정보보호는 창과 방패의 싸움이다. 방패는 창이 공격해 올 때까지 굳건하게 지키고 서 있을 뿐이다. 방패가 먼저 창을 공격할 순 없다. 언제 공격당할지 모르지만 항상 기다리며 대비해야하는 게 바로 방패의 숙명이다. 하지만 지루하지는 않다. 쉴 새 없이 방패를 두드리는 창이 있기에. 창과 방패의 싸움. 그 피할 수 없는 보안 전쟁 속으로 들어가 보자.   송영록 기자 syr@ittoday.co.kr

 3. DDoS 공격 VS DDoS 방어 솔루션

 ▲ DDoS 공격... 인해전술로 적들을 무력화한다.

과거에 대부분의 해킹 및 악성코드 유포는 자기 과시의 수단에서 기인했다. 하지만 최근 들어서는 ’명예는 필요없고 돈을 달라’ 공격인 이른바 ’랜섬 공격(Ransom Attack)’이 주를 이루고 있다. 이 같은 추세는 DDoS 부문에서도 예외가 아니다.

DDoS공격 기술은 그래픽 사용자 인터페이스(GUI) 툴 기반의 손쉬운 제어와 공격으로 다양한 공격 기법으로 행해지고 있으며, 고사양 PC 이용을 통해 가공할만한 공격력을 지닌다.

공격원리 또한 높은 수준의 해킹 능력이나 기술이 필요한 공격이 아니다. 단지 TCP/IP 프로토콜 스택의 연결 성립 매커니즘의 구조적으로 내포된 취약점을 활용하는 공격이다.

공격에 참여하는 컴퓨터 이용자는 공격 의도가 없음에도 외부의 악의를 갖은 제 3자, 즉 크래커(cracker)로 설정된다. 그 후엔 이용자도 모르는 사이 사이버 공격에 필요한 프로그램 ‘트로이의 목마’가 몰래 설치된다. 이후 원하는 시점에 공격을 감행하도록 조정되기 때문에 실제 공격 배후에 있는 컴퓨터를 찾아내기가 결코 쉽지 않다. 또 DDoS에 의한 방해 액세스는 일반 액세스와는 구분이 쉽지 않아 선택적인 배제 작업도 매우 어렵다. 결국 서버에 보안상의 취약점이나 관리상 약점이 없어도 종종 막대한 피해를 발생시킬 수 있어 그 심각성이 더욱 커지고 있다.

최근의 DDoS공격은 크게 2가지 형태로 나눌 수 있다.

먼저 트래픽을 이용한 공격이다. 일반적으로 많이 알고 있는 SYN, TCP, UDP, ICMP등의 공격이 대표적인 트래픽 공격이다.

예를 들어 SYN Flooding의 공격방법을 살펴보면 다음과 같다.

SYN Flooding은 TCP/IP의 취약성을 이용한 공격으로 웹서버에 수천개의 TCP접속 (SYN) 요청을 보낸다. 보통 패킷 내부의 IP주소는 변조되거나 실제 사용되지 않는 IP주소를 이용한다. 서버에서는 보내온 IP에 SYN/ACK응답을 보내고 답을 기다리게 되는데 당연히 공격자의 클라이언트들은 응답을 보내지 않고 서버는 ACK 메시지를 계속 기다리게 되는 것. 결국 시스템은 버틸 수 없다. 다운.

DDoS 공격은 수백에서 수천의 감염된 좀비PC를 이용해 공격자가 원격지에서 공격명령을 내려 수행한다. 대용량의 트래픽 공격을 위해선 그만큼 많은 수의 감염된 PC가 필요하다. 또한, 공격강도를 높이게 되면 감염된 PC의 소유자들이 감염사실을 감지한다. 물론 감지 후엔 포맷이나 백신 등으로 치료한다. 또 최근 대부분의 DDoS 방어 장비들은 이런 트래픽 공격은 방어할 수 있다. 공격자가 보낸 패킷에서 IP헤더와 TCP헤더를 분석해 패킷의 수를 카운트해 설정한 임계치와 비교해 방어하는 방법을 사용한다. 따라서 특별한 경우가 아닌 이상 트래픽공격은 감소하고 있다.

두번째로 웹 부하 공격이라고 부를 수 있는 새로운 공격방법이 있다. 트래픽 공격이 상대적으로 방어가 쉬운 반면 웹 부하 공격은 대부분의 DDoS 방어 장비를 무력화 시킨다.

Get Flood, CC 어택이 대표적인 웹 부하 공격이다. 웹 부하 공격은 트래픽 공격처럼 대용량으로 공격이 들어오지 않는다. 그래서 공격을 받는 웹서버에만 피해가 간다. 그러나 대응 방법이 마땅치 않기 때문에 속수무책 당할 수밖에 없다. 다양한 공격 툴이 인터넷을 통해 거래가 되고 있고 일반인들도 마음만 먹으면 쉽게 DDoS공격 툴을 구입할 수 있다.

