DDoS 방어기능은 보안 분야의 핵심

IT 인프라 고려한 DDoS 방어전략 구축 필요

최근 DDoS 공격은 기업의 이윤을 발생시키는 서비스 중인 포트나 시스템을 포함해 모든 IT 인프라를 대상으로 하고 있는 것이 특징이다. 기존의 공격이 비서비스 포트를 통한 서비스 인프라로의 접근을 시도했다면 이젠 기업이윤 창출의 원천인 서비스 자체를 공격하고 있다. 이러한 DDoS공격으로부터 효과적인 방어 전략을 세우기 앞서서 기업은 IT인프라 전반에 대한 총체적인 고려가 선행되어야 한다.

DDoS(Distributed DoS) 공격은 한 두 해의 이벤트성 이슈가 아닌 지난 수년간 변화해 온 DoS(Denial of Service) 공격의 일종이다. 이에 대응하여 수 많은 DDoS 차단 제품들이 국내외에서 출시되고 금융기관을 중심으로 많은 인터넷기업 및 기관들이 전 방위적으로 DDoS 차단시스템의 도입을 추진하고 있다.

하지만 이러한 탐지 및 차단시스템 들이 과연 DDoS를 완벽히 차단할 수 있는가에 대해서는 많은 논란이 있으며, 이러한 문제점들을 해결하기 위해 많은 연구기관 및 학계에서 관련 논문 및 상용화 기술을 내놓고 현장에 적용하며 시험 중이기도 하다.

최근의 DDoS 공격양상을 보면 기업의 이윤을 발생시키는 서비스 중인 포트나 시스템을 포함해 모든 IT 인프라를 대상으로 한다. 기존의 공격이 비서비스 포트를 통한 서비스 인프라로의 접근을 시도했다면 이젠 기업이윤 창출의 원천인 서비스 자체를 공격하고 있다.

즉, 서비스에 직접적 영향을 끼치고 있음에도 불구하고 기존의 보안솔루션이나 체계로서는 방어하기가 어렵고 동시에 ‘이용자 보호’, ‘지속 가능한 경영’ 자체를 위협하며 금전을 요구하는 협박의 형태로 기업에 위해를 가하고 있는 것이 바로 DDoS인 것이다.

DDoS 차단 시스템 vs. DDoS 차단 기능

DDoS라는 보안의 기후변화 속에서 예측되는 위협과 이에 대한 적절한 대응책을 수립하기 위해서는 DDoS로 인한 비즈니스 위험성을 정확히 인식하는 것이 선행되어야 한다. 먼저 DDoS로부터 위협 가능성이 있는 자산을 분류하고 영향도를 진단 후, 핫픽스를 통해 수정하고 기존 보안솔루션의 업그레이드와 조합으로 가능한지 아니면 새로운 시스템을 도입할 것인지에 대한 결정이 필요하다.

DDoS 방어 전략을 세우기 위해서는 IT인프라 전반에 대한 총체적인 고려가 필요하다. 시스템, 네트워크, 어플리케이션뿐만 아니라 PC까지도 DDoS의 방어체계 속에 포함된다고 할 수 있다. 인터넷과 연결된 모든 구간이 DDoS의 영향권에 속한다고 해도 과언이 아니다. 즉, DDoS 공격을 방어하기 위해서는 DDoS 영향권의 전체요소가 고려되어야 한다. PC단에 안티바이러스 등 악성코드차단 시스템의 도입이 활성화 되고 있는 것도 같은 맥락이라고 볼 수 있다.

그림 3에서 보는 바와 같이 DDoS 공격 차단위주의 시스템은 대량의 DDoS 트래픽을 처리하기 위한 성능 문제로 인해 Flooding 방어 기능에 특화 하는 경향이 있다.

하지만 DDoS 공격이 이루어지는 전 단계상에서 방어하기 위해서는 PC단은 물론이거니와 네트워크 상에서 Signature 탐지, Protocol Anomaly, 스캔탐지, 행위분석, Flow 분석, Flooding 방어 기능 등의 기술이 모두 필요하다.

