“최선의 DDoS 대응은 솔루션 간 통합보안 연계체계 구축!”

올해 보안업계에 있어 가장 큰 이슈 중 하나는 단연 분산서비스거부공격(DDoS)일 것이다. 지난 7.7 DDoS대란은 2달여가 지난 현재까지도 그에 대한 관심이 식지 않았을 뿐 아니라 이후 보안시장에 있어서도 DDoS 제품에 대한 관심은 끊이지 않을 전망이다.

지난 9월 8일, 9일 양일간 서울 삼성동 코엑스 그랜드볼룸에서 행정안전부 주최로 개최된 국제정보보호 컨퍼런스 ‘ISEC 2009’에서도 DDoS공격에 대한 주제로 펼쳐진 강연들 역시 지대한 관심을 보이며 참관객들로 하여금 높은 호응을 받았다. 특히 ‘ISEC 2009’ 첫째날인 8일 트랙A은 DDoS트랙이라고 불릴 만큼 오직 DDoS 관련 주제들로만으로 펼쳐졌다.

우선 노철희 모젠소프트 대표는 바이러스와 DoS→웜→봇넷 DDoS→자체 실행 DDoS→차기 DDoS 등 네트워크 위협의 진화를 소개하면서 그 세부적인 특징을 설명하고, 지난 7.7 DDoS대란을 예로들며 최근 DDoS공격의 특징으로 ▲봇넷 프로그램 자동 실행 ▲자기방어 동작 ▲바이러스와 DDoS 결합 ▲피해의 대형화 ▲복작해진 공격 등을 들으며 기존 대란 보다 훨씬 큰 피해를 야기 할 수 있는 새로운 유형의 DDoS공격이 가능하다고 향후 DDoS공격을 예측했다.

또한 노철희 대표는 이러한 DDoS공격에 대응하기 위해서는 기존의 수동적인 대응 프로세스 역시 그에 맞게 자동 대응 프로세스를 갖춰야 하며, 방화벽이나 라우터의 보안정책 설정 등을 통한 기본 장비의 활용이 필요하지만 무엇보다 DDoS전용시스템을 구축할 필요가 있다고 역설했다.

주문돈 퓨쳐시스템 연구소장 역시 7.7 DDoS대란에 초점을 맞춰 DDoS를 소개하는 한편 이번 7.7 DDoS공격 시 악성코드가 중요한 역할을 한 만큼 DDoS에 있어 악성코드의 변천을 상세하게 짚어 주었다. 그리고 그러한 DDoS공격을 1세대와 2세대로 나누면서, 1세대 DDoS는 봇을 공격의 주체로, 대역폭(Bandwidth) 고갈, 서버 리소스 고갈 등의 공격 효과를 노리는 한편 이에 대한 대응은 신속한 시그니쳐 생성이 관건인 반면, 2세대 DDoS는 스마트 봇을 공격 주체로 서비스를 불능 시키는 효과를 내고 그 대응으로는 자동화 서비스 가용성 보장이 무엇보다 중요하다고 말했다.

특히 주문돈 소장은 “1세대 DDoS가 NBA(Network Behavior Analysis)를 기반으로 해 네트워크의 트래픽을 수집·분석해 행위 프로파일 및 정상적인 행위에 대한 임계값을 도출하고, 도출된 임계값을 기반으로 현 네트워크 트래픽의 비정상적인 행위탐지를 한다”고 말하고 “그에 반해 향후 2세대라 할 수 있는 소위 2.0 DDoS는 ABA(Application Behavior Analysis) 기반으로 애플리케이션 트래픽을 수집·분석해 행위 프로파일 및 정상적인 행위에 대한 임계값을 도출해, 도출된 임계값을 기반으로 현 트래픽의 비정상적인 행위를 탐지하며 NBA 방법론은 따르되 판단 기준을 네트워크에서 애플리케이션 정보로 변경한다”고 예측했다.

그리고 이진원 라드웨어코리아 과장은 DDoS 실전 보안 기술을 통해 미리 준비해야 할 DDoS 보안위협에 대해 강연을 펼치며 “준비 단계에서부터 치밀하게 계획되고 상황에 따라 공격 유형을 수시로 변경되는 DDoS공격으로부터 피해를 최소화하기 위해서는 대응책 역시 보다 전략적이고 선제적으로 수립할 필요가 있다”고 강조했다.

즉 이진원 과장은 “선제적인 DDoS 보안 전략이라는 것은 향후 예상할 수 있는 DDoS공격 유형에 대한 모든 가능성을 열어놓고 사전에 분석해 각 공격 유형에 대한 대응 방안을 선제적으로 준비하고 있어야 함을 의미한다”며 “주요 IT보안 분석기관은 향후 발생 가능한 DDoS공격 유형을 크게 4가지로 전망했으며 이에 대응 방안 마련 및 주의를 요하고 있다”고 밝혔다.

특히 이진원 과장은 “IT보안 분석기관에서 전망한 공격 유형이 실제로 우리의 네트워크 환경에서 발견되고 있다는 것은 시사하는 바가 크다”며 “SSL 암호화 DDoS공격은 게임사이트를 위주로 올해 상반기부터 피해사례가 발견되고 있으며, VoIP기반의 DDoS공격은 가장 큰 피해로 다가올 공격유형”이라고 예측했다.

아울러 우종식 LG CNS 보안개발팀 부책임은 네트워크 기반의 보안솔루션을 1세대부터 4세대로 각각 방화벽, 침입탐지시스템(IDS), 침입방지시스템(IPS), 분산서비스공격탐지시스템(DDoS)로 나눠 설명하면서 이들 네트워크 기반의 탐지 솔루션의 한계를 지적하고 이를 극복하기 위해서는 이들 솔루션 간의 통합 연계 체계 구축이 무엇보다 필요하다고 역설했다.

즉 우종식 부책임은 “각 솔루션은 자신만의 특화된 네트워크/시스템 영역만을 보호하고, DDoS공격의 대응은 단일 물리적 위치에서만 대응이 불가능한 만큼 효과적인 DDoS 대응체계 구축을 위해서는 솔루션 간 통합 보안 운영 관리 체계 구축이 필요한 것”이라고 설명했다.

특히 우종식 책임은 “다수의 공격 탐지 솔루션이 존재하지만 진화된 DDoS공격을 막기 위해서는 각 공격 탐지 솔루션 간의 연계가 필요하다”고 거듭 강조하고 “현존하는 제품군으로 완벽하게 공격을 탐지·차단하기는 힘들지만 서비스 지속을 위한 공격 완화는 가능한 만큼, 끝도 없는 싸움에서 승·패자가 없는 이상 지속적인 업그레이드와 빠른 대응만이 DDoS공격을 방어할 수 있는 최선의 해결책”이라고 강조했다.

한편 이날 DDoS 관련 강연으로 행안부 정부통합전산센터 보안관리과에서 근무하고 있는 최상용 직원은 ‘DDoS공격에 대한 정부 대응 사례’라는 주제로 지난 7.7 DDoS대란에서 정부통합전산센터의 대응 체계 및 결과, 결과 분석 등을 발표했다.

[김정완 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>