DDoS 공격의 심각성 인식하고 대응체계 구축해야

DDoS 공격 대응체계 구축은 사용자와 네트워크에서

지난 2009년 최대 보안 이슈였던 지난 7.7 DDoS 대란으로 인해 청와대, 국회, 은행, 등 주요 정부기관과 일부 포털 사이트의 온라인 서비스가 중단되는 사태가 벌어져 사회적인 큰 이슈가 되었다. 이후 Anti-DDoS 솔루션은 정부 및 각 기업에서도 많은 관심을 갖고 도입하거나 이를 고려하고 있다. 국내 시장에도 다양한 Anti-DDoS 전용장비와 서비스가 나와 있다. 하지만 DDoS 공격은 사용자와 네트워크 분야에서 동시에 방어해야 효과적이다.

현재 인터넷을 이용하는 환경은 악성코드의 감염, 개인정보 유출, 서비스 해킹, 서비스 거부 등 다양한 보안 위협에 노출되어 있다. 그 중 가장 가시적인 피해 양상을 나타내는 위협은 바로 DDoS(Distribute Denial of Service) 공격이다. 국내의 경우 지난 2006년도부터 본격적으로 대두되기 시작한 DDoS 공격은 2009년 7.7 DDoS 대란에서 경험한 바와 같이 이제는 대형 컨텐츠 사업자뿐만 아니라 정부, 금융 기관까지도 공격의 목표가 되고 있다. 특히 DDoS 공격으로 인한 피해는 서비스 가용성의 문제를 초래하여 인터넷 비즈니스의 마비라는 가시적인 피해 양상을 나타낼 수 있다. 아울러 해당 사업자의 서비스 신뢰도 및 대외 인지도에 큰 영향을 받을 수 있으며 나아가 고객의 이탈이라는 피해까지 전개될 수 있기 때문에 그 문제의 심각성은 매우 크다.

DDoS 공격, 방심은 금물

최근의 DDoS 공격 양상은 서비스에 직접적인 영향을 끼치고 있음에도 불구하고 기존의 보안솔루션이나 체계로는 방어하기가 어려운 상황이다. 이와 동시에 최근에는 ‘이용자 보호’, ‘지속 가능 경영’ 등을 위협하며 금전을 요구하는 협박의 형태로 점점 더 많은 기업과 기관 등에 심각한 위해를 가하고 있는 실정이다.

특히 지난 7.7 DDoS 공격 이후 각 기업과 공공기관에서는 보안에 대한 관심이 어느 때 보다 높아졌다. 정부에서는 이에 관련된 예산을 증액한다고 발표했고 관련 업체에서는 시장 선점과 경쟁력 우위를 차지하기 위해 앞을 다투어 Anti-DDoS 신제품들을 출시하고 있다. 또한 국가정보원에서는 DDoS 전용 장비들의 테스트를 진행했으며 한 차원 성능이 강화된 다양한 신제품들과 서비스가 출시되고 있다. 이에 Anti-DDoS 솔루션 도입을 계획하거나 도입하고자 하는 기업이나 공공기관들은 선택의 폭은 넓어졌으나 그에 대한 정확한 정보는 많이 부족한 상황이다. IT 인프라 전체를 대상으로 한 DDoS 공격은 네트워크에 대용량의 악성 트래픽을 발생시킴으로써 기업과 공공기관들의 서비스를 중단시킬 수 있는 위협적인 보안 이슈로 부상한 만큼 기업과 공공기관은 사활이 걸려있기 때문에 이대로 방치할 수 없는 입장이다.

지난해 7.7 DDoS 대란 이후 DDoS 공격용 좀비 PC 확보 기법이 지능화 되고 있어 이에 대한 대응체계의 구축이 필요한 시점이다. 이에 대해 한 보안 전문가는 “작년 7.7 DDoS 대란 때와 같이 대량의 좀비 PC를 확보해 악의적 공격을 하는 사건이 올해도 지속될 것으로 전망된다”며 “공격자는 다수의 좀비 PC를 이용해 금전적 대가를 노린 악의적 DDoS 공격을 하거나 확보한 좀비 PC 자체를 가지고 협박해 금전을 갈취할 수 있다”고 경고했다.

