[DDoS 대응전략 세미나] 방어 위한 유형별 프로세스

　모젠소프트 노철희 대표

　DDoS 공격을 막기 위해서는 다양한 방법을 동원할 수 있다. 모젠소프트가 DDoS 방어를 위한 유형별 프로세스를 발표했다.

　DDoS 방어를 위해서는 방화벽 정책을 설정할 수 있다. 우선 내부지정 네트워크를 통해 외부 서비스를 허용하는 방식은 지정되지 않은 변조된 IP 대역 원천적으로 차단하는 효과를 가져올 수 있다. 그렇게 되면 공격에 가담하는 트래픽이 현격히 감소한다.

　방화벽 보안정책 설정을 추가하는 방법도 있다. 일례로 192.168.X.X , 10.10.X.X , 172.16.X.X 이러한 IP를 설정해 차단하는 방식이다. 이 방식은 유입되는 사설 IP를 원천적 차단하고 공격 유입량 감소에 따른 서버 부하 감소라는 효과를 얻을 수 있다.

　대역폭 잠식 공격을 당하게 당하게 된다면 몇 가지 프로세스를 취해야 한다. 우선 네트워크관리시스템(NMS)를 통해 트래픽 변화가 있는지를 점검하고 방화벽을 통한 UDP/ICMP 유입변화를 체크해야 한다. 공격에 따라 라우터나 방화벽 보안 설정을 통해 이들 공격을 차단할 수 있다.

　서버나 장비 부하유발 공격은 희생 서버 추가를 통해 부하를 분산하고 DNS 주소 변경으로 공격트래픽을 임시적으로 우회시킬 수 있다.

　특정 서비스 방해 공격을 받았을 경우에는 희생 서버 부하가 발생하고 서비스 지연되는 현상이 발생한다. 이 경우 희생 서버 CPU와 세션을 확인하고 패킷 덤프를 통해 공격내용을 분석해야 한다. 마찬가지로 희생 서버를 추가해 부하를 분산하고 공격 트래픽을 임시 우회시킬 수 있으며, 특정 코드를 발견할 경우는 즉시 IPS 등록을 차단시키는 것이 좋다.

　안티 DDoS 장비를 통해 DDoS 공격을 방어 한다면 몇 가지 기능을 따져봐야 한다.

　알려진 공격에 대한 정확한 탐지가 가능한지, 신속한 시그니처 업데이트가 되는지를 면밀히 분석해야 한다. 대용량 DDoS 공격시 과부하 발생 가능성도 파악하는 것이 좋다.

　 문보경기자 okmun@etnews.co.kr