웹 부하 공격은 웹서버의 자원을 고갈시켜 웹서버 및 DB 서버를 함께 무력화시킨다. 웹서버는 DB서버로 연결되는 게이트 역할을 하게 되면서 함께 피해를 입게 된다.

공격자들에게 있어 가장 중요한 점은 좀비의 숫자이다. DDoS공격은 진화에 진화를 거듭해 현재는 체계적으로 관리가 가능한 수준까지 도달했다. 좀비들을 관리하고 업데이트 시키는 툴이 상상을 뛰어넘고 있다. 국내에는 수십만 대의 감염된 PC가 있는 것으로 알려져 있다. 전국이 초고속 인터넷으로 연결된 대한민국은 언제 터질지 모르는 폭탄을 안고 있는 것이다.

나우콤 침해사고분석대응팀의 손동식 팀장은 "앞으로는 확연히 DDoS 공격이라 알 수 있는 명확한 형태가 아니라 정상적인 서비스 패킷에 섞여 교묘히 특정 애플리케이션(게임, HTS 등) 만을 공격해 서비스 지연 내지는 불능을 유도하는 또 다른 형태의 랜섬형 DDoS로 발전하지 않을까 우려된다"고 말했다.

▲ DDoS 방어 솔루션... 더 이상 침범을 불허한다.

앞으로 DDoS공격은 보다 더 지능적으로 진화한 공격방법을 사용하게 될 것으로 전문가들은 전망하고 있다. TCP/IP 체계가 바뀌지 않는 한 그 누구도 DDoS 공격에서 자유로울 수 없다. 웹 애플리케이션에 취약점이 있는 것도 아니다. 네트워크 인프라에 문제가 있는 건도 더더욱 아니다. 해결 방법은 새로운 신종공격에 대응할 수 있는 DDOS 방어 장비가 필요하다. 닷큐어 관계자는 "앞으로의 장비는 네트워크 행위분석 및 트래픽 분석기능을 가지고 대용량의 트래픽 공격에 대비한 10G 이상의 성능이 필요하다"고 말했다. 앞으로 30G~40G의 공격을 받게 될 수도 있다는 분석이다.

또한 좀비들의 생성을 막는 보안툴이 필요하다. 대부분 불법으로 전송되는 프로그램들을 통해 감염이 이뤄진다. 감염된 웹사이트를 통해 전파되는 경우도 많다. 일단 좀비가 되면 윈도우를 포맷하기 전까지는 치료가 어렵다. 관리 프로그램에서 프로그램을 업데이트할 수 있기 때문에 바이러스 백신보다도 업데이트가 빠르다.

언제 터질지 모르는 DDoS 폭탄을 제거하기 위해 나선 보안 업체들. 저마다 DDoS 공격의 방어를 자신한다.

 

<사진1>나우콤 스나이퍼DDX 4000

나우콤의 DDoS 방어 솔루션인 스나이퍼DDX는 8개의 단계별 최적의 방어 엔진에서 순차적으로 차단하기 때문에 DDoS 트래픽의 차단률와 정확도가 높다. 이와 더불어 인공지능 탐지/차단 방식을 적용해 프로토콜별 모든 공격유형에 대한 심층분석과 탐지 및 차단이 가능하다. 이 제품은 실시간 세션재현과 실시간 트래픽 감시/대응, QoS 및 방화벽, High Availability 등의 기능을 통해 DDoS 트래픽을 차단하면서 웹 서비스의 연속성과 네트워크 안정성을 높여준다고 나우콤측은 설명했다.

스나이퍼DDX는 1.5기가비트급 2000과 4기가비트급 4000 장비로 구성돼 있으며, 10기가비트급 고성능 DDoS 차단 장비가 이달 중에 출시될 예정이다.

김대연 나우콤 사장은 "그 동안 침입탐지시스템(IDS)과 IPS 시장 선두권에서 기가비트급 하이엔드 시장을 선점하는 등 고성능 트래픽 처리 및 해킹 분석 기술을 인정받아 온 만큼 안티DDoS 시장에서도 유리한 고지를 선점할 수 있을 것"이라고 말했다.

실제로 나우콤은 최근 두 곳의 서버호스팅 회사와 대기업 계열의 대형 홈쇼핑 회사에 각각 스나이퍼DDX를 공급하면서 상용화에 성공했다.

