분산서비스거부공격(DDoS)은 2009년 보안 시장을 뒤흔든 메가톤급 이슈였다. 2009년 7월 7일부터 10일까지 3일간 우리나라의 대표적인 웹 사이트에 DDoS 공격이 진행돼 서비스 장애를 불러일으키면서 위험성을 과시, DDoS 공격에 대응하기 위한 전용 DDoS 차단 시스템 시장을 급속히 성장시켰다.
2010년에도 DDoS 차단 시스템에 대한 관심은 이어졌다. 7·7 DDoS 대란 1주년을 노린 모방범죄도 우려됐으며, DDoS 공격을 무기로 기업을 협박, 금품을 갈취하려는 경향도 여전했기 때문이다. 실제로 7·7 DDoS 1주년 시점에는 국가대표 포털에 중국발 DDoS 공격이 진행됐으며, 국내 유명 카드사의 이메일 명세서를 위장한 스팸메일을 대량 발송, 유인된 사용자 PC에 악성코드를 감염시키고, 이를 이용해 국내 포털 사이트에 DDoS 공격을 감행하는 시도도 발견되며 긴장을 조성했다.
기업 시장 공략 ‘과제’
외산과 국산, 인라인 방식과 아웃오브밴드 방식의 안티DDoS 솔루션이 치열한 경쟁을 벌이는 가운데, DDoS 관련 특수를 보여주는 대표적 프로젝트인 범국가 DDoS 대응체제 구축사업에서는 인라인 방식의 국산 솔루션이 웃었다. 윈스테크넷(구 나우콤 정보보안사업부문), 시큐아이닷컴, LG CNS 등이 5개 분야로 경제사회, 시/도, 교육과학, 보건복지, 경찰 등 5개 분야로 나눠 진행된 범정부 프로젝트를 모두 수주하는 성과를 거둔 것. 이들은 상징성이 큰 범정부 프로젝트를 수주한 성과를 이어나갔다.
윈스테크넷은 SK브로드밴드를 비롯 KT, KTIDC, 드림라인, 한국도시가스, 한국자산관리공사, 아시아나IDT, 대법원 등 다수의 레퍼런스를 확보했으며, 범정부 프로젝트에서 최대 물량을 공급했던 시큐아이닷컴 역시 통일부, 충청북도 교육청, 창원시청 등에 솔루션을 공급하면서 안티DDoS 시장 강자임을 증명했다. 또 시큐아이닷컴은 한국인터넷진흥원(KISA)이 중소기업을 위해 제공하는 DDoS 사이버대피소 시스템 구축사업에서도 최근 우선협상대상자로 선정되는 등의 성과를 이뤄냈다. LG CNS도 전용 솔루션인 ‘세이프존 XDDoS’를 앞세워 코레일 유통, 수출보험공사 등에 솔루션을 공급하는 성과를 올렸다.
DDoS 차단 시스템 시장은 7·7 DDoS 공격 이후 큰 폭의 증가세를 보였으며, 이러한 증가세는 2010년에도 이어졌다. 하지만 도전 과제도 남아 있다. 바로 일반 기업 시장이다. 공공기관의 경우, 범정부 DDoS 대응 시스템 구축 사업으로 호황을 이뤘지만, 기업의 경우에는 아직 DDoS에 무관심한 기업도 많다는 것. DDoS 공격 발생시에만 도입 효과를 볼 수 있는 보험적 성격의 솔루션으로 활용도가 떨어진다는 점도 기업의 DDoS 도입을 꺼리게 하는 요인이 되고 있다고 평가된다.
물론 회선 용량을 넘어서는 초대형 DDoS 공격은 차단 시스템만으로는 완벽히 차단할 수 없다는 한계도 언급되지만 지속되고 있는 공격에 효과적인 대응을 위해서는 DDoS 차단 시스템이 반드시 필요하다. 서비스 중단으로 인한 매출 손실, 기업 이미지 하락 등에 대한 기업의 인식 전환이 절실히 요청된다. DDoS 차단 시스템은 회선 용량을 넘어서는 초대형 DDoS에는 한계가 지적되기도 하지만, 이제는 일상적인 공격이 된 DDoS 방어를 위해 필수로 꼽힌다.
보안 기업의 분석에 따르면, 2010년에도 DDoS 공격이 지속적으로 발생, 가장 빈번히 발생한 공격으로 기록됐다. 7·7 DDoS와 같은 대형 공격이 발생하지는 않았지만, 소규모 DDoS 공격 위협은 여전히 지속되고 있어 이에 대한 대응방안을 반드시 마련해야 한다는 지적이다.
DDoS 공격의 위험성이 전파되면서 인터넷서비스사업자(ISP), 인터넷데이터센터(IDC) 등에서 제공하는 DDoS 보안존 서비스도 관심을 끌었다. DDoS 공격 발생 시 트래픽을 별도 구축된 DDoS 대응존으로 유도하고, 정상 트래픽만을 웹 서버로 전송함으로써 공격을 회피하도록 한다는 것이 바로 보안존 서비스의 핵심 개념이다.
