“DDoS 공격이 계속 증가하고 있습니다. 그런데 검거율은 오히려 떨어졌어요. 왜 그럴까요?”
DDoS(Distributed Denial of Service) 공격이 계속해서 진화하고 있습니다. 단순한 대역폭 소모형 공격에서 L7 애플리케이션 계층을 노리는 정교한 공격까지 등장하면서, 기존의 DDoS 방어전략으로는 한계에 부딪힌 상황이죠. 여기에 더해 이제는 DDoS 공격이 ‘서비스화(DaaS, DDoS as a Service)’되고 있다는 점입니다. 다크웹에서는 단돈 몇 달러에 누구든 공격을 의뢰할 수 있고, 해커들끼리도 경쟁하면서 더 정교한 공격 기법이 개발되고 있습니다. 이번 <잇츠맨 리뷰>에서는 지코어 코리아와 진행했던 DDoS 공격 동향과 새로운 방어 전략 웨비나를 정리해 봤습니다.
DDoS 의 공격이 이렇게 심각합니다.
지코어 코리아 김진용 팀장의 질문입니다.
김진용 팀장 : “작년 2분기에 한국이 아시아에서 DDoS 공격이 가장 많은 나라로 확인되었습니다. 특히 4월 11일부터 13일까지 패킷 트래픽이 폭증했습니다. 이때 뭐가 있었죠?”
안철준 촌장 : “총선이 있었죠.”
김진용 팀장 : “네, 선거 기간에 맞춰 대규모 공격이 들어온 겁니다.”
그런데 흥미로운 건, 실제 DDoS 공격이 가장 많았는데도 불구하고 사용한 대역폭은 그렇게 크지 않았다는 점입니다.
“공격량이 많았던 건 맞지만, 단순한 대역폭 공격이 아니라 L7 계층을 노리는 공격이었어요. 그래서 공격량에 비해서 패킷 트래픽은 그리 많지 않았던 거죠. 점점 더 공격을 파악하기 어려워지고 있습니다.”
통상 DDoS 공격은 크게 세 가지로 나누게 됩니다.
첫 번째는 볼류메트릭 공격으로 일컫는 대역폭 소모형 공격이 있습니다. 두 번째는 내부 시스템 커넥션을 점유하느 커넥션 공격이 있구요. 이 두 가지 공격들은 실제로 대부분 네트워크 상에서 일어나기 때문에 그리 어렵지 않게 방어가 가능합니다.
문제는 세 번째인데 L7 공격, 즉 애플리케이션을 직접 타격하는 공격입니다. 패킷을 많이 소모하지 않는 공격이기 때문에 공격을 인지하기 어렵고, 빈도는 낮지만 실제로 더욱 심각한 위협이 될 수 있습니다.
“DDoS에서 볼륨메트릭 공격이 흔히들 무섭다고 생각하는 공격이지만, 사실 이런 공격들은 저희가 가장 간단하게 막아내요. 0.001% 밖에 안되는 이런 소규모의 공격들이 바로 L7 공격들이고 실제로는 빈도수가 굉장히 작음에도 불구하고 영향력은 엄청 클 수 있다는 있다는 게 심각한 문제입니다.”
플렉스아이티 함준형 이사는 DaaS(DDoS as a Service)의 확산이 DDoS 피해를 더욱 확대시키고 있다고 말합니다.
“이제는 단돈 만 원이면 다크웹에서 DDoS 공격을 주문할 수 있는 시대입니다. 심지어 쿠폰도 줍니다. 현실적으로 DaaS 서비스를 운영하는 다크웹 운영자들이 많아짐에 따라서 서로 경쟁적 상황이 되면서 DaaS 서비스 퀄리티도 올라가고 비용은 점점 내려가고 있어요. 개인적인 원한이 있다면 작은 중소기업 서비스 정도는 정말 쉽게 장애를 만들어 버릴 수 있습니다.”
DDoS 공격, 그러면 어떻게 막을까요?
그러면 이렇게 고도화되어 확산되고 있는 DDoS 공격을 막기 위한 방어 솔루션의 핵심 사항은 무엇일까요?
첫째, 모든 레이어를 보호하는 방어 솔루션이어야 한다는 점입니다.
앞서 DDoS 공격 유형을 살펴본 것처럼, 기존의 패킷과 대역폭을 점유하는 전통적인 공격 방식은 대부분 쉽게 막아낼 수 있습니다. 하지만, 점점 더 정교화되는 DDoS 공격은 패킷은 많이 소모하지 않지만 L7 애플리케이션 레이어를 타겟으로 공격하면서 실제 더 심각한 장애를 일으킬 수 있습니다. 이러한 공격을 어떻게 막아낼 수 있을까 하는 점이 DDoS 방어 전략의 가장 중요한 부분이라 말할 수 있겠죠.
“저희 지코어 코리아 DDoS 방어 솔루션은 Always On 서비스를 기본으로 하여 L3에서 L7에 이르는 전체 네트워크 층위를 모니터링하고 검사를 하고 있습니다. 무엇보다 강조할 점은 확기적인 가격 정책입니다. 통상 모든 레이어를 다 방어하기 위해서는 온디맨드 방어 전략에 비해 3배, 4배 이상 가격이 올라가는 경우가 많은데, 저희는단지 10~20%의 가격 상승만으로도 모든 레이어를 방어할 수 있습니다. 저희의 용단이라고 감히 말씀 드릴 수 있습니다.
