보안사고의 주범, ‘DDoS를 방어하라’
공격 방법 다양·금품 요구 범죄로 발전 ‘심각’ … 업체 난립․출혈경쟁 우려
DDoS 시장이 급팽창하고 있다. 올초 미래에셋 사이트가 DDoS 공격으로 마비, 공격자들이 공격을 멈추는 대가로 5천만원을 요구했던 사건이 알려지며 금융권을 비롯한 IT전반에 DDoS 비상이 걸렸다.
DDoS는 일정한 패턴을 갖췄던 기존 공격과는 달리 공격의 형태가 수시로 바뀌기 때문에 탐지와 방어가 쉽지 않다. 또 미래에셋의 경우처럼 금품을 요구하는 사기의 양상으로 발전하고 있기 때문에 쉽게 수그러지지 않고 오랜 기간 지속될 전망이다.
이에 DDoS를 막아준다는 전용 장비들이 속속 출시되며 정보보호 시장을 뜨겁게 달구고 있다.
시스코를 필두로 라드웨어, 인트루가드, 기가핀, 리오레이 등 외산업체들이 DDoS 시장의 포문을 열어젖힌데 이어 국내 업체들도 질세라 반격에 나섰다. 나우콤, 지모컴, LG CNS, 삼성네트웍스 등 국내 업체들도 잇따라 전용 DDoS 장비를 내놓고 있는 추세다.
관련 전문가들은 올 하반기 약 20여개 이상의 업체들이 DDoS 장비 시장에서 격돌할 것이며 올 하반기 약 30억 가량의 시장 규모를 형성할 수 있을 것으로 전망하고 있다.
다양한 공격 방어위해 DDoS 전용 장비 ‘등장’
서비스거부공격(DoS/DDoS)은 인터넷 상에 수많은 PC들에 악의적인 공격용 프로그램을 무작위로 분산 설치해 특정한 날짜, 주기 또는 해커의 신호를 통해 특정, 불특정 목적지를 향해 다량의 패킷을 전송한 후 다량의 패킷을 전송 받은 시스템 또는 경로상의 네트워크 장비가 오동작을 일으키거나 대역폭ㅇ르 고갈시켜 문제를 일으키는 행위를 말한다.
즉 특정 사이트를 공격하기 위해 해커가 서비스 공격을 위한 도구들을 여러 컴퓨터에 심어놓고 목표사이트의 컴퓨터 시스템이 처리할 수 없는 엄청난 분량의 패킷을 동시에 보내면 네트워크 성능저하나 시스템 마비를 가져온다. 이는 시스템 과부하로 정상고객들이 접속할 수 없는 상태가 되는 것이며 한 전화번호에 집중적으로 전화가 걸려오면 일시적으로 불통이 되는 현상과 비슷하다.
이 수법은 특정 컴퓨터에 침입해 자료를 삭제하거나 훔쳐가는 유형이 아니라 목표 서버가 다른 정당한 신호를 받지 못하게 방해한 후 복구를 전제로 금품을 요구하는 협박성 범죄에 이용되고 있다.
DDoS는 지난 2002년 야후, 아마존 등 세계 유명 사이트를 공격해 서비스를 마비시킴으로 세간의 주목을 받았다. 하지만 당시는 유명 사이트 등을 마비시켜 주목을 끄는 과시성이었으나 점차 실시간 서비스를 중요하게 여기는 인터넷 게임, 포털, 증권사 등을 대상으로 금품을 요구하는 사회적 범죄의 수준으로 발전하게 됐다.
나우콤 이인행 상무는 “DDoS는 악성 IRC 봇을 이용한 UDP DDoS 공격으로 기가비트 단위의 패킷을 발생시켜 보안 장비, 네트워크 장비를 마비시킨다”며 “최근 중국 해커들이 화상채팅, 웹 서비스 업체 등을 대상으로 DDoS로 공격하고 돈을 요구하는 사례가 늘어나 이에 대한 대비책이 시급하다”고 밝혔다.
실제로 당장 서비스가 급한 게임사 등은 액수가 많지 않으면 해커들이 요구하는대로 돈을 지급하고 있고 신고가 어려운 성인사이트, 사행성 게임 등에서도 현금을 내어주는 경우가 많다. 따라서 확실히 돈을 벌 수 있는 방법으로 DDoS가 자리잡으며 DDoS 공격은 더 늘어나는 추세다. 해외 경매사이트에는 DDoS 공격의 매개체가 되는 봇(BOT)에 감염된 좀비 PC를 경매에 내놓기도 하고 조직폭력배 등에 의해 DDoS 기업체가 운영되기도 하는 등 DDoS는 향후 더 엄청난 사회적 파장을 불러일으킬 전망이다.
