2009년 최대의 이슈 메이커를 꼽자면 단연 분산서비스거부(DDoS) 공격을 꼽을 수 있다. 지난 7월 7일부터 10일까지 3일간 진행된 공격으로 우리나라의 대표적인 웹 사이트의 서비스에 장애를 일으킨 DDoS가 불러일으킨 파장은 컸다.
7·7 안티DDoS 전용장비를 보안 주류로 부각
무엇보다 7·7 DDoS 공격이 화제를 불러일으킨 이유는 대량의 DDoS 공격이 국가 기간망을 마비시킬 수도 있다는 파괴력을 실감시켰기 때문이다. 7·7의 대상이 된 인터넷 포털, 금융기관의 인터넷뱅킹 사이트 등은 물론 청와대, 국방부 등 우리나라를 상징하는 공공기관이 모두 DDoS 공격에 장애를 빚으면서 대량 DDoS 공격의 위력을 실감시켰다.
7·7 DDoS 대란 이후 국가 기간시설에 대한 대형 DDoS 공격을 방어할 수 있는 시스템 마련이 사회적 이슈로 불거졌으며, 범국가 DDoS 대응체계 구축 등 국가 기간망 보호를 위한 프로젝트가 국가·공공기관에서 진행됐다. 기업에서도 DDoS로 인한 피해를 방지하기 위한 프로젝트가 활발히 진행되는 등 안티DDoS 관련 보안 산업의 특수를 일으켰다.
DDoS 공격은 다수의 좀비PC에서 대량의 트래픽을 발생시키는 것이기에 대응이 매우 까다롭다. 막대한 규모의 좀비PC를 보유하게 된다면, 정상 트래픽으로도 치명적 공격이 가능하기 때문이다. 예를 들어 1억대의 좀비PC로 구성된 봇넷을 보유한 공격자가 좀비PC에 특정 시각에 접속을 명령한다면, 단순한 사이트 접속만으로도 중소 규모의 사이트를 마비시킬 수 있다. 따라서 다수의 보안 시스템이 DDoS 이슈로 부각됐다. 봇넷 형성 자체를 막기 위한 안티봇넷 시스템과 PC용 안티바이러스 등은 물론 DDoS 공격을 위해 선행되는 스캔을 차단하는 시스템도 주목을 받았다.
이는 초고속 인터넷의 보급으로 발전된 네트워크에 비해 낮은 보안 의식으로 수많은 좀비PC가 존재한다는 점이 우리나라가 최대 피해국이 된 배경이란 분석에 기인한다. DDoS 공격이 활기를 칠 가능성이 전세계 어느 국가보다도 높다는 것이 전문가들의 분석으로, DDoS 공격의 힘이 되는 좀비PC의 차단이 과제로 떠오른 것이다. 즉 까다로운 DDoS 공격의 피해를 줄이기 위해서는 공격 자체를 사전 차단할 수 있는 전사회적 보안 강화가 필수라는 인식이 확산된 것이다.
하지만 무엇보다 각광받은 것은 직접적으로 DDoS 공격을 방어할 수 있는 안티DDoS 전용솔루션이다. 안티DDoS 전용 솔루션은 DDoS 공격 시 정상 트래픽과 유해 트래픽을 분류, 정상 트래픽만을 전송함으로써 공격으로부터 웹 서비스의 안정성을 유지시키는 솔루션이다. 안티DDoS 전용 솔루션은 DDoS 대응체제 구축의 필수 솔루션으로 인지되면서 각종 프로젝트에 공급돼 7·7 이후 불거진 DDoS 이슈의 최대 수혜주로 떠올랐다.
국내외 안티DDoS 솔루션 ‘각축전’
사실 안티DDoS 솔루션은 지난해에도 관심의 축으로 떠올랐다. 몇 년 전부터 중소규모의 웹 비즈니스 기업을 대상으로 금품을 요구하는 협박공격이 등장해 대상 기업의 피해를 낳았다.
아이템베이의 경우 공격자의 금품요구를 수차례 받았던 것으로 알려지며, 지난 6월 용의자가 검거됐다. 금품갈취를 목적으로 한 DDoS 공격이 활발했지만 대상 기업이 이미지 하락을 우려해 피해 사실을 숨기면서 수면 아래에 잠복했던 DDoS 공격은 지난해 미래에셋의 인터넷 사이트가 DDoS 공격에 마비되면서 커다란 화제가 됐다. 중소규모기업을 대상으로 하던 금품갈취형 DDoS 공격이 높은 보안 수준을 자랑하는 금융기관을 대상으로 전개됐을 뿐 아니라 실제로 금융기관 사이트를 마비시키는데 성공했기 때문이다. 미래에셋 역시 공격 전 금품을 요구하는 협박을 받았던 것으로 알려진다.
