격을 막을 근본적인 솔루션이나 장비는 없다. 다만 피해를 최소화하거나 공격 트래픽을 식별해 사전에 제거하거나 차단시킬 뿐이다. 문제는 '7·7 DDoS '공격보다 더 큰 공격이 예상된다는 게 대다수 전문가들의 공통된 지적이다. 정부나 기업 등 컴퓨터 사용자들은 이를 막기 위한 뚜렷한 방안을 마련하지 못하고, 우왕좌왕 하고 있다는 것이다.
본지는 이에 따라 DDoS와 같은 예상되는 해커들의 공격에 대응할 수 있는 최선의 방법은 무엇이고, 장비와 솔루션들은 어떤 것들이 있으며, 이들의 특장점은 무엇인지 등에 대해 심층 취재했다.
'7·7 DDoS 대란'은 7월 4일 미국의 주요 웹사이트를 공격하면서 시작됐다. 국내에는 7월 7일부터 3일 간 국내 주요 공공기관과 이용자 방문이 많은 포털 사이트, 금융 사이트 등 총 26곳을 공격해 웹 페이지를 열 수 없게 만들었다. 결과적으로 수십 개의 사이트에 상당한 재정적 피해를 입힘과 동시에, 그 동안 등한시 되어왔던 국내 보안 현실을 되돌아보게 하는 결과를 낳았다.
DDoS 공격의 형태
DDoS는 해킹수법의 하나로, 악성코드에 감염된 여러 대의 컴퓨터(좀비PC)를 이용해 특정 사이트에 대량의 접속(트래픽)을 유발함으로써 사이트를 마비시키고 시스템이 더 이상 정상적인 서비스를 할 수 없도록 만드는 공격 방법이다.
즉, 특정 사이트를 공격하기 위해 공격자(해커)가 서비스 공격을 위한 도구들을 여러 컴퓨터에 심어놓고 목표 사이트의 컴퓨터 시스템이 처리할 수 없는 엄청난 분량의 패킷을 동시에 보내면 네트워크의 성능 저하나 시스템 마비를 가져온다. 다시 말해 DDoS는 시스템 과부화를 유발함으로써 정상 고객들이 접속을 할 수 없는 상태로 만드는 것이다.
이같이 단순한 공격이지만 공격 감행 시 정상적인 서비스가 다운되는 치명적 피해를 초래하며 이미 오래전부터 알려진 공격이다. 최근에'7·7 DDoS 대란'이후 이슈가 되고 있지만, SQL 인젝션은 수 년 전 등장해 많은 매체에서 거론됐고 이미 오래전부터 사용되어 간헐적으로 발생해 왔던 공격 방식이다.
▲ 해외 DDoS 피해 사례
DDoS 피해 급증
DDoS 공격 툴은 인터넷에서 누구나 쉽게 구매할 수 있다. 게다가 구입가격은 싸고 공격 효과는 큰 특징을 갖고 있어 악용되기가 쉬운 공격 툴이다. 현재 전 세계적으로 매일 6,000건 이상의 공격이 가해지고 있는 실정이다.
국내에서는 금품을 요구하는 공격이 많았다. DDoS는 일단공격을 시작하면 일반 해킹에 비해 외부에 손쉽게 알려지게 되는 경우가 많아 기업의 경우 고객이탈, 이미지 실추, 주가하락, 매출감소 등의 피해로 확산되기 쉽다. 이를 염려하는 기업을 상대로 금품을 요구하는 것이다.
연도별로 살펴보면 2007년엔 성인, 도박, 화상 채팅사이트 등이 주로 공격을 받았으며, 2008년엔 P2P, 웹 하드, 일반쇼핑몰, 일반회사까지 확대되었다. 올 들어서도 금품을 요구하는 공격이 늘어나고 있다.
▲ DDoS 공격 진화 양상
DDoS, 갈수록 거대화·지능화
지난'7·7DDoS'공격은 상당히 치밀하고 정교한 준비를 했다. 공격에 사용된 PC의 수가 최대 20만대 이상 동원됐다는 조사가 나오고 있다. 최근 2년의 경우 공격에 사용된 PC 수가 300대 이하였던 것과 비교하면 규모 면에서 상당히 대조된다.
