WeGuardiaTM DDoS의 NBA(Network Behavior Analysis)에 기반한 DDoS 방어는 3Way-D엔진을 사용하여 TCP/UDP/ICMP 등 모든 프로토콜에 대한 공격탐지가 가능하며 장비 전체 네트워크의 분산도가 아닌 Host별 분산도를 학습하고 이를 바탕으로 탐지 여부를 판별함으로써 오탐없는 정확하고 빠른 탐지능력을 제공한다.

DDoS 전용 ABA 엔진 탑재

기존 NBA방식은 패킷의 행동 및 속성을 파악하여 공격 트래픽을 구분하는 방법이며 WeGuardiaTM DDoS에서 채택한 ABA방식은 이보다 한 단계 더 발전한 분석방법이다. 기존 NBA 분석이 단순히 PPS 비교 및 상태분석을 통해 공격트래픽을 구분했다면 ABA 분석은 패킷의 전후 상태를 비교하고 이에 따른 행동을 예측하여 DDoS 공격의 가장 큰 특징인 Source IP의 분산도를 검사함으로써 보다 정확하고 빠른 공격방어를 할 수 있다.

2009년 네트워크 보안시장을 뜨겁게 달구었던 7.7 DDoS 공격유형은 Syn, Syn/data, UDP/ICMP Flooding, HTTP Get Flooding 등 복합적인 공격유형이었고 퓨쳐시스템은 WeGuardiaTM DDoS 장비의 핵심엔진인  ‘3Way-D 엔진(특허출원 제10-0084495호)’을 이용해 여타 다른 장비들의 대응전략-임계치 기반의 Drop Policy 설정-과는 차별화된 전략으로 클라이언트 세션별로 트랜젝션 상태를 표시하고 이전 상태 값과 비교해서 이상 유무를 판단하여 완벽한 방어를 제공한다.

또한 7.7 DDoS 공격유형 중 HTTP CC Attack은 오탐율이 높아 기 구축된 여타 DDoS 장비가 무력화된 원인을 제공했으나 WeGuardiaTM DDoS는 오탐율 높은 CC Attack에 대해서 특허받은 3Way-D 엔진 중 ABA엔진을 이용하여 정확한 데이터 분석을 통해서 오탐율 제로를 제공한다.

DDoS 전용에서 만날 수 있는 차별화 된 기능들

● HTTP Cookie Proxy

WeGuardiaTM DDoS는 HTTP Cookie Proxy 기능을 제공하여 지능적으로 변화되는 봇넷에 대한 완벽한 탐지를 제공한다.

HTTP Get 정보가 유입될 때 그 응답을 WeGuardiaTM DDoS가 대신하고 쿠키 값에 특정 문자열을 추가, 인증된 트렌젝션에 대해서만 세션을 통과시킴으로써 자동화된 공격(Bot PC 식별가능)완벽한 방어를 제공할 수 있다. 

● Reverse Proxy

WeGuardiaTM DDoS에는 FIN/RST Reverse Proxy 기능을 제공한다. 외부 해커 공격을 인지하는 순간에는 이미 3-way 핸드쉐이크로 세션이 존재하고 해당 세션정보는 내부망에 있는 서버 포함 L4 스위치 이상의 모든 장비에 존재하게 된다. 이럴 때 해당세션 종료를 타임아웃에만 의존하면 세션 오버플로어 장애가 발생한다. 이와 같은 내부망(F/W, L4 스위치, 서버 등) 장비의 세션 오버플로어를 방지하여 가용성을 보장하는 기능을 탑재하여 WeGuardiaTM DDoS에서 RST/FIN 패킷을 내부망으로 보내 세션 오버플로어를 방지한다.

● Syn Proxy

클라이언트로부터 요청된 연결세션에 대해 WeGuardiaTM DDoS에서 서버나 다른 장비를 대신해서 응답하여 spoofed IP 여부를 체크한다. 이 기능으로 인해 서버입장에선 연결세션에 대한 서버소켓의 자원고갈을 방지하고 Syn 패킷과 세션테이블을 구분하여 세션 오버플로어 공격에 대항할 수 있다.

● HTTP 기반의 DDoS 엔진

일반적인 HTTP Request의 경우 요청 정보의 끝을 연속된 CR/LF로 구분한다. Slowloris 공격과 같은 경우 요청정보의 끝을 두지 않고 연속적인 Request를 보내어 서버를 세션Full 상태로 만들어 새로운 세션생성을 하지 못하도록 한다. WeGuardiaTM DDoS는 HTTP 프로토콜 엔진을 내장하여 Incomplete Request 탐지, 타임아웃될 때 까지 리소스 점유로 자원이 고갈되는 것을 방지한다.