미래에셋에 대한 공격으로 금품 갈취형 DDoS 공격이 주목받으면서 아이템베이의 피해규모도 다시금 관심을 끌었다. 이에 DDoS 공격을 방어할 수 있는 안티DDoS 전용 솔루션에 대한 관심과 수요가 증가했으며, 우리나라는 전세계 DDoS 방어 전용 솔루션이 각축전을 벌이는 장으로 부각됐다.
시스코, 아버, 라드웨어 등 전통적 네트워크 벤더를 비롯해 나우콤, 닷큐어, 시큐아이닷컴, 컴트루테크놀로지, LG CNS 등의 국내 보안 기업, 그리고 인트루가드코리아, 인트루쉴드, 리오레이 등의 안티DDoS 전문기업을 표방하면서 탄생한 해외 벤더들이 모두 국내 시장에 진출, 안티DDoS 전용 솔루션 시장의 패권을 두고 치열한 경쟁을 펼친 것이다.
이에 대해 한 관계자는 “해외에서 DDoS 공격은 그리 활발하지는 않다”면서 “하지만 우리나라는 세계 최대의 공격근원지로 부상하고 있는 중국과 가까운 지리적 특성으로 인해서인지 금품요구형 DDoS가 활발해 전세계 안티DDoS 기업 모두의 관심지가 됐다”고 말하기도 했다.
안티 DDoS는 지난해 뜨거운 관심을 받았지만 상반기에는 기대에 미치지 못하는 성과를 올렸음을 부인할 수 없다. 상반기 공격 횟수가 감소하고, 여기에 더해 2009년 하반기 리먼브러더스 등 미국발 금융위기로 인해 투자심리가 위축되면서 지난해의 관심이 수요로 이어지지 못한 것. 지난해의 관심이 지속되지 못했다는 점에서 7·7 DDoS 대란을 예견된 사건으로 보는 전문가들도 적지 않다. 하지만 안티DDoS 전용 솔루션은 7·7을 계기로 화려하게 부활했다. 그리고 국내에 진출한 수많은 기업의 경쟁은 더욱 치열하게 전개되고 있다.
범국가 프로젝트, 국산 솔루션 선점
DDoS 전용 솔루션 경쟁은 기반 기술로 나눠보면, 네트워크 트래픽의 외부에서 공격을 탐지해 차단하는 아웃오브패스 방식과 트래픽의 경로에서 탐지/차단을 모두 수행하는 인라인 방식으로 구분된다. 또 글로벌 기업과 국내 기업의 경쟁으로 나눠 볼 수도 있다.
지난해부터 올 상반기까지로 볼 수 있는 초기 시장에서는 아웃오브패스 방식이 보다 더 힘을 받았다. 대형 서비스 사업자의 프로젝트에서 아웃오브패스 방식이 각광받은 것. 아웃오브패스 방식의 솔루션은 시스코와 아버네트웍스가 유이했지만, 올해 나우콤이 아웃오브패스 방식 지원을 발표하기도 했다.
아웃오브패스 방식은 특히 망 안정성을 중시하는 인터넷서비스사업자(ISP), 인터넷데이터센터(IDC) 등에서 선호됐다. 트래픽 경로에 설치되는 것이 아니기에 만에 하나 발생할 수 있는 솔루션의 이상이 네트워크에 직접적인 영향을 주지 않으며, 이에 안정성 측면에서 유리하다는 판단 때문이다.
2009년 상반기 최대 DDoS 프로젝트로 손꼽힌 ‘인터넷 망 연동구간(IX) DDoS 대응 시스템 2차 시범구축’의 경우에도 모두 아웃오브패스 방식의 솔루션이 선택됐다. 4개 ISP 중 KT를 제외한 3사(온세, 세종, 드림라인)가 아버네트웍스의 피크플로우를 선택했으며, KT는 나우콤의 스나이퍼DDX를 선정했다. 지난해 1차 사업에서도 SK브로드밴드, LG데이콤, SK네트웍스 등 3개 ISP 사업자가 아웃오브패스 방식의 시스코 가드앤디텍터를 선택한 것을 비춰보면 초기 시장에서는 아웃오브패스 방식의 글로벌 기업이 각광받았다고 할 수 있다.