KT, SK브로드밴드, LG U+, 코스콤, 호스트웨이, KINX, 가비아 등이 보안존 서비스를 진행하고 나선 상황이다. 하지만 이러한 서비스 역시 기업 시장에서는 기대만큼의 성장을 이뤄내지는 못했다. 매월 비용을 지불하지 않고 공격 발생 시에만 처리한 트래픽 용량에 따라 비용을 지불하는 등 다양한 모델이 생성됐지만, 보안에 대한 기업의 낮은 인식으로 인해 출시 당시의 높은 기대에는 미치지 못하는 수요에 그치고 있다. DDoS 공격이 일상화됨에 따라 서비스에 의한 공격 회피에 대해서도 보다 깊은 고민이 필요하다.
좀비PC 탐지·차단 시스템 ‘주목’
DDoS의 이슈는 좀비PC 탐지·차단 시스템 시장을 급속히 성장시켰다. 범정부 DDoS 대응 시스템 구축사업에 포함되고 있는 좀비PC 탐지·차단 시스템은 봇에 감염, 공격자에 의해 원격조종됨으로써 DDoS 공격 등을 유발하는 좀비PC를 전문적으로 검출하는 시스템으로 공격시 이용되는 좀비PC를 차단해 공격 위력을 낮춘다는 점에서 DDoS 방어를 위한 새로운 기제로 주목된다.
악성코드와 달리 봇은 탐지가 까다롭다는 점이 좀비PC 탐지·차단 시스템 시장을 성장시키는 동력. 봇의 경우, 수많은 변종이 생성될 뿐 아니라 봇 자체는 악성 활동을 전혀 하지 않을 수 있다는 점에서 탐지가 까다롭다. 좀비PC 탐지·차단 시스템은 공격자의 트래픽 분석을 통해 이상행위를 감지, 제어(C&C) 서버와 좀비PC간의 연결을 차단함으로써 좀비PC를 제거하는 역할을 수행한다.
이러한 역할에 힘입어 7·7 DDoS 공격 이후 초기 안티DDoS 전용장비, DDoS 우회 서비스 등에 쏠렸던 시장 관심이 서서히 좀비PC 탐지·차단 솔루션으로 확산, 시장이 가파른 성장세를 보이고 있다. 2010년 좀비PC 탐지·차단 솔루션 시장은 100억원대 수준에 올라섰다고 평가되는데, 2010년 하반기부터 본격적으로 시장이 형성되기 시작했다는 점을 고려하면 빠르게 시장을 형성하고 있는 것이다.
좀비PC 탐지·차단 솔루션 시장은 파로스네트웍스가 공급하는 ‘파이어아이 봇월’을 필두로, 트렌드마이크로의 ‘TMS’, 모젠소프트의 ‘프리가드’, 이세정보통신의 ‘헤제크’ 등이 시장에서 치열한 각축전을 벌이고 있다. 일찍부터 이 시장을 개척했던 파이어아이 봇월이 시장을 선도하는 가운데 트렌드마이크로의 TMS가 봇 자동 치료라는 차별점을 앞세우면서 바짝 뒤를 좇고 있는 상황이지만, 초기 시장으로 시장 규모가 크지 않기에 경쟁 구도는 언제든 변화할 수 있다. 이에 모젠소프트, 이세정보통신 등의 추격이 계속되고 있으며, 침입방지시스템(IPS) 시장에서 두각을 내고 있는 윈스테크넷도 ‘스나이퍼BPS’를 출시, 시장 경쟁에 나설 계획이다.
좀비PC 탐지·차단 시스템 시장 역시 관건은 기업 시장으로의 확산이다. 하지만 공공 분야에 지나친 쏠림현상을 보이고 있다는 점은 해결해야 할 과제다. 2010년 좀비PC 탐지·차단 솔루션 시장의 80~90%는 공공 분야에서 발생했는데, 기업시장으로의 확산이 이뤄지지 않는다면 빠른 성장만큼이나 빠르게 성장 한계점을 보일 수 있다.
좀비PC 탐지·차단 솔루션이 지닌 공익적 성격은 기업시장 진출에 물음표를 달게 하는 요인이다. 안티DDoS 전용 솔루션과 달리 좀비PC 탐지·차단 솔루션은 DDoS 공격 발생시 대상 기업의 피해를 직접적으로 막아주는 성격의 솔루션은 아니다. DDoS와 연결지어 생각하면 앞서 언급했듯 좀비PC 탐지·차단 솔루션의 역할은 봇을 차단, 기업내 좀비PC를 줄임으로써 기업의 리소스가 사이버 공격에 악용되지 않도록 하는 것으로 기업의 DDoS 방어에는 효과가 없다. 따라서 비용효율성을 중시하는 기업에게는 매력이 떨어질 수 있다.
하지만 기업은 시각을 달리 할 필요가 있다고 지적된다. 좀비PC의 문제는 단지 DDoS 공격에 그치는 것이 아닌 까닭이다. 대형 봇넷에 공격 명령을 하달, 특정 사이트를 대상으로 사이버 공격을 수행하는 DDoS 공격은 공격자에 의해 원격 조종되는 좀비PC가 발생하는 수많은 문제 중 하나일 뿐이다. 일단 봇이 침투하게 되면 공격자의 의도대로 시스템이 조종돼 DDoS 공격은 물론 각종 정보유출, 악성코드 감염으로 인한 네트워크 안정성 저하 등의 다양한 문제를 유발할 수 있다. 즉 봇이 유발하는 다양한 보안 위협을 고려한다면, 안티봇넷 시스템으로써 역할이 충분하며, 이를 고려한 기업의 인식전환이 절실하게 요청된다.