공격 방법의 경우도 국내뿐만 아니라 미국 다수의 주요 사이트가 동시에 공격대상이 되었는데, 이는 스케줄링 정보 파일을 통해 DDoS 공격이 진행되었다는 사실을 말해 준다. 스케줄링정보 파일을 사용하면 좀비 PC를 제어하는 명령 서버가 없이도 자체적으로 예약된 시간에 정해진 사이트 공격이 가능하다.
게다가 C&C 서버(마스터서버)의 은닉을 가능하게 만들어 역추적이 어려워진다. 이외에도 특정 사이트만을 노린 것이 아니라 여러 사이트를 동시에 공격, 여러 파일의 형태로 기능이 나뉘어져 있다는 점 등 이전에는 볼 수 없었던 상당히 지능화된 공격 방법이다.
완벽한 방어는 불가능
DDoS 공격은 높은 수준의 해킹 능력과 시스템 이해도 내지는 높은 수준의 기술이 필요한 공격이 아니다. 단지 TCP/IP 프로토콜 스택의 연결 성립 매커니즘에 구조적으로 내포된 취약점을 활용하는 공격이다. 그렇기에 대용량의 정상적인 트래픽과 대용량의 비정상적인 해킹 트래픽을 구분하기는 매우 어렵고, DDoS 공격으로부터 완전하게 자유로울 수가 없다.
또한 DDoS 공격은 트래픽 폭주성 공격이므로 회선속도의 Throughput 및 스위치 급의 지연시간을 보장하는 동시에 공격발생 시 즉시 차단하여야 한다.
그러나 현재 이러한 기능 및 성능을 갖춘 제품은 거의 없다. 고객들이 좋은 DDoS 전용 방어제품을 선택했더라도 대역폭 이상의 DDoS 공격을 완벽하게 방어하는 것은 기술적으로 불가능한 일이기 때문이다.
이 때문에 구분이 모호한 트래픽에 관한 명확한 분석 알고리즘과 네트워크 및 시스템의 가용성을 보장하기 위한 여러 가지 보완책이 필요하며, DDoS 피해 최소화를 위한 최선의 대응책을 마련해두는 게 바람직하다.DDoS 유해트래픽 차단 장비는 완충 역할 DDoS 공격으로 부터의 해결책은 크게 4 가지로 나누어 볼 수 있다.
첫 번째는 가장 중요한 PC 보안이다. DDoS 공격의 원인이 되는 좀비PC 예방이 가장 중요한 해결책으로 꼽힌다. '7·7 DDoS'사태에서도 나타났듯이 공격의 원인이 되었던 좀비 PC의 숫자는 백신이 발표되었음에도 불구하고, 7월 9일에는 첫 날보다 10배가량 증가한 20만대에 육박하기도 했다. 결국 사용자들의 PC는 여전히 백신이 패치 되지 않은 상태로 동작했다는 의미가 된다. 사용자의 보안의식 수준 향상과 PC보안 기술이 융합되지 않는 한 여전히 DDoS는 위협으로 존재할 수밖에 없다.
두 번째는 DDoS 방어 솔루션의 강화이다. 7.7DDoS'의 피해에서도 나타났듯이 DDoS 방어 장비의 역할은 이제 보안 장비 가운데 하나의 축이 되었다. DDoS 방어 장비는 DDoS 피해를 최소화하는 완충장치의 역할을 해주는 것이다. 따라서 이제 보안 장비의 중요한 필수 요소로 기업에서 고려해야 할 것이고, 방화벽, IPS와 더불어 기업 보안을 책임질 요소로 배치되어야 할 것이다.
세 번째는 인프라 보안의 강화이다. 기업 내부의 라우터, 스위치와 같은 네트워크 장비나, 웹서비스를 담당하는 서버들, 그리고 기존의 보안 장비들에 대한 유기적인 보안기술 협력 체계를 고민해 볼 필요가 있다.
