[컴퓨터월드] 최근 주요 사이버 위협 트렌드로 ‘분산 서비스 거부(DDoS, Distributed Denial of Service)’ 공격이 떠오르고 있다. 지난해 말부터 전 세계적으로 디도스 공격이 정교해짐에 따라, 대응에 어려움을 겪고 있다. 더불어 디도스 공격 이후, 또 다시 공격을 실행하겠다는 협박으로 금전적인 이득을 노리는 ‘랜섬 디도스 공격’이 주요 트렌드로 부상하고 있다.

국내에서도 디도스 공격이 이슈가 되고 있다. 금융, 공공, IT 서비스 등 다양한 분야를 대상으로 공격이 발생하고 있으며, 그 수 역시 빠르게 늘어나고 있다. 지난 3월에는 네이버가 디도스 공격을 받아 일부 서비스의 장애가 나타나기도 했다.

보안 업계는 증가하는 디도스 위협에 대응하기 위해서는 조직적인 예방 체계를 강화하는 것이 중요하다고 강조했다. 국내에서는 KISA 및 ISP 등이 사이버 대피소 서비스를 제공하기 때문에, 이를 활용하는 것도 좋은 방안이라고 조언한다. 최근 디도스 공격 및 대응 현황을 살펴봤다.

디도스 공격, 주요 위협 이슈로 부상

국내외 디도스 피해 사례가 속출하면서 최근 사이버 위협 트렌드로 ‘디도스 공격’이 다시 떠오르고 있다. 특히 과거 금융권에 집중됐던 것과는 달리 최근 디도스 공격은 금융외에 공공, IT 서비스, 게임, 자동차 등 다양한 분야를 대상으로 진행되고 있다.

최근 피해 사례를 살펴보면, 대표적으로 지난 3월 네이버의 일부 서비스 장애 사건을 꼽을 수 있다. 네이버를 대상으로 한 디도스 공격이 발생해 뉴스, 블로그, 카페 등 일부 서비스에서 약 1시간 동안 접속 장애가 발생했다.

네이버 외에도 금융권을 타깃으로 한 디도스 공격도 문제가 되고 있다. 금융보안원에 따르면, 지난해 8월부터 올해 1월까지 국내 금융사들을 대상으로 한 랜섬 디도스 공격이 약 19건 발생한 것으로 집계됐다. 신한은행, 카카오뱅크, 케이뱅크 등 은행뿐만 아니라 한국거래소 등이 디도스 공격을 받은 것으로 나타났다.

글로벌에서도 디도스 공격으로 인한 피해가 나타나고 있다. 글로벌 보안 기업 임퍼바(Imperva)는 ‘코로나19 기간 동안 디도스 공격 추이(DDoS Attacks in the Time of COVID-19)’ 보고서를 통해 지난해 자동차 산업을 타깃으로 한 디도스가 108% 증가했다고 발표했다. 이어 통신/인터넷 서비스 사업자(53%), 마케팅(43%), 도박(32%) 등의 분야를 대상으로 한 공격도 증가했다. 지난해 8월에는 금융 서비스를 대상으로 한 디도스 공격이 기승을 부렸다.

임퍼바에 따르면, 코로나19 기간 동안 애플리케이션 디도스 공격 트래픽이 80% 이상 증가했다. 공격 지속 시간은 21% 늘었으며, 디도스 공격 중 초당 요청 수(RPS)도 79% 증가했다.

코로나19(COVID-19) 팬데믹이 디도스 공격 확산에 영향을 줬다는 분석도 나온다. 비대면 서비스가 증가함에 따라 디도스 피해도 같이 증가하는 경향이 나타나고 있다는 것이다. KISA 관계자는 “코로나19 팬데믹 여파로 재택근무가 많아지면서 원격에 사용되는 프로토콜 취약점을 노린 공격이 증가하고 있다. 특히 공유 리소스 접근에 사용되는 프로토콜과 VPN 연결을 위해 사용되는 프로토콜을 악용한 공격이 증가하고 있다”고 설명했다.

안랩 관계자 또한 “코로나19로 온라인 기반 서비스가 활발해지고 트래픽이 증가함에 따라 이를 기회로 삼아 공격이 증가하고 있다. 우리나라의 경우, 보안 인증체계 확충 및 정기적인 디도스 모의훈련으로 디도스 대응 역량을 강화하고 있음에도 불구하고 절대적인 디도스 공격의 수가 증가하다 보니 디도스 피해 사례가 발생하고 있는 상황”이라고 말했다.