DDoS 공격 유형으로는 UDP 프로토콜을 이용한 악성 IRC 봇 플루딩에 의한 공격이 70% 이상을 차지하지만 소스 IP 스푸핑, TCP 아웃오브 스케일, TCP 씬 플루딩 등 종류가 엄청나다. 또 한 가지 공격방법이 먹히지 않으면 계속 방법을 바꿔 시도하기 때문에 패킷 필터링, IP, 포트 레벨의 필터링 등 기존 네트워크 장비와 방화벽 등에서 제공하던 DDoS 방어 기법으로는 이런 다양한 DDoS 공격을 막아낼 수 없어 DDoS를 막아줄 전용 장비의 등장이 불가피해졌다.
하지만 DDoS 장비의 정확한 규격에 대해서는 논란이 분분하다. 아직 DDoS 전용장비로 공인된 인증기관에서 인증받은 제품도 없을뿐더러 DDoS 방어 장비는 이런 기능을 탑재해야한다는 권고안을 내놓은 조사기관도 없다. 따라서 자사 제품이 DDoS 방지 제품의 표준이라고 너도나도 우기는 형편이다.
그러나 대략 DDoS 전용장비는 SYN 프록시를 이용한 방어와 웹 서비스를 보호하는 목적으로 개발됐으며 DDoS 전용 장비의 오탐으로 인한 서비스 장애를 유발할 가능성이 없어야 하는 등 장비를 사려는 고객들의 요구에 의해 최소한의 조건에 대한 의견이 모아지고 있다.
또 정상적인 트래픽과 공격트래픽의 분리 능력 및 소스 IP 스푸핑에 대한 대응 등 다양하고 복잡하게 발생되는 공격에 대해 적절히 대응해야하며 보안장비의 운영으로 망의 성능이 떨어지는 망 장애요소는 절대 없어야한다고 고객들은 주장한다. 망 장애 요소를 없애기 위해 대용량 트래픽을 처리할 수 있는 기가급 장비는 기본이며 10기가~최대 20기가 이상급 장비들을 선호하는 추세다.
이런 이유로 DDoS 공격을 탐지는 하되 방어 조치는 관리자가 탐지된 위험에 맞게 대응한다는 아웃 오브 패스 기능의 DDoS 장비와 제로 데이 공격 및 알려지지 않은 공격 탐지 등에 자동화된 대응을 제공하는 학습기법을 지닌 인라인 장비 등이 대결을 펼치고 있다.
자사 망 형태에 맞는 현명한 고객 선택 ‘중요’
국내에 인트루가드를 공급하는 씨큐비스타 전덕조 사장은 “기존 방화벽은 필요한 포트를 열고 불필요한 포트를 닫아 닫힌 포트로 들어오려는 트래픽은 공격으로 간주했고 IPS는 시그니처 목록을 통해 시그니처와 매칭되면 정상적인 트래픽, 매칭되지 않으면 비정상적인 트래픽으로 보는 등 구분이 명확했다”며 “하지만 DDoS는 TCP/IP의 헤더 필드, 웹 애플리케이션 등 다양하게 변화하는 공격의 양상으로 인해 어떤 것이 공격이고 어떤 것이 합법적인 트래픽인지 구별이 어려워 업체들도 저마다 자사 제품에 맞춘 기능이 최고라고 주장하는 상황”이라고 밝혔다.
들어오는 패킷을 바이패스로 처리해 위험한 트래픽은 관리자가 수동으로 차단할 수 있는 아웃 오브 패스 기능을 제공하는 시스코 ‘시스코 가드’와 능동적인 차단까지 제공하는 ‘시스코 디텍터’ 모듈은 시스코의 카탈리스트 스위치, 시스코 라우터 등에 통합돼 총체적인 네트워크 공격 차단 기능을 제공한다. 패킷을 바이패스로 미러링해 침입을 탐지하는 IDS와 같은 기능을 제공하는 시스코 가드는 DDoS를 탐지해내고는 싶지만 정상적인 서비스에 혹시라도 방해를 받을까 두려워하는 고객들에게 선호되고 있다.