실제 DDoS 공격이 발생하게 되면 피해시스템 및 그 피해시스템으로 향하는 트래픽들에 대한 역추적과 분석이 필요하다. 그런데 현재 대부분의 기업에서는 이러한 기술적 부분들이 유기적으로 연계되어 있다기보다는 독립적으로 동작하는 경우가 대부분이다. 따라서 기존 인프라의 물리적 강화 이외에 상호 협력을 구현할 수 있는 기술적인 부분에 대한 강화가 필요하다.
네 번째는 침해사고 대응 프로세스의 체계화이다. PC보안과 더불어 매우 중요한 부분이다. 결국 DDoS를 일으키는 원인도 사람이지만, DDoS를 방어하는 주체도 사람이다. 이러한 인적자원들의 유기적인 연동 없이는 2차 '7·7 DDoS'와 같은 대란이 발생할 경우 여전히 그 피해를 비켜 갈 수 없을 것이다. 특히 침해사고 대응 프로세스는 콘트롤 타워와 각 부서 간 유기적 연동이 매우 중요하다. 기계적인 융합과 함께 조직의 유기적 융합이 구현되지 않으면 DDoS 뿐만 아니라 다른 보안위협에 있어서도 자유롭지 못하기 때문이다.
▲ DDoS 방어 장비의 공격 트래픽 차단 예
공격 트래픽 차단 및 제거 기능이 핫 이슈
DDoS 방어 장비는 각 벤더마다 차별성은 보이고 있지만 기본적인 역할은 공격 트래픽을 분류하여 차단 및 제거를 하는 것이다.
대량 트래픽을 이용한 해킹수법인 DDoS 공격에 대응하기 위해서는 대량의 정보를 신속하게 분석해 유해트래픽 여부를 판단하는 기술이 가장 중요하며, 대용량의 세션관리와 장비 성능이 필수 조건이다. 즉 DDoS 공격이 대량의 트래픽을 이용하는 만큼 차단 장비의 성능이 보장되어야 제대로 활용할 수 있다는 말이다. 이외에도 DDoS 방어 장비는 모니터링 및 차단 모드 동시 제공, 기존에 알려지지 않은 공격 대응 기능, 자동 시그니처(신호)추출/생성 기능, IP 변조 및 변조되지 않은 TCP/UDP/ICMP 등 다양한 프로토콜에 발생되는 DDoS 공격 탐지/차단 기능을 갖추고 있다.
또한 공격 발생 시 실시간 원격지원 서비스, 고객사 전담의 시스템엔지니어 배정, 하드웨어 커스터마이징(고객화), 데모 운영지원과 같은 서비스의 유연성 보장 등의 서비스도 이에 포함이 된다.
국내 DDoS 업체 현황
나우콤
정상 트래픽과 DDoS 트래픽 구분 기술특허 보유
지난해 4월 출시된'스나이퍼 DDX'장비를 공급하고 있다. 올해 5월 국가정보원 정보보호제품 공통평가기준(CC) 인증을 획득한 데 이어 6월 말 한국산업기술시험원(KTL)으로부터 국가 소프트웨어 품질인증인 굿소프트웨어(GS) 인증도 획득했다.
'스나이퍼DDX'는 DDoS 공격 유형별로 자동화된 차단 방법론을 이용해 악의적인 트래픽 공격을 방어한다. 지능화된 DDoS공격을 행동기반 및 시그니처 기반의 탐지/방어 기법으로 차단하며, 정밀하게 설계된 다단계 방어 엔진을 탑재해 네트워크 환경에 최적화된 DDoS 대응 방어 전략을 제시한다. 또한 실시간 세션재현과 실시간 트래픽 감시/대응, QoS 및 Firewall, High Availability 등의 기능을 통해 DDoS 트래픽을 차단하면서 웹서비스의 연속성과 네트워크 안정성을 높여준다.
이 제품의 핵심기술인'정상 트래픽과 DDoS 트래픽을 구분하는 기술'은 이미 지난해 9월'분산서비스거부공격 차단장치 및 그 방법'의 명칭으로 특허 등록을 마쳤다. 이 기술은 인터넷 및 네트워크상에서 정상적인 사용자와 비정상적인 사용자를 구분해 DDoS 등 비정상 트래픽을 보다 정확하게 탐지하고 차단하기 위해 사용되는 기술로, DDoS 방어 장비뿐만 아니라 통합보안제품(UTM) 등 다양한 네트워크 보안장비에 주요 기술로 적용할 수 있다.
