[CIOBIZ+] Analysis-DDoS 공격 대응 방안

관련 통계자료 다운로드 좀비 PC를 이용한 DDoS 공격 개요도

 2002년 1·25 인터넷대란이 발생된 지 7년만인 지난 7월 7일 주요 기관과 기업의 인터넷 서비스가 중단되는 사태가 발생됐다. 엄청난 분산서비스거부(DDoS) 공격 때문이었다. 미국과 우리나라에 집중된 DDoS 공격을 언론은 대서특필했고 많은 전문가들이 DDoS 공격을 포함한 현대화된 보안 위협의 심각성을 일깨웠다. 이후 2개월이 지났다. 각종 대응 방안들이 제시됐고 다양한 DDoS 공격 방어 제품들을 볼 수 있지만 정작 기업 및 기관들은 이렇다 할 해법을 찾지 못하고 있다. DDoS 공격을 완벽히 막는다는 것은 기술적으로 불가능하다고까지 한다. 하지만 피해를 최소화할 수 있는 방법은 있다. CIOBIZ+는 삼성SDS 보안 컨설턴트와 함께 기업들이 최선의 DDoS 공격 방어체제를 갖출 수 있는 방법을 살펴본다.

 7·7대란 이후 정부에서는 약 200억원의 예산을 투입해 정부의 각 기관에 안티 DDoS 장비를 공급하겠다고 발표한 바 있다. 그러나 이러한 대응방안은 지난 2002년 1·25대란 이후에도 발표된 바 있다. 당시 침입방지시스템(IPS)이 모든 문제의 해결방안으로 논의됐다. 이에 따라 대부분의 기업들과 기관들은 IPS를 도입했다. 그럼에도 불구하고 이들 기업과 기관들은 여전히 DDoS 공격에 안전하지 못한 것으로 나타났다. 이러한 이유에 대해 전문가들은 종합적인 보안 체계를 갖추지 못했기 때문이라고 지적한다.

 ◇대응장비 도입에 앞서 기존 장비 최적화 필요=정보보안 전문가들은 무조건적인 DDoS 대응장비 도입보다는 현재 운영 중인 장비를 최적화하는 것이 더 중요하다고 요구했다. 실제 7·7 대란시 가장 많이 발생됐던 공격 유형인 ‘CC어택(attack)’의 경우 최신 공격패턴이 적용된 IPS 및 침입탐지시스템(IDS)에서 탐지가 가능했다. 반면 장비만 도입하고 최적화를 하지 못한 경우에는 탐지 패턴이 없어 이를 파악하지 못했다. 즉, 기존의 IPS나 IDS가 DDoS 공격을 탐지하거나 방지하는 기능을 갖고 있지 못했던 것이 아니라 공격 패턴에 대한 업데이트가 이뤄지지 않았기 때문이라는 것이다.

 또 DDoS 공격은 네트워크 트래픽을 늘려 웹 서비스를 정상적으로 제공하지 못하게 하는 공격이므로 네트워크관리솔루션(NMS)를 통해서도 사전에 이를 파악할 수 있다. 경우에 따라서는 NMS를 이용해 백본망의 트래픽 한계치를 설정해 놓아 급증하는 트래픽을 분산시켜 이를 분석할 수도 있다. 이러한 분석 능력은 실제 보안 장비보다 더 빠를 수도 있다.

 서버관리시스템(SMS)을 이용해 트래픽이 급증하고 있는 시스템의 중앙처리장치(CPU) 상태로도 파악할 수 있다. 최근에는 애플리케이션성능관리(APM) 솔루션을 통해 웹서비스의 상황이 정상인지 여부도 파악이 가능하다. 현재 대부분의 기업 및 기관들은 NMS, SMS, APM 솔루션을 도입해 운용 중이다.

 이러한 과정을 거친 후 DDoS 대응 장비 도입에 나서야 한다. 현재 DDoS 대응 장비로는 기존에 사용하던 네트워크 레벨(L3)의 분석 및 대응장비에 HTTP나 FTP 등 애플리케이션 기반(L7)의 분석 기능을 포함한 장비들이 출시되고 있다. 또 일부 국내 업체들을 통해 L7 대응 장비가 별도로 출시되고 있기도 하다.

