• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

[ISEC 2009]DDoS 실전 보안기술, 어떤 것들이 있나? 2009.09.02

라드웨어 이진원 DDoS 보안 책임엔지니어

‘DDoS 실전 보안기술’ 발표 예정


행정안전부 주최로 9월 8일부터 9일까지 서울 삼성동 코엑스 1층 그랜드볼룸에서 개최되는 보안컨퍼런스 ‘ISEC 2009’에서 첫째날 트랙A 4번째 강연자로 나서는 이진원 라드웨어코리아 DDoS 보안책임 엔지니어는 ‘DDoS 실전 보안기술’이란 독특한 주제로 강연을 펼친다. 8일 펼쳐지는 이날 강연 내용은 다음과 같다.

 

 

7월초 대한민국을 뒤흔들었던 7.7 DDoS대란에 대한 피해 규모, 좀비PC 감염 경로 등이 하나씩 파악되면서 사태가 마무리 국면에 접어드는 듯 하다. 물론 공격 목적이나 배후 등은 여전히 오리무중이지만 이번 DDoS대란은 IT시장 전반에 ‘체계적으로 준비된 보안의 중요성’을 다시금 각인시키는 계기가 됐다는 점에서 교훈이 크다고 할 수 있다.


이번 7.7 DDoS 대란의 공격 유형이 과거 DDoS공격의 유형과 달랐던 점은 사전 준비 단계부터 매우 치밀하게 좀비 PC의 감염과 수집 과정이 있었다는 것이다. 또한 공격 초기 단계에서 역수사·역추적이 불가능하도록 중간 C&C 서버를 지능적으로 활용해 증거 은닉을 미리 준비해 왔으며 좀비 PC 치료 백신이 발표된 후에는 백신업체까지 공격하는 체계적인 실시간 공격 유형과 함께 대형화된 봇넷을 이용한 위협도 이번 공격의 특징으로 꼽을 수 있다.


이처럼 준비 단계에서부터 치밀하게 계획하고 상황에 따라 공격 유형을 수시로 변경하는 DDoS공격으로부터 피해를 최소화하기 위해서는 대응책 역시 보다 전략적이고 선제적으로 수립돼야 할 필요가 있다는 것이 이진원 DDoS 보안 책임 엔지니어의 말이다.


이에 이진원 엔지니어는 ‘선제적인 DDoS 보안 전략’이라는 것은 향후 예상할 수 있는 DDoS공격 유형에 대한 모든 가능성을 열어놓고 사전에 분석하여 각 공격 유형에 대한 대응 방안을 선제적으로 준비하고 있어야 함을 의미한다며 주요 IT 보안 분석기관은 향후 발생 가능한 DDoS 공격 유형을 크게 4가지로 전망하고 이에 대응 방안 등을 이번 강연을 통해 펼칠 예정이다.


이번 7.7 DDoS 대란에서 활용되었던 ‘취약점+비취약점 복합 DDoS 공격’을 비롯해 일반적인 IPS 및 기초적인 DDoS 보안 솔루션을 우회하기 위한 ‘SSL 암호화 DDoS 공격’, VoIP 인프라의 취약점을 악용한 ‘SIP DDoS 공격’, 그리고 초기 구축 IPv4/IPv6 연동 인프라의 취약점을 이용한 ‘IPv6 주소 기반의 DDoS 공격’ 등이다.


IT 보안 분석기관에서 전망한 공격 유형이 실제로 우리의 네트워크 환경에서 발견되고 있다는 것은 시사한 바가 크다. SSL 암호화 DDoS공격은 게임사이트를 위주로 올해 상반기부터 피해사례가 발견되고 있으며 VoIP기반의 DDoS공격은 가장 큰 피해로 다가올 공격유형이다. 특히 2010년 공공기관에서는 IPv6 인프라를 필수적으로 구축해야 하므로 IPv6 주소 기반의 DDoS공격에 대한 각별한 주의를 기울여야 할 것으로 보인다.


사건 발생 직후 정부와 관련 업계는 제2, 제3의 DDoS 대란을 대비하기 위한 후속 조치마련을 위해 분주한 모습이다. 이런 시장 상황을 반영하듯이 그 동안 다른 용도로 사용되던 솔루션이 하루 아침에 DDoS 보안 솔루션으로 탈바꿈하는 웃지 못할 사례도 발견되고 있다고 한다. 따라서 DDoS 보안 솔루션 도입을 고려하는 기업은 해당 솔루션에 과거/현재의 공격 유형과 미래 예측 가능한 공격 유형에 대한 분석과 대응 방법론이 반영되어 있는지 꼼꼼히 살펴보고 선정하는 것이 어느 때보다 중요한 시점이다.


기업 보안관리자의 현명한 선택은 추후 발생할 수 있는 DDoS 침해사고로부터 기업을 보호하기 위한 최소한의 의무이며 책임이다. 마지막으로 현재의 평화로움은 DDoS공격자들이 잠시 휴식을 취하고 있기 때문이라는 사실을 잊지 말았으면 한다. 우리가 잠시 방심한 사이에 내일이라도 당장 7.7 DDoS대란을 뛰어넘는 제2, 제3의 메가톤급 공격이 시작될 지도 모를 일이다.


■ 참관안내: www.isecconference.org 접속 ->사전참관등록->승인메일 발송->승인메일 출력후 ISEC 2009 현장서 제출->패찰 및 발표자료집 받음.

[김정완 기자(boan3@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>