대규모 네트워크에서 DDoS 공격의 발생여부를 효과적으로 모니터링하고 비용 대비 효과적인 DDoS 공격 차단을 제공하며 부가적으로 ISP 네트워크의 상세 트래픽을 분석하고 효과적으로 Managed DDoS Service를 제공할 수 있는 Flow Based DDoS 대응시스템 구축 방안에 대해 살펴보고자 한다.

Flooding 형태의 DDoS 공격이 아직 위력을 발휘하고 Application 취약점이나 그 특성을 이용하는 새로운 형태의 DDoS 공격이 끊임없이 나타나고 있기 때문에 DDoS는 네트워크와 보안 분야에서 가장 뜨거운 감자가 되었다. 신문지상에서 특정 인터넷 기반 서비스(쇼핑몰, 게임 등)가 중단되었다거나 ISP 네트워크 인프라를 직접 공격하여 전체 인터넷 서비스가 일시적으로 중단되는 문제가 발생하였다는 것을 심심찮게 볼 수 있는 것이다.

이에 인터넷 관련 서비스를 제공하는 모든 사업주체(사용자, 컨텐츠 제공자, 기업, ISP)들은 DDoS 공격에 대응할 수 있는 시스템의 도입을 적극적으로 검토하고 부분적으로는 이미 사용하고 있지만 상대적으로 네트워크 규모가 대용량이고 대규모인 ISP 사업자는 시설 투자를 위한 비용부담은 큰 반면, 그에 따른 투자비를 회수할 수 있는 서비스 모델이 마땅하지 않는 것이 현재의 상황이라고 할 수 있다.

이에 본고에서는 ISP 사업자의 대규모 네트워크에서 DDoS 공격의 발생여부를 효과적으로 모니터링하고 비용 대비 효과적인 DDoS 공격 차단을 제공하며 부가적으로 ISP 네트워크의 상세 트래픽을 분석하고 효과적으로 Managed DDoS Service를 제공할 수 있는 Flow Based DDoS 대응시스템 구축 방안에 대해 살펴보도록 하겠다.

ISP 상용 네트워크에서의 DDoS 공격 탐지 및 차단 구현

DDoS 공격은 인터넷에 산재해 있는 Zombie화된 Bot들이 Hacker의 공격명령에 따라 특정 네트워크나 서버로 대용량의 트래픽을 발생시키는 방식으로 전개된다. 따라서 Bot Master 역할을 하는 Hacker와 중계 시스템으로 이용되는 C&C(Command & Controller), 그리고 개별 Bot들을 신속히 찾아내는 것이 우선이라고 할 수 있다. 그러나 보안에 취약한 상태로 노출된 사용자의 단말을 은밀하게 Bot으로 만들고 C&C를 경유하는 대단위의 Overlay BotNet을 구축하는 Hacker를 ISP 사업자가 단독의 힘으로 이를 찾기 어렵기 때문에 ISP 사업자는 외부로부터의 DDoS 공격의 유입을 신속히 탐지/차단하고, 관련 Attack 정보를 유관기관에 신속히 통보하며 ISP 내부 네트워크에 존재하는 Zombie화된 Bot들을 찾아내고 조치하는 것이 가장 현실적인 대안이라고 할 수 있을 것이다.

이를 기반으로 DDoS 공격의 탐지와 차단을 ISP의 상용 네트워크에서 구현하고자 할 때 고려해야 할 사항으로는 첫째, DDoS 공격의 유입이 가능한 외부 연동 네트워크의 규모가 작게는 수십 기가급에서 많게는 수 테라급에 이른다는 것과 둘째, 최신의 DDoS 공격패턴을 신속히 반영하고 다른 ISP와의 DDoS 정보를 교환할 수 있는 정보의 공조체계를 구축하여야 한다는 것, 셋째, DDoS 공격의 탐지와 차단이 기존의 네트워크 서비스에 영향을 주지 않아야 한다는 것, 끝으로 네트워크 규모만큼 커질 수 있는 DDoS 탐지/차단 시스템들의 통합적인 관리가 가능하여야 한다는 것이다.

먼저 ISP가 가지고 있는 대용량 연동용 네트워크에서 DDoS 공격의 발생여부를 탐지하고자 할 때에는 그 목적에 맞는 장비를 선택해야 한다. 즉, 네트워크 모니터링의 목적이 개인 사용자의 인터넷 요금을 산정하기 위한 사용트래픽의 상세한 분석이나 개별 Application의 응답속도를 측정하는 것이 아니라 일반적인 상황과는 다른 특수한 형태의 트래픽 패턴을 나타내는 DDoS 공격의 탐지에 있다는 것이다. 이를 위해서는 우선적으로 ISP의 전체 연동 네트워크가 모니터링의 대상이 되어야 한다는 것이고 ‘전체 네트워크를 효과적으로 탐지할 수 있는 수단이 무엇인가’라는 명제 하에 적정한 장비를 선택하여야 할 것이다.

