[네트워크 보안의 현주소①] 보안 어플라이언스의 중요성
상태바
[네트워크 보안의 현주소①] 보안 어플라이언스의 중요성
  • 이강호 탑레이어네트웍스코리아 과장
  • 승인 2003.03.21 00:00
  • 댓글 0
이 기사를 공유합니다

급속한 인터넷의 성장은 언제 어디서나 손쉽게 네트워크로 연결할 수 있는 접속성에 대한 요구를 더욱 가속화시키고 있다. 그러나 인터넷의 개방형 환경은 양날을 가진 칼과 같다. 최근 컴퓨터 보안 연구소(Computer Security Institute)가 실시한 조사 결과 650개 기업 중 90%가 과거 12개월 동안 컴퓨터 보안 침해를 경험한 것으로 밝혀졌다. 그 중 74%는 이러한 보안 침해 문제로 인해 재정적 손해를 입은 적이 있다고 응답했다. 그 중 42%만이 손실 규모를 산정할 수 있었고 273개 기업이 보고한 전체 재정 손실액은 2억6천500만 달러 이상에 달했고 사실, 이는 빙산의 일각에 불과하다는 것이다. <편집자>

전용 네트워크에서 공용 네트워크로의 전환은 대기업, 서비스 사업자 및 통신 사업자 등에 새로운 보안 및 성능의 과제들을 제시하고 있다. 인터넷 상거래에 주력하고 있는 유수의 기업들이 최근 겪고 있는 새로운 방식의 보안 침해 사례는 공용 IP 기반 네트워크 상에서 중요한 비즈니스 애플리케이션을 운영하는데 따른 취약점을 여실히 드러내고 있다. 이러한 현실에서 DoS 및 DDoS(Distributed Denial of Service) 공격의 횟수와 유형은 날로 다양해지고 있으며 전세계적으로 네트워크를 중단시키는 사례도 급속히 증가하고 있다.

IDS 맹신은 금물

지난해 인터넷 사이트를 보유하고 있는 기업 중 약 40%가 최소 1번 이상의 DoS 공격을 경험했으며 비즈니스 손실 및 고객 신용도 하락 등을 고려해 볼 때 수억 달러의 비용 손실을 부담한 바 있다. 그러나 많은 기업들은 방화벽 또는 IDS(Intrusion Detection System)를 설치함으로써 자체 보안 기반을 완벽하게 보호하고 있다고 믿고 있다. 기존 방화벽 기술은 모든 기업들에게 있어 최일선의 방어 수단으로서 절대적인 역할을 담당하고 있다. 그러나 이 기술만으로 네트워크에 수시로 침입하는 모든 DoS 공격으로부터 기업들을 보호하는 것은 거의 불가능하며 애플리케이션의 가용성 및 성능을 보장하기에도 부족한 실정이다.

따라서 현재의 네트워크 보안 정책 및 시스템이 이에 신속하게 대처할 수 있도록 하기 위해서는 철저한 조사가 필요하다. 인터넷 액세스의 범위가 지속적으로 확장되고 있으며 데이터 전송의 크기와 속도가 더욱 증가됨에 따라 새로운 보안 대책을 마련해야 한다. 기업을 새로운 보안 위협으로부터 보호할 수 있는 최상의 방법을 알아내기 위해서는 문제의 본질을 파악하는 것이 선결 과제이다.

인터넷상에서 운영되는 대기업 네트워크 및 애플리케이션은 매출을 늘리고 궁극적으로 수익을 창출하는 비즈니스 전략의 핵심으로 자리잡고 있다. 기업은 인터넷을 통해 대다수 고객들에게 접근할 뿐만 아니라 이들을 보다 신속하고 효율적인 방식으로 지원할 수 있게 됐다. 또한 공용 IP 네트워크를 사용함으로써 기업들은 인프라 관련 비용을 줄이고 있다.

불행히도 인터넷이 기업에 제공하는 이러한 이점들은 같은 공용 인프라를 통해 공격 기술을 전파시키는 해커 그룹에게도 동일하게 적용된다. 해커 공격 툴은 개발 소스 코드를 포함해 인터넷상에서 손쉽게 입수할 수 있다. 이들 GUI 기반 툴을 이용해 개발한 코드들은 초보 해커 그룹(‘스크립트 초보자(script kiddies)’ 또는 ‘초보 해커(larval hackers)’라 불리며 전세계에 널리 분포하고 있다)으로 분배되어 1년 365일 언제든지 자동 공격 방법을 개발할 수 하도록 하고 있다. 또한 많은 신규 해킹 방법들이 인터넷의 분산 속성을 활용해 방어 체계가 허술한 기업들에 대해 DoS 공격을 시도하고 있다.