또한 그는 이를 위해서는 진단되지 않고 지속적으로 작동할 수 있는 악성코드를 원하기 때문에 최근 중앙명령(C&C, Command & Control) 서버와의 통신 채널, 셀프(Self) 업데이트, 공격을 위한 정보 능동적 생성 등 지능적인 기법이 등장하고 있다고 덧붙였다. 이러한 양상은 앞으로도 계속될 것으로 전망되기에 각 기업과 기관들의 보안 담당자들은 DDoS 공격이 인터넷과 연결된 모든 자원들이 공격대상이 될 수 있다는 점과 금전적인 목적, 사회적인 이슈를 만들기 위한 목적으로 이용되고 있으며 공격방법이 다양화 및 복합화되고 앞으로는 더 지능화된 공격 방법이 나올 수 있음을 인식해야만 한다. 때문에 DDoS 공격 대응체계의 구축은 이제 선택이 아니라 필수적이다.

DDoS 공격, 장비로만 막기엔 역부족

DDoS 공격은 과거 단순한 패킷 형태의 트래픽을 과도하게 발송하는 공격 기법에서 발전하여 정상적인 요청 및 응답을 수행하여 기존의 비정상적인 패킷을 구분하는 방어 기법을 무력화 시키는 양상을 보이고 있다. 또한 작은 트래픽 규모로 공격을 감행하는 기법을 이용하여 DDoS 공격 대응 장비에서의 탐지를 회피하는 등 다양한 공격 형태로 지속적으로 발전하고 있다는 것.

이에 대해 보안 업계 관계자는 “특히 종전의 좀비(Zombie) PC를 제어하는 C&C(Command & Control) 서버 기반의 봇넷(BotNet) 기반 기술에서 최근에는 좀비PC를 감염시키는 악성코드가 직접 공격 명령을 업데이트하여 공격을 수행하는 형태와 C&C 서버와 좀비PC를 은폐하기 위해 패스트-플럭스(Fast Flux)기술 기반의 봇넷 형태로도 발전하고 있다”고 설명했다.

이에 따라 지속적으로 발전하는 DDoS 공격에 대응하기 위해서는 DDoS 공격 대응 전용 장비만으로는 사실상 한계에 이르게 된다. 특히 지능적으로 발전하는 다양한 공격 유형들에 대한 분석을 통한 신속한 대응이 반드시 지원되어야만 한다.

한 전문가는 “특히 DDoS 공격을 방어하기 위해서는 기존의 Network Level에서의 임계치 기반의 이상 트래픽 탐지/방어 기법과 더불어 DDoS 공격의 근본적인 원인인 클라이언트 레벨에서의 분석, 탐지, 방어 기법이 동시에 지원되어야 한다”며 “좀비PC 감염과 DDoS 공격을 실행하는 악성 코드에 대한 분석이 이루어져야 하며 클라이언트 레벨과 네트워크 레벨의 유기적인 대응 체계를 바탕으로 DDoS 공격에 대응해야 원천적인 방어가 가능하다”고 말했다.

DDoS 공격의 근원은 악성코드 기반의 좀비PC의 감염으로 시작된다. 따라서 단순히 네트워크 레벨에서의 분석이 아닌 악성코드가 감염되는 클라이언트 PC 레벨에서의 분석 기술이 필요하다는 것이 업계 전문가의 견해다. 이를 통해 문제를 일으키는 악성코드가 어디서 유포되는지에 대한 정보를 빠르게 분석할 수 있게 된다는 것. 즉 이 악성코드가 어떠한 형태로 공격 명령을 수행하는지, 그리고 어떤 유형의 DDoS 공격 트래픽을 유발하는지에 대한 정확한 분석이 뒷받침 되어야 한다. 이런 과정을 거처야만 지난 2009년 7.7 DDoS 대란과 같이 공격 대상과 공격 시간의 정확한 예측까지도 가능하게 된다는 것이다.