둘째, 충분한 SLA (Service Level Agreement)를 보장할 수 있어야 한다는 겁니다.
SLA는 서비스 제공자와 고객 간의 서비스 품질, 성능, 가용성 등에 대한 약속을 문서화한 계약입니다. 기업이 IT 서비스나 클라우드, 보안 솔루션 등을 이용할 때 매우 중요한 요소이죠. 특히 DDoS 공격이 서비스가 제대로 이뤄지지 않도록 하는 공격 유형이다 보니, DDoS 방어에서도 SLA는 무엇보다 중요할 것입니다. 지코어 코리아 김진용 팀장은 SLA의 중요성에 대해 이렇게 얘기합니다.
“실제로 DDoS 방어만큼 SLA가 중요한 서비스는 없다고 생각합니다. 저희 지코어에서는 SLA 99.99% 를 보장하고 있습니다. 명확하게 SLA의 수준을 명시함으로써 저희 보안 서비스의 안정성을 캐런티하는 거죠. 저희의 자부심이기도 합니다.”
세번째, 스크러빙 센터를 로컬에 보유하고 있는가 하는 점입니다.
스크러빙 센터(Scrubbing Center)는 대규모 DDoS(Distributed Denial of Service) 공격을 차단하는 전용 네트워크 시설로, 악성 트래픽을 필터링하고 정상 트래픽만 최종 목적지로 전달하는 역할을 하고 있습니다. 공격을 효과적으로 막아내기 위해서는 공격의 시작점에 스크러빙 센터를 보유하는 것이 중요합니다. 플렉스아이티 함준형 이사는 지코어 스크러빙 센터에 대해 이렇게 말합니다.
“지코어의 스크러빙 센터가 한국에 있다는 건 매우 큰 장점입니다. 다른 업체 같은 경우 일본의 스크러빙 센터를 이용하게 되는데, 확실히 한국의 센터를 이용하는 지코어가 간결하고 빠르게 처리하는 것을 느낄 수 있습니다.”
넷째, 고도화된 비정상 패킷 분류 능력입니다.
지코어 DDoS 방어 엔진을 통해 대부분의 비정상 패킷들은 걸러질 수 있지만, 공격이 더욱 정교하고 고묘해지다 보니 추가적인 필터링이 꼭 필요합니다. 또한 기업이나 도메인별로 보안의 정택이 상이하기 때문에 각각의 상황에 맞는 절적한 정책이 필요하기도 하죠. 이런 보안 프로세스를 위해 플렉스아이티와 같은 기업이 효과적인 대응방안을 제시할 수 있다고 하는군요. 함준형 이사는 플렉스아이티의 보안 솔루션의 구성과 장점이 바로 여기에 있다고 강조합니다.
“지코어의 보안 솔루션을 통해 1차적으로 중요한 악성 패킷들을 필터링하고 그 다음에 미상의 패킷과 정상 패킷들이 들어왔을 때 AI와 엔지니어링 분석을 통해 추가적인 작업을 진행합니다. 더욱 고도화된 DDoS 공격 방어 정책이 가능하도록 하는게 플렉스아이티의 보안 전략입니다."
지코어 코리아 김진용 팀장은 지코어의 파트너 전략이 한국과 같은 독특한 보안 전략이 필요한 지역에서 더욱 효과적이라고 말합니다.
“저희 지코어가 GRE 터널로 연결하게 되면 플렉스아이티처럼 추가적인 보안 밸류를 만들어 제공할 수 있습니다. 매우 효과적인 파터너 협업 전략이라고 말할 수 있어요."
기업의 서비스가 무중단으로 안정적으로 제공되는 것이 IT 운영을 넘어서서 기업의 비즈니스 생존에 무엇보다 중요한 시대가 되었습니다. 이제는 단순히 자사의 서비스를 안정적으로 공급하는 것을 넘어서서 그 서비스를 이용한 이용자들과 고객들의 안정까지 책임지고 보호하려는 노력까지 보안의 범위가 확장되어 가고 있습니다. 결국은 이용자가 이탈되면 자신의 서비스가 안 되는 거나 마찬가지라고 생각됩니다. 어쩌면 이용자를 공격하는 형태가 더 악랄하고 더 심각한 문제일 수도 있겠다는 생각이 드는데요. DDoS의 방어전략은 이렇게 자신의 이용자들을 보호해야 하는 미션까지 확장되어가고 있습니다.
“이렇게 이용자를 공격하도록 하는 것, 그게 결국엔 취약점이라는 거죠. 이런 것들은 L7보다 어떻게 보면 더 탐지하기 어렵고 대응하기 힘들다는 겁니다.”
하이라이트 영상도 있어요
이번 잇츠맨 웨비나를 최대한 핵심적인 내용만 추려서 정리했습니다. 디테일한 전체 영상 다시 보기 가능하구요. 아래 하이라이트 영상도 준비되어 있습니다. 각 주제별로 잘 요약해 두었으니 꼭 한번 보시길 추천드립니다. 그리고 웨비나 진행 중에 나왔던 다양한 질문들과 의견들도 확인할 수 있으니 관심 있으신 분들은 웨비나 페이지 방문해 보셔도 좋겠습니다.
그리고 DDoS 방어 전략에 대해서 추가적인 문의가 필요하신 분들은 아래 연락처로 문의주시면 되겠네요.
