복합적인 보안위협, Anti-DoS와 IPS 함께 고려

지난해 분산서비스거부(Distribute Denial of Service attack, 이하 DDoS) 공격으로부터 속수무책으로 당하는 기업들의 피해가 연일 보도되면서 IT업계의 보안 이슈가 또 다시 부각되고 있다. 특히 국내 최대 포털 ‘네이버’와 대형 증권사 ‘미래에셋’ 등이 DDoS 공격으로 막대한 피해를 입으면서 최근 DDoS 차단 전용장비인 Anti-DoS가 기업 보안의 필수 요소로 자리 잡고 있다. 이에 따라 Anti-DoS 솔루션 시장 역시 점차 확대되고 있다.

과거의 보안 방법을 살펴보면 수많은 기업들이 방화벽(Firewall)을 통해 모든 통로를 막고 네트워크를 보호해왔다. 그 후 90년대 후반에는 승인된 특정 접속만을 허용해 외부 접근으로부터 내부 네트워크를 보호하는 보안 방법이 보편화됐다. 2000년 초반에 들어서는 DoS(Denial of service: 서비스거부) 공격과 같이 유해 트래픽을 유발하는 웜 바이러스가 기승을 부리면서 패턴 기반으로 이를 차단하는 침입방지시스템(IPS)이 등장, 현재까지 엔터프라이즈 네트워크의 표준이 되고 있다.

그러나 방화벽과 IPS를 통해 커다란 보안 이슈 없이 지내온 시간은 불과 3~4년에 지나지 않으며 2006년 하반기 들어 등장한 봇넷(Botnet)에 의해 네트워크 업계는 보안을 위한 치열한 전쟁을 또 다시 시작하게 됐다.

봇(Bot)은 불특정 다수의 PC를 좀비처럼 만들어 사용자도 모르는 사이 스팸이나 바이러스 등을 전파하도록 하는 악성코드다. 봇에 감염된 PC는 네트워크를 통해 거대한 집단인 봇넷으로 발전해 해커가 원격으로 내리는 지령에 따라 움직인다.

특히 해커의 지령은 ‘특정 사이트로 무차별 공격 트래픽을 보내라’와 같이 위협적이어서 DDoS 공격의 심각성이 더욱 증가된다. 2007년 한 해 DDoS 공격의 피해가 산발적으로 발생하기 시작해 2008년 들어서는 봇넷의 규모가 확대되고 기술적으로 발달하면서 유명한 대형 사이트를 타깃으로 한 DDoS 공격이 잇따르고 있다. 특정 사이트는 물론 나아가 하나의 IDC 전체가 마비될 정도의 강력한 트래픽을 유발할 뿐 아니라 기술적으로도 교묘해지면서 보안관리자들에게 가장 위협적인 요소로 떠오르고 있다.

다양한 보안 위협에 효율적 투자 필요

기업의 보안관리자들은 DDoS 공격으로부터 안전할 수 있는 방법을 모색했으며 그들의 고민을 해결하기 위해 등장한 것이 바로 Anti-DoS 솔루션이다. 현재 금융권을 비롯해 포털사이트, 인터넷 쇼핑몰 등 수많은 기업들이 안정적인 웹 서비스 제공을 위해 끊임없이 도입하고 있다. 그러나 시간이 지날수록 다양한 보안 위협요소들이 등장한 것처럼 DDoS 공격 또한 더욱 다양해지고 공격 방법이 간편하고 쉬워지는 등 모멘텀은 지속되고 있다. 게다가 Anti-DoS 솔루션만으로는 차단이 불가능한 서버 크래킹(Server Cracking) 및 피싱(Phishing) 등이 근래에 급격하게 증가하는 추세다.

최근 글로벌 경기 위축으로 인해 비용절감 부분이 가장 큰 이슈로 떠오르면서 네트워크 및 보안 관리자들에게 최적의 비용으로 서비스의 연속성를 보장해야 한다는 미션이 주어진 것. 따라서 효율적인 투자로 최상의 서비스를 구현할 수 있는 방법을 제공해 고객들의 고민을 해결해 줘야 한다. 이를 위해 비용 절감과 네트워크의 단순화를 필요로 하는 시장의 요구를 충족시키는 IPS와 Anti-DoS 솔루션 각자 기능만 수행하는 것이 아닌 IPS와 Anti-DoS 기능을 함께 갖춘 솔루션의 도입도 필요하다.