지난 6월 대형 유럽 은행 노린 809Mpps 규모 공격 발생

글로벌 시장에서도 디도스 공격이 주요 이슈로 떠오르고 있다. 아카마이는 지난 2020년 6월 21일 대형 유럽 은행을 노린 공격은 809Mpps(Million Packets Per Second)에 달하는 초당 패킷을 기록하며 업계 최고 기록을 경신했다. pps는 초당 처리된 패킷 수로, 패킷의 크기는 최소 64바이트에서 1,500바이트까지도 될 수 있다.

2020년 6월 초에도 금융 서비스 기관을 대상으로 385Mpps의 대규모 디도스 공격이 관측됐는데, 이번 공격은 예전 공격의 2배를 넘어서는 규모였다. 규모뿐 아니라 공격 속도 역시 최고 수준을 기록했다. 정상 트래픽 수준인 418Gbps 규모에서 약 2분 만에 809Mpps에 도달했고 공격 시간은 약 10분 동안 지속됐다. ​공격이 진행되는 동안 공격에 사용된 IP 주소의 수 또한 600배 이상 급증했다.

아카마이의 ‘2021 인터넷 보안 현황 보고서’에 따르면, 금융 기업을 타깃으로 한 디도스 공격이 지난해 110% 증가했으며 올해도 상승세가 지속되고 있다. 아카마이 관계자는 “코로나 팬데믹 상황이 지속되며 생긴 충격이라고 생각한다. 업무의 상당 부분이 디지털로 전환되고 재택근무가 많아지면서 디도스를 포함해 백엔드 서버를 노리는 사이버 보안 공격의 정도가 심해지고 있다”고 설명했다.

안랩, 지난해 약 13만 건 디도스 공격 관측…전년比 42%↑

안랩은 보안관제센터를 통해 지난해 약 13만 건의 디도스 공격을 관측했다. 이는 2019년에 관측된 92,000여건에 비해 42% 이상 증가한 수치다. 안랩은 침해대응팀(CERT)을 통해 탐지/차단한 디도스 공격시도의 대상 산업군을 분석한 결과, 전체 공격 시도의 절반이 금융권을 노린 것으로 나타났다고 밝혔다. 이어 어서 방송/통신(16.7%), IT서비스(14.2%), 유통/운송(7%), 게임(6.3%) 분야가 뒤를 따랐다.

특히 금융권을 노린 디도스 공격은 2019년 30% 비중에서 지난해 50% 비중으로 확대돼, 금융사들의 대응체계 강화가 요구되고 있다. 또한 방송/통신(2019년 6.4%→ 2020년 16.7%), IT서비스(2019년 6.9%→ 2020년 14.2%) 분야를 노린 디도스 공격은 전년 대비 비율이 2배 이상 증가했다. 2019년의 디도스 공격 대상 산업군의 비율은 ▲금융 30.2% ▲공공/법률 28.9% ▲게임 14.2% ▲유통/운송 8.9% ▲IT서비스 6.9% ▲방송/통신 6.4% 등이었다.

안랩 관계자는 “금융, 방송/통신, IT 서비스 등을 타깃으로 한 디도스 공격이 증가했다. 이는 공격자들이 금전적인 이득을 목표로, 디도스 공격의 파급력을 극대화할 수 있는 산업 분야를 공략하는 ‘선택과 집중’ 전략 때문인 것으로 풀이된다”고 설명했다.

한국인터넷진흥원에서도 디도스 공격이 꾸준히 탐지되고 있다. KISA는 11개 ISP와의 19개 연동구간에 디도스 대응 시스템을 운영하고 있다. 국가정보원에서 발간한 ‘2021 국가정보보호백서’에 따르면, 최근 12년간 총 4,120건의 디도스 공격을 탐지, 대응했다. 지난해 디도스 공격 탐지 및 대응 건수는 247건이다.

또한 KISA에서는 공격대상 웹사이트로 향하는 공격 트래픽을 우회시켜, 일반 사용자가 웹사이트를 정상적으로 이용할 수 있도록 지원하는 디도스 사이버 대피소를 운영하고 있으며, 해당 서비스를 이용하는 업체도 꾸준히 증가하고 있다. 지난해는 4,590개 기업이 사이버 대피소를 이용했으며, 235건의 디도스 공격이 사이버 대피소를 통해 방어됐다.

‘랜섬 디도스’ 등 주요 공격 트렌드로 부각

최근 디도스 공격의 특징은 랜섬웨어, 정보유출 등과 디도스 공격이 복합적으로 발생한다는 것이다. 더불어 디도스 공격을 감행하겠다고 조직을 협박해 금전적인 이득을 노리는 ‘랜섬 디도스’도 증가하고 있다.

