DDoS 공격의 방어, “네트워크 액세스 단에서 시작해야……”

새해가 시작되면서 모처럼 많은 눈이 내렸습니다. 1월의 눈은 그 해 가을의 풍년을 알리는 좋은 징조라고 합니다.
올해는, 경기가 좋아져서 나라 전체가 풍년을 맞았으면 하는 바램입니다. 더불어, DDoS 공격으로 인한 피해도 없는 '안전한 네트워크의 해'가 되길 바랍니다.

아래는 '정보보호21'(2010년 1월호)에 게재된 기고문입니다. (본문다운로드는 하단에서.....)

마켓스페셜_DDoS_2010년1월호.pdf

DDoS 공격의 방어, “네트워크 액세스 단에서 시작해야……”

-      유해 트래픽의 네트워크 진입을 봉쇄하면, DDoS 공격 피해는 없어 -

 

DDoS 공격, 전쟁은 시작되었다……

사이버공격 연구 재단인 ShadowServer (http://www.shadowserver.org )에서 추적한 2년 간의 봇넷 C&C(Command & Control Center)의 추세를 보면, 갈수록 DDoS 공격은 심해질 것으로 보인다. 특히 몇몇 해외 전문가들은 ‘봇넷 경제학’이라는 기고를 통해 DDoS 등 각종 사이버공격이 기업화되어 가고 있으며 심지어는 DDoS 공격을 미리 예고, 금품을 탈취하는 범위를 벗어나 PC에 악성 봇을 설치 후 봇을 수십만 대씩 판매하기도 한단다. 앞으로 해커들과의 전쟁이 불가피할 것 같다. 게다가 경제가 어려울수록 금전을 요구하는 이런 사이버 범죄가 급증한다는 점을 감안한다면, DDoS 공격의 용광로를 피하기는 쉽지 않을 거 같다.

 

[그림1  2년간 봇넷 C&C 추세, 출처: ShadowServer]

 

전쟁의 규모 - 3년간 국내 인터넷 침해사고 피해액 1조 이상

DDoS 공격은 어제 오늘 일이 아니며, 어느 특정 국가만의 일도 아니다. 네트워크가 연결된 곳이라면 어디든 지, 세계 어느 곳으로부터라도 공격받을 수 있기 때문이다. 해외의 경우 2000년 아마존, 야후, 이베이 등이 약 1조 5천억 원의 피해를, 2001년 마이크로소프트사는 약 6천5백억 원의 피해를 본 것으로 집계되고 있다(양키 그룹 추정).

 

국내의 경우, 2003년 인터넷대란으로 1675억, 2008년 게임 아이템 사이트들이 수백억 원, 그리고, 올해 7.7인터넷 대란으로 최대 544억 원(현대경제연구원 추정)의 피해를 본 것으로 추정된다. 

 

한국정보보호진흥원에 따르면 3년간 인터넷 침해 사고 피해 총액이 약 1조이며, 연도별로는 4,493억 원(2005년), 3,147억 원(2006년), 3,212억 원(2007년)이라고 한다. 2007년 총 손실액 내역을 살펴 보면, 매출손실 221억 원, 생산효율 저하 289억 원, 시스템과 네트워크 복구비용 1,650억 원, 데이터 재생산비용 1,082억 원이라고 한다. 여기에는 기업의 신뢰도 저하, 그로 인한 경쟁사로의 고객 유출, 주가 하락 등은 포함되어 있지 않으므로 실제 비용은 이보다 훨씬 클 것이다.

 

전쟁은 시작되었고 원하지 않아도 공격은 찾아 올 것이다. 마이크로소프트는 6천5백억 원의 피해에도 살아 남았다. 피해를 입고 살아 남을 것인가? 방어를 준비할 것인가?

 

전방위적인 DDoS 방어 노력 – 0.1%의 틈 여전히 상존해…

DDoS 공격은 다량의 봇넷 즉 좀비 PC들로부터 대량의 트래픽을 발생시켜 기업이나 기관의 대고객 서비스를 운영하는 운영 서버들(웹 서버, DNS서버 등)과 네트워크 장비들로 하여금 정상적인 서비스를 제공할 수 없도록 하는 공격을 의미한다.

 

전문가들은 DDoS 공격을 근본적으로 막는 방법은 전사회적인 보안 의식 향상이라고 지적한다. 왜냐하면, 보안에 취약한 좀비 PC가 없다면 봇넷도 없을 것이고 대량의 유해 트래픽이나 DDoS 공격도 없을 것이기 때문이다. 그만큼 PC보안은 중요하다.

