정부가 클라우드 발전법 시행에 맞춰 클라우드 정보보호 대책을 발표하자 보안업계는 시장 활성화를 위한 기반은 마련됐다고 밝히면서도 실제 투자가 이뤄질지에 대해서는 반신반의하는 모습을 보이고 있다. 그러나 공공시장과 별도로 민간기업에서는 클라우드 도입이 빠르게 늘어나고 있어 클라우드로 서비스되는 보안(SECaaS)에 대한 주목도가 높아지고 있다. 지능형 공격 방어를 위해 전문성이 강화된 클라우드 서비스 도입에 관심이 쏠리고 있는 것이다. 정부의 클라우드 보안 대책이 시장에 미칠 영향을 전망하고, 주목할만한 클라우드 보안 기술 및 서비스를 소개한다.<편집자>
지능화되는 공격, ‘보안 서비스’가 대안
SECaaS는 특히 웹이나 네트워크 기반 공격을 방어하는데 매우 높은 효과를 보인다. 웹·이메일을 이용한 공격이나 DDoS와 같은 네트워크 공격은 클라우드 보안 서비스를 통해 효과적으로 차단할 수 있다.
드라이브 바이 다운로드(DBD) 공격의 경우 웹사이트 취약점을 이용해 악성코드가 방문자 단말에 자동으로 설치되도록 한다. DBD 효과를 높이기 위해 공격자는 신뢰도 높은 웹사이트를 통해 악성코드가 유포되도록 하는데, 웹 페이지 자체에 취약점이 없다면 광고배너 등 외부 콘텐츠를 통해 악성코드를 유포시킨다.
악성코드는 해당 사이트에서 직접 유포되는 경우보다 악성링크를 삽입하는 공격이 일반적이며, 링크를 역추적해보면 악성코드가 실제로 배포되는 사이트는 만들어진 지 하루 이내에 사라지는 ‘원데이원더’이거나 관리되지 않고 방치된 웹페이지이다. 서비스 종료 후 삭제하지 않은 웹페이지, 서비스가 종료된 웹서비스의 사이트, 사이트 가입이나 비밀번호 변경 확인을 위해 임시로 개설한 웹페이지 등이 그 예이다.
웹서버를 보호하기 위한 웹방화벽과, 웹과 사용자 단말구간을 검사해 위협요소를 차단하는 SWG는 DBD와 같은 웹 기반 공격을 차단할 수 있다. 기업 내에 구축돼 사용될 때에는 새로운 보안위협 정보를 실시간으로 내려받지 않으면 최신 공격을 막는데 한계가 있다. 클라우드 서비스를 이용하면 전 세계에서 발생하는 공격이 실시간으로 클라우드를 통해 차단되기 때문에 구축형 보안 시스템보다 더 빠르게 지능형 공격을 차단할 수 있다.
DDoS는 대량의 트래픽을 발생시키는 공격 뿐 아니라 아주 작은 트래픽을 이용해 웹서버 응답지연이나 서비스 중단을 일으키는 지능적인 공격으로 진화하고 있다. 최근 DDoS는 애플리케이션 레이어를 공격해 대량의 이상 트래픽을 차단하는 전통적인 DDoS 방어 시스템을 우회하는 방법을 사용한다.
클라우드 방식의 DDoS 대응 시스템은 전 세계에 설치된 클라우드 서비스 인프라를 통해 DDoS 공격을 흡수한다. 공격자가 대규모 볼륨공격으로 타깃 시스템을 마비시키고자 해도 클라우드 서비스 전체를 마비시킬 만큼 초대규모 트래픽이 아니면 공격을 성공시키지 못한다.
애플리케이션 레이어를 이용한 공격이나 작은 패킷을 지속적으로 보내 응답지연을 일으키는 공격도 클라우드 인프라에서 흡수하거나 클라우드 서비스 업체의 보안관제 모니터링을 통해 차단할 수 있다.
<그림 1> 웹 기반 공격 동향(자료: 아카마이코리아)
아카마이와 씨디네트웍스가 이와같은 배경에서 클라우드 DDoS 공격 방어 서비스와 웹방화벽 서비스를 제공하고 있다. 이들은 클라우드 기반 CDN 서비스의 신뢰도를 높이고, 고객의 비즈니스를 보호하기 위해 SECaaS를 제공한다고 밝히고 있다. 또한 CDN 서비스 경험을 통해 쌓은 클라우드 기술과 애플리케이션 가시성 기술 등을 기반으로 지능형 공격을 차단할 수 있다고 설명한다.