이전의 디도스 공격은 대부분 서비스 중단을 목적으로 했다. 하지만 가상자산 거래가 활성화되면서 가상자산의 현금화가 쉬워지고 추적이 어려워지자, 수익성을 노려 가상자산을 요구하는 랜섬 디도스 공격이 증가하고 있다. 보통 랜섬 디도스 공격은 디도스 공격이 짧은 시간 행해진 뒤, 거래에 응하지 않을 경우 또 다시 디도스 공격을 진행하겠다는 협박성 메일을 통해 가상자산을 요구한다. 하지만 대부분 협박에 그치며 실제 공격이 일어나지 않을 가능성도 있다.

안랩 관계자는 “가상자산 가격의 상승에 따라 금전적 이득을 얻기 위한 디도스 공격 또한 증가하고 있다. 공격자는 일명 ‘랜섬 디도스’로 알려진 방식으로 기관이나 기업을 대상으로 디도스 공격을 시범적으로 보여준 후 보안담당자를 협박해 가상자산을 요구한다. 공격자는 기업이 보안 사고가 외부에 알려지는 것을 꺼린다는 점을 노려 공격과 협박을 동시에 가하고 있으며, 암호화폐의 가치가 상승할 경우 이러한 공격 또한 계속될 것으로 보인다”고 강조했다.

조학수 윈스 CTO는 “디도스 공격의 트렌드 중 가장 중요한 것은 무의미한 공격이 사라지고 있는 것이다. 디도스 공격의 파급력이 큰 조직을 타깃해 공격을 진행한다. 공격 자체가 체계화, 산업화, 전문화되고 있다. 디도스 공격으로 인해 치명적인 피해를 입을 수 있는 산업군을 노리고, 어느 서버를 공격해야할지 분석하고 있다. 또한 조직의 서비스와 시스템을 분석한 상태에서 공격을 진행하기 때문에 대응이 더욱 어려워지고 있다”고 말했다.

마이크로소프트는 최근 “글로벌 기준 디도스 공격이 증가하고 있으며, 그 중 수백 기가(GB) 급의 대용량 공격의 증가가 두드러진다”고 발표한 바 있다. 안랩 관계자는 “국내의 경우도 수십 기가 급의 디도스 공격이 자주 발생하고 있으며, 랜섬 디도스 공격 또한 많이 관측되고 있다. 특히 금융권을 대상으로 한 랜섬 디도스 공격이 증가하고 있으며, 이외에도 공공 및 교육기관, 기업 등 분야를 막론하고 피해가 지속적으로 발생하고 있다”고 강조했다.

MS에 따르면, 기가 급 대용량 공격이 늘어난 반면, 테라(TB)급의 초대용량 공격의 규모 및 빈도는 감소하고 있다. 초대용량 공격에 주로 사용됐던 ‘분산 반사 서비스 거부(DRDoS, Distributed Reflection Denial of Service)’ 기법의 경우, 공격에 활용된 취약점에 대한 정보가 공유, 보완됨에 따라 대응 역량이 강화되고 있기 때문이다.

‘DRDoS’ 기법은 다수의 PC를 감염시키는 대신 IP주소를 위조한 후 공격 대상 웹사이트나 서비스와 연결된 정상 운영 시스템을 이용해 트래픽을 집중시켜 서버를 마비시키는 디도스 공격 방식이다. IP 스푸핑(IP Spoofing)을 기반으로 통신 프로토콜 메카니즘을 악용해 트래픽을 반사 및 증폭시킨다. 지난 2018년 깃허브를 타깃한 1.35Tbps 급의 대규모 공격도 멤캐시드(MemCached) 서버의 취약점을 악용한 UDP(User Datagram Protocol) 반사 공격으로 밝혀진 바 있다.

공격자들은 디도스 공격시 다양한 방식을 혼용하기 시작한 것으로 보인다. 아카마이 관계자는 “과거의 디도스 공격은 단순히 방대한 트래픽 양으로 서버를 마비시키는 방식이었다면 이제는 다양한 기법을 통한 디도스 공격이 동시에 이뤄지고 있다. 디도스 공격을 빌미로 협박하는 랜섬디도스와 마이크로소프트의 RDP 프로토콜을 이용한 디도스 공격 증폭 등 공격 방법도 다양해져 피해가 확산되고 있다. 일례로, 지난해 아카마이는 최고 초당 1.4TB 규모에, 809Mpps의 위력을 가진 디도스 공격을 성공적으로 방어했는데, 당시에 최소 9가지의 공격 기법을 감지했다. 14가지의 공격 기법을 쓰는 경우도 관측되기도 했다”고 설명했다.

