디지털 트랜스포메이션 위한 보안 기술: 클라우드 보안④
상태바
디지털 트랜스포메이션 위한 보안 기술: 클라우드 보안④
  • 김선애 기자
  • 승인 2017.09.20 08:59
  • 댓글 0
이 기사를 공유합니다

[전문가 기고] 전 세계 분산된 CDN 클라우드 이용한 디도스 공격 완화 방안

디지털 트랜스포메이션은 기업 성장을 위해 가장 중요한 혁신 경영 방법으로 꼽힌다. 그 방법으로 클라우드, 사물인터넷(IoT), 인공지능(AI), 빅데이터 등이 제안되며, IT 경계를 허물고, 모든 곳에서, 어떠한 시스템이든 접근해 데이터를 이용하고, 수집하고, 분석해, 더 높은 부가가치를 가진 서비스를 만들게 한다. 그러나 디지털 트랜스포메이션이 진행될수록 보안위협은 더 높아진다. 물리적인 방어선이 사라지면서 공격이 모든 곳에 존재하는 상황이 된다. 디지털 트랜스포메이션을 성공시키기 위한 보안 고려사항을 ▲클라우드 ▲IoT ▲APT·랜섬웨어 ▲데이터 보안 ▲보안 관제와 보안 서비스 등으로 나눠 연재한다. <편집자>

온라인 서비스 장애 일으키기 위해 DNS 공격

많은 온라인 서비스에서 이제 콘텐츠 전달은 필수적인 전략이 되고 있다. 빠르게 로딩되는 웹페이지부터 미디어 스트리밍에 이르기까지 CDN은 콘텐츠 다운로드를 가속화시키고, 사이트를 보다 유용하고 편리하게 만들어준다. 그래서 사용자는 먼저 CDN에 접속해야 한다.

CDN은 평균적으로 데이터센터 또는 호스팅 사이트보다 사용자에게 훨씬 더 가까이에서 리소스를 제공한다. 그러나 언제나 사용자의 홈 네트워크(일반적으로 ISP)와 CDN 네트워크 엣지 사이에는 퍼블릭 인터넷이 존재한다.

종종 이러한 경로를 통해 액세스할 때, CDN에 대한 액세스 속도를 저하시키거나 연결을 차단하는 문제가 발생하기도 한다. 즉 ‘정상’ 트래픽이 CDN에 도달하지 못하도록 네트워크 상에 DNS 쿼리 트래픽을 과도하게 발생시키는 등의 문제는 대부분 디도스 공격에 의해 발생된다.

CDN으로 DNS 악용 공격 차단

사용자와 CDN 간의 모든 경로는 CDN IP 주소와 ISP가 선택한 트랜짓(transit) 벤더의 조합으로 설정된다. CDN의 IP 주소는 DNS 테이블에 저장되며 각 ISP는 DNS 정보에 액세스하여 사용자의 요청을 전송할 위치를 결정한다.

CDN을 사용하면 솔루션의 많은 동적 특성이 CDN 인프라에 적용되어 있고, DNS 조회를 통해 해당 인프라에 액세스할 수 있다. 따라서 CDN 아키텍처, 정책과 DNS 아키텍처 및 관리 간의 관계가 점차 중요해지고 있다.

2016년 미라이 봇넷은 DNS 서비스 기업 딘(Dyn)을 공격해 미국의 주요 인터넷 서비스 기업을 마비시켰다. 미라이 봇넷은 보안에 취약한 CCTV를 감염시켜 딘에 공격 트래픽을 발생시켰으며, 딘의 서비스를 받는 많은 기업들이 서비슬 중단 피해를 입었다.

DDoS 공격이 발생하면, DNS 조회가 매우 느려지거나 사용이 어려울 수 있다. DNS 응답이 없으면 사용자는 CDN에 연결할 수가 없다. 따라서 네트워크가 아무리 효율적이라고 하더라도 아무런 서비스도 제공할 수 없게 된다.

▲CDN 이용한 디도스 공격 완화 방법

이와 같은 공격을 해결하기 위해 CDN의 인프라와 서비스를 이용할 수 있다. 최고의 디도스 솔루션은 다음과 같은 방법으로 CDN에 대한 디도스 공격의 영향력을 제한한다.

- 최첨단 클라우드 기반 DNS 솔루션은 모든 네임서버가 DNS 쿼리에 응답하는 분산 네임서버 네트워크(애니캐스트)를 사용한다. 즉 공격의 영향력을 DNS 인프라의 일부로만 제한할 수 있어서 네트워크의 나머지 부분은 일관된 성능을 유지할 수 있다.

- 잘 관리되는 대규모의 클라우드 기반 DNS 솔루션은 볼류메트릭(volumetric) 데이터의 대규모 청크(chunks)를 흡수할 수 있으며, 정상 트래픽을 충분히 처리할 수 있다. 특히 대규모 연결 파이프가 있는 여러 글로벌 POP에서 다양한 티어 1 전송을 사용하는 DNS 솔루션은 특히 이 같은 기능을 잘 구현할 수 있다.

- CDN 액세스를 위해 여러 DNS 네트워크를 사용하는 것은 공통의 네임서버 풀(세컨더리DNS)을 사용하는 효과적인 접근방식이 될 수 있다. DNS 네임서버 세트 중 한 세트를 사용할 수 없는 경우에도 다른 DNS 솔루션은 영향을 받지 않으며, 일관성 및 성능에 영향을 미치지 않으면서 DNS 기능을 수행할 수 있다.

 

DNS 솔루션이 가용성, 보안 및 성능에 영향을 줄 수 있는 디도스 공격을 통제하는데 중요한 영향을 미칠 수 있다는 사실은 분명하다. 또한 디도스 스크러버 사이트와 같이 별도의 디도스 보호 서비스를 추가해 대용량 디도스 생성 트래픽을 흡수, 필터링하는 효과적인 방법을 적용함으로써 비즈니스 연속성을 유지할 수 있다.

다만 이러한 서비스는 추가 비용이 발생되고, 디도스 완화 DNS 솔루션보다는 대기 시간이 길어질 수는 있다. 따라서 지속적으로 증가하는 디도스 공격과의 전쟁에서 여러 효과적인 DNS 및 디도스 스크러버 사이트 솔루션을 혼용해 사용하는 방안을 신중히 고려해야 한다.

(글: 박대성 라임라이트 네트웍스 코리아 대표)



댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.