기업들은 자사의 핵심 리소스를 보호하기 위해 외부에서 침입하는 DoS/DDoS 공격을 차단하는데 집중 투자하고 있다. 그러나 고가의 보안전용장비를 설치한다고 해도 공격은 점차 진화하고 교묘해지고 있는 실정이다. 대부분의 Anti-DDoS 장비들이 DoS/DDoS 공격을 직접 막기 위한 전용 장비인 것에 반해 파이오링크는 TiFRONT(티프론트)로 새로운 관점에서 DoS/DDoS 공격을 차단하는 솔루션이다.

1990년대 뉴욕은 세계 최대 도시라는 명성이 무색하게 슬럼화가 되고 날마다 절망적인 범죄 뉴스가 사회면을 차지하고 있었다. 보통 치안을 강화하려면 경찰 인력을 보강하거나 강력 범죄 처벌에 우선 순위를 두기 마련인데 당시 줄리아니 뉴욕시장과 브래턴 경찰국장은 범죄를 근본적으로 치유하기 위한 방안으로 ‘깨진 유리창 법칙’을 도입하여 사소한 곳에서부터 범죄를 줄이기로 한다.

깨진 유리창 법칙(Broken Window Theory)은 미국 범죄학자인 제임스 윌슨과 조지 켈링이 1982년 발표한 사회 무질서에 관한 이론이다. 내용은 깨진 유리창을 방치해 두면 그 장소를 중심으로 범죄가 확산되기 시작한다는 것으로 사소한 문제를 간과하면 향후 큰 문제로 이어질 가능성이 높다는 뜻이다.

그리하여 줄리아니 시장은 많은 시민들이 이용하는 지하철부터 손대기 시작했고 지하철 무단 승차 금지, 페인트 낙서 금지 등 기초적인 범죄를 적극적으로 단속하기 시작했다. 시민들은 시장이 강력범죄와 싸울 자신이 없어 경범죄를 선택했다고 비웃었다.

그러나 결국 깨끗하고 질서를 갖춘 지하철에서 범죄 발생율은 줄기 시작했고 뉴욕시는 연간 2,200건이던 범죄 건수를 1,000건 이하로 대폭 축소시킬 수 있었다.

깨진 유리창 법칙

이러한 깨진 유리창 법칙은 네트워크 환경에도 적용될 수 있다. 기업들은 전통적으로 IPS, IDS, VPN, 웹방화벽, UTM/XTM과 같은 코어 레벨에 막대한 예산을 써왔고 작년 7.7 DDoS 대란 이후 전용 Anti-DoS 장비에 대한 투자 역시 높아졌다. 이런 장비들은 외부의 엄청난 트래픽 공격을 차단하기 위한 강력 범죄 처벌이라고 볼 수 있다.

반면 개인용 PC에서 발생하는 사소하고 미미한 트래픽에는 그다지 관심을 두고 있지 않다. 심지어 보안 담당자들은 외부 공격 방어에만 신경 쓴 나머지 내부에서 발생되는 이상 트래픽에는 무관심한 지경이다.

그러나 봇에 감염된 PC 한 대가 좀비 PC가 되어 외부 특정 사이트를 공격하기 시작하고 다른 수 많은 PC들과 함께 동시에 접속하는 DDoS 공격 상황이 되면 그 사이트는 서비스가 마비되고 고객 신뢰도가 떨어지며 주가가 폭락하는 등 수 억 원대의 비즈니스 손실이 발생되는 문제로 확대된다. 이제 우리는 DoS/DDoS 공격 방어를 위해 경범죄에 해당하는 내부 발생 공격, 즉 액세스 레벨의 보안에 관심을 가져야 할 것이다.

기존 DoS 전용 보안 장비는 단지 들어오는 공격을 막는 수동적 보안책이라고 할 수 있다. DoS 공격 발생을 적극적으로 막기 위해서는 공격의 원천, 네트워크의 엔드 포인트 단말을 제대로 관리하는 것이 중요하다. 그러나 역시 남의 잘못을 흉보기가 쉽지, 평소 무관심 했던 자기 자식이 사고치고 다니는 것은 두둔하기 마련이다.

이는 기업의 윤리적 관점에서도 문제가 있다고 볼 수 있으며 피해자 이전에 가해자가 있으며 본인도 모르게 가해자가 되어 똑같은 피해를 입힐 수 있다는 것을 염두에 두어야 할 것이다.

각 기업들의 액세스 레벨에서 발생하는 약한 공격에 관심을 가진다면 더욱 안전한 인터넷 환경을 만들 수 있을 것이다.