봇넷으로 인한 위협도 지속…디도스 공격 대행 서비스 등장

IoT 확산에 따른 디바이스 감염도 문제가 되고 있다. 인터넷에 연결되는 IoT 디바이스 수가 폭증함에 따라, 디바이스를 감염시켜 디도스 공격에 활용하는 방식도 주로 이용되고 있다. 대표적인 사례로는 2016년 등장해 현재까지 변종이 발견되고 있는 ‘미라이(Mirai) 봇넷’을 꼽을 수 있다. 조학수 윈스 CTO는 “이전 디도스 공격이 감연된 좀비PC를 이용해 진행됐다면, 최근에는 IoT, 라우터 등 네트워크에 연결된 기기를 감염시킨 봇넷을 활용하는 공격이 주를 이루고 있다. 이 이유는 라우터와 IoT의 경우 PC보다 관리가 소홀하기 때문인 것으로 보인다”고 설명했다.

이어 “이전에는 봇넷 관련 취약점이 하루에 5건 정도 발견됐다면, 최근에는 6초에 1건이 발견될 정도로 증가했다. 한 마디로 봇넷과 관련된 위협이 증가하고 있으며, 이런 봇넷을 활용한 디도스 공격 위협 역시 급증하고 있다”고 덧붙였다.

KISA 관계자는 “최근 KISA 사이버 대피소로 유입되는 공격들은 WS-디스커버리(WS-Discovery), ARMS(Apple Remote Management Service) 등의 사용이 확산되는 사물인터넷(IoT), 모바일 관련 기기를 악용해 이전의 단순한 유형에서 더욱 대규모의 지능적인 공격으로 진화하는 경향을 보이고 있다. 특히 WS-디스크버리 프로토콜을 이용한 공격이 사이버 대피소 입주사를 타깃으로 주기적으로 발생하고 있다”고 설명했다.

WS-디스커버리는 UDP를 기반으로 한 멀티캐스트 통신 프로토콜로, 인터넷에 연결된 서비스들을 자동으로 탐지하는 방안으로 악용되고 있다. 디도스 공격에 악용시 최대 100배까지 증폭 공격이 가능하다. ARMS는 애플의 원격 PC 제어 기능을 활성화할 때 사용되는 프로토콜로, 악용시 최대 35.5배까지 증폭 공격이 가능하다.

최근 발생하는 디도스 공격의 또 다른 특징은 1시간 이내에 공격이 진행된다는 점이다. 디도스 공격 대응에 있어 분석가가 분석을 완료하기 전에 공격이 끝나는 경우가 많다는 설명이다. 이러한 경향은 랜섬 디도스 공격이 증가하는 것과 밀접한 연관이 있다는 분석도 있다. 짧은 시간동안 서비스 장애를 유발하고, 이 사례를 바탕으로 협박 메일을 발송한다는 설명이다.

디도스 공격 대행 서비스도 등장하고 있다. 비용을 지불하면 쉽고 효율적으로 다양한 디도스 공격을 진행할 수 있는 ‘DDoS for Hire’ 등이 나타나고 있는 것이다. 이러한 공격 대행 서비스는 인터넷으로도 쉽게 접근할 수 있기 때문에, 누구든 악의적인 목적을 갖고 있다면 언제든지 DDoS 공격을 할 수 있게 됐다.

디도스 대응 위한 체계 구축 및 강화 필요…모의훈련도 진행해야

디도스 공격에 대응하기 위해서는 체계를 갖추는 것이 가장 중요하다. KISA 관계자는 “디도스 공격의 경우 대부분 조직을 겨냥하기 때문에, 조직 내 디도스 대응 체계가 갖춰져 있어야 한다”면서 “기업에서는 DDoS 공격을 즉시 인지하고 조치할 수 있는 프로세스를 사전에 갖춰야 한다. DDoS 대응은 크게 ‘사전 준비 → 공격 인지 → 공격정보 탐지 → 방어서비스 적용 → 사후 조치’ 단계로 분류해 체계적으로 각 단계별 대응방안을 준비하시는 것을 권장한다”고 설명했다.

이어 “중소기업에서는 네트워크 인프라와 보안 인력 부족으로 보안에 취약한 것이 현실이다. 이런 점을 노리고 중소기업을 대상으로 하는 보안 위협은 점차 증가하고 있다. 디도스 사이버대피소 등 정부에서 지원하는 무료 보안서비스를 적극적으로 활용해 기업의 자산을 보호하길 바란다”고 말했다.

안랩 관계자는 “디도스 공격에 노출될 수 있는 사내 환경에 대해 정확히 파악하는 것이 디도스 대응의 첫걸음”이라고 조언한다. 기본적으로 사용하지 않는 포트(Port)는 차단해야 하며, IP접근 환경에 대한 관리 또한 필요하다는 설명이다. 또한 디도스 완화 솔루션을 이용해 보호대상별로 각각의 트래픽 환경에 최적화된 대응 정책을 수립해야 하며, 경우에 따라 조직이 사용하는 인터넷 회선 이상의 디도스 공격에 대응하기 위한 전략도 별도로 세워야 한다고 강조했다.

