DoS/DDoS 공격·봇 등 보안 위협 날로 증가 … ACL·안티스푸핑·스테이트풀 인스펙션 활용
김한기 / 라드웨어코리아 과장 / hankik@radware.co.kr
매년 여름만 되면 되풀이 되는 태풍 피해처럼 최근에 와서 보안 침해사고가 반복되고 있으며 그 피해 범위와 대상은 점점 커지고 있다. 국내의 경우 잘 갖춰진 IT인프라를 이용해 손쉽게 공격을 발생시킬 수 있고 이로 인한 피해를 받을 수 있으며 순식간에 전파되는 제로데이 공격이 현실화되고 있다. 대표적인 보안 침해 사고는 웜, 바이러스, 스팸릴레이, 피싱, 봇, 홈페이지 변조, 해킹, DoS/DDoS 공격 등이 있으며 이러한 공격으로 인한 피해는 계속적으로 증가하고 있다. 이번 글에서는 최근 발생하고 있는 이러한 일련의 보안위협 사례와 이에 대응한 차단의 필요성에 대해서 알아보고자 한다. <편집자>
우리가 얼마나 보안 위협에 취약하게 노출돼 있는지는 몇 가지 사례를 통해서 확인할 수 있다. 먼저 작년 KISA에서 조사한 웜, 바이러스의 취약 PC 생존가능 시간에 대한 자료를 참조하겠다. 생존가능 시간 체크는 컴퓨터에 새로운 OS 설치 이후 윈도 업데이트나 바이러스 백신을 설치하지 않았을 때 해당 PC를 인터넷에 연결해 놓은 경우 얼마나 빨리 웜이나 불법적인 소프트웨어가 PC에 감염되는지 시간을 체크한 것이다. 윈도 2000의 경우 최소 9분 32초, 최대 29분 4초 만에 감염이 됐다. 윈도 XP의 경우 감염시간이 더욱 빨라서 최소 8분 57초, 최대 27분 17초 만에 PC가 불법적인 공격 매개체에 감염됐다.
보안 위협에 대한 노출
그렇다면 실제 새로운 웜이 생성돼 전파되는 시간은 얼마나 될까? <그림 1>과 같이 2001년 국내에 많은 피해를 야기 시켰던 님다 바이러스의 경우 웜이 만들어진 시점은 1년 전이지만 네트워크상에 전파되어 실제 영향을 미친 것은 1년이 지난 뒤였다. 하지만 최근에는 새로운 웜이 만들어져서 네트워크상에 전파되는 시간은 불과 5일을 넘지 않는다. 즉 새로운 웜이 만들어지고 네트워크 상에 감염되는 것은 일주일이면 충분한 시간이 됐다.
보안 업계에서는 이에 따라서 이를 제로 데이 공격(Zero Day Attack)이라 부르고 있다. 이러한 웜 공격의 특징은 해당 PC가 감염됐을 때 또 다른 공격 대상을 찾고 이를 감염시키기 때문에 감염된 사용자 자신도 알지 못하는 사이에 DoS(Denial of Service) 공격을 유발시키는 공격자가 된다는 점이다.
이처럼 우리가 매일 일상적으로 사용하는 네트워크 환경은 생각보다 훨씬 취약점에 노출돼 있다. 최근 들어서 공격의 수나 종류가 더욱 다양하게 증가하고 있는데 이는 IT인프라가 그만큼 잘 갖춰져 있기 때문이다. 대학 캠퍼스나 커피숍에서도 쉽게 무선으로 네트워크를 접속할 수 있으며 대부분의 가정과 기업에서 광대역 통신으로 서비스를 받을 수 있기 때문이다.
이러한 인프라는 그만큼 공격에 대한 전파성을 높일 수 있으며 또한 일반 사용자들이 다양한 공격툴을 쉽게 구할 수 있도록 하고 있다. 포털 사이트를 통해서 스캐닝 툴 혹은 DoS, DDoS 공격툴을 손쉽게 구할 수 있는데 사용방법도 어렵지 않기 때문에 공격의 수와 양이 계속적으로 증가하고 있다.
보안 위협사례
그렇다면 최근의 보안 위협사례는 어떠한 것들이 있을까? 작년 연말에 발생한 수능 원서 접수서버에 대한 공격이 대표적인 보안 위협사례로 이는 DoS 공격으로 발생한 장애였다. 해커들이 원서접수 서버로 공격을 시도하면서 정상적으로 서비스를 받아야 하는 사용자의 경우 서비스를 제대로 받지 못하는 장애로 이때 사용한 공격은 스크립트를 이용해 웹 페이지로 계속 불러오도록 하는 DoS 공격이었다.
이러한 공격으로 인해 세션 관리가 필요한 방화벽 장비가 세션 한계에 도달했으며 더 이상 새로운 세션을 처리하지 못한 것이다. 이에 따라 원서 접수를 하지 못한 사용자들이 다른 원서대행 업체로 몰리면서 해당 사이트 또한 트래픽 증가와 함께 이를 모두 처리하지 못하면서 연쇄 장애가 발생했다.