시스코와 비슷한 차단 방식을 제공하는 아버네트웍스는 제품 개발 초기 시스코가 직접 투자해 설립한 회사로 역시 아웃오브패스 기능으로 정상적인 서비스에 영향을 미치지 않으면서 DDoS를 방어할 수 있다는 점을 내세운다.
이에 비해 나머지 라드웨어, 인트루가드, 리오레이, 나우콤, LG CNS 등의 대부분의 DDoS 방어 장비는 모두 데이터 트래픽 경로에 위치시켜 모든 패킷을 처리하는 인라인 형태의 장비로 되어있다. 인라인 형태는 기본적으로 자기 학습 기능을 통해 끊임없이 공격에 대한 방어기능을 제공하는 형태다. 여기에 퍼지 로직, 수학적인 모델링 등 각 업체들마다 조금씩 특징적인 방어 기능을 추가해 공급되고 있다.
하지만 능동적인 DDoS 방어 장비를 도입하자니 정상적인 서비스를 방해할 수 있을지도 모르고 탐지 장비를 도입하자니 일일이 수동으로 DDoS 방어를 위해 관리자가 따라붙어야하며 순식간에 피해도 입을 수 있어 고객들은 어떤 장비를 선택해야할지 난감하다는 반응이다.
관련 전문가들은 DDoS 공격의 유형이 워낙 다양하다보니 어떤 한 가지 형태가 정답이라고 말할 수는 없다고 조언한다. 정보보호의 첫 단계가 자사 인프라에 대해 정확히 파악하고 그에 맞는 대비책을 세우는 것이듯 DDoS 보안이라고 해서 예외가 될 수는 없다는 것.
특히 DDoS는 공격자가 끊임없이 공격에 참여해 한가지 공격 시도가 통하지 않으면 다른 공격을 시도하는 식으로 계속 공격의 유형이 변화하기 때문에 가능한 지능적인 장비로 공격을 탐지해내고 관리자의 참여는 최소화하는 것이 중요하다고 지적한다. 즉 오탐을 최소화할 수 있는, 자사의 네트워크에 맞는 DDoS 방어 장비를 선택해 인력을 가능한 적게 투입하면서 확실한 DDoS 방어 체계를 구축하는 것이 성공의 포인트라는 것이다.
한 업계의 전문가는 “DDoS를 효과적으로 방어하기 위해서는 관리자의 정책과 끊임없는 노력, 그리고 장비의 사용이 적절히 조화를 이뤄야한다”며 “자사 인프라에 대한 명확한 진단을 선행해 가장 어울리는 형태를 찾는 노력이 중요하다”고 조언했다.
<표>
DDoS 공격의 종류와 대응방법
DDoS 공격종류
공격의 예
1차적 대응
2차적 대응
TCP SYN Flooding
과도한 SYN Flooding 트래픽 유발
Firewall 및
IPS의
SYN Cookie 기능
Anti-DoS
TCP Out-of-State
TCP Out-of-state, 즉 TCP 규약에 위배되는 대량의 세션이나 패킷을 전송
Firewall의 Stateful Inspection 기능
Anti-DoS
TCP 커넥션
세션을 과도하게 유발시켜 L4 스위치, 방화벽, 서버의 CPU나 메모리를 과도하게 점유, 결국 다운시킴
없음
(제한적으로 IPS의 임계치 제어기능)
Anti-DoS
UDP / ICMP
무차별적인 트래픽 유입으로 대역폭을 고갈시킴
라우터의 ACL 및 IPS의 임계치 (Rate-Limit) 제어기능
Anti-DoS
IGMP / IP
IP 규약에 위배되는 형태의 트래픽을 대량으로 보냄
IPS의 비정상트래픽 (Anormaly) 차단기능
Anti-DoS
국산 VS 외산, DDoS 시장 둔 한판 승부 ‘치열’
이렇게 DDoS에 대한 관심이 뜨거워지면서 DDoS 방어용 장비를 구입하려는 발길이 이어지고 있는 가운데 외산과 국산 장비들간의 경쟁이 치열하게 전개되고 있다.
우선 지난해 하반기부터 DDoS 전용 장비를 내놓고 고객 레퍼런스를 만들어가고 있는 시스코를 필두로 외산 장비업체들이 한발 앞서나가고 있는 형국이다. 하지만 국산 장비들은 올초부터 나우콤 등을 시작으로 출시가 이어지고 있어 올 하반기부터는 국산과 외산 장비들간의 치열한 한판 경쟁이 불가피할 전망이다.
