현대의 인터넷 환경은 악성코드 감염, 개인정보 유출, 해킹, 서비스 거부 등의 다양한 보안위협에 노출되어 있다.

그 중 가장 큰 피해를 끼치는 위협은 DDoS 공격이라 할 수 있다. 지난 2006년부터 본격적으로 대두되기 시작한 DDoS 공격은 지난 2009년 7.7 DDoS 대란과 같이 대형 컨텐츠 사업자뿐만 아니라 정부기관과 금융기관까지 공격의 목표가 되고 있어 전략적인 대응 방안이 필요한 시점이다.

인터넷을 이용하는 환경은 악성코드 감염, 개인정보 유출, 서비스 해킹, 서비스 거부 등 다양한 보안 위협에 노출되어 있다. 그 중 가장 가시적인 피해 양상을 나타내는 위협은 바로 DDoS 공격이다. 국내의 경우 2006년도부터 본격적으로 대두되기 시작한 DDoS 공격은 2009년 7.7 DDoS 대란에서 경험한 바와 같이 이제는 대형 콘텐츠 사업자뿐만 아니라 정부ㆍ금융기관까지도 공격의 목표가 되고 있다.

DDoS 공격의 발전 양상

특히 DDoS 공격으로 인한 피해는 서비스 가용성의 문제를 초래하여 인터넷 비즈니스의 마비라는 가시적인 피해 양상을 나타내며 아울러 해당 사업자의 서비스 신뢰도 및 대외 인지도 하락, 나아가 고객의 이탈이라는 피해까지 전개될 수 있기 때문에 문제가 심각하다고 할 수 있다.

이러한 DDoS 공격은 과거 단순한 Packet 형태의 트래픽을 과도하게 발송하는 공격 기법에서 발전하여 정상적인 요청 및 응답을 수행하여 기존의 비정상적인 패킷을 구분하는 방어 기법을 무력화 시키는 양상을 보이고 있다. 또한 작은 트래픽 규모로 공격을 감행하는 기법을 이용하여 DDoS 공격 대응 장비에서의 탐지를 회피하는 등 지속적으로 발전하고 있다.

더 나아가 종전의 C&C 서버 기반으로 중앙에서 좀비(Zombie)PC를 제어하는 봇넷(BotNet) 형태에서 최근에는 좀비 PC를 감염시키는 악성코드가 스스로 공격 명령을 수행하는 형태 이외에도 C&C 서버와 좀비PC를 은폐하기 위한 Fast Flux 기술 기반의 봇넷 형태로도 발전하고 있다.

DDoS 공격의 발전 양상 및 기존 장비의 한계점

이처럼 지속적으로 발전하는 DDoS 공격을 효과적으로 방어하기 위해서는 네트워크 레벨에서의 DDoS 공격 탐지 및 차단과 함께 DDoS 공격의 근본적인 원인인 클라이언트 레벨에서의 좀비 분석, 탐지, 방어 기법이 동시에 지원되어야 한다.

하지만 최근까지의 DDoS 공격 대응 방법을 살펴보면 클라이언트 레벨의 경우 Anti-Virus 등 Agent기반의 보안 제품이 개별적인 악성 코드 검출 형태로만 조치가 이루어졌으며 아울러 네트워크 레벨에서는 DDoS 공격 전용 대응 장비가 평상시 트래픽 유형의 임계치와 이상 트래픽 현황을 비교하여 탐지 및 차단하는 방식으로 대응하여 클라이언트 레벨과 네트워크 레벨의 유기적인 방어 체계가 없었던 것이 사실이다.

따라서 새로운 DDoS 공격에 대응하기 위해서는 DDoS 공격 발생의 근원인 ‘좀비PC 감염’을 유발하는 악성코드의 분석 기술과 함께 DDoS 공격 대응 전용 장비, DDoS 공격 대응의 운영 프로세스 등의 유기적인 연동을 통한 입체적인 DDoS 공격 대응의 프로세스가 필요하다.

입체적인 DDoS 공격 대응 프로세스 제시

안철수연구소는 클라우드 컴퓨팅 기반의 DDoS 공격 대응을 수행하는 DDoS 전문 장비인 TrusGuard DPX를 통해 새로운 형태의 DDoS 공격 기법을 제시한다. 특히 ACCESS(AhnLab Cloud Computing E-Security Service) 전략하에 악성코드 분석 기술과 대응 기술, Client Level부터 Network Level에 이르는 모든 제품들의 유기적인 연동을 통하여 제품 단독으로의 공격 대응이 아닌 입체적인 DDoS 공격 대응을 할 수 있다.

이를 통해 TrusGuard DPX는 DDoS 공격의 사전 예방 → 정확한 공격 방어 → 서비스 연속성 보장 → 운영 프로세스 제공의 4단계 순환 고리 형태의 입체적인 DDoS 공격 대응 방법을 제시한다.

