안철수연구소(대표 김홍선 www.ahnlab.com)는 통합위협관리(UTM) ‘트러스가드’를 통해 DDoS 장비 시장에 뛰어들었다.
트러스트가드는 고성능 방화벽·가상사설망(VPN) 전용 솔루션 기반 위에 통합보안 기술력과 긴급대응 인프라를 결합해 내놓은 제품이다. 이 장비에 사용된 DDoS 공격 방어 기술은 안철수연구소가 개발한 고유 기술로, 국내·국제 특허 출원 중이다.
DDoS 공격 방어는 공격을 탐지하는 단계와 탐지한 공격을 분석·방어하는 단계로 나눠진다. 일반적인 방법으로는 탐지 단계에서 정상 트래픽과 공격용 트래픽을 구분하기 어렵고 방어 단계에서 정상 트래픽까지 차단하는 문제점이 있다. 안철수연구소는 이 문제를 6단계 탐지 및 차단 방식으로 해결했다고 설명했다.
트러스가드는 DDoS 공격이 발생한 경우 1단계로 비정상 트래픽과 정상 트래픽을 구분해 필터링함으로써 서버를 그대로 사용할 수 있도록 보호해 준다. 2단계로 가장 흔하고 빈번하게 발생하는 TCP 신플루딩(SYN Flooding) 공격을 방어한다.
3단계에서는 유입되는 패킷의 분산도를 분석해 공격 트래픽을 구분해 제어한다. 4단계에서는 유입되는 패킷의 패턴을 검토해 공격으로 의심되는 패킷의 유입량을 제한하고 5단계에서는 HTTP 봇넷과 같은 애플리케이션 익스플로잇 DDoS 공격을 차단한다. 6단에서 ‘앱솔루트 IPS’ 엔진에 있는 행동 기반의 DDoS 방어 시그니처를 활용해 이전 단계에서 걸러지지 않은 다양한 DDoS 공격까지 막는다. 이처럼 여러 단계를 거쳐 탐지하고 차단함으로써 DDoS 공격을 효과적으로 막을 수 있게 했다.
현재 이 제품은 TCP 신 플루딩 공격같은 TCP 취약점을 악용한 각종 플루딩공격을 비롯해 ICMP/UDP 플루딩 공격과 HTTP 봇넷 공격, 캐시제어 공격 등도 방어할 수 있다. 안철수연구소는 향후 신종 공격에 체계적이면서도 신속히 대응해 나갈 준비를 하고 있다.
트러스가드는 기가 급 장비인 1000모델을 비롯해 6개의 모델을 갖춰 소기업에서 대기업까지 고객을 만족시킬 수 있는 다양한 제품군을 갖춘 것도 특징이다.
문보경기자 okmun@etnews.co.kr