Anti-DoS IPS 솔루션은 과거 다양한 보안 기능을 단일 제품에 구현해 시장에서 잠시 주목을 끌었던 UTM(Unified Threat Management, 통합보안장비)과는 많은 차이가 있다. 첫째로 UTM은 소규모의 네트워크에 적합한 솔루션이며 둘째, 매우 기본적인 수준의 보안 기능만 구현해 놓았다. 그리고 셋째로는 필요한 보안 기능을 모두 사용하기에는 하드웨어 플랫폼의 성능이 이를 뒷받침하지 못한다는 것이다.

반면, Anti-DoS IPS 솔루션은 최근 급격하게 발전한 하드웨어 기반 실리콘 기술과 고성능 멀티코어 CPU 탑재를 통해 두 가지 보안 목표를 달성하기 위한 성능과 기능 발휘를 수행하기에 충분한 여력을 갖추고 있다. 뿐만 아니라 공격자들이 노리는 보안 허점을 하나의 유닛에서 효과적으로 차단시켜주는 장점이 있다.

IPS같은 복합적 차단 능력 필요

공격 시 자주 발견되는 사례로 공격자들은 네트워크 구조를 스캐닝하며 보안 허점을 찾아낸 뒤 설치된 여러 보안 장비들이 조금씩 지니고 있는 그림자 영역을 찾아내고 단계별 공격 전술을 통해 서비스를 무너뜨리는 전략을 구사한다. 예를 들어 양으로 승부하는 플러딩 공격이 Anti-DoS 솔루션에 의해 차단되면 이를 HTTP 플러딩으로 전환해 정상적인 트래픽으로 서버에 부하를 가하게 된다.

이조차도 시간이 지나 관리자의 조치로 차단된다면 서버 OS나 애플리케이션의 허점을 이용한 크래킹, 멜웨어, 대량 SQL 인젝션 공격 등으로 공격 방향을 전환하게 된다. 이는 세계적인 IT 리서치 기관의 전문가들이 분석한 향후 보안 예측과도 일치한다.

실제로 가트너 그룹(Gartner Group)에서는 “금전 취득을 목적으로 삼는 해커들은 패치되지 않은 PC나 서버를 공격 목표로 삼지 않으며 이들은 대상이 분명한 멜웨어를 주로 이용하는데 이는 매우 심플한 공격이지만 시그니처 기반의 감지와 차단을 필요로 한다”고 향후 다가올 보안 위협을 경고하고 있다. IDC에서는 “최근 들어 해커들이 취약점 없이도 악성 도구를 삽입할 수 있는 기술 수준으로 발전하고 있다”며 밝힌바 있다.

또한 프로스트 앤 설리번(Frost & Sullivan)에서는 “해커들은 피싱 어택, 멜웨어, 봇넷 임대를 통한 공격을 이용해 더 많은 돈을 벌 수 있다는 것을 알고 있으며 현재 암시장에서는 이러한 공격을 통해 얻은 지적 재산 및 신용카드 번호, 개인 정보가 활발하게 거래되고 있다”며 “향후에는 조직적으로 복합적인 성격을 가진 공격을 수행하는 형태가 증가할 것”이라고 예측하고 있다.

이러한 공신력있는 IT 리서치 기관에서 발표한 자료의 공통점은 IPS는 여전히 필요하며 Anti-DoS 솔루션 또한 필요하다는 것이다. 전문적인 해커들에게 DDoS 공격은 그들의 가진 무기의 하나일 뿐이며 그들은 지금도 새로운 공격 방법을 만들어내고 있다. 이를 차단하기 위해서는 더 복합적인 차단 능력을 지원하는 방패가 필요한데 그것이 바로 다름 아닌 우리가 잘 알고 있는 IPS다.

지난 2008년만큼 보안 이슈가 많았던 해가 없었던 것 같다. 이러한 한 해가 지나가고 2009년 새해가 밝아왔지만 지금도 다양한 DDoS 공격과 피싱, 서버 크래킹 형태의 공격들이 끊이지 않고 있다. 새해에 이러한 보안 위협으로부터 효과적으로 대응하기 위한 계획을 세우고 있다면 Anti-DoS 솔루션과 더불어 IPS도 함께 고려할 것을 권장하고 싶다.

특히 투자비용 절감이 화두가 되고 있는 요즘 같은 시기라면 Anti-DDoS 솔루션과 IPS의 두 가지 기능을 모두 지원하는 솔루션의 도입은 현명한 선택이다. 경제 침체라는 악재가 기업들에게는 합리적인 보안 전략을 수립할 수 있는 탁월한 안목을 키워 서비스 보안 능력을 강화시킬 수 있는 호재가 되기를 바란다.