대규모 DDoS 공격, 막을 방법 없나?

[특집 : Product Review]

시스코 가드 앤 디텍터(Guard & Detector)

정교한 DDoS 탐지기술로 악의적 비정상 트래픽만 차단

시스코의 가드 앤 디텍터(Guard & Detector)는 분산서비스거부 공격(Distributed Denial of Service, 이하 DDoS)에 대한 방어 및 완화 기능, 정상적인 트래픽과 공격 트래픽에 대한 분리 기능, DDoS 공격 패턴 인지 기능 및 효과적인 장비 지원 구조를 갖춘 DDoS 방어 전용 솔루션이다.

가드 앤 디텍터(Guard & Detector)는 분산서비스거부 공격(Distributed Denial of Service, 이하 DDoS)에 대한 방어 및 완화 기능, 정상적인 트래픽과 공격 트래픽에 대한 분리 기능, DDoS 공격 패턴 인지 기능 및 효과적인 장비 지원 구조를 갖춘 DDoS 방어 전용 솔루션이다.

시스코 어나몰리 가드 모듈(Cisco Anomaly Guard Module)은 시스코 카탈리스트 6500 시리즈 스위치 및 시스코 7600 시리즈 라우터용 통합 서비스 모듈이며 대규모의 DDoS 공격으로부터 온라인 리소스를 보호하기 위한 강력하고 광범위한 솔루션을 제공한다.

또한 가장 엄격한 성능이 필요한 대기업 및 서비스 제공업체 환경의 성능 및 확장성 요구사항을 충족시키도록 설계되었으며 점점 더 복잡해지고 예측할 수 없는 공격을 차단하기 위한 최상의 보호 성능을 제공한다.

어나몰리 가드 모듈과 트래픽 어나몰리 디텍터 모듈

단일 시스코 어나몰리 가드 모듈은 기가비트 회선 속도로 공격 트래픽을 처리할 수 있는 플랫폼을 제공하며 어나몰리 가드 모듈에서는 고유의 주문형 배치 모델을 사용하므로 다른 트래픽에는 영향을 미치지 않고 대상 장치나 구역으로 향하는 트래픽만을 우회시켜서 정화할 수 있다. 해당 모듈 내에 통합된 여러 방어 레이어를 사용하여 어나몰리 가드 모듈이 악성 공격 트래픽을 식별하고 차단할 수 있으며 합법적인 트랜잭션은 본래 목적지로 계속해서 보낼 수 있다. 따라서 심각한 공격에서도 비즈니스를 계속 운영할 수 있다.

단일 모듈 속도의 몇 배에 달하는 속도를 지원하기 위해 단일 섀시에 여러 개의 시스코 어나몰리 가드 모듈을 사용하여 점차적으로 확장할 수 있으므로 대기업, 성장 중인 기업, 서비스 제공업체 환경에 쉽게 적응이 가능한 확장형 솔루션을 제공할 수 있다. 한편 어나몰리 가드 모듈의 마이크로프로세서 아키텍처에서는 향후에 라이센스 소프트웨어 업그레이드를 지원하여 대규모 공격의 방어 성능을 강화 및 향상시킬 수 있다.

한편 시스코 트래픽 어나몰리 디텍터 모듈(Cisco Traffic Anomaly Detector Module)은 시스코 카탈리스트 6500 시리즈(Cisco Catalyst 6500 Series) 스위치 및 시스코 7600 서비스(Cisco 7600 Series) 라우터를 위한 통합 서비스 모듈로, 대규모 조직이 DDoS 공격이나 기타 네트워크 공격을 차단하도록 도와주며 사용자가 신속하게 공격 차단 서비스를 시작하여 공격이 비즈니스에 악영향을 미치기 전에 차단할 수 있다.

특히, 특허를 획득한 고유의 다단계 검사(MultiVerification Process, 이하 MVP) 아키텍처를 기반으로 최신 기술인 행위 분석 및 공격 탐지 기술을 사용하여 모든 종류의 온라인 공격을 능동적으로 감지하고 식별한다. 또한 개별 장치가 정상 작동 조건에서 어떻게 동작하는지를 나타내는 상세 프로필을 만들기 위해 웹 서버 또는 전자 상거래 애플리케이션 서버와 같은 보호된 장치로 향하는 트래픽을 지속적으로 모니터링 한다.

이 프로필에서 플로우 별 이상을 감지한 후, 이 이상 동작을 잠재적인 공격으로 간주하고 사용자의 기본 설정에 따라 대응한다. 즉, 수동 대응을 시작하라는 경보를 운영자에게 보내거나 기존 관리 시스템을 트리거하거나 시스코 어나몰리 가드 모듈(Cisco Anomaly Guard Module)을 실행하여 즉시 차단 서비스를 시작한다.

