지난 2009년 최대 보안 이슈였던 지난 7.7 DDoS 대란으로 인해 청와대, 국회, 은행, 등 주요 정부기관과 일부 포털 사이트의 온라인 서비스가 중단되는 사태가 벌어져 사회적인 큰 이슈가 되었다. 이후 Anti-DDoS 솔루션은 정부에서도 많은 관심을 갖고 있으며 국내 시장에서도 다양한 기술로 개발된 Anti-DDoS 솔루션들이 봇물 터지듯 출시되고 있어 Anti-DDoS 솔루션 붐이 일고 있다.

최근 DDoS 공격(Distribute Denial of Service attack) 양상은 서비스에 직접적인 영향을 끼치고 있음에도 불구하고 기존의 보안솔루션이나 체계로는 방어하기가 어려운 상황이다. 이와 동시에 최근에는 ‘이용자 보호’, ‘지속 가능 경영’ 등을 위협하며 금전을 요구하는 협박의 형태로 점점 더 많은 기업과 기관 등에 심각한 위해를 가하고 있다.

특히 지난 7.7 DDoS 공격 이후 각 기업과 공공기관에서는 보안에 대한 관심이 어느 때 보다 강화됐다. 정부에서는 이에 관련된 예산을 증액한다고 발표했고 관련 업체에서는 시장 선점과 경쟁력 우위를 차지하기 위해 앞다투어 Anti-DDoS 신제품들을 출시하고 있다. 국정원에서는 DDoS 전용 장비들의 테스트를 진행하고 있으며 한 차원 강화된 신제품들이 속속 출시되고 있어 향후 Anti-DDoS 솔루션 도입을 계획하거나 도입하고자 하는 기업이나 공공기관들은 선택의 폭이 넓어졌으나 그에 대한 정확한 정보가 부족하다. IT 인프라 전체를 대상으로 한 DDoS 공격은 네트워크에 대용량의 악성 트래픽을 발생시킴으로 기업과 공공기관들의 서비스를 중단시킬 수 있는 위협적인 보안이슈로 부상했다. 기업과 공공기관의 서비스 중단은 곧 각 기관들의 사활이 걸려있는 것이므로 이대로 방치할 수 없다.

이에 각 기업과 기관들은 DDoS 공격이 인터넷과 연결된 모든 자원들이 공격대상이 될 수 있다는 점과 금전적인 목적, 사회적인 이슈를 만들기 위한 목적으로 이용되고 있으며 공격방법이 다양화및 복합화되고 있음을 인식해야 하며 DDoS 공격의 대응체계 구축은 이제 선택이 아니라 필수적이라는 것을 명심해야 할 것이다.

DDoS 공격 방어의 종합 프로세스 제공하는

안철수연구소 ‘TrusGuard DPX’

안철수연구소 TrusGuard DPX 2000/6000은 10Gbps Network 환경까지 수용 가능한 Inline 방식의 DDoS 공격 방어 장비로 안철수연구소의 악성 코드 분석을 전담하는 ASEC과 보안 관제 서비스를 제공하는 CERT의 서비스를 융합하여 DDoS 공격 방어의 종합적인 프로세스를 제공하는 새로운 개념의 DDoS 공격 방어 전용 장비다.

DDoS 공격 방어는 Zombie PC 감염의 예방부터

DDoS 공격은 악성코드에 감염된 Zombie PC를 공격자가 원하는 목적지로 대규모 트래픽을 발생시키는 과정으로 일어난다. 과거 Zombie PC를 직접 제어하는 C&C(Command & Control) 서버가 있는 구조거나 혹은 2009년 7.7 DDoS 대란과 같이 C&C 서버를 은폐하는 구조 형태 모두 악성코드 감염으로 인한 Zombie PC 감염은 동일하다. 따라서 이제는 단순히 네트워크 레벨에서의 DDoS 공격 방어가 아닌 ‘공격을 유발하는 Zombie PC의 악성코드 치료·전용 장비에서의 정책 튜닝 작업 등 최적화 작업·Zombie PC의 감염/전파 예방’의 종합적인 방어 프로세스를 통한 DDoS 공격 방어가 필요한 시점이다.

‘사전 예방’부터 ‘사후 관리’ 프로세스까지 제공

• Agent 기반의 악성 코드 분석 기술과의 연계 : 안철수연구소의 V3 기반의 악성코드 분석 기술을 이용해 악성 코드 전파 정보, 악성 코드 유포지 및 C&C 서버 정보 차단 등의 정책을 실시간으로 업데이트 한다. 즉, End-point 기반의 Agent와 Network 기반의 DDoS 공격 모니터링 시스템을 연계하여 악성 코드 발견 시 실시간 분석 및 방어 기능을 제공한다.
• 오탐을 최소화하는 세분화된 정책 자동 학습 기능 : 각 네트워크 환경에 따라 트래픽 유형별 정책을 세분화하여 자동 학습을 할 수 있다. 특히 세분화된 정책별로 TopN개의 Source IP 별 임계치를 별도로 산출하여 DDoS 공격 방어시 NAT된 IP 단위의 오탐을 최소화 할 수 있는 차별화된 기능을 제공한다.
• 다양한 유형의 DDoS 공격 방어 : Spoofed 기반의 Flooding이나 Fragmentation된 Packet에 의한 Flooding 등 전통적인 형태의 DDoS 공격은 물론 최근 가장 많은 빈도수를 차지하는 Session기반의 공격(TCP/HTTP)까지 완벽히 방어할 수 있다. 특히 Zombie PC의 HTTP Flooding을 지능적으로 판단할 수 있는 내부 알고리즘을 제공한다.
• DDoS 공격 방어간 서비스 연속성 유지 : TrusGuard DPX는 오탐 방지를 위한 세분화된 정책과 Zombie PC 탐지 기술을 통해 공격 트래픽을 정확히 판단하여 정상 트래픽을 최대한 보장해준다. 아울러 공격지와 비공격지 트래픽을 1차적으로 선별하여 공격을 받지 않는 네트워크의 피해를 최소화하고 안정적으로 운영될 수 있도록 지원한다. 또한 Inline 장비 장애를 대비하여 내장형 1G 및 10G Bypass Card를 제공한다.
• 보안관제 서비스를 통한 종합 DDoS 보안 프로세스 : TrusGuard DPX는 안철수연구소의 보안 관제 서비스 형태로도 이용할 수 있다. 이 경우에는 전문 관제 요원과 실시간 모니터링을 통해 최적화된 DDoS 공격 방어 준비와 DDoS 공격 방어 수행 혜택을 받을 수 있다.

<글 : 김태형 기자(is21@boannews.com)>

[월간 정보보호21c 통권 제113호(info@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>