7·7 이후 최대 프로젝트로 꼽힌 범국가 DDoS 대응체제 구축사업에서는 인라인 방식의 국산 솔루션이 웃었다. 나우콤, 시큐아이닷컴, LG CNS 등이 5개 분야로 경제사회, 시/도, 교육과학, 보건복지, 경찰 등 5개 분야로 나눠 진행된 범정부 프로젝트 중 경찰을 제외한 4개 분야에 안티DDoS 전용 장비를 공급한 것. 글로벌 기업 중에서는 라드웨어가 경찰 분야를 수주하면서 체면을 세웠다. 범정부 프로젝트는 정부 주도의 DDoS 대응 시스템 마련을 위한 초대형 프로젝트로 향후 시장 판도에도 영향을 미칠 수 있어 업계 초미의 관심사로 떠올랐던 사업이다. 이번 사업을 수주한 LG CNS, 시큐아이닷컴, 나우콤, 라드웨어는 이를 계기로 시장 선점에 더욱 박차를 가한다는 계획이다.
7·7 DDoS 대란이 남긴 교훈은 보안에는 지속적 관심이 필요하다는 것이다. 지난해 DDoS에 대한 높은 관심이 지속적으로 이어졌다면 7·7 DDoS 대란은 일어나지 않았을 수도 있다. 또한 사회적으로 보안을 중시해 각 개인의 PC가 좀비PC 확보를 위한 봇에 감염되지 않았다면 DDoS 공격이 이슈화되지 않았을 것이다. 7·7로 촉발된 보안 강화의 이슈가 일회성이 아닌 지속적 보안 강화로 이어지길 기대한다.
<안티DDoS_전문가 기고>
효과적인 DDoS 공격차단 위한 대응체계 구축방안
IT 인프라 전반 방어체계 구축 … 관제 서비스 확대 운영 필요
노영진 시큐아이닷컴 전략마케팅팀 부장
youngjin.roh@samsung.com
오늘날 DDoS 공격에 자유로운 곳은 존재하지 않는다. 봇넷을 이용한 DDoS 공격이 해당 서버 서비스의 취약점을 찾아 복합적이면서 정교하게 이뤄지고 있기 때문이다.
DDoS 공격 종류
DDoS 공격은 크게 세 가지 형태로 나눌 수 있다. 하나는 한정된 대역폭 회선 이상의 막대한 공격 트래픽을 전송해 접속 절차가 필요 없는 UDP 혹은 ICMP 플루딩(Flooding) 공격을 수행하는 대역폭 고갈형 공격이며, 다른 하나는 부하분산 및 서버 보호 목적의 L4스위치, 방화벽의 취약성과 해당 장비의 세션 관리 능력(통상 30,000CPS 이내)의 유한성을 악용해 봇넷(BotNet)으로부터 초당 20여만 건의 접속 요청(SYN Flooding) 공격을 진행하는 세션 고갈형 공격이다.
그리고 마지막으로는 서버 자원의 트랜잭션 처리 한계(통상 10,000 TPS 이내)를 악용해 정상적인 접속 후 대량의 요청을 발생시켜 네트워크 모니터링으로 파악이 불가한 GET 플루딩 공격과 같은 서버 자원 고갈형 공격을 들 수 있다. 이번 7·7 DDoS 공격에 사용된 캐시 컨트롤 어택(Cache Control Attack)은 서버 자원 고갈형 공격에 해당한다.
DDoS 공격 위협
DDoS 공격 위협은 다시 내부로부터의 위협과 외부로부터의 위협으로 구분 지을 수 있다. 내부로부터의 위협은 DDoS 악성코드, 웜 바이러스에 감염된 좀비 PC와 내부의 악의의 사용자가 공격자로 내부 업무 시스템, 외부 연계 시스템, 웹, VoIP, IPTV 등의 사용자 단말을 대상으로 공격이 이뤄진다.
이러한 공격은 시스템 마비로 인한 업무 시스템 중단에 따른 경제적 피해, 좀비 감염 및 유해트래픽 발생에 따른 회사(기관) 이미지 실추는 물론, 외부 시스템 공격의 경유지로 사용됨에 따른 외부 기관의 조사 대상이 될 수 있다. 따라서 내부 업무용 PC 대역에서 DDoS 공격 트래픽 통제가 필요하다.