악의적 비정상 트래픽만 검사·차단

시스코 어나몰리 가드 모듈과 함께 시스코 트래픽 어나몰리 디텍터 모듈을 사용하면 업계에서 가장 광범위한 DDoS 차단 시스템이 된다. MVP 아키텍처를 통해 시스코 트래픽 어나몰리 디텍터 모듈과 시스코 어나몰리 가드 모듈이 합법적인 트랜잭션에는 영향을 미치지 않고 악성 공격 흐름을 감지, 우회, 격리 및 제거할 수 있으므로 네트워크와 비즈니스에 필수적인 트래픽을 확실하게 보호할 수 있다.

시스코 가드 앤 디텍터 솔루션의 가장 큰 장점은 동일 목적지로 가는 다양한 트래픽들 중 악의적인 비정상 트래픽만을 검사, 차단함으로써 정상적인 트래픽은 지속적인 서비스가 가능하다는 것. 또 인라인방식이 아닌 아웃 오브 패스(Out of path) 방식을 사용함으로써 DDoS장비상의 문제가 서비스에는 전혀 영향을 주지 않아 안정적인 인터넷 서비스를 필요로 하는 기업들로부터 크게 각광을 받고 있다.

정교한 DDoS 탐지 기술을 수행

시스코의 ‘가드 앤 디텍터(Cisco Guard & Detector)’는 이상 현상 탐지 및 차단 솔루션으로 DDoS 공격을 감지할 뿐만 아니라, 악성 트래픽을 실시간으로 탐지하여 업무에 필수적인 합법적인 트랜잭션의 흐름에 영향을 주지 않고 차단한다. 따라서 고객들은 DDoS 공격을 효과적으로 차단하고 지속적이고 안정적인 비즈니스를 할 수 있게 된다.

또한 무엇보다도 정교한 DDoS 탐지 기술을 수행하는데 기업 내부의 서버 트래픽의 정상적인 흐름을 자동으로 인식하고 DDoS 성격의 위협적인 트래픽을 탐지한다. 또한 MVP(Multi Verification Process) 기술을 통해 공격목표로 향하는 위협적인 Traffic만을 필터링 하는 것이 가능하다.

시스코 가드 앤 디텍터의 고성능 DDoS 방어 기능은 대용량 DDoS 공격을 방어할 수 있도록 클러스터링 기술을 통해 18Gbps 이상의 대용량 DDoS 방어 솔루션을 구축해준다.

또한 시스코 고객은 이 제품의 뛰어난 디자인 유연성으로 어플라이언스 기반 및 카탈리스트 6500 또는 시스코 7600 샤시 기반에 시스코 가드앤디텍터를 장착하는 것이 가능하다. 그리고 라우팅 기반의 우회기술을 통해 고객들의 다양한 환경에서도 구축이 가능한 디자인 유연성을 보유하고 있다.

고객은 DDoS 공격이 발생할 때만 해당 피해 시스템으로 향하는 트래픽을 인라인 형태로 자동 구성하고 서비스 지연 DoS 및 DDos공격 탐지의 경우에도 정상 트래픽만 분류하여 지속적인 서비스가 가능하도록 구성되어 있는 비즈니스를 최우선으로 고려하여 설계된 시스코 가드 앤 디텍터를 도입함으로써 자사의 비즈니스 연속성을 보장할 수 있다.

아울러 간편한 설치 구성은 어떠한 구성환경에서도 표준 라우팅 프로토콜 기반의 유연한 설치를 가능하게 하며 웹 기반의 간편한 관리 구성을 제공하여 관리 효율성을 보장해준다.

시스코는 이미 자사의 검증된 DDoS 방어 솔루션을 통해 국내외 주요 ISP(Internet Service Provider) 및 포털 사이트, 기업들에 제공하여 자사 고객들이 대규모 공격을 훌륭히 방어하는데 일조하고 있다.

<글 : 정보보호21c 편집팀>

[월간 정보보호21c 통권 제105호 (info@boannews.com)]

최근 발생한 크라우드 스트라이크의 보안 SW 업데이트 오류 사태처럼 SW 공급망에 보안이슈가 발생할 경우 관련된 각종 시스템 및 IT 인프라 마비가 일어날 수 있다는 게 드러났습니다. 이러한 공급망 보안을 위협하는 가장 큰 요인은 무엇이라고 생각하시나요?
	랜섬웨어, 피싱 등의 사이버 공격
	SW 업데이트 및 SW 교체 과정에서의 오류
	SW 자체에 존재하는 보안 취약점
	시스템 관리자의 운영상 실수 및 관리 미흡
	기타(댓글로)