라드웨어 Anti-DoS 솔루션은 취약점과 비취약점 공격 모두를 방어할 수 있는 Multi-Layered Anti-DoS 솔루션이다. 여기서 취약점 공격이란 서버/클라이언트의 OS 및 애플리케이션 취약점을 대상으로 한 악의적인 공격을 말한다. 시그니쳐 또는 악성코드를 사용하여 공격한다. 비취약점 공격은 서버/클라이언트의 OS 및 애플리케이션 취약점을 대상으로 하는 것이 아닌 정상적인 통신 환경 및 애플리케이션의 서비스 불능을 목적으로 한 공격 유형. 최근 공격 트랜드인 봇넷을 이용한 Massive SQL Injection 공격을 능동적으로 방어하기 위해서는 Anti-DoS 솔루션에 최소한 IPS 기능은 필수 요소라고 라드웨어 측은 설명했다. 라드웨어 솔루션은 Advanced IPS 및 QoS 모듈까지 장착된 Anti-DoS 솔루션이라고 덧붙였다. 또 고객사 환경에 따라 선택적으로 인라인/아웃오브패스 구성 사용이 가능하다. 고객사의 다양한 네트워크 환경에 유연하게 적용 가능하도록 멀티세그먼트, IPv6 및 다양한 Tunneling Protocol(L2TP, MPLS, GRE, GTP, VLAN Tag)을 지원한다.

 

<사진2>라드웨어 디펜스프로6000

라드웨어측은 "하반기 중에 멀티코어 기반의 성능이 대폭 확장된 대형/중형 제품이 출시할 예정"이라며 "관련 보안 기술들이 라드웨어 애플리케이션 스위치에 온디멘드 방식으로 적용될 것"이라고 밝혔다. 현재 라드웨어 DDoS 방어 솔루션은 해외의 경우 eBay에 90여대를 공급하고 인도공군에 300여대를 제공하는 등 실적을 올리고 있다. 국내의 경우도 G마켓을 비록해 50여개 이상의 레퍼런스를 보유하고 있다.

현재 DDoS 방어 전용솔루션인 Cisco Guard & Detector 제품군을 보유하고 있는 시스코는 DDoS 공격의 위험성과 방어 필요성에 대한 당위성을 보안 세미나 등을 통하여 다양한 고객들에 전달할 예정이다. 이와 더불어 안전한 서비스 방어 솔루션을 위한 관련 정보 수집 및 구축방안 솔루션 활용을 통해DDoS 공격 침해가 발생한 금융권을 비롯 IDC, 기업고객을 위한 DDoS 방어 솔루션을 전달할 예정이라고 밝혔다.

시스코 관계자는 "다양한 공격 유형을 이용한 DDoS 침해사고가 발생하고 있다"라며 "서비스의 완전한 보호가 가능한 완벽한 DDoS 방어가 가능한 제품군의 도입이 요구된다"고 말했다. DDoS 공격에 대한 보다 심층적인 인지 방법, 정상적인 트래픽에 대한 서비스는 가능하게 하는 정교한 분석 및 방어 적용 솔루션의 적용이 가능한 제품군을 도입해, 주요 서비스망 및 웹서비스에 대한 보다 완전한 정보보호 전략을 구현해나갈 계획이라는 설명이다.

 

<그림>시스코 DDoS 방어 솔루션 동작 개요

시스코는 현재 SP, 포탈사이트, 제조, 기업, 금융기관, 학교 등의 다양한 레퍼런스 사이트를 현재 보유하고 있다.

시스코 관계자는 "금융기업의 경우, 고객사의 빠른 금융서비스 제공과 안정성이 매우 중요하다"라며 "시스코의 DDoS 방어 솔루션이 정상적인 금융서비스 제공시에는 트래픽 흐름에 개입하지 않고, DDoS 공격 발생 시에만 개입하는 아웃오브패스(Out of Path) 구성 방식에 대해 큰 매력을 느낀 것으로 보인다"고 말했다.

한편 소프트포럼도 하반기 중 DDoS 방어 솔루션을 내놓을 예정이다. 이 제품에 대해 이정아 소프트포럼 이사는 "이미 대부분의 금융기관 공인인증서 등에 제공하고 있는 제큐어 웹을 이용, DDoS 공격이 나가지 못하도록 클라이언트에서 미리 차단하는 신개념 제품"이라고 설명했다.

닷큐어도 CC공격등의 웹부하공격 방어능력을 추가한 DDOS방어 솔루션을 9월 초 내놓고 본격적으로 DDoS시장에 뛰어든다고 밝혔다

창이 강해지고 있고, 자연스레 방패의 방어력도 업그레이드 되고 있다. 이번 DDoS를 둘러싼 창과 방패 치열한 전투. 관전자는 흥미 있지만 당사자는 괴롭다. 창이냐 방패냐. 모순(矛盾)이라는 말의 어원에서 보듯이 승자는 있어야 하는 법. 물론 방패가 잘 막아내길 기대하지만, 보안 솔루션이 모든 공격을 완벽히 막을 수는 없다는 김홍선 안철수연구소 대표이사의 말이 생각난다. 쉽지만은 않은 일이다.

저작권자 © 디지털투데이 (DigitalToday) 무단전재 및 재배포 금지