 

그래서, 자유권 침해 논란으로 인해 실행 여부는 불투명하지만 방송통신위원회는 개인 PC의 백신 설치를 의무화하고 백신 미설치 PC는 인터넷 접속을 제한하겠다는 의견을 피력하기도 했으며, KT와 같은 ISP업체는 클린존서비스(DDoS 대응 서비스)를 제공하기 시작했고, 안연구소는 놀랄 만큼 빠르게 DDoS 관련 백신을 내놓는 노력을 계속 경주할 것이다. 또한, 기업/기관들은 앞다퉈 DDoS 전용 장비 등을 통해 DDoS에 대응할 수 있는 체계를 구축하는 데 투자할 것이다.

 

이러한 전방위적인 노력이야말로 제 2의 7.7인터넷 대란을 막을 수 있는 길이며 이런 노력들로 인해 사회 전체의 보안 수준이 한 단계 높아지는 계기가 될 것으로 기대된다. 그러나, 보안의 특성상 99.9%가 완벽해도 0.1%가 뚫리면 모두가 뚫리게 된다. 개인 PC의 보안 취약성이 여전히 남아 있는 한, 다른 모든 조치에도 불구하고 제2의 인터넷 대란이 일어날 가능성은 여전히 상존한다.

 

0.1%의 틈 – 좀비의 문을 지켜라!

개인 PC의 취약성이 백신 설치의 ‘자발성’에 기인한다는 치명적 결점 외에도, 설령 100% 백신이 설치된 경우라도 Zero-day 공격의 경우 짧은 시간이지만 허점이 발생할 가능성이 높아 보완책이 반드시 필요하다. L2스위치의 경우, 좀비PC가 처음 네트워크에 접속하는 지점으로 이 지점에서 좀비PC를 가려내고 유해 트래픽을 차단할 수 있다면 ‘네트워크의 안전 보장’은 물론 기업의 비즈니스를 위협하는 ‘DDoS 공격’까지도 방지하는 1석 2조의 효과를 가져다 줄 수 있다. 

 

최근 네트워크 보안 이슈가 일면서 주목 받고 있는 “L2보안스위치”는, 기존의 스위칭 기능과 유해트래픽을 탐지, 차단하는 보안 기능을 추가한 ‘인텔리전트 보안 스위치’다. L2보안스위치의 특장점은 다음과 같다.

 

 

 

[그림2 내부 네트워크 보안 구성도]

 

①     액세스 레벨에서 DDoS 공격에 의한 유해 트래픽을 실시간 차단하여 ‘네트워크 장애를 사전 예방’

②     ARP스푸핑 공격으로부터 개인/기업/공공기관의 ‘금융정보와 기밀정보를 보호’

③     정교한 행위분석 기술로 ‘Zero-day 공격에도 안심’할 수 있다. 최근의 DDoS 공격은 인터넷을 사용하기 위해 가장 필수적인 프로토콜을 사용하기 때문에 유해 트래픽을 가려 내기가 쉽지 않다. L2보안스위치는 특허기술인 MDS(Multi Dimension Security)엔진을 탑재하고 있어, 트래픽 양/시간 및 세부호스트/TCP/UDP별 보안상황을 분석하여 이상현상을 탐지, 자동으로 보안 필터를 생성, 차단한다.

④     보안기능을 제공하면서도 ‘Full Wire Speed를 보장’한다.

⑤     한 화면에서 네트워크 현황을 볼 수 있는 ‘통합보안관제시스템(VNM) 제공’한다. 해외, 지방 혹은 사업장이 분산된 경우에도 전체 스위치를 일원화하여 네트워크 상태와 현황을 실시간 모니터링/관리가 가능하다. 또한 공격 정보는 물론, 감지/차단된 세부로그 및 History내역을 보기 쉽게 리포트해 준다.

⑥     타 장비와의 호환성이 높아 다양한 환경에서 사용할 수 있다.

 

 

DDoS 공격은 2010년에도 계속될 것으로 전망된다. DDoS 공격 관련 99.9%의 준비를 마쳤다 해도 0.1% 의 틈을 막기 위해, 즉 좀비 PC로부터의 유해트래픽을 원천봉쇄하기 위해 이제는 ‘네트워크 액세스 단에서 보안을 시작해야 할 때’다.

[그림3 신제품 L2보안스위치 SG2048G ]