DoS 및 DDoS 공격은 기업에서 가장 자주 발생하는 공격으로 이러한 공격이 문제가 되는 것은 해당 공격으로 인해 세션을 관리해야 하는 장비에 직접적으로 영향을 미치기 때문이다. 대표적으로 방화벽과 로드밸런싱 스위치가 이에 해당된다. 이들 장비는 세션 관리를 통해 트래픽 정보를 유지하는데 DoS 및 DDoS 공격에 의해 해당 세션테이블이 한계치에 도달하면서 더 이상 신규 세션을 처리하지 못해 장애가 발생한다.
또 다른 위협 사례는 여러 보안장비를 구비하고 있는 고객에서 발생한 경우로 다음이 좋은 예라 하겠다.
해당 기업은 외부 인터넷 망 구간에 공격차단을 위해 침입 차단 시스템과 방화벽을 구매 했으나 내부에서 발생한 웜으로 인해서 피해를 본 경우다. 외부에서 유입되는 공격은 보안 장비를 통해 차단하고 있으나 물리적으로 이동하는 사용자에 의해 내부에서 웜이 전파되면서 문제가 발생했다. 해당 기업의 경우 외부 아웃소싱 인력의 이동이 많은 곳으로 이동 사용자가 감염된 노트북을 가지고 오면서 내부에 웜이 전파된 것이다. 이처럼 보안에 대한 위협은 외부뿐만 아니라 내부에서도 발생할 수 있으며 따라서 기업의 내부망과 외부망을 동시에 보호할 수 있는 보안 시스템의 구축이 필요하다.
다른 위협사례를 살펴보면 봇(Bot) 공격으로 어릴 때 가지고 놀던 장난감의 로봇을 생각하면 된다. 봇이란 해커가 일반 사용자들의 PC에 몰래 공격 숙주를 심어 놓고 IRC 채널을 이용해 원격에서 조정하는 DDoS 공격의 일종이다. KISA의 통계로 보면 작년에 발생한 전세계 봇 공격 중 18.8%가 국내에서 발생했을 만큼 큰 비중을 차지하고 있다.
봇 공격의 경우 감염된 사용자의 소스 IP 변조를 하는 DDoS 공격 형태를 띠고 있기 때문에 공격 발생시 이로 인한 피해가 크다고 할 수 있다. 봇 공격의 경우 최초 발생시 DNS 룩업(lookup)을 하게 되는데 이에 따라서 일부 ISP(Internet Service Provider)에서는 이를 차단하는 형태의 솔루션 도입을 통해 봇 공격의 전파를 사전에 예방하고 있다.
이와 함께 꾸준히 증가하고 있는 침해사고로는 해킹, 피싱 및 홈페이지 변조 등이 있다. 해킹의 경우 대표적으로 백도어나 트로이잔 등을 설치해 관리자 몰래 서버 점유를 통해서 필요한 정보를 빼내거나 또 다른 공격을 위한 중계지로 사용하는 공격이다. 피싱의 경우 정상적인 서비스로 가장해 사용자로부터 필요한 정보를 빼내는 공격 방법이다.
<그림 3>은 2005년 FBI의 컴퓨터 범죄 조사 자료로 국외에 대한 보안 위협 사례를 참고해 볼 수 있는 자료다. 웜/바이러스 및 스파이웨어가 가장 많은 공격을 유발했는데 이는 알려지지 않은 웜 및 바이러스가 기업의 입장에서 가장 큰 위협요소라는 사실을 알 수 있다. 또한 웜이 DDoS 툴 예를 들어 봇이나 봇넷을 설치할 경우 DoS에 대한 위협 증가 및 이로 인한 피해가 증가한다는 사실이다. 다음으로 DoS 및 DDoS 공격에 대한 이슈로 이들 공격은 특히 대형 전자 상거래 사이트와 인터넷 서비스 제공업자(ISP)에 특히 위협이 되고 있다.
기업이 직면한 새로운 보안 도전요소
2005년 IDC 보고서에 따르면, 향후 12개월 동안에 기업에서 직면한 상위 보안 도전 사례로 세밀한 공격의 증가를 가장 첫 번째로 꼽았다. 이는 공격이 보다 능동적이고 지능화됐으며 이로 인해서 차단이 보다 어려워졌음을 알려주고 있다. 다음으로 항상 간과되기 쉬운 부분으로 내부 사용자에 대한 보안 정책의 중요성이다. 실제 많은 사례에서도 알 수 있듯이 내부에 대한 보안은 소홀한 것이 사실이며 이로 인해서 많은 보안사고가 발생하고 있다.
가령 내부 사용자가 보안패치를 제대로 하지 않아서 웜이 발생된 경우 이로 인해 짧은 시간안에 내부망에 해당 웜이 전파되게 된다. 다음으로는 모든 기업에서 겪고 있는 문제로 보안 예산의 부족이다. 이외에 트래픽의 증가 및 서비스의 다양화 그리고 인터넷 사용의 열린 환경 등이 주요 보안 도전 사례로 나열됐다.