현재 외산 DDoS 전용 장비로는 시스코시스템즈, 아버네트웍스, 라드웨어, 인트루가드, 인텔리가드, 리오레이, 기가핀네트웍스 등이 국내에 제품을 출시, 영업중이다. 국내 제품으로는 나우콤, 지모컴, LG CNS 등에서 제품이 출시된 상태이며, 올 하반기 시큐아이닷컴과 삼성네트웍스가 공동으로 전용장비를 내놓을 예정이다. 이외에도 아직 국내에 알려지지 않은 외산 제품들이 국내 진입을 계획중인 것으로 알려졌다. 또 국내 업체들도 DDoS 전용장비의 출시를 예정하고 있는 업체들이 상당수라 올 하반기 DDoS 전용 장비 시장은 급팽창, 과열경쟁이 우려될 정도다.
먼저 외산 업체들은 글로벌 인지도와 지원력, 해외 레퍼런스를 비롯해 국내 고객 레퍼런스 등 축척된 노하우를 장점으로 내세운다. 이에 반해 국내 업체들은 갓 출시가 이뤄지고 있어 아직 레퍼런스는 없지만 국내 고객들에 맞는 맞춤형 솔루션 제공과 지원력, 성능 대비 가격 등을 경쟁력으로 꼽는다. 특히 보안 장비들이 공공 기관 등에 공급되기 위해 반드시 필요한 CC인증 국정원 보안심사를 통과하기 위해서는 소스코드를 공개해야하기 때문에 국내업체가 훨씬 유리한 입장이다. 국내 업체들은 대부분 올 하반기경 CC인증을 받고 공공 등의 고객 수요에 대비한다는 입장이라 레퍼런스를 먼저 만들었다고 외산업체들이 안심하고 있을 수는 없다고 경고한다.
외산과 국산 DDoS 전용장비 업체들의 장비와 현황, 향후 전략 등을 각 업체별로 살펴보자.
시스코시스템즈
아웃 오브 패스 기능의 정교한 탐지와 유연한 방어 ‘장점’
시스코시스템즈코리아(대표 손영진)는 탐지 기능의 시스코 AGM(Cisco Anomaly Guard Module)과 자동 방어 기능의 ADM(Cisco Anomaly Detector Module)을 보유하고 있다.
AGM과 ADM은 모두 시스코 카탈리스트 6500 시리즈 스위치 및 7600 시리즈 라우터용 통합 서비스 모듈이며 대기업, 캐리어 사업자 등 대형 네트워크에 적합하다. 모듈 타입으로 기존 사용하던 스위치 등에 확장할 수 있으므로 기존 시스코 고객이나 신규 고객들도 비교적 손쉽게 투자할 수 있다는 장점이 있다.
시스코시스템즈코리아 최기곤 차장은 “시스코 DDoS 차단 시스템은 합법적인 트랜잭션에 영향을 미치지 않고 악성 공격 흐름을 감지, 우회, 격리 및 제거할 수 있어 안전하게 사용할 수 있다”며 “네트워크가 10G 등으로 업그레이드되고 있고 서비스 연속성이 기업의 성패를 좌우하는 만큼 라우터와 연동돼 안전한 DDoS 탐지와 방어를 제공하는 시스코 장비의 장점이 더욱 부각될 것”이라고 말했다.
현재 시스코는 서울대학교, 포털사업자, 금융, 제조, 대기업 등 약 27개 DDoS 관련 고객사를 보유하고 있다. 시스코는 현재 데이터센터에 타깃한 맞춤형 솔루션을 개발하고 집중 공략한다는 계획이다. 또 회선사업자 등에도 적합한 자사 장비의 장점을 살려 캐리어 고객군을 늘려갈 방침이다.
최 차장은 “시스코에도 인라인 형태의 IPS가 있지만 굳이 아웃 오브 패스 기능의 라우팅을 제공하는 DDoS 서비스 모듈을 공급하고 있는 것은 고객이 원하기 때문”이라며 “텔스트라, SAT&T 등의 회선사업자들도 모두 시스코의 서비스 모듈로 DDoS를 방어하고 있는 등 안정적인 서비스를 위해서는 시스코가 최적의 대안”이라고 강조했다. 또 그는 “워낙 시스코 카탈리스트 6500 등의 인프라가 많이 깔려있기 때문에 서비스 모듈로 보다 업그레이드된 DDoS 방어 네트워크를 갖추도록 기존 고객을 유도할 계획”이라고 덧붙였다.
▲ 시스코 AGM.