업계 전문가는 “이러한 정보를 바탕으로 네트워크 레벨에서 방어하는 역할을 하는 보안 제품 및 DDoS 공격 대응 전용 장비는 내부 클라이언트/서버에 대해 좀비 감염을 사전에 예방해준다”며 “이를 통해 내부 클라이언트/서버의 좀비 감염으로 인한 아웃바운드(Outbound) DDoS 공격을 사전에 예방하는 효과를 얻을 수 있다”고 말했다. 이와 함께 DDoS 공격 대응 전용 장비는 분석된 악성코드의 DDoS 공격 트래픽 유형에 맞는 방어 정책의 설정 및 업데이트가 이루어져 공격 방어를 효과적으로 수행할 수 있게 된다고 덧붙였다.

또 한 전문가는 “DDoS 공격 대응을 위한 운영 프로세스가 DDoS 공격 대응 제품과 함께 제공되어야 DDoS 공격 대응을 위한 효율적인 운영이 가능하다”며 “이제 DDoS 공격은 더 이상 한쪽 부분에의 대응은 불가능하도록 지능적으로 변하고 있기 때문에 효율적인 DDoS 공격 대응을 위해서는 사용자와 네트워크 두 가지 부분에서의 공격탐지와 방어가 동시에 이루어져야 한다”고 말했다.

신기술ㆍ신제품, CC인증, 임대서비스 개발

최근 들어 DDoS 공격 방어를 위한 다양한 신제품과 신기술, 임대서비스 등이 개발되고 있다. 컴트루테크놀로지는 최근 자사의 DDoS방어장비 ‘디도스캅’이 그동안 DDoS 보안업체들이 CC인증으로 획득한 제품유형인 ‘이상트래픽 대응’이 아닌 ‘DDoS 대응 시스템’으로 IT보안인증사무국으로부터 CC인증(정보보호제품 국제공통평가기준)을 획득했다. 이번 CC인증은 EAL2등급으로 박노현 컴트루테크놀로지 대표는 “이번 DDoS대응시스템 CC인증을 통해 국내 제품의 우수성을 바탕으로 국내 DDoS 보안 시장을 선도해 나갈 계획”이라며 “디도스캅은 국토해양부, 국군기무사령부, MBC, 서울대학교, 서울시립대학교 등 이미 많은 기관에 납품해 제품 안정성과 기술력을 인정받고 있으며 이번 CC인증을 통해 꾸준히 공급을 확대할 계획”이라고 밝혔다.

그리고 시큐아이닷컴의 DDoS 전용 방어 솔루션인 ‘SECUI NXG D V1.0’은 한국정보통신기술협회(TTA)의 GS(GOOD Software)인증을 획득 했다. GS 인증을 획득한 시큐아이닷컴의 DDoS 전용 방어 솔루션은 지난해 말 우수한 성능으로 별도지정제품에 등록되었으며 행정안전부의 교육과학기술분야, 경찰분야 DDoS 대응체계 구축 및 시범사업에서 DDoS 전용 방어 솔루션 중 최대 수량이 납품되어 성공적으로 운영중이다.

SECUI NXG D시리즈는 멀티코어가 장착된 강력한 하드웨어 성능을 기반으로 정교한 학습-행위 기반 방어 엔진을 통해 웜, 바이러스, 봇 등에 의한 DDoS 공격에 대해 신속한 대응이 가능하며 강력한 로그 분석엔진을 통해 심도 있는 공격 분석이 가능한, DDoS 유해 트래픽 차단 전용 솔루션이다.

그리고 Anti-DDoS 장비의 높은 비용부담을 줄인 임대서비스를 제공하는 업체도 있다. 미국 리오레이 총판을 맡고 있는 모젠소프트는 최근 DDoS전용 솔루션 리오레이의 중소기업 전용 임대 모델 ‘RE시리즈’를 공급한다고 밝혔다. 리오레이는 리오레이사가 M.B.A.알고리즘 기반으로 개발한 DDoS전용 솔루션으로써 지난 7.7사이버 대란 때 실제 공격 사이트를 방어하는 등 그 우수한 기술력을 입증 받고 있는 솔루션으로 알려져 있다.