● DDoS 공격의 사전 예방

안철수연구소는 ‘클라우드 컴퓨팅 기반의 DDoS 공격 탐지 및 차단 기술 특허’를 보유하고 있으며 TrusGuard DPX 제품을 통해 클라이언트 레벨과 네트워크 레벨의 DDoS 공격 탐지 및 방어 기능을 제공한다.

즉 V3 Lite 등 클라이언트 보안 제품에서 DDoS 공격을 유발하는 악성코드 및 DDoS 공격을 탐지하며 이 정보를 바탕으로 네트워크 보안 장비인 TrusGuard DPX가 좀비 PC 활동을 사전 예방함과 동시에 DDoS 공격 트래픽 방어를 위한 정책 권고 및 업데이트한다. 아울러 클라이언트에서는 자사 보안 제품을 이용해 악성코드 제거함으로써 DDoS 공격을 차단한다.

● 다양한 DDoS 공격 유형의 방어

물론 DDoS 공격 대응 전용 장비로서 공격의 정확한 탐지와 오탐 최소화 기능은 필수 요건이다. TrusGuard DPX는 수년간의 DDoS 장비 구축 및 운영 노하우와 악성코드 분석 기술을 통해 대부분의 DDoS 공격에 대응할 수 있다. 즉 클라이언트 레벨과 네트워크 레벨의 공격 탐지 및 차단 연동을 통해 신규 공격 유형에 대한 빠른 대응 정책을 배포할 수 있다.

또한 자동 학습 기반의 트래픽 유형별 상세한 정책 설정 기능을 통한 정확한 공격 방어 기능을 제공하며 이와 아울러 웹 서비스로 집중이 되는 HTTP 프로토콜에 특화된 DDoS 공격에 대해서도 정상적인 요청과 비정상적인 요청을 판단하는 기능을 통해 정확한 HTTP DDoS 공격을 차단할 수 있다.

● DDoS 공격 방어 오탐 최소화를 통한 서비스 연속성 보장

DDoS 공격 대응 전용 장비로서 DDoS 공격 방어 기능도 중요한 요소이나 더 중요한 사항은 DDoS 공격 방어 시의 오탐으로 인한 서비스 연속성 침해 방지도 매우 중요한 요소이다. 특히 기존의 제품들은 Source IP 에 대한 일괄 정책 기반의 탐지/차단 방식으로 동작하여 정상적인 단일 Source IP이지만 많은 트래픽을 발생할 경우 오탐으로 인한 차단 문제가 지속적으로 발생되어 왔다.

TrusGuard DPX 는 정상적이지만 많은 트래픽을 유발하는 Source IP에 대해서는 자동으로 개별 정책을 정의하는 기능을 제공하여 일괄적인 정책 적용으로 인한 오탐 문제를 최소화할 수 있으며 아울러 정상적인 요청과 비정상적인 요청에 대한 검증 기능을 통하여 동일한 Source IP에서 유입되는 정상 트래픽과 비정상 트래픽까지 구별할 수 있는 기능을 제공한다.

● DDoS 공격 대응의 운영 프로세스 제공

아울러 DDoS 공격 대응의 운영 프로세스를 위해 안철수연구소는 Trus Guard DPX와 함께 다양한 보안 서비스 상품을 별도로 제공한다. 고객은 구성 환경과 요구 사항에 따라 DDoS 제품 구축전 운영 프로세스의 가이드라인 마련을 위한 ‘DDoS 사전 컨설팅 서비스 상품’과 정기적인 DDoS 공격 대응 운영 프로세스를 점검할 수 있는 전문가의 ‘DDoS 모의 공격 대응 훈련 서비스’ 및 24시간 365일 DDoS 제품의 운영을 원격 또는 파견 아웃 소싱 서비스를 제공하는 ‘DDoS 보안 관제 서비스’ 등 필요에 따라 추가적인 서비스 상품을 이용함으로써 제품 단독 설치가 아닌 전문적인 DDoS 공격 대응 운영 프로세스를 제공받을 수 있다.

앞서 살펴본 바와 같이 DDoS 공격은 더 이상 하나의 포인트에서만의 대응은 불가능하도록 지능적으로 변화하고 있다. 따라서 향후 DDoS 공격에 효율적으로 대응하기 위해서는 클라이언트 레벨과 네트워크 레벨의 공격 탐지 및 방어가 입체적으로 이루어져야 한다. 이와 함께 효과적인 운영 프로세스를 통해 보다 빠르고 정확한 공격 대응이 가능해야 한다. 따라서 전문 조직의 입체적인 DDoS 공격 대응 프로세스를 기반을 통해 IT 환경의 사이버 위협에 대해 적극적으로 대처해 나아가야 할 시점이다.

<글 : 김우겸 안철수연구소 제품기획팀 대리(wkkim@ahnlab.com)>

[월간 정보보호21c 통권 제117호(info@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>