[데이터넷] 화초를 잘 가꾸기 위해 빛, 바람, 물, 영양제까지 잘 챙기고 있지만, 정작 화분이 너무 작다면, 화초는 자라지 않을 것이다. IT도 이와 같다. 비즈니스를 운영하고 성장시키기 위해 애플리케이션을 잘 설계하고 운영하는 것도 중요하지만, 그에 맞는 인프라를 갖추지 못했다면 잘 설계된 애플리케이션은 무용지물일 뿐 아니라 비즈니스를 중단시키거나 지연시키게 된다.

백승현 라드웨어코리아 이사는 <데이터넷TV> 웨비나 ‘디도스, 그것이 알고싶다! 클라우드 디도스 공격 사례와 최적의 방어 솔루션 집중 분석’에서 IT 인프라·애플리케이션을 화초를 가꾸는 것으로 비유해 설명했다.

백승현 이사는 “화초가 화분보다 커지면 화초는 잘 자라지 못하거나 죽고 만다. 애플리케이션을 운영하기 위한 인프라를 제대로 갖추지 못했다면, 특히 급변하는 네트워크 트래픽을 제대로 지원하지 못했다면, 애플리케이션은 제대로 운영할 수 없다”며 “애플리케이션과 네트워크 운영에 중대한 영향을 미치는 디도스·랜섬 디도스 공격에 제대로 대응할 수 있는 방법이 필요하다. 그 최적의 대안이 클라우드를 활용한 디도스 대응 서비스다”고 강조했다.

백 이사는 웨비나를 시작하면서 “클라우드로 비즈니스가 확장되면서 공격면이 넓어지고 디도스 공격 빈도와 공격 트래픽 규모, 공격벡터가 늘어나고 있어 대응이 매우 어려워졌다. 그래서 디도스 대응 전문 서비스를 이용한 효과적인 대응 전략을 마련해야 한다”고 설명했다.

사이버 범죄자, RaaS로 쉽게 공격 성공

이어진 세션 발표에서 김태영 부장은 최근 디도스 공격 사례를 소개하면서 웨비나를 시작했다. 최근 가장 대응이 어려운 공격은 짧은 디도스 공격을 한 후 돈을 지불하지 않으면 비즈니스를 중단시키겠다고 협박하는 랜섬디도스다.

이 공격은 지난해부터 전 세계 여러 금융기관에 피해를 입혔으며, 국내 금융권도 올해 2월까지 공격을 당했다. 다행히 라드웨어 디도스 대응 서비스를 통해 성공적으로 막을 수 있었다.

김태영 부장은 “국내에서 공격 당한 것으로 알려진 금융기관은 라드웨어 서비스를 이용해 성공적으로 공격을 차단하고 피해를 예방한 것으로 알려지고 있다. 랜섬 디도스는 지금도 진행중인 매우 위험한 공격”이라며 “이러한 공격이 가능한 것은 지하시장에서 활발히 영업중인 서비스형 랜섬웨어(RaaS)로 인해 사이버 공격에 대한 이해가 없는 범죄자들도 쉽게 공격에 가담하기 때문”이라고 말했다.

라드웨어의 ‘2021년 2분기 디도스 공격 분석’ 보고서에 따르면 UDP 프로토콜을 이용한 반사·증폭공격이 거의 모든 공격에서 나타나는데, 이는 공격자 소스 IP를 숨길 수 있어 소스 IP를 파악해 대응하는 기존 디도스 대응 장비를 우회할 수 있다. 또 적은 트래픽으로 공격 효과를 높일 수 있는 DNS 타깃 공격도 집중적으로 발생하고 있다.

대응이 가장 까다로운 공격으로 ‘융단폭격(Carpet Bombing)’ 공격이 꼽힌다. 전체 네트워크에 10~300G 규모 반사·증폭 공격을 쏟아붓는 융단폭격 공격은 부스터, 스트레서와 같은 공격대행 서비스로 제공되면서 발생 빈도가 더 높아졌다. 이 공격은 디도스 대응 솔루션 성능을 초과해 대응하지 못하게 하며, 세션을 관리하는 네트워크 장비 리소스를 소진시켜 네트워크를 중단시킨다.

일정 시간 단위로 공격을 반복하는 버스트(Burst) 공격은 ‘새로운 디도스 표준’이라고 할 수 있다. 15초에서 1분간 대량 트래픽으로 공격하고 잠시 쉬었다가 다시 공격하는 것을 반복하는 이 공격은 공격벡터가 수시로 변경되고 지리적으로도 분산되기 때문에 수동 시그니처, 라우터 ACL, IP 블랙리스트 등 기존 방어 기술로 완화할 수 없다.

이외에도 암호화 트래픽을 이용한 공격, IoT 기기를 이용한 공격, 랜섬 디도스 등이 기업·기관을 위협하고 있다.