최근의 DDoS 방어장비의 구조를 살펴보면 분석 및 차단시스템으로 계층화된 Out-of-Path 구조와 고성능 플랫폼상에서 분석 및 차단을 동시 수행하는 In-line 어플라이언스 형태의 두 가지 구성으로 크게 분류된다. Out-of-Path방식과 In-line방식의 가장 큰 차이점은 실시간성의 여부이다.

안정성과 지연없는 서비스를 중시하는 개방형 환경에서는 실시간성의 여부를 떠나 Out-of-Path 방식의 구성을 통해 DDoS 트래픽이 존재할 때만 차단장비가 개입하는 방식이 좀 더 선호되는 게 사실이다. 반대로 In-Line방식이 실시간성임에도 불구하고 안정성과 지연없는 서비스에 제약을 받는 이유는 모든 서비스 트래픽에 개입한다는 점과 성능문제 때문이다.

따라서 이를 극복하고 DDoS 방어체계를 효과적으로 구축하기 위해서는 DDoS의 차단만이 목적이 아닌 DDoS 공격대상의 스캔을 방지하고 공격 트래픽 및 악성코드 등의 유해트래픽을 총체적으로 방어할 수 있는 DDoS방어 체계의 수립이 필요하다. 그리고 In-Line형태의 DDoS enabled IPS 시스템을 통해 Flooding 및 Spoofing 형태의 공격을 효과적으로 막아내기 위한 CPS, PPS 등의 초당 처리능력의 고성능 여부, White-List 등을 통한 Spoofing 트래픽을 실시간 차단가능 여부 등이 고려되어야 할 것이다.

DDoS가 차세대 보안에 주는 메시지

필자가 보기에 DDoS는 현재의 최대 보안위협 중의 하나일 뿐 아니라, 차세대 IPS의 방향성에 대한 커다란 획을 긋는 2003년 1.25 인터넷 대란 이후 거대한 흐름이라는 것이다.

1.25 인터넷 대란 이후 유해트래픽의 증가와 함께 1세대 IPS는 급속하게 성장해오며 기업과 인터넷의 최전방 경계근무의 역할을 해왔지만, 알려진 공격에 최적화된 1세대 IPS는 Non-Signature기반의 공격에는 취약할 수 밖에 없었고 DDoS와 같은 세션, 대역폭, PPS를 소진시키는 형태의 다양한 Traffic Anomaly 공격에는 무력할 수 밖에 없었다. DDoS는 이러한 1세대 IPS의 한계를 뛰어넘는 2세대 IPS로의 전환을 가속화하고 있으며 2세대 IPS의 필수기능으로 DDoS 방어기능을 요구하고 있는 것이다.

DDoS는 인터넷에 최적화된 공격 툴로 알려지고 있다. 인터넷이 존재하는 한 DDoS는 사라지지 않고 다양한 사이버 공격의 효율적 도구로 활용될 것이 분명하다. DDoS공격은 기업의 서비스를 직접 위협하는 공격이다. 따라서 단순히 유행성 보안위협으로 치부 되어서도 안될 것이며 이러한 DDoS 방어기능은 방화벽, 침입방지시스템, 웹 방화벽 등 네트워크 보안 및 서비스 지속을 유지하기 위한 보안 분야에 있어서 핵심기능으로 자리매김 할 것이다.

<글 : 양철웅 시큐아이닷컴 영업기획팀 과장 (cu.yang@samsung.com)>

[월간 정보보호21c 통권 제100호 (info@boannews.com)]

최근 발생한 크라우드 스트라이크의 보안 SW 업데이트 오류 사태처럼 SW 공급망에 보안이슈가 발생할 경우 관련된 각종 시스템 및 IT 인프라 마비가 일어날 수 있다는 게 드러났습니다. 이러한 공급망 보안을 위협하는 가장 큰 요인은 무엇이라고 생각하시나요?
	랜섬웨어, 피싱 등의 사이버 공격
	SW 업데이트 및 SW 교체 과정에서의 오류
	SW 자체에 존재하는 보안 취약점
	시스템 관리자의 운영상 실수 및 관리 미흡
	기타(댓글로)