디도스 완화 솔루션은 크게 ▲임계치 기반 규칙 방어 ▲인증 기반 대응 등의 방법을 제공한다. 임계치 기반 규칙 방어는 패킷 구성 요소를 계산해 기준치 이상의 트래픽이 발생할 경우 디도스 공격으로 탐지해 대응하는 기법이며, 인증 기반 대응은 주로 봇 기반의 자동화된 공격에 대응하며, 임계치 기반 규칙을 우회하는 디도스 공격에 대응하기 위해 활용되고 있다. 여기서 ‘인증’은 TCP와 HTTP 프로토콜의 특성을 활용한다.

조학수 윈스 CTO는 모의대응훈련을 강화해야 한다고 강조했다. 조학수 CTO는 “2009년 7·7대란 이후, 국내에서는 디도스 대응 솔루션 도입 및 체계 구축, 모의 대응 훈련 등을 통해 대응 역량을 강화, 디도스 공격에 성공적으로 대응해왔다. 최근 피해 사례가 나오는 이유를 살펴보면, ▲대응 장비의 노후화 ▲공격 시나리오 및 공격 표면의 다양화 등을 꼽을 수 있다. 디도스 대응 역량을 강화하기 위해서는 대응 체계 구축도 중요하지만, 최신 공격 시나리오를 반영한 모의 대응 훈련을 실시하는 것도 필요하다”고 말했다.

한편 개인의 입장에서도 디도스 공격을 예방하기 위한 노력이 필요하다. 개인의 PC 및 IoT 기기, 라우터 등이 디도스 공격에 악용되지 않도록 관리하는 것이 중요하다. PC의 경우 윈도우 및 SW 최신 업데이트 유지, 안티바이러스 솔루션 이용 등 필수 보안 수칙을 지켜야 하며, IoT 기기와 라우터 등은 보안 설정 등을 통해 관리해야 한다.

아카마이는 디도스 대응을 위해 SASE(Secure Access Service Edge)와의 연계도 고민할 수 있다고 조언했다. 아카마이 관계자에 따르면, SASE는 네트워크 및 네트워크 보안 솔루션의 기능을 글로벌 클라우드 네이티브 서비스로 통합한 보안 개념이다. 디도스 방어 서비스 또한 SASE의 보호 대상에 포함이 돼야 하고, 디도스 장비에 대한 접근 권한과 운영 또한 SASE 프레임워크를 도입했다면 이와 연계하는 방안이 필요하다는 설명이다. 아카마이 관계자는 “SASE는 사용자의 접속 경로와 열람 데이터를 일일이 추적하고 검증하는 제로 트러스트, 이중 인증 등 민첩하고 확장 가능한 보안을 제공한다. 이는 디도스 공격이 발생해도 비즈니스 안정성을 유지할 수 있게 해주는 순기능을 포함한다”고 설명했다.

디도스 완화 솔루션과 서비스 함께 이용하는 하이브리드 체계 주목

글로벌 시장조사기업 프로스트앤설리번에 따르면, 글로벌 디도스 대응 시장은 2024년까지 두 자릿수의 연평균 성장률을 보일 것으로 예상된다.

디도스 대응 시장은 글로벌 보안 기업들이 주도하고 있는 스크러빙 센터(Scrubbing Center)와 디도스 완화 솔루션 시장으로 구분할 수 있다. 스크러빙 센터는 고객사의 트래픽을 센터로 우회시켜 악성 트래픽을 차단하고 정상 트래픽은 통과시키는 데이터 통제 센터를 의미한다. 스크러빙 센터 서비스를 제공하고 있는 주요 글로벌 기업은 라드웨어(Radware), 아카마이(Akamai), 임퍼바(Imperva), 클라우드플레어(Cloudflare), 라임라이트네트웍스(LimeLight Networks) 등이다. 이 기업들은 글로벌 시장조사기업 포레스터 리서치에서 발표하는 ‘2021년 1분기 포레스터 웨이브: 디도스 완화 솔루션’ 부문에서 리더로 선정됐다.

글로벌 시장의 특징은 아마존웹서비스(AWS), 마이크로소프트(MS), 구글(Google), 알리바바클라우드(Alibaba Cloud) 등 클라우드 서비스 제공기업(CSP)들이 주요 공급기업으로 꼽히고 있다는 점이다. 클라우드 서비스가 확산됨에 따라, CSP들이 제공하고 있는 디도스 완화 서비스의 영향력이 확대되고 있는 것으로 분석된다.