본고에서 논의하고자 하는 Flow 기반의 DDoS 탐지 시스템은 위와 같은 요구조건을 모두 만족하는 수단임을 표 1에서 확인할 수 있으며 이는 거의 대부분의 해외 ISP 사업자가 이미 사용 중에 있는 방식이라고 할 수 있다.

그렇다면 DDoS 탐지를 위해 이용하는 Flow에는 어떤 정보가 포함되어 있을까?

Flow 정보는 각 네트워크 제조사마다 다른 이름(시스코 - netflow, 주니퍼 - cflow, 포스텐 - sflow)을 사용하고 있으나 그 내용은 거의 유사하며 여기에는 현재 시스템(라우터나 스위치)이 처리하고 있는 패킷의 주요 정보, 즉 Source와 Destination IP 주소, TCP/UDP 여부, TCP일 경우는 Flag 정보, Packet수/Byte수, Inbound/Outbound 인터페이스 정보가 포함되어 있다.

ISP 연동 네트워크의 모든 라우터나 스위치로부터 상기의 정보가 통합 분석된다면 외부에서 유입되거나 외부로 유출되는 모든 DDoS 공격의 탐지가 가능해 질 수 있는 것이다.

또한 네트워크의 규모와 용량이 증가함에 따라 생성/처리해야 할 flow가 지나치게 많아지면서 네트워크 장비와 분석시스템의 과부하가 발생하는 문제가 발생하였는데 이에 대한 대안으로 sampled flow 정보를 이용한 DDoS 탐지가 현재 일반적으로 사용되고 있다. 이는 모든 packet에서 flow를 만드는 것이 아니라 일정 비율의 packet 단위에서 flow를 생성하고 분석한다는 것인데 여기서 관건이 되는 것은 ‘Sampled flow 방식의 신뢰도를 어떻게 보장할 것인가’이다. flow기반 DDoS 분석 시스템마다 사용 기술에 차이는 있으나 대개는 flow에 포함된 inbound와 outbound interface index를 기준으로 트래픽의 유입/유출량을 계산하고 이를 라우터나 스위치가 SNMP로 전달하는 인터페이스의 트래픽 사용량이 일치하는 sampling 주기를 맞춰가는 방식으로 정확도를 보장하고 있다. 

모니터링할 네트워크 장비의 트래픽을 사용량에 따라 sampling ratio는 결정되지만 통상 access구간의 router는 1:1,000, distributor구간의 switch/router는 1:5,000, 그리고, border/peer구간의 router는 1:10,000 정도의 비율로 sampling ratio를 적용하는 것이 일반적이다.

또한 flow정보를 이용하여 ISP내부에서 외부로 나가는 DDoS 공격과 외부에서 유입되는 DDoS 공격을 탐지할 수 있을 뿐만 아니라 ISP내부에서 Worm에 감염된 단말들을 색출할 수 있다. 아울러 모니터링 대상 네트워크 별로 트래픽의 사용량에 대한 정보 분석이 가능하고 BGP 정보와 연계할 경우에는 Peering ISP들과의 트래픽 현황의 분석이 가능하다.

DDoS 공격 정보 공유하는 공조체계 구성 필요해

두 번째 고려 사항, 즉 최신의 DDoS 공격 정보를 신속히 입수하는 것은 DDoS 전문회사로부터 전문화된 서비스를 받는 것과 동종 ISP와 DDoS 공격 정보를 공유하는 공조체계를 만드는 것으로 해결될 수 있을 것이다.

설립 초부터 DDoS 공격의 탐지/차단 전문회사를 지향해 온 Arbor Networks는 전 세계 70% 이상의 ISP에 관련 제품을 공급하고 있을 뿐만 아니라 주요 Service Provider Network에 설치된 Sensor로부터 DDoS 관련 정보를 수집/분석하고 위협 대책을 마련한 후에 전 세계 DDoS Activity Report 형태로 그 정보를 http://atlas.arbor.net/에 실시간으로 제공하고 있다. 특히 위협 대책은 상용 망에 운영중인 모든 Arbor SP CP DDoS 탐지 장비로 실시간 update되어 최신의 DDoS 공격에 효과적으로 대응할 수 있게 한다.

또한 Arbor SP CP 탐지장비를 사용하는 ISP 사업자 사이에 DDoS 공격정보를 공유할 수 있는 Fingerprint Sharing Alliance를 제공하고 있고 현재 110여 ISP가 이에 참여 중에 있다. 이를 통해 각 ISP 사업자는 최신의 DDoS 공격정보(공격자 IP 주소, 서비스 포트, 트래픽 사용량)를 공유할 뿐만 아니라 DDoS 공격의 근원지에서 신속하게 차단할 수 있는 DDoS 공조체계를 구축할 수 있게 된다.

기존 서비스에 영향을 주지 않아야

DDoS 공격의 탐지와 차단을 ISP의 상용 네트워크에서 구현하고자 할 때 고려해야 할 세 번째 사항은 기존 서비스에 영향을 주지 않는 DDoS 대응시스템의 구축이다.