 L3과 L7의 대응장비는 속도와 분석력의 차이가 있다. L3 대응 장비는 대응 속도는 빠르지만 오대응이 나타날 수 있다. 반면 L7 대응장비는 속도는 느리지만 보다 완벽한 대응이 가능하다.

 그러나 기존 장비를 최적화하고 DDoS 대응 장비를 도입했다고 해서 DDoS 공격을 100% 차단할 수 있는 것은 아니다. 이혁중 삼성SDS 보안컨설팅사업단 수석컨설턴트는 “DDoS 공격은 끊임 없이 진화하고 있고 그에 따른 패턴도 다양해지고 있다”면서 “DDoS 공격을 완벽하게 막는다는 것은 기술적으로 불가능하다”고 설명했다.

 ◇보안 전담인력 및 대응 프로세스 갖춰야=우수한 보안인력 확보도 DDoS 공격을 막을 수 있는 방안이다. DDoS 공격을 완벽하게 대응할 수 있는 장비를 도입했다 하더라도 이를 적절하게 운용할 수 있는 인력이 없다면 무용지물이기 때문이다. DDoS 대응 장비의 경우 꾸준하게 탐지 패턴을 업데이트해야 하고 다른 사이트에서 발생되고 있는 각종 사례들도 적용시켜야 한다.

 또 관제를 위한 별도 아웃소싱을 검토하더라도 이를 관리할 수 있는 인력을 갖춰야 한다. 이는 관제를 통해 발생되는 사항은 해당 담당자 외에는 아무도 알 수가 없기 때문이다. 아웃소싱의 경우 담당자가 책임을 모면하기 위해 거짓으로 상황을 보고 한다 하더라도 이를 알아내기 어렵다. 이로 인해 기업들은 아웃소싱 인력 및 업체에 대한 관리 역량을 강화해야 한다.

 이와 함께 보안정책에 따른 책임있는 의사결정권자도 필요하다. 갑작스럽게 트래픽이 증가할 경우 이러한 상황이 정상인지 비정상인지를 판단하고 이에 대한 신속한 대응방안이 이뤄져야 한다. 이러기 위해서는 기업이나 기관 내 최고보안책임자(CSO)를 두는 것이 효과적이다. 신속한 대응방안을 실행하기 위한 프로세스도 마련돼야 한다.

 이런 상황임에도 불구 현재 CSO 직제를 두고 있는 기업은 전체에서 10%에 불과하다. 또 일부 대형은행이나 통신사를 제외한 기업들은 보안 전담인력도 매우 부족한 상황이다. 그나마 비금융권의 경우 보안전담 인력이 없는 곳도 많다.

 ◇기존 인프라 체계 효율화 필요=인프라 개선을 통해 DDoS 공격을 예방하는 방안이 있다. DDoS 공격은 과다 트래픽을 일으켜 문제를 발생시키기 때문에 네트워크 구성을 병렬로 변경할 필요가 있다. 또 방화벽 및 IPS 등의 장비를 가장 외곽에 설치해 가급적 대역폭이 크도록 만들어야 한다. 이를 통해 트래픽을 분산시킬 수가 있다.

 보안 장비나 기타 장비가 막을 수 없는 상황에서는 서버 이름을 임시로 바꿔 공격을 피하는 방법이 있다. 실제 이번 7·7대란시 국민은행과 NHN 등이 이러한 방법을 적용해 웹서비스 중단 사태를 막을 수 있었다. 그러나 이러한 방법을 사용하기 위해서는 도메인이름시스템(DNS)에 다양한 URL을 사전에 등록해야 한다. 이를 통해 DDoS 공격으로 인한 트래픽이 급증하게 될 경우 URL을 변경해 과도한 트래픽을 피하게 하는 것이다.