국내에서는 안랩, 시큐아이, 윈스 등 네트워크 보안 기업들이 디도스 완화 솔루션을 공급하고 있으며, ISP와 KISA가 사이버 대피소 서비스를 제공하고 있다. 디도스 완화 솔루션 시장은 2009년 7·7대란 이후 시장이 반짝 성장했다가 둔화됐다는 것이 업계 관계자들의 공통된 의견이다.

디도스 공격은 공격 기법에 큰 변화가 있는 것이 아니기 때문에, 기술보다는 성능에 솔루션의 초점이 맞춰진다. 특히 디도스 완화 솔루션은 공격이 발생했을 때만 빛을 발하기 때문에, 솔루션 구축에 꾸준한 투자가 이뤄지기 어렵다. 이번처럼 디도스 공격이 사회적인 이슈로 떠올랐을 때, 업그레이드 수요가 발생하는 것도 이런 이유 때문이다. 실제 최근 디도스 공격이 증가하면서 디도스 완화 솔루션에 대한 문의가 크게 늘어난 것으로 전해진다.

안랩 관계자는 “특히 스크러빙 센터와 디도스 완화 솔루션을 연동한 하이브리드(Hybrid) 디도스 방어체계가 주목받고 있다. 일상적/저용량 디도스 공격에 대해서는 디도스 완화 솔루션으로, 대용량 디도스 공격에 대해서는 스크러빙 센터로 대응하는 방식이다”라고 설명했다.

국내 시장의 특징은 ISP의 디도스 완화 서비스를 이용하는 경우가 많다는 것이다. 앞서 말한 것처럼 디도스 완화는 공격이 발생한 비상시에만 활용된다. 이를 위해 솔루션을 구축하는 것은 부담이 크다는 이야기다. 이런 이유로 비상시 ISP의 서비스를 이용하는 방안이 대세를 이루고 있다.

하지만 서비스가 활성화돼 있다고 해서 솔루션 시장이 위축된 것은 아니다. ISP가 디도스 완화 서비스를 운영하기 위해 디도스 완화 솔루션을 구입해야 하기 때문이다. 업계 관계자들은 “디도스 완화 솔루션과 서비스는 서로 보완적인 성격이 있기 때문에, 시장에 악영향을 주는 것으로 보기는 어렵다”고 설명했다. 시큐아이 관계자는 “최근 디도스 초대용량 디도스 공격으로 서비스를 완전히 다운시키는 것보단 지능적으로 서버 리소스를 조금씩 잠식하는 방식이 늘어나면서, 디도스 완화 솔루션에 대한 관심과 수요가 늘어나고 있다”고 말했다.

글로벌기업, 국내 스크러빙 센터 설립하고 시장 공략

글로벌 기업들은 국내 스크러빙 센터를 설립하면서 국내 디도스 완화 서비스를 제공하고 있다. 라드웨어, 임퍼바, 아카마이 등이 국내에 스크러빙 센터를 구축하고 있다.

라드웨어는 지난 2018년 국내에 ‘클라우드 스크러빙 센터’를 오픈하고, 디도스 완화 서비스를 제공하고 있다. 스크러빙 센터 오픈 당시 최은락 라드웨어코리아 이사는 “클라우드 스크러빙 센터가 국내에 구축된 만큼 공공분야에서 민감한 데이터 국외 유출 등의 문제를 해결해 비즈니스로 연결될 것으로 기대한다”고 말한 바 있다. 라드웨어의 ‘클라우드 스크러빙 센터’는 5Tbps 용량의 디도스 방어가 가능하며, 글로벌 네트워크와 연결해, 데이터의 해외 송신 등에 따른 컴플라이언스 해소 등의 이점을 제공한다.

임퍼바 또한 2018년에 국내 스크러빙 센터를 구축해 서비스를 제공하고 있다. 임퍼바의 글로벌 네트워크를 기반으로 제공되는 디도스 방어 서비스 ‘인캡슐라(INCAPSULA)’는 공격 양상에 상관없이 디도스 공격을 수초 이내로 탐지하고 방어할 수 있어, 기업의 웹서비스를 타깃으로 한 대량의 디도스와 봇(Bot)에 의한 웹 트래픽을 통제한다. 또한 임퍼바는 보안위협에 효과적으로 대응하기 위해 디도스 공격 대응, 웹 시큐리티, 글로벌 로드밸런싱, 24시간 관제 등의 보안 서비스를 원스톱으로 제공하고 있다.

임퍼바 ‘인캡슐라’는 가상 디도스 스크러빙 센터를 통해 사용자와 가까운 센터에서 공격을 차단한다. 또한 웹사이트 보호, 봇 차단, 사용자 체감속도 향상, 서버 및 데이터센터 로드분산, DNS 캐싱 및 보호, 인프라보호 등 다양한 솔루션을 제공하고 있다. 임퍼바의 국내 스크러빙 센터는 약 5Tbps 규모의 디도스 공격까지 대응할 수 있다.