'스나이퍼DDX'의 특징은 다음과 같다.
- 400메가(이하 M)급 1000 모델에서 12G 성능의 5000 모델까지 다양한 라인업
- 모니터링 및 차단 모드 동시 제공
- Zero Day Attack과 같은 알려지지 않은 공격 대응 기능
- IP변조 및 변조되지 않은 TCP/UDP/IC TCP/UDP/IC TCP/UDP/IC T 공격 탐지/차단 기능
- 장비 자체 장애 및 정전시 안전기능인 트래픽 Bypass 모듈내장
- DDoS 공격 발생 시 사고접수 2시간 이내 긴급방문 대응서비스 제공
'스나이퍼DDX'는 지난해 4월 출시된 이후 국가공공기관, 금융권, 일반기업 등 50여 곳에 공급했다. 나우콤은 오는 9월 24일부터 25일까지 전국의 50여개 협력사를 대상으로'DDoS 사업 전략 세미나'를 개최, 10월 12일부터 24일까지 지방로드쇼 개최 등 영업에 박차를 가할 계획이다.
라드웨어
SOC 운영으로 공격 유형 조기 파악
이스라엘에 본사를 두고 있는 라드웨어는 2005년부터 국내에 DDoS 보안 사업을 시작했으며 현재 '디펜스프로'장비를 공급하고 있다. 제품은 DoS/DDoS 방어, IPS, Worm/Virus 차단 등의 통합 보안 서비스를 제공하는 안티 DoS IPS 제품이다.
'디펜스프로'의 강점은 안티 DoS & IPS 솔루션의 동시 제공, 최대 12Gbps 트래픽 처리를 지원하는 성능, DDoS 공격 차단능력, 정교한 모니터링 기능 등이다. 라드웨어는 이 같은 강점을 내세워 시장에서'디펜스프로'의 입지를 다지고 있다.
또한 라드웨어의 경우 글로벌하게 SOC(보안 관제/연구센터)를 운영하고 있는 것도 강점 중의 하나다. DDoS는 국내 뿐 아니라 세계적으로 공격이 진행되는데 이번 경우도 미국을 거쳐 한국을 공격했다. 공격 유형은 크게 다르지 않아 신속한 사전대응이 가능하다.
업체는 G마켓, 옥션과 같은 온라인 마켓을 비롯해 미래에셋증권, 한국투자증권, 현대증권 등 대형 증권사, YBM시사닷컴, 유웨이에듀, 대성마이맥 등 이러닝 업체, 광운대학교, 호원대학교 등 대학교, 이외 MBC라디오, 디지털조선일보, LG데이콤, 캐논코리아 등 현재까지 150개의 고객 사이트를 확보했으며, 200여개의 제품을 판매했다.
'디펜스프로'의 주요 특징은 다음과 같다.
- 안티 DoS & IPS 솔루션 동시 제공 : 단일 제품에서 필수 보안 기능인 안티 DoS와 IPS 기능을 함께 제공하고, 라이선스를 이용한 성능 업그레이드 방식을 채용해 중복투자를 막아주고 초기 도입비용 및 총 투자비용을 절감시켜 준다.
- 최대 12Gbps 트래픽 처리의 고성능 : 디펜스프로는 최소100Mbps를 지원하는 미니 디펜스프로(Mini DefensePro)부터 1~3Gbps를 지원하는 미드레인지 제품, 최대 12Gbps 이상의 트래픽를 처리하는 제품까지 다양한 제품 라인업을 보유하고 있다.
- 차별화된 DDoS 공격 차단능력 : 세분화된 공격 차단 메커니즘 세트를 통하여 이미 알려지거나 혹은 알려지지 않은 모든 공격에 대해 효과적으로 차단한다. 또한 단순 임계치 방식이 아닌 학습 기반의 능동형 DDoS 공격 차단 모듈을 통해 대용량의 플러딩 공격뿐 아니라 HTTP 플러딩과 같은 합법적인 트래픽을 이용한 공격도 차단한다.