대표적인 보안 위협 유형

기업 네트워크에 대한 보안 위협 유형은 다양하다.

DoS(Denial of Service)

해커들이 현재 가장 널리 사용하고 있는 방법 중 하나인 DoS 공격은 네트워크에 과도한 트래픽을 발생시킴으로써 웹 사이트 또는 엔터프라이즈 애플리케이션을 실행하는데 사용되는 메모리 자원을 완전히 점거하게 된다. 이 경우 유닉스 및 윈도 운영 체계의 취약성으로 인해 전 세계적으로 시스템의 크래시가 발생하거나 대량의 정상 트래픽을 사이트로 전송함으로써 과부하로 인한 크래시가 발생하도록 한다. DoS 공격의 유형에는 핑 플루드(Ping Flood) 또는 PoD(Ping of Death), SYN 플루드, UDP 플루드 및 스머프 어텍(Smurf Attack) 등을 들 수 있다.

DDoS(Distributed Denial of Service)

DDoS 공격은 DoS의 또 다른 형태이다. 이는 인터넷에 연결된 일단의 시스템들을 이용해 단일 사이트에 대한 플루드 공격을 시도하는 공격을 의미한다. 해커들이 일단 취약한 인터넷 시스템에 대한 액세스가 이루어지면 침입한 시스템에 소프트웨어를 설치하고 이를 실행시켜 공격을 원격적으로 개시한다. 최근 DDoS 공격이 민간 기업 및 공공 기관 시스템에서 실행되고 있지만 해커들은 대학 네트워크의 개방적인 분산 속성 때문에 대학 네트워크를 실행 사이트로 선호하는 경향이 있다.

DDoS 공격을 개시하는데 사용되는 프로그램으로는 Trin00, TFN(TribeFlood Network), TFN2K 및 Stach-eldraht 등을 들 수 있다.

네트워크 침해

DDoS 공격을 감행하기 위해 해커들은 우선 악의적인 용도를 위해 본의 아니게 선택된 특정 시스템에 대한 액세스 권한을 확보해야 한다. 네트워크 침해 방법은 다음과 같다.

· 네트워크 스캐너(network scanner) 및 스니퍼(sniffer): 네트워크 하드웨어 및 소프트웨어 구성의 취약점을 파악하기 위해 해커들이 사용하는 툴

· 패스워드 크래킹(password cracking) 및 추측 툴(guessing tool): L0phtcrack 및 John the Ripper와 같은 패스워드 크래커들은 사전 크래킹(dictionary cracking) 및 브루트 포스(brute-force) 크래킹 방법을 사용해 네트워크 패스워드를 발견한다.

· IP 스푸핑(IP spoofing): 이 기술은 컴퓨터에 대한 인증되지 않은 액세스 권한을 입수하는 데 사용된다. 침입자가 패킷 헤더 수정을 통해 인증된 호스트의 IP 어드레스를 위조한 다음 타깃 컴퓨터로 메시지를 발송하면 이 패킷은 해당 포트에서 유입되는 것처럼 나타나게 된다. IP 스푸핑은 해커들이 DoS 공격을 실행하는데 사용하는 핵심 툴이다.

· 트로이 목마(Trojan horses) 및 악의적인 자바/액티브X 애플릿 또는 비주얼 베이직 스크립트: 이 방법들은 정상 애플리케이션으로 보일 수 있으며 e메일 메시지로 첨부되기도 하고 파괴를 목적으로 해커에 의해 원격적으로 실행되기도 한다.

바이러스 및 웜

널리 알려진 여타 보안 위험의 형태로는 바이러스 및 웜을 들 수 있다. 이들은 e메일 또는 HTTP 패킷을 통해 일반적으로 보급되는 악의적인 프로그램 또는 코드들이다. 바이러스는 의심받지 않는 수신자(unsuspecting recipient)의 컴퓨터로 로드된 후 스스로를 복제해 컴퓨터의 e메일 시스템을 조작해 여타 사용자들에게 바이러스를 전파시킨다.