최근 크고 작은 보안 이슈들로 중소기업에서도 네트워크 보안에 대한 관심이 높아졌으나 기존 솔루션의 높은 가격으로 도입을 쉽게 결정할 수 없는 상황인데 모젠소프트에서 공급하는 중소기업용 임대모델은 최소의 월정액만으로 DDoS전용 솔루션을 사용할 수 있어 DDoS 공격 방어를 고심하고 있는 중소기업에게는 좋은 소식이다.

한편 안철수연구소는 네트워크 어플라이언스 형태의 DDoS 공격 전용 방어 장비 ‘트러스가드 DPX(AhnLab TrusGuard DPX)’ 제품군을 출시했다. 이 제품은 2기가(Gbps)급 성능의 ‘트러스가드 DPX 2000’과 6기가 급 성능의 ‘트러스가드 DPX 6000’이다. 이와 함께 DDoS에 특화한 사전 컨설팅, 모의 공격 훈련, 보안관제 등 다양한 서비스도 출시해 DDoS 공격 방어를 위한 종합적인 프로세스를 구축했다. 트러스가드 DPX의 가장 큰 특징은 안철수연구소의 악성코드 분석 기술과 DDoS 제품의 구축노하우가 집적돼 DDoS 공격에 입체적으로 대응한다는 점이다. 즉 DDoS 공격을 효과적으로 사전 차단하고 오탐 없이 정교한 탐지 기능을 제공한다는 것이 안철수연구소 측의 설명이다.

또한 특허 기술인 클라우드 컴퓨팅을 이용한 DDoS 공격 탐지겶榻?기술을 활용해 DDoS 공격에 입체적으로 대응하는 것이 장점이다. 즉 발생 중인 DDoS 공격을 차단할 수 있도록 PC에서 탐지된 DDoS 공격 정보와 ‘트러스가드 DPX’의 DDoS 공격 탐지겶榻?기능이 연동된다. 이로써 PC에서 DDoS 공격을 유발하는 악성코드를 제거해 네트워크 게이트웨이뿐 아니라 PC에서도 DDoS 공격을 효과적으로 탐지·차단할 수 있다.

안철수연구소의 이 특허 기술은 신종 악성코드 대응 기술인 ‘스마트 디펜스(AhnLab Smart Defense)’에 구현돼 V3에 적용되며 DDoS 전용 장비인 ‘트러스가드 DPX’와 연동된다. 또한 이 특허 기술은 클라우드 컴퓨팅 환경에서 서버에 연결된 복수의 클라이언트를 이용해 DDoS 공격을 탐지 및 차단하는 기술이다.

인젠시큐리티서비스는 DDoS 관제서비스를 제공하여 차별화된 DDoS 공격 방어 서비스를 제공한다. 이 DDoS 관제 서비스는 고객사의 DDoS공격에 대한 모니터링을 수행하고 이상징후가 발생하면 분석을 통해 상황판단 후 상황별 대응절차에 따라 신속한 대응 업무를 수행한다. 이와 같은 DDoS공격에 대한 효과적인 대응을 위해서는 24시간 365일 모니터링과 대응업무를 제공하는 관제서비스가 필수적이라 할 수 있는데 인젠시큐리티서비스는 한발 앞서는 서비스를 제공하고 있는 것이다.

이를 반영이라도 하듯 인젠시큐리티서비스는 지난 2009년 12월부터 공공분야 35개 기관에 대한 DDoS대응 체계구축 프로젝트(DDoS 대응체계 사전 컨설팅 및 대응체계 모의시험 및 검증)를 수행하고 있으며 이는 향후 DDoS 대응 체계 구축에 있어 정부 기관 및 일반 기업에 향후 구축해야 할 DDoS 대응 체계의 기준점으로 자리 매김할 것으로 보인다.

<글 : 김태형 기자(is21@boannews.com)>

[월간 정보보호21c 통권 제117호(info@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>