홍석범 씨디네트웍스 이사는 “구축형 보안제품은 구축·운영 과정에서 많은 비용과 인력이 투입돼야 하며, 보안제품이 설치된 부분에서 병목현상이 발생해 전반적인 네트워크 성능 저하를 일으킨다”며 “SECaaS는 클라우드 인프라를 통해 보안 서비스를 제공하기 때문에 병목현상이 없으며, 서비스를 신청하면 즉시 사용할 수 있는 방식으로 비용과 인력 투자를 최소화 할 수 있다”고 말했다.
이어 그는 “사이버 공격 트렌드가 바뀌고 있는 만큼 방어 전략도 이전과 다른 개념으로 접근해야 한다. SECaaS는 서비스 업체가 운영하는 보안전문조직을 통해 실시간으로 최신 공격 정보를 유지하기 때문에 보다 효과적으로 공격을 막을 수 있다. 보안은 서비스로 이용하는 것이 가장 효과적인 전략”이라고 강조했다.
클라우드 인프라로 공격 흡수해 위협 완화
아카마이는 클라우드 기반 웹방화벽과 DDoS 대응 서비스를 전세계 110개국에 설치된 19만대 이상 서버를 통해 제공한다. 이 서비스는 전세계 웹 트래픽의 15~30%를 처리하는 분산형 클라우드 인프라 ‘아카마이 인텔리전트 플랫폼’과 연계해 어떠한 대규모 공격에도 해당 공격의 근원지에서 분산 차단할 수 있다.
전세계 6곳에 위치한 스크러빙 센터(Scrubbing Center)를 통해 데이터센터를 직접 공격하는 악성 트래픽에 대해서도 30Tbps 이상의 처리 할 수 있으며, 26개국 200개 이상의 네트워크에 2천대 이상의 DNS 서버를 분산시켜 100% 가용성 서비스수준협약(SLA)를 보장하여 DNS 공격에 대한 대비도 가능하다.
아카마이의 세계적 수준의 보안 전문가들은 2PB 이상의 보안 관련 데이터를 지속적으로 분석해 진화하는 해킹 시도들을 차단할 수 있는 최신의 웹 방화벽 규칙을 생성하고 갱신한다. 이를 활용하면 악성 트래픽이 차단되지 않거나 정상 트래픽이 차단되는 오탐률을 30% 이상 개선할 수 있다.
씨디네트웍스도 웹방화벽과 DDoS 차단 서비스를 클라우드로 제공하면서 시장 경쟁력을 높이고 있다. 씨디네트웍스는 국내 시장에서의 높은 점유율을 장점으로 내세우면서 국내 고객을 타깃으로 하는 공격에 특화된 차별점을 갖고 있다고 자신한다.
전세계 6개 시큐리티 PoP에 분산된 260Gbps의 인프라, 160개 이상의 CDN 엣지 PoP을 통한 안정적인 웹사이트와 애플리케이션 성능을 구현할 수 있다. 이를 통해 DDoS 공격으로 의심되는 트래픽을 PoP으로 전송해 패턴을 분석, DDoS 공격을 탐지할 수 있다.
웹방화벽은 시그니처 기반 기술에만 의존하는 것이 아니라, 행위기반 탐지, IP 평판 분석, 스태틱 규칙 적용, L7 DDoS 모드 적용 등 5단계에 걸친 분석을 통해 더욱 정교하게 웹 기반 공격을 차단한다.
한편 씨디네트웍스는 보안을 강화한 클라우드 인프라 서비스를 런칭하면서 IaaS 시장에도 진출했다. 씨디네트웍스의 IaaS는 클라우드 스택을 기반으로 하고 있으며, 국내 보안기업과 협력해 차세대 방화벽 등 보안 기술을 적용해 안전한 클라우드 서비스를 제공한다.
국내 기업 중에서는 펜타시큐리티와 모니터랩이 클라우드 웹방화벽 서비스를 제공한다. 펜타시큐리티의 ‘클라우드브릭’은 올해 초 글로벌 시장에 먼저 런칭했으며, 국내에는 6월 한글버전 서비스를 개시하면서 본격적으로 시작했다. 클라우드브릭은 웹방화벽 ‘와플’의 지능형 탐지엔진을 기반으로 개발됐으며, 전 세계 공격정보를 지능적으로 분석해 빠르게 변하는 웹 공격으로부터 웹서버를 보호한다.
<그림 2> CDN 기반 DDoS 방어 서비스 구성도(자료: 씨디네트웍스)