- 다양한 모니터링 제공 : 다양한 SLA 모니터링 및 리포팅을 제공해 DDoS 공격 차단에 대한 명확한 근거를 제시한다. 또한 최신 공격 트렌드를 담고 있는 월간 리포트를 제공해 향후 발생할 수 있는 공격에 대한 대비책을 제시한다.
- 공인 교육센터를 통한 DDoS 보안 기술 교육과정 운영 : 라드웨어는 상시 운영 중인 공인 교육센터를 통해 DDoS 보안기술 교육과정을 제공하고 있다. 이 과정을 통해 고객은 보다 효과적인 보안 정책을 수립할 수 있으며 제품의 운영 능력을 극대화 하고 투자를 안전하게 보호 받을 수 있다.
리오레이(국내총판-모젠소프트)
M.B.A 알고리즘으로 미세한 통신 과정의 움직임 분석
모젠소프트는 美리오레이사의 DDoS 전용 솔루션인 'RIOREY RX SERIES'를 국내에 공급하고 있다. 리오레이 'RX SERIES'는 패킷 단위의 미세한 움직임을 산술화해 공격자 패킷과 일반 사용자 패킷을 구분하는 M.B.A.(Micro Behavior Analysis) 알고리즘 기반의 DDOS 방어 전용솔루션이다.
M.B.A 알고리즘은 미세한 통신 과정의 움직임을 분석하여 정상패킷과 공격 패킷을 구분하여 공격패킷은 드롭(drop)하고 정상패킷만 통과시키는 방식이다.
'RIOREY RX SERIES'의 주요 특징은 다음과 같다.
- 네트워크 및 서비스 변경에 따른 재설정 불필요
- 학습시간 불필요, 설치 즉시 탐지 및 차단이 가능
- 모든 장비 bypass 내장으로 안정성 확보
- HA구조의 이중화 및 네트워크 적용 시 별도의 시스템 도입 없이 장비 설치가 가능한 운영의 편리성
- IP또는 SESSION단위 차단이 아닌 패킷단위 차단에 의한 오탐률 감소
시스코
DDoS 공격, 다중 검증 프로세스 통해 방어
시스코는'Guard & Detector 솔루션'을 국내에 공급하고 있다. 현재 대형 포털, 대형 ISP, 금융권 등과 같은 대규모 기업에 설치 운영되고 있다. 최근 2~3년 사이에 70여개가 넘는 대형 레퍼런스를 확보했다. 제품은 시스코의 Catalyst 6500 Switch와 Cisco 7600 Router에 탑재가 가능한 모듈 형태의 제품으로 HW 기반의 DDoS 방어 기술을 제공한다.
시스코는 타사의 장비와 달리 탐지와 방어를 하는 장비를 별도로 분리했다. Detector는 외부에서 유입되는 트래픽에 대해 정상적인 트래픽 유형을 학습하고, 공격 시에는 방어를 수행하는 Guard에게 신속히 통보하는 기능을 수행한다.
Guard는 Detector와 연동하여, 공격 발생 시 신속하게 방어를 수행하게 된다. 특히 모듈의 클러스터링을 통해 단일 샤시에서 최대 16G를 처리하고, 다중 샤시 클러스터링을 통해 512G까지 처리할 수 있는 성능을 제공한다.
Guard & Detector의 주요 특징은 다음과 같다.
- 시스코 Guard & Detector는 MVP(Multi Verification Process)라는 DDoS 공격 다중 검증 프로세스를 통해 방어 구현
- TCP/UDP 등의 변조된 트래픽에 대해 방어가 가능
- PAT/NAT를 사용하는 기업내부의 공격 트래픽까지 검증이 가능
- DNS 공격 방어 기능과 SIP(인터넷 전화 프로토콜)에 대한 검증 기능 포함
- HTTP 공격에 대해서는 Get Flooding과 최근 이슈가 된 CC Attack을 방어
- HTTP URL Cookie 기능을 통해 좀비IP를 실시간으로 추출
인트루가드
개별 소스 추적 기능으로 DDoS 공격 차단
미국 실리콘밸리에 본사를 두고 있으며'IG200/2000'제품을 국내에 공급하고 있다. 지난해 1월부터 국내 사업을 시작하여 금융, 기업, 통신, 공공기관 등 다양한 레퍼런스를 보유하고 있다.