 네트워크 장비의 라우팅 프로토콜은 RIP과 같은 정적(static)인 상태보다는 OSPF와 같은 이동적(dynamic)인 상태로 설정해야 한다. 이렇게 설정돼 있어야만 공격 발생 시에도 서비스 지원 시간이 단축될 수 있다. 즉, 정적인 상태일 경우 트래픽이 과도하게 늘어나게 되면 데이터가 쌓이게 돼 처리가 되지 않으나 이동적인 상태일 경우 트래픽이 과도하게 집중되어도 데이터 분산이 이뤄져 문제가 발생되지 않는다.

 네트워크 구성상 공격을 당할 가능성이 높은 대외 서비스용 시스템들은 광대역통신(WAN) 구간에서 가깝게 하고 네트워크를 분리해야 한다. 이럴 경우 공격을 당한 시스템이 다른 시스템에 영향을 끼치지 않게 된다. DDoS 공격은 공격을 받은 시스템만 장애를 발생시키는 것이 아니라 WAN 구간에서 해당 시스템까지의 네트워크 장비에도 장애를 일으킨다.

 이와 함께 PC들도 좀비 PC가 되지 않도록 미연에 방지해야 한다. 이를 위해서는 백신 업데이트 및 과다 트래픽 발생시 차단할 수 있도록 네트워크접근제어(NAC) 등 엔드포인트 보안시스템이 적용돼야 한다.

 ◇DDoS 대응 콘트롤 타워를 만들어야=전문가들은 좀비 PC의 샘플코드를 좀 더 빠르게 분석해 백신을 만들었다면 대대적인 공격을 막을 수 있었을 것이라고 말한다. 백신을 만들기 위해서는 감염된 PC에서 추출된 악성코드 분석이 필요한데 개인 사용자가 이를 분석하는 것은 쉽지 않다. 따라서 공격자의 IP정보가 파악되면 악성코드 수집을 위해 즉각적으로 수사기관과 협업이 이뤄져야 한다.

 또 마스터 서버의 IP정보가 파악되면 통신회선서비스 사업자들이 빠르게 이에 대처할 수 있도록 정보를 공유할 수 있는 체계가 만들어져 있어야 한다. 기존의 통신ISSAC을 효율적으로 사용할 수 있도록 하는 것도 방법이다. DDoS 공격이 이번처럼 국가적으로 발생하지 않고 특정 사이트에 대해 발생할 경우에도 관련 기업 및 기관간 연락에 의해 이에 대처할 수 있어야 한다.

 이번 7·7대란은 중앙의 콘트롤 타워가 없었기 때문에 확산됐다고도 한다. 향후 발생할 수 있는 사이버 공격에 대해 빠른 판단을 할 수 있는 콘트롤 타워가 있었다면 더 빠른 대응이 가능했다는 것이다. 또 대응 성공 사례가 빠르게 전달됐다면 사고 확산을 줄일 수 있을 것으로 보고 있다.

 좀비 PC는 통상 악성 사이트에 접속해 감염되는 경우가 많기 때문에 통신사업자들이 사용자의 PC가 인터넷에 접속하는 시기에 팝업창을 띄워 백신의 최신 업데이트 등을 유도시키는 것도 하나의 방안으로 제시되고 있다. 지속적인 대국민 정보보안 교육도 필요하다.

 이혁중 삼성SDS 수석컨설턴트는 “모든 보안이 그렇겠지만 DDoS 대응도 장비 하나로 이뤄지는 것은 아니다”면서 “체계적인 프로세스와 인원에 대한 보강, 기반 시설간의 다양한 협업이 필요하다”고 강조했다.

신혜권기자 hkshin@

이혁중 삼성SDS 수석컨설턴트 hyuckjoong.lee@samsung.com

 ◆이혁중 수석컨설턴트는

인하대 산업공학과, 포항공대 정보통신대학원을 졸업했다. 이후 펜타시큐리티시스템 책임컨설턴트, STG시큐리티 보안기술연구소장, SK인포섹 수석보안컨설턴트를 거쳐 삼성SDS 통합보안컨설팅그룹 수석 컨설턴트로 활동 중이다.


브랜드 뉴스룸