비즈니스 하루 중단되면 12억 손해

김태영 부장은 최근 디도스 공격 트렌드를 설명한 후 클라우드 기반 디도스 방어 서비스가 최신 공격에 대응할 수 있는 가장 최적의 방법이라고 소개했다.

가트너에 따르면 한 시간 동안 비즈니스가 중단되면 평균 4만2000달러의 손해를 입는다고 분석한 바 있다. 하루 동안의 서비스 다운타임은 약 12억원 정도 되는 셈이다. 네트워크 가장 앞단에 디도스 차단 솔루션을 구축하는데, 융단폭격 공격과 같은 대규모 트래픽은 거의 대부분 조직에 구축된 디도스 차단 솔루션의 성능을 초과하기 때문에 순식간에 비즈니스를 중단시킬 수 있다.

디도스 공격 피해를 막기 위해 디도스 대피소, 클린존 서비스를 운영하고 있지만, 공격 발생 즉시 서비스를 이용한다 해도 실제 서비스를 통해 대응하기 까지 시간이 필요하기 때문에 피해를 완전히 막을 수 없다. 또 이 서비스는 국내에서 발생한 디도스 공격을 분석하고 대응하기 때문에 해외에서 시작된 공격을 차단하는데 한계가 있다. 거의 대부분의 공격 트래픽이 해외에서 발생하는 상황을 감안하면, 최근 디도스 공격 대응에 충분하다고 하기는 어렵다.

김 부장은 “비즈니스 연속성을 보장하면서 공격에 즉각적으로 대응하기 위해서는 클라우드 기반 디도스 대응 서비스가 필수”라며 “서비스 방식의 디도스 대응은 글로벌 위협 대응 전문 역량과 위협 인텔리전스를 갖추고 있기 때문에 최근 지능적이 디도스 공격에 신속하게 대응할 수 있다”고 강조했다.

클라우드를 통해 디도스 대응 서비스를 이용하면, 조직 내에 디도스 대응 전문성을 충분히 갖추지 못해도 효과적으로 디도스 공격을 막을 수 있다. 또 디도스 대응 장비의 성능을 초과하는 공격이나 시그니처·패턴에 없는 새로운 공격도 지능적으로 차단할 수 있다.

다양한 고객 맞춤형으로 구축하는 디도스 완화 서비스

현재 여러 웹 보안 기업들이 클라우드 기반 디도스 서비스를 제공하고 있지만, 일부 기업은 로컬 스크러빙 센터를 마련하지 않아 완벽한 대응을 어렵게 한다. 로컬 스크러빙 센터가 없으면, 해외 트래픽과 국내 트래픽을 나누지 않기 때문에 해외 라우팅 테이블을 받을 수 있으며, 해외로 트래픽이 나갈 수 있다. 국내에 스크러빙 센터가 있으면 국내화 해외 라우팅을 구분하기 때문에 로컬 센터의 트래픽이 해외로 나가지 않아 안전하다.

라드웨어는 2017년 디도스 방어 서비스 업계 최초로 우리나라에 스크러빙센터를 구축하고 클라우드 디도스 대응 서비스를 시작했다. 그 동안 다양한 기업·기관의 디도스 공격을 효과적으로 방어하면서 국내 디도스 공격 대응을 위한 노하우를 축적하고 있으며, 로컬 엔지니어의 높은 기술력을 제공해 디도스 공격에 정확하게 대응할 수 있게 한다.

라드웨어 디도스 보호 솔루션은 데이터센터 구축형 어플라이언스와 클라우드와 어플라이언스를 병행하는 하이브리드 형태, 클라우드 서비스로 제공되며, 클라우드 서비스는 모든 트래픽을 먼저 검사하는 ‘올웨이즈 온’ 방식과 공격 의심 트래픽이 발견됐을 때 대응하는 ‘온디맨드’ 방식으로 제공된다.

라드웨어는 우리나라를 비롯한 14개 클라우드 디도스 센터를 운영하고 있으며, 8Tbps 이상 글로벌 방어 성능을 제공한다. 공격이 발생한 곳에서 즉시 차단하기 때문에 고객 인프라에 전혀 영향을 미치지 않으며, 클라우드 디도스 포털을 제공해 단일화된 편리한 관리 환경을 제공한다.

김태영 부장은 “라드웨어는 IDC, 포레스터 등 글로벌 시장조사기관으로부터 오랫동안 디도스 완화 분야의 리더로 꼽혀왔으며, 뛰어난 행동기반 탐지 기술로 악성 트래픽만 차단하고 실시간 시그니처 생성으로 디도스를 빠르게 완화할 수 있다”며 “보안 전문가(ERT)의 온전 관리형 보안 서비스를 제공해 담당자 운영 부하를 감소할 수 있어 관리 조직 효율성도 높일 수 있다”고 강조했다.