이 제품은 연속적으로 트래픽 패턴을 학습, 통신의 계층인 Layer 2, 3, 4에서 300만 개의 유형별 임계값(Thesholds)을 자동 설정하여 관리자의 개입 없이 2초 이내에 공격을 탐지하고 차단한다. 또한 다양하고 섬세한 네트워크 시각화는 네트워크 공격의 원인을 분석하여 트래픽 폭주를 차단하면서도 정상 트래픽을 통과하도록 되어 있다.
이 외에도 공격 진원지 소스 추적 기능은 공격 진원지의 IP 주소를 알아내어 해당 도메인 관리자에게 연락을 취할 수 있다. 또 웜(Worm) 및 은닉 활동의 출현을 사전에 방지하기 위해 포트스캔, 네트워크 스캔, 다크어드레스 스캔 등을 지원하여 즉시에 차단한다.
'IG200/2000'의 주요 특징은 다음과 같다.
- L2, L3, L4 및 HTTP 공격 등 모든 TCP/IP 특성을 이용한 다양한 DDoS 공격에 대한 차단 가능
- 트래픽 학습에 의거하여 모든 종류의 DDoS 공격을 오탐 없이 차단
- 트래픽의 동적인 변화를 수용하는 300만개의 Adaptive Threshold를 동적으로 자동 조정하므로 관리자의 개입을 최소화
- 개별 소스 추적 기능으로 합법적인 사용자와의 식별이 거의 불가능한 Botnet에 의한 DDoS 공격 차단
- 모든 기능은 ASIC으로 만들어져 모든 패킷 사이즈의 트래픽에 대해서 회선 속도의 Throughput과 스위치 급의 낮은 Latency를 제공. 또 내부의 네트워크 장비나 서버가 피해를 당하기 전에 공격을 실시간에 근접해(2초 이내) 차단
컴트루테크놀로지
서버별 별도 임계치 설정으로 정교한 제어 가능
컴트루테크놀로지는 지난해 9월부터 국내에'디도스캅(DDoSCop)'을 공급하고 있다.'디도스캅'은 TCP/UDP 네트워크 프로토콜의 특성을 이용한 공격뿐만 아니라 정상 트래픽을 이용한 공격도 방어할 수 있는 기능을 구비한 보안 시스템이다.
또한 SYN 플로딩(Flooding), UDP/ICMP 플로딩, 웹 플로딩 등 다양한 DDoS 공격을 탐지, 최적의 성능으로 차단할 수 있도록 SYN 쿠키 방식과 모든 프로토콜별 임계치(Rate Limited) 설정, 화이트리스트/블랙리스트 기술을 이용한 트래픽 제어 기능을 지원한다.
특히 이 제품은 각 서버마다 임계치를 설정할 수 있어서 특정 서버에 몰리는 트래픽을 이상 현상으로 오인하는 점을 방지했으며, 리눅스 기반의 고속 패킷 처리모듈을 탑재해 빠른 패킷 처리능력을 보여줄 수 있다는 점이 특징이다.
'디도스캅'의 주요 특징은 다음과 같다.
- 인라인(In-Line) 기술방식 또는 아웃오브패스(Out of Path) 기술방식 적용
- 대량 Flooding 공격에 대한 차단성능 구비
- 한국인터넷진흥원(KISA)이 보유한 DDoS 공격 시뮬레이션 장비로 각종 DDoS 공격 유형에 대한 시험 통과
- 서버별 별도 임계치 설정으로 정교한 제어가 가능. 백본망이 수Gbps망이라고 하더라도 뒷단의 서버의 임계치를 별도로 조절할 수 있어 CC공격 방어에 유리
서영태 기자
syt1207@itdaily.kr