액세스 레벨 보안을 위한 L2 스위치 ‘TiFRONT’

기존 L2 스위치는 단순히 트래픽을 전달할 뿐 보안 기능은 전혀 없다. 그러나 파이오링크 TiFRONT는 ‘Traffic Inspection+FRONT’란 뜻으로 L2 스위칭 기능에 보안 기능을 접목하여 클라이언트 앞 단에서 트래픽을 검사하는 보안 스위치이다. TiFRONT는 기존 L2 스위치 위치에 설치되며 DoS 공격을 유발하는 Land Attack, Tear drop, Smurf attack, TCP Syn Flooding, UDP Flooding, ICMP Attack, MAC Flooding 등을 차단, 개인 PC가 좀비 PC가 되는 것을 막아 네트워크 인프라를 보호하는 기능을 한다.

TiFRONT는 파이오링크가 하드웨어, OS 및 전용 보안엔진까지 자체 기술력으로 개발한 제품이다. 특히 TiFRONT는 위험도 분석 및 예측력을 높이기 위해 수학적 통계 기법인 Frequency Matrix를 자체 응용·개발한 전용 보안 엔진 ‘TiMatrix(티매트릭스)’가 탑재되어 실시간 패킷 분석을 통한 위협 탐지율이 대폭 개선되었다. Frequency Matrix는 트래픽 분석을 통한 위험도 예측력을 높이는 방법으로 출발지 IP, 목적지 IP, Port, Time, Interval, 프로토콜 속성 등의 보안 위협 특성을 Matrix화 하여 분석하는 것이다. TiMatrix는 이를 통해 자동 보안 정책 생성 및 해제가 가능한 인텔리전트 보안 L2 스위치로 구현해 주며 파이오링크 고유 특허 출원 보안 엔진이다.

특히 엔드 포인트 단말에는 정보는 다양하고 데이터는 상대적으로 소량으로 흐르지만 정밀한 분석에는 충분한 양의 패킷이 확보되어야 하나 TiMatrix의 경우 소량 또는 일부 정보가 없는 경우에도 유해 트래픽만을 자동 선별하면서 최대 회선 속도(WireSpeed)를 유지하는 것이 장점이다. TiFRONT는 ‘TiManager(티매니저)’라는 장비 관리 프로그램(EMS)이 있어 타 EMS가 단순히 장비 상태만 모니터링 하는데 반해 TiManager는 스위치별, 그룹별 보안 정책 설정이 가능하다. 특히 업계 최초로 보안로그를 보관할 수 있는 1기가비트 대용량 플래쉬 메모리를 제공하여 공격 이후 사후분석까지 가능하며 전원이 나가더라도 데이터가 보존되어 보안 블랙박스 역할을 한다. 또한 완벽한 한글 메뉴를 지원하여 관리자가 쉽게 사용할 수 있다.

두 마리 토끼를 잡아라!

TiFRONT는 PC 보안 솔루션으로 대응하기 약한 부분과 DoS 공격을 차단하기 위해 L2 스위치 위에 설치되는 NAC 구매로 발생되는 이중 투자를 방지하여 하나의 장비로 보안과 네트워크라는 두 마리 토끼를 해결할 수 있는 경제적이며 효과적인 장비이다. 파이오링크는 이미 애플리케이션 스위치로 L4/7 레벨을 다루어 보았고 웹방화벽으로 웹보안 기술을 축적하고 있으며 자체 기술력으로 소비자 환경에 커스터마이징된 개발과 빠른 기술지원 및 유지보수에서도 강점을 지닌다.

기타 보안 기능

TiFRONT 보안 기능에는 액세스 레벨에서 발생하는 DoS만을 차단하는 것이 아니다. ARP Spoofing, Voice 전용 VLAN, QoS 등 IP폰, 웹캠 사용 증가에 따른 UC 환경의 사생활 침해 사고를 막으며 거래처 방문객과 같은 외부 사용자가 네트워크에 접속 했을 때 802.1x, RADIUS, TACACS+를 통한 비인가 된 장치에 대한 위협을 막아준다. 물론 STP attack, MAC Flooding/Filtering 등의 L2 보안은 기본이다.

파이오링크 TiFRONT는 총 4개 모델로 2개의 기가 포트와 24개 패스트 이더넷 포트가 장착된 TiFRONT-F26 시리즈, 24개 기가 포트로 구성된 TiFRONT-G24 시리즈가 있다. 두 시리즈는 이더넷 UTP 통신 케이블을 이용해 데이터와 전원을 동시 전송할 수 있는 PoE 모델이 있으며, 듀얼 파워도 옵션 선택 가능하다.

<글 : 황옥나 파이오링크 마케팅팀 과장(lina.hwang@piolink.com)>

[월간 정보보호21c 통권 제117호(info@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>