일부 바이러스는 네트워크를 통해 스스로를 전송하고 보안 시스템을 우회할 수 있다. 대부분의 바이러스 최종 목표가 데이터를 손상시키는 것이지만 단순한 바이러스가 반복적으로 재생산되는 것 역시 위험하다. 이런 경우 모든 가용 시스템 메모리를 빠른 속도로 소모시키고 시스템에 크래시를 발생시키게 된다. 웜은 자체적으로 복제되고 메모리를 소비할 수는 있지만 여타 프로그램에 스스로를 첨부시키지는 못하는 특수한 유형의 바이러스이다.

지난 1월 발생되었던 SQL-오버플로는 일반적인 웜과 같이 파일형태로 저장되어 감염되는 것이 아니라 2001년 7월에 발견되었던 코드레드와 같이 메모리상에 상주하는 악성코드이다. 랜덤한 IP를 목적지로 하여 패킷을 보내게 되는데. 패킷의 크기는 376 바이트이고, UDP 포트 1434(MS SQL-모니터 포트)를 사용한다. 패킷이 한번 보내지면 무한루프를 돌아 서버가 종료될 때까지 패킷을 보내게 되므로 DoS(Denial of Service)를 유발하는 결과를 낳게 된다.

웜에 감염된 SQL서버들에 의해 유발된 대량의 비정상 트래픽을 보안 장비들이 감지하고 이를 관리자용 로그기록 서버로 전송했는데 로그 서버는 정보를 제공한 스위치의 주소를 파악하기 위해 DNS에 역질의(Reverse Query)를 전송하게 된다. 이 때 국내 관행상 DNS서버에는 보안장비나 로그분석 서버의 PTR 정보를 파악하지 않고 있기 때문에 DNS서버는 로그 서버로 다시 ‘자료 없음’이라는 응답을 주게 되고 이는 다시 로그서버로 하여금 DNS에 주소를 묻는 쿼리(Query)를 보내게 만드는 과정이 반복되면서 패킷이 폭증했다고 한다.

문제 해결

이러한 문제점을 해결하기 위해 기업들은 주로 방화벽을 사용하고 IDS를 설치하며 보안에 대해서는 방심하고 있게 되는데, 방화벽은 처음부터 주요 DoS 공격을 방어할 목적으로 개발되지 않았기 때문에 주요 DoS 공격을 방어하는데 방화벽이 소모하는 프로세싱 성능으로 인해 네트워크의 속도가 저하될 수 있다.

방화벽의 이러한 단점을 해결하기 위해서는 일련의 서버들을 타깃으로 하는 공격들을 파악해 이를 저지하도록 최적화된 보안 어플라이언스들을 통해 방화벽을 강화시켜야 한다. 이러한 시스템은 방화벽과 기업 라우터에 설치되어 패킷 필터, 패킷 시퀀스 서명, HTTP URI 필터, TCP 커넥션 카운터 그리고 네트워크 커넥션 활동에 기초한 위험도 평가 등의 기술을 활용함으로써 DoS 공격을 감시하게 된다. 보안 어플라이언스를 통해 악의적인 트래픽이 확인될 경우 이를 폐기시킴으로써 정상 트래픽이 기기비트 속도로 네트워크 및 장비를 통해 처리될 수 있게 된다.

다행히, 처음부터 방화벽을 DoS 침입으로부터 보호하도록 개발된 DoS 보안 어플라이언스와 결합시킴으로써 위험 부담을 최대한 줄일 수 있다. 기업은 전체 네트워크 인프라를 거의 변경하지 않고 네트워크 보안을 상당히 향상시킬 수 있게 되는 것이다. 또한 기가비트 링크 상에서 고속으로 새로운 수준의 보호 기능이 제공되게 된다. 이런 방식으로 네트워크를 강화한 기업들은 해커 및 여타 다른 형태의 악의적인 트래픽을 차단하는 철옹성을 구축하게 되는 것이며 보다 효과적으로 네트워크 다운을 방지하고 엄청난 비용을 유발하게 되는 법률적 문제를 피할 수 있게 된다.

뿐만 아니라 더욱 추가된 보호 기능은 소프트웨어 경비를 따로 지출하지 않고도 기존 방화벽을 최대한 활용하고 기존 네트워크 운영 직원을 그대로 활용함으로써 교육 부담을 최소화하게 된다. 요약하자면, 오늘날의 모든 기업들이 이들 어플라이언스를 기존 서버, 라우터 및 침입 탐지 장비와 통합함으로써 기존 솔루션을 토대로 하는 보다 안전한 네트워크를 확보할 수 있게 되는 것이다.


댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.