● 사용자 인증 연동 DDoS

HTTP 프로토콜 한계를 극복하기 위해서 사용자 인증이 가장 효과적인 해결책이라고 볼 수 있다. Web 첫 화면은 경량화하여 DDoS 장비에 내장하여 충분한 속도로 대응(100만 CPS)하도록 하고 주요 트랙잭션은 로그인 후 발생되도록 하여 미래의 봇넷 공격에 대해서 효과적인 방어를 제공한다.

높은 네트워크 가용성

공격을 받고 있는 중에도 네트워크 가용성은 보장되어야 한다.

WeGuardiaTM DDoS는 ABA엔진을 거쳐 나온 패킷들의 유해 여부에 따라 Weight(가중치)를 적용하여 네트워크의 가용성을 보장한다. 유해한 트래픽 일수록  Weight 값을 떨어뜨리고 이에 따라서 향후 공격을 당하는 중에도 Weight 값에 따라 공격자를 차단하고 정상 사용자의 가용성을 보장함으로써 정상적인 서비스가 가능하도록 한다. 그리고 WeGuardiaTM DDoS에서는 GRT(Gradually Rising Traffic) 공격방어기능을 제공한다. 일반적으로 트래픽이 갑자기 증가하는 DDoS 공격의 경우에는 기존 통계기법으로도 손쉽게 차단이 가능하나 트래픽이 조금씩 조금씩 올리면서 공격하는 지능화된 GRT 공격에 대해서는 통계를 통한 임계치 또는 조금씩 올라가서 DDoS 공격으로 인식하지 못하게 되고 나중에는 결국 서비스를 하지 못하게 된다. 이에 대해 WeGuardiaTM DDoS는 서버 호스트와 크라이언트 호스트의 엔트로피 분석을 통해 GRT 공격을 효과적으로 방어한다.

WeGuardiaTM DDoS Management

● 고객 지향적 웹관리

Stand Alone 운영이 가능하며 SSL 프로토콜 하에서 웹관리 지원한다. 모든 설정정보를 XML로 표현함으로써 확장성 뛰어나고 정책관리자와 장비관리자 분리운영 가능하여 명확한 관리체계를 지원하고 정책유요성 체크, 예약적용기능 등 다양한 고관리포인트를 제공한다.

● 실시간 모니터링을 통한 공격대응

현재와 학습된 정상 트래픽량을 비교 제공하여 DDoS 공격여부 판단이 용이하다. TCP 상태, L4 프로토콜상태, TCP 분산도, 공격위험도, DDoS 탐지/데쉬보드를 통한 즉각적인 위험감지와 빠른 조치대응, 그리고 Whois 기능과 Traceroute 기능으로 공격자에 대한 추적 및 차단/허용 설정이 가능하다.

● 상세로그/리포팅/통계

시스템과 트래픽에 대한 통계치 제공, 트래픽 유형별 Top10 정보를 제공하고 공격에 대한 근거정보를 출력해 줌으로써 로그보다 자세하게 유해트래픽 정보를 제공하여 공격의 유형과 공격자의 위치 그리고 어떠한 종류의 공격을 시도하는지에 대한 명확한 정보를 제공한다.

WeGuardiaTM DDoS는 DDoS 공격트랜드를 앞서간다. 이전 DDoS 공격은 네트워크 자원 고갈형 공격과 TCP 취약점 공격의 양상을 보였으나 현재 공격의 트랜드는 어플리케이션 시스템 자원 고갈형 공격이 주를 이루고 있다.

이러한 공격유형은 어플리케이션 취약점과 프로토콜의 취약점을 이용한 공격이며 7.7 DDoS 공격 역시 HTTP Get Flooding 공격으로 이 범주에 속해있다. 현재 시장에 출시된 제품의 대부분은 네트워크 자원 고갈형 공격에 대비한 장비이므로 7.7 DDoS 공격에 피해가 많았던 것으로 분석된다.

WeGuardiaTM DDoS는 설계부터 이러한 트랜드를 감안하여 웹 기반의 어플리케이션 공격에 특화된 제품을 제공했다.

<글 : 정우영 퓨쳐시스템 경영지원팀(jungwy1002@future.co.kr)>

[월간 정보보호21c 통권 제117호(info@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>