블랙홀·방화벽 등 전통적 방법으로는 막을 수 없어

시스코, “대규모 공격에 대한 정교한 방어체계 갖춰야”

분산서비스공격(DDoS)이 다양한 경로로 인터넷 기업과 공공기관 등을 위협하면서 전문 방어기능을 갖춘 솔루션 개발이 시급하다는 목소리가 높다. 특히 지난해 보안사고에서 DDoS로 인한 피해가 다량으로 발생하면서 향후 보안시장의 과제로 남고 있다.

이미 보안업계에서는 DDoS를 막을 수 있는 솔루션 개발에 착수하고 있다. 몇몇 업체들은 자체 개발제품이 DDoS를 차단할 수 있다고 자신하고 있다. 하지만 이는 기술적 제어보다 필터링이나 트래픽을 이용한 일시적 수단이기 때문에 근본적인 차단책이 될 수없다는게 전문가들의 견해다. DDoS공격 후 발샐되는 기업과 포털 사이트 서버 과부하로 인한 서비스 장애와 컨텐츠 서비스를 위한 네트워크, 보안장비 이상, 대역폭 고갈, ISP/IDC 인프라 장애가 발생한다.

시스코에서 분석한 DDoS 가상공격 시나리오를 보면 불특정다수 PC를 대상으로 악성코드를 감염시키거나 악성 봇(Bot) 채녈구축, 봇 제어 서버로의 강제접속, 봇 제어를 통한 공격 명령 등의 유형을 나타내고 있다. 결국 DDoS공격 역시 공격기술의 다양성과 목적이 변화하고 있는 것이다. 특히 GUI Tool 기반의 손위운 제어와 공격으로 변조된 IP를 사용하는데다 고사양의 PC가 등장하면서 금전을 요구하는 랜섬공격이 주를 이루고 있다.

지난해 국내 악성봇의 특징에서도 TCP 서비스 포트를 이용하는 것이 주를 이뤘으며 업체들은 웹서비스 포트를 통한 대규모 트래픽 유입으로 인한 방어에 어려움을 겪고 있는 것으로 조사됐다. 이는 대부분의 포털 서비스, 호스팅 서비스 등이 모두 웹서비스 기반인데다 기존 방화벽과 IPS 등으로는 방어에 한계점을 드러냈기 때문이다. 이로인해 블랙홀 라우팅(BlackHole Routing) 기법을 통한 서비스 정지라는 극단적 대책을 내놓고 있는 것이다.

이에 따라 보안제품을 사용하는 업계에서는 향후 개발되는 DDoS 솔루션에 대해 알려지지 않은 웜과 DDoS 공격에 대한 탐지 및 방어체계의 정교함, 변조된 IP 공격에 대한 적극적 방어 필요성, 봇과 같은 다중채널 공격에도 강한 방어, 비즈니스의 연속성을 위한 공격 패턴만을 방어, 탐지의 능력 극대화·방어의 정교함을 유지해야 하는 제품을 요구하고 있다.

최우형 시스코 시스템엔지니어본부 차장은 “향후 바이러스와 웜은 지능형 DDoS 형태로 대규모 공격으로 진화하고 있어 사용자가 직접 자신의 PC를 관리하지 않는 이상 DDoS는 계속 존재할 것”이라며 “네트워크 인프라보안은 라우터 스위치나 새로운 소프트웨어 개발시 보안이 중요하게 떠오르고 있다. DDoS방어, 봇넷·도스 공격 막을 수 있는 방법 개발, 컨텐츠보안은 애플리케이션 레벨의 심도있는 보안이 요구되고 있는 것도 이 때문이다”고 설명했다.

[배군득 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>