[DDoS]DDoS의 양진영 ‘인라인, 아웃오브 패스 방식’ 맞대결

DDoS의 양진영 ‘인라인, 아웃오브 패스 방식’ 맞대결

DDoS 전용장비는 비정상적으로 폭주하는 웹트래픽으로부터 웹서비스 보호할 목적으로 개발됐다.

즉 해커들이 비정상적인 융단 폭격성 트래픽을 날릴 경우 이를 감지하고 제어하는 하는 게 DDoS의 주 기능이다.

그러나 정상적인 웹 트래픽을 DDoS 공격으로 오인해 서비스에 지장을 초래해서도 안된다.

신종 디지털 네트워크 바이러스인 DDoS를 제압하기 위해 태어난 이 장비는 현재 크게 두 가지 방식으로 구현된다.

그 하나는 아웃 오브 패스 방식이고 다른 한 방식은 인라인 방식이다. 일명 ‘시스코 표준’이라 불리는 아웃 오브 패스 방식은 DDoS 공격을 탐지는 하되 방어 조치는 관리자가 직접 개입해 탐지된 위험에 맞게 대응하는 기법이다.

이 방식은 DDoS를 탐지해내고는 싶지만 정상적인 서비스에 혹시라도 방해를 받을까 두려워하는 고객들에게 선호되고 있다

이 방식의 장비를 공급하고 있는 업체는 시스코시스템즈와 아버네트웍스다. 아버네트웍스는 시스코시스템즈의 기술 제휴 아래 장비를 개발한 관계로 범 시스코 계열이라 해도 무방하다.

인라인 방식은 학습기법을 활용, 제로 데이(일명 DDoS 트래픽이 발생하기 전단계)에서부터 공격을 탐지, 자동적으로 DDoS 공격을 퇴치하는 기법이다.

인라인 방식은 기본적으로 자기 학습 기능, 자동 시그니처 추출 기능, 어노말리 패킷 필터링 등을 통해 끊임없는 공격을 자동으로 제압하기 때문에 전산 트래픽에 많지 않으면서도 보안에 신경을 써야 하는 기업이나 연구기관에서 주로 선호된다.

이 방식을 채택하고 있는 업체는 인트루가드, 기가핀네트웍스, 리오레이, 인텔리가드, 라드웨어 등 외산업체와 최근 이 시장 참여를 선언한 나우콤, 지모컴, LG CNS 등의 대다수의 국내업체들이 주류를 이루고 있다.

아웃 오브 패스 방식은 관리자가 직접 개입해서 탐지와 방어를 결정하기 때문에 정상적인 서비스를 방해받을 필요가 없는 장점이 있지만 반면 공격이 이미 밀려들어올 때 관리자가 방어를 지시한다 해도 이미 공격으로 피해를 받을 수 있다는 단점이 있다.

인라인 방식은 자가 학습 기능 등으로 고객 사이트에서 공격 유형을 학습해 방어한다고 하지만 오탐이 일어날 가능성을 무시할 수 없다. 오탐으로 정상적인 서비스를 비정상으로 판단해 고객 서비스에 지연을 줄 수도 있기 때문에 미션 크리티컬한 고객 사이트에서는 인라인 장비가 위험할 수도 있다.

능동적인 DDoS 방어 장비를 도입하자니 정상적인 서비스를 방해할 수 있을지도 모르고 탐지 전문 장비를 도입하자니 일일이 수동으로 DDoS 방어를 위해 관리자가 따라붙어야하며 순식간에 피해도 입을 수 있어 고객들은 어떤 장비를 선택해야할지 난감하다는 반응이다.

그러나 관련 전문가들은 DDoS 공격의 유형이 워낙 다양하다보니 어떤 한 가지 형태가 정답이라고 말할 수는 없다고 조언한다. 정보보호의 첫 단계가 자사 인프라에 대해 정확히 파악하고 그에 맞는 대비책을 세우는 것이듯 DDoS 보안이라고 해서 예외가 될 수는 없다는 것.

특히 DDoS는 공격자가 끊임없이 공격에 참여해 한가지 공격 시도가 통하지 않으면 다른 공격을 시도하는 식으로 계속 공격의 유형이 변화하기 때문에 가능한 지능적인 장비로 공격을 탐지해내고 관리자의 참여는 최소화하는 것이 중요하다고 지적한다. 즉 오탐을 최소화할 수 있는, 자사의 네트워크에 맞는 DDoS 방어 장비를 선택해 인력을 가능한 적게 투입하면서 확실한 DDoS 방어 체계를 구축하는 것이 성공의 포인트라는 것이다.

한 업계의 전문가는 “DDoS를 효과적으로 방어하기 위해서는 관리자의 정책과 끊임없는 노력, 그리고 장비의 사용이 적절히 조화를 이뤄야한다”며 “자사 인프라에 대한 명확한 진단을 선행해 가장 어울리는 형태를 찾는 노력이 중요하다”고 조언했다.

전자신문인터넷 장윤정 기자linda@etnews.co.kr