아카마이는 디도스 대응을 위해 ‘아카마이 프롤렉식(Akamai Prolexic)’ 서비스를 제공하고 있다. ‘아카마이 프롤렉식’ 서비스는 168Tbps 이상의 CDN 용량을 기반으로 디도스 공격에 대응한다. 아카마이 관계자는 “‘아카마이 프롤렉식’ 서비스는 상시 가동형(Always-On) 방식과 온디맨드 방식의 운영이 가능하다. 즉 평상시에도 아카마이 스크러빙 센터를 항상 사용하는 방식과 디도스 공격이 들어왔을 때만 우회하는 방식 중 선택이 가능하다는 의미다. 어떤 방식을 사용하든 아카마이의 보안 관제 센터는 고객의 트래픽을 모니터링하고 공격의 징후가 보이면 사전에 정의한 정책에 따라 고객과 디도스 방어에 대한 작업을 수행한다”고 설명했다.

이어 “아카마이는 스크러빙 센터와 고객사 목적지 사의의 1:1 결합을 N:1 가상 터널로 교체했고, 이를 통해 고객은 클린 트래픽을 특정 스크러빙 센터 혹은 모든 스크러빙 센터로부터 직접 받을 수 있게 됐다. 결과적으로 전송 경로가 다양해지면서 네트워크 장애 회피의 효과가 극대화된 것이다. 디도스 공격 트래픽은 그 크기가 증가하는 추세이기 때문에 아카마이의 스크러빙 센터와 보안 인력 또한 이에 맞춰 지속적인 증설을 계획하고 있다”고 덧붙였다.

마지막으로 “아카마이는 웹 환경에 특화된 웹 방화벽 및 디도스 완화 솔루션과 웹이 아닌 모든 환경에서 사용 가능한 스크러빙 센터 방식의 디도스 완화 솔루션 모두를 보유하고 있다. 때에 따라서는 스크러빙 센터 방식으로도 웹 환경을 포함해 보호할 수 있는 전략을 사용하기도 한다. ‘아카마이 프롤렉식’ 서비스의 경우 항상 사용하는 옵션이 아니라 필요시 사용하는 옵션을 제공하고 있고, 과금도 인바운드 트래픽 기준이 아닌 클린 트래픽 기준으로 책정하기 때문에 경제적인 옵션이 가능하다. 만약 현재도 지속적인 디도스 공격으로 인한 어려움이 있다면 이를 어떻게 해결할지 아카마이와 논의하였으면 한다”고 강조했다.

국내 기업, 최신 네트워크 사양 맞춰 솔루션 성능 업그레이드

국내에서도 디도스 공격이 이슈가 되면서, 디도스 완화 솔루션 시장에 조금씩 활기가 돌고 있다. 업계 관계자들은 기존 구축됐던 디도스 완화 솔루션의 노후화 등으로 인해 교체 수요가 나오고 있으며, 디도스 대응을 위한 문의도 증가하고 있다고 입을 모았다.

특히 최근에는 100G급 네트워크 인프라 구축에 맞춰 디도스 완화 솔루션도 업그레이드하고 있다. 안랩은 최근 업그레이드된 ‘안랩 DPX’를 선보였으며, 윈스 또한 네트워크 인프라 발전에 맞춰 제품을 업그레이드한 ‘스나이퍼 원-d(Sniper ONE-d)’를 공급하고 있다. 시큐아이도 성능에 초점을 맞춰 제품을 업그레이드하고 있다.

안랩은 지난 5월 디도스 공격 대응 전용 솔루션 ‘안랩 DPX’를 출시했다. 기존 솔루션인 ‘안랩 트러스가드 DPX(AhnLab TrusGuard DPX)’에서 성능을 강화한 신규 모델이다. ‘안랩 DPX’는 10단계 디도스 완화 기능을 제공하며 고성능 패킷 처리 시스템을 사용해 디도스 공격에 대응한다. 특히 정상 사용자와 봇을 식별하는 인증 기능에 있어 다양한 식별 기법을 제공하는 것이 특징이다. 또한 사용자의 편리한 솔루션 사용을 위해 네트워크 트래픽 임계치 산정을 위한 셀프런(Self-Learn) 기능을 제공한다.

안랩 관계자는 “100G NIC(Network Interface Card)를 장착해 100G 이상 초고용량 디도스 공격에 대한 방어를 지원한다(DPX 20000B 모델 한정). 또한, 기존 ‘안랩 트러스가드 DPX’ 대비 패킷 처리 성능을 대폭 개선했으며, SSD/HDD를 탑재하고 자체 빅데이터 DB를 적용해 별도의 로그 관리 솔루션 없이도 빠르고 편리하게 공격 탐지 정보를 확인할 수 있는 등 제품의 전반적인 성능이 향상됐다”고 설명했다.