익히 알려져 있는 바와 같이 중단 없는 인터넷 서비스의 제공이 ISP 네트워크의 핵심 요소이기 때문에 DDoS 공격의 탐지와 차단 과정에서 네트워크 서비스를 중단시킬 수 있는 형태의 방법론은 지양하는 것이 국내외 ISP의 공통점이라고 할 수 있다. 결국 IN-Line 형태로 상시 모니터링 하다가 DDoS 공격이 발생할 경우에 해당 트래픽만을 차단시키는 형태의 장비는 탐지와 차단의 전체 과정에서 발생할 수 있는 서비스 중단의 위험이 높기 때문에 ISP 사업자가 선호하지 않는 솔루션이라고 할 수 있다. 이러한 단점들을 효과적으로 극복할 수 있는 형태가 out-of-path DDoS 차단 전용 네트워크의 구축이라고 할 수 있다.

DDoS 공격이 발생하기 전까지 모든 네트워크 서비스는 기존 라우터와 스위치를 이용하므로 DDoS 탐지 활동으로 문제가 될 수 있는 소지가 전혀 발생하지 않는다. 그러다가 DDoS 공격이 발생하면 DDoS 공격으로 의심되는 트래픽만 DDoS 차단 전용장비로 우회시키고 DDoS 차단 전용 장비에서 다양한 내부 필터를 이용하여 DDoS 트래픽만을 차단한 후에 정상 트래픽은 서비스가 가능하게 한다. 결국 DDoS 공격이 발생하는 상황에서도 공격받지 않는 기존 트래픽들은 기존 네트워크를 그대로 사용하기 때문에 안정적으로 보호받게 되고 DDoS 공격을 받는 서비스 트래픽들만 DDoS 차단 시스템으로 우회되기 때문에 서비스에 끼치는 영향이 최소인 형태의 DDoS 대응시스템이라고 할 수 있다.

끝으로 DDoS 대응시스템의 기능과 성능만큼 중요한 것은 실제 운영에 도움을 줄 수 있는 통합관리기능의 구현이라고 할 수 있다. ISP는 연동 네트워크의 수가 많아 상시 운영해야 할 탐지/차단 시스템 또한 많아질 수밖에 없는데 이들에 대한 효과적인 관리는 네트워크 운영의 필수적인 요소라고 할 수 있다. 만약 임의의 네트워크로 유입되는 DDoS 공격의 분석이 개별 시스템 단위 별로 이뤄지고 DDoS 트래픽의 차단 결과도 개별 시스템에서 확인해야 한다면 긴박한 DDoS 공격 상황을 운영자가 극복하기가 매우 어려워진다. 즉 확인하고 조치해야 할 것들이 너무 많게 되므로 효과적으로 DDoS 공격에 대응할 수 없게 되는 것이다.

또한 네트워크가 커지거나 운영상의 필요에 따라 DDoS 대응시스템을 확장하고자 할 경우에도 시스템은 통합적으로 관리될 수 있어야 한다. 따라서 DDoS 모니터링과 차단은 연속적으로 하나의 시스템에서 통합 관리되어야 하며 시스템 상호간의 연동도 통합적으로 이뤄져야 할 것이다.

기본적인 UI 통합관리가 제공되어야 효과적

또한 최근 들어 IDC 사업자가 본격적으로 제공하고 있는 Managed DDoS Service도 DDoS 대응시스템의 효과적인 관리가 필수적이라고 할 수 있다. ISP 자체를 위한 시스템이 아니라 고객을 위한 유상 서비스이기 때문에 일정 수준 이상의 DDoS 관련 정보를 제공할 수 있어야 하는데 통합 관리된 Database에서 각 고객별 User Interface(UI)만을 추가하는 형태로 서비스를 제공하는 것이 가장 바람직한 서비스 모델일 것이다.

서비스를 위한 별도의 플랫폼을 개발하고 이를 기존 시스템과 연동해야 하고 시스템을 추가하거나 변경할 때마다 일일이 UI를 수정해야 한다면 배보다 배꼽이 더 큰 서비스로 모델로 전락할 우려가 있다. 따라서 기본적으로 DDoS 대응시스템에서 기본적인 UI의 통합관리가 제공되어야 효과적인 Managed DDoS 서비스의 제공이 가능할 것이다.

이상의 결과를 종합해 볼 때, ISP 사업자를 위한 가장 효과적인 DDoS 대응시스템 구축방안은 ISP의 전체 네트워크를 상시적으로 감시할 수 있는 flow 기반의 DDoS 탐지 시스템을 구축하고 Out-of-Path 네트워크에서 DDoS 공격만을 우회시키며 차단할 수 있는 DDoS 차단시스템을 서비스 단위 별로 구축하되 모든 대응시스템들이 통합적으로 관리될 수 있는 형태의 솔루션이 가장 바람직하다고 할 수 있다.

<글 : 이재석 Arbor Networks 기술이사(jlee@arbor.net)>

[월간 정보보호21c 통권 제107호 (info@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>