보안 위협에 대한 대응
웜, 봇 공격 등 주위에서 다양한 형태의 DoS 및 DDoS 공격이 발생되고 있다. 그렇다면 일반 기업에서는 어떠한 보안 솔루션을 도입하고 있는지 알아보자. <그림 5>는 미국의 CSI의 자료로 대부분의 일반 기업에서는 보안을 위해서 방화벽과 안티 바이러스 소프트웨어를 가장 많이 사용하고 있으며 국내 기업에도 많이 도입된 IPS(침입차단시스템)나 IDS(침입탐지시스템)를 사용하고 있다.
위의 보안 솔루션 중 DoS와 DDoS 공격 차단을 위해서 최근 들어 기업에서 가장 많이 도입을 하고 있는 제품은 IPS로 해당 제품이 가지고 있는 DoS와 DDoS 차단을 위한 기능을 알아보도록 하겠다.
IPS의 경우 DoS 및 DDoS를 막기 위하여 크게 네 가지 방법을 사용하고 있다.
첫번째는 가장 전통적인 차단 방법으로 시그너처를 이용한 차단 방법이다. IPS 제품의 경우 공격차단을 위한 DB를 가지고 있으며 공격 발생시 이와 매치되는 시그너처가 있는 경우 이를 차단하는 방법이다. 시그너처를 이용한 방법의 경우 주기적인 DB 업데이트가 필요하다.
두번째는 임계치를 이용한 세션 수 제어 방법으로 특정 소스 IP 혹은 데스티네이션(Destination) IP가 장비에서 설정한 임계치를 초과해 유입되는 경우 임계치를 넘는 세션은 모두 차단하는 방법이다. 해당 방법은 사용자 환경에 따라서 임계치를 수동으로 설정해야 하며 특별한 이벤트 발생으로 인한 트래픽 증가시 오탐이 발생할 수 있기 때문에 이러한 경우 사용자의 모니터링이 필요하다.
세번째는 SYN-쿠키 혹은 SYN 프록시를 이용한 방법으로 사용자간의 통신에서 IPS 장비가 프록시로 동작하면서 쓰리 핸드 쉐이크(Three Hand Shake)를 중간에서 대신하는 방법으로 이때 사용자로부터 ACK 패킷에 대한 응답이 있는지를 검사하고 이에 대한 응답이 없으면 차단하는 방법이다. 해당 방법의 경우 UDP 및 ICMP와 같이 쓰리 핸드 쉐이크를 하지 않는 프로토콜에 대해서는 차단하지 못하는 제약점을 가지고 있다.
네 번째는 행위기반(Behavior) DoS 기능으로 공격 발생시 IPS 장비에서 자동으로 공격룰을 만들고 이를 차단하는 방법으로 사용자가 별도의 DB 업데이트나 룰 생성이 필요 없기 때문에 유용하다. 다만 전체 트래픽 양에서 공격 트래픽 양이 소량일 경우 네트워크에 미치는 영향이 미미하기 때문에 이를 차단하지는 않는다. 이와 같이 각각의 차단 방법 별로 특징을 가지고 있기 때문에 DoS 및 DDoS 공격 차단을위해 이를 복합적으로 사용하게 된다면 기업의 망을 보다 안전하게 보호할 수 있다.
보안에 대한 인식이 많이 강화되면서 많은 기업에서 보안솔루션을 도입하고 있지만 여전히 투자금액이나 우선순위는 다른 예산에 비해서 낮은 것이 사실이다. 또한 대부분의 경우 보안에 대한 강화는 전적으로 공감을 하지만 막상 이를 위한 방법을 강구하는 데에는 소극적이다.
보안에 대한 강화를 위해서 새로운 장비와 솔루션 도입은 당연히 필요한 일이지만 제한된 비용으로 항상 이를 해결하는 것은 분명 어려운 일이다. 먼저 기업에서 이미 활용하고 있는 솔루션을 최대한 활용하는 것이 가장 좋은 방법으로 레이어3 스위치를 이용한 ACL, 방화벽을 이용한 안티스푸핑과 스테이트풀 인스펙션(Stateful Inspection)이 좋은 방법이다.
또한 방화벽이나 레이어4/7 스위치를 이용한 사용자 세션수 제한도 웜 및 DoS 공격 차단을 위한 효율적인 방법이다. 무엇보다 중요한 것은 개별 사용자의 꾸준한 백신 및 윈도 업데이트로 이는 보안 강화를 위한 첫번째 선행조건이다. 하지만 이러한 방법들로도 DDoS 및 다양한 변종의 공격을 차단하기에는 어려움이 있으며 이에 대한 해결은 새로운 보안 솔루션을 통해서 극복할 수 있다.
인터넷이 가장 중요한 업무의 수단이 된 이상 내부의 중요 자원 보호와 안정적인 서비스를 위해서 보안은 2차 선택요소가 아닌 가장 중요한 고려요소로, 이를 위한 꾸준한 관심과 계속적인 투자가 필요한 이유가 여기에 있다고 하겠다.