이어 “안랩은 고객 환경에 최적화된 구성의 제품을 제안하고 있다. 앞으로 새롭게 출시된 ‘안랩 DPX’를 중심으로 디도스 완화 솔루션 시장을 공략할 예정이며, 특히 하이엔드 모델 ‘DPX 20000B’를 중심으로 인터넷 서비스 제공 사업자(ISP), 클라우드 서비스 제공 사업자(CSP), 인터넷데이터센터(IDC) 등의 고성능 DDoS 대응 솔루션 수요에 대응할 계획”이라고 덧붙였다.

윈스도 100G급 네트워크 업그레이드에 맞춰 ‘스나이퍼 원-d’를 업그레이드했다. ‘스나이퍼 원-d’는 시스템 및 네트워크 자원에 대한 다양한 형태의 침입 행위를 패킷 기반 탐지 방식 외에도 네트워크상에서 비정상 트래픽 또는 정상 트래픽을 사용한 공격의 효과적인 방어를 수행한다.

‘스나이퍼 원–d’의 다중 엔진은 일반 네트워크 및 DNS, DHCP, VOIP와 같이 특화된 서비스 망의 공격을 효과적으로 탐지 및 차단한다. 또한 네트워크 트래픽의 흐름이 외부에서 내부로 향하는 공격의 형태뿐만 아니라, 상황인지를 통해 내부 네트워크 내 시스템을 감염시켜 외부 서버를 공격하는 것을 탐지 및 차단한다. 또한 자동 학습을 통한 정상사용자 인지와 내부 자산시스템과의 연동을 통해 공격 이벤트의 영향도를 분석해 관리자가 위협에 정확한 대응을 수행하는 것이 특징이다.

‘스나이퍼 원-d’의 특징은 단일 장비로 디도스 대응과 IPS를 함께 적용할 수 있다는 것이다. 조학수 윈스 CTO는 “윈스의 ‘스나이퍼 원-d’는 국내 디도스 대응 솔루션으로 최초로 CC인증을 획득한 제품이다. 2010년부터 시장에 솔루션을 공급해, 높은 시장 점유율을 보유하고 있다”면서 “특히 ‘스나이퍼 원-d’는 윈스의 강점인 유해 트래픽 식별 및 제어 기술을 반영돼 있다. IPS와 디도스 대응 솔루션은 원리가 비슷하기 때문에, 이를 통합적으로 제공하는 제품도 공급하고 있다”고 설명했다.

이어 조학수 CTO는 “최근 네트워크 보안 업계에서는 네트워크 및 보안 장비 간 연계를 통해 사이버 위협에 대응하는 연동성이 강조되고 있다. 윈스는 이러한 트렌드에 맞춰 공격자를 식별하는 위협 헌팅 시스템과 인텔리전스 시스템, 자동제어 시스템을 개발해 연동하는 방안을 추진하고 있으며, 올해 솔루션 라인업을 완성할 계획이다”라고 말했다.

시큐아이는 디도스 대응 솔루션 ‘시큐아이 MFD’를 공급하고 있다. ‘시큐아이 MFD’는 진화된 디도스 공격의 모든 유형을 탐지하고 정밀한 분석으로 빠른 공격 대응이 가능하다는 것이 시큐아이 측 설명이다.

시큐아이에 따르면 공격 이벤트의 가시성을 높이고 위협에 대한 빠른 분석을 지원해 정책 관리 효율화를 높인 것이 특징이다. 고성능 HW 플랫폼 기술로 최대 120Gbps의 대용량 공격 대응이 가능하고, 정교한 엔진을 탑재해 레이어 3 계층부터 레이어 7 계층까지 다양한 디도스 공격에 대응할 수 있다. 실시간 패킷 내용을 분석하는 자동 학습 방어 기능을 지원해 알려지지 않은 신규 공격까지 대응이 가능하다.

관리자 UI를 통한 최적화된 공격 대응 도구를 제공한다. 대시보드 화면의 이벤트를 확인하며 동시에 원클릭 설정으로 빠른 정책 적용이 가능하며, UI를 통해 실제 RAW 패킷 정보까지 조회 가능해 손쉽게 패킷 분석 정보를 확인할 수 있다. 최대 514개의 가상 도메인을 지원해 보호할 영역에 따라 차별화된 정책 운영도 가능하다. 가상 도메인별 로그·통계·보고서 정보 관리가 가능해 사용자의 편의성을 높였다.