외부로부터의 위협은 일반 인터넷 사용 중 DDoS악성코드 및 웜 바이러스에 감염된 좀비 PC와 외부의 악의적인 해커에 의한 공격으로 외부 공개서비스용 홈페이지, 업무용으로 운영중인 B2B, B2C 시스템, 연계기관 및 관계사 외부 접속 시스템, DMZ에 위치한 메일 및 업무 시스템, 웹, VoIP, IPTV 등의 서비스 제공 시스템이 공격대상이 된다. 이러한 공격은 시스템 마비로 인한 대 고객 서비스 중단 등의 경제적 피해가 발생하므로 서비스 중인 시스템으로 DDoS 공격 트래픽 유입을 방지해야 한다.
7·7 DDoS 공격 트래픽을 분석해보면, 감염된 좀비 PC 18만대 중 3만대의 PC가 지속적으로 공격대상 사이트에 3가지 종류의 공격을 불규칙하게 수행했다. 그 공격은 첫째가 HTTP GET 플루딩에 의한 서비스 자원 고갈 공격이며, 둘째는 UDP 80 포트와 ICMP 프로토콜을 이용한 대역폭 고갈 공격이었다.
이중에서 HTTP GET 플루딩 공격으로 대상 사이트는 서비스 중단됐으며, 일반 보안장비(방화벽, IPS)는 이 공격을 전혀 방어하지 못하거나, IPS/DDoS 시그니처 DB가 제조사에서 작성돼 장비에 업데이트될 때까지 DDoS 공격에 무방비상태가 됐다.
DDoS 대응체계 구축
DDoS 대응체계 구축을 위해서는 IT인프라 전반에 대한 총체적인 고려가 필요하다. 시스템, 네트워크, 애플리케이션뿐만 아니라 PC까지도 DDoS의 방어체계 속에 포함된다고 할 수 있다.
인터넷과 연결된 모든 구간이 DDoS의 영향권에 속한다고 해도 과언이 아니므로 DDoS 공격을 방어하기 위해서는 DDoS 영향권의 전체요소가 고려돼야 한다. PC단에 안티 바이러스 등 악성코드차단 시스템의 도입이 활성화되고 있는 것도 같은 맥락이라고 볼 수 있다.
7·7 대란 이후 계속 발생 가능성이 대두되고 있는 대형 대역폭 공격에 대응하기 위해서는 우수한 패킷 포워딩 성능(bps, pps) 뿐 아니라 세션생성 성능(cps)까지 갖춘 고성능의 DDoS 전용 방어 장비의 도입은 필수적이며, 나아가 전체 네트워크 및 보안시스템을 대상으로 한 관제서비스를 확대, 운영하는 것도 고려해야 한다.
DDoS 전용 장비의 구조를 살펴보면 분석 및 차단시스템으로 계층화된 아웃오브패스(Out-of-Path) 구조와 고성능 플랫폼상에서 분석 및 차단을 동시 수행하는 인라인(In-line) 어플라이언스 형태의 두 가지 구성으로 크게 분류된다. 아웃오브패스 방식과 인라인 방식의 가장 큰 차이점은 실시간성의 여부이다.
안정성과 지연 없는 서비스를 중시하는 개방형 환경에서는 실시간성의 여부를 떠나 아웃오브패스 방식의 구성을 통해 DDoS 트래픽이 존재할 때만 차단장비가 개입하는 방식이 좀 더 선호되는 게 사실이다. 반대로 인라인 방식이 실시간성임에도 불구하고 안정성과 지연 없는 서비스에 제약을 받는 이유는 모든 서비스 트래픽에 개입한다는 점과 성능문제 때문이다.
따라서 이를 극복하고 DDoS 대응체계를 효과적으로 구축하기 위해서는 DDoS의 차단만이 목적이 아닌 DDoS 공격대상의 스캔을 방지하고, 공격 트래픽 및 악성코드 등의 유해트래픽을 총체적으로 방어할 수 있는 DDoS 대응체계의 수립이 필요하다. 그리고 인라인 형태의 DDoS 전용 장비를 통해 플루딩 및 스푸핑(Spoofing) 형태의 공격을 효과적으로 막아내기 위한 CPS, PPS 등의 초당 처리능력의 고성능 여부, 화이트리스트 등을 통한 스푸핑 트래픽의 실시간 차단가능 여부 등이 고려돼야 할 것이다.
