방어 속도를 결정짓는 세 가지 핵심 요소...탐지, 자동화, 대응

[보안뉴스 원병철 기자] DDoS 방어에서 무엇보다 중요한 것은 속도이다. 페스트 플러드(Fast Flood) 공격은 순식간에 발생해 단 몇 초 만에 수백 기가비트 급으로 커질 수 있다. 그렇기 때문에 애플리케이션들이 제대로 작동하는 것처럼 보이다가 갑자기 사용할 수 없게 된다. 공격 받았다는 사실을 알게 될 때는 이미 상당한 규모로 부수적 피해를 입은 다음이다.


DDoS 공격은 대개 네트워크 방화벽, WAF(Web Application Firewall), 침입 방지 시스템(IPS)을 비롯해 대역폭에서부터 애플리케이션, 기존 인프라에 이르기까지 동시에 여러 대상을 공격한다. 그리고 방어 체계를 무력화시키기 위해 다양한 공격 기법과 교묘한 전술을 결합시킨 멀티 레이어 공격이 증가하고 있다. 그러므로 비즈니스를 보호하고 서비스 가용성을 유지하려면 이러한 다각적인 위협에 빠르게 대응할 수 있어야 한다.

그렇다면 최단시간 내에 대응하고 방어의 승산을 높이기 위해서는 어떻게 해야 할까? 속도를 결정짓는 다음의 세 가지 핵심 요소에 집중해야 한다.

△탐지 : 신속한 방어를 개시하는 데 있어서 가장 최우선적이고 중요한 기능은 DDoS 공격을 탐지하는 속도이다. 어떤 솔루션을 선택하는지가 조직의 리스크 프로파일(Risk Profile)에 큰 영향을 미친다. 방화벽에 새로 추가된 기능을 사용할 것인가, 아니면 전문 DDoS 방어 제품을 선택할 것인가? 차이점은 무엇이며, 그것이 왜 중요한가?

IPS 장비, 방화벽, 기타 보안 제품들은 다단계 방어 전략의 필수 요소이다. 하지만 이러한 제품들은 전문 DDoS 탐지 및 방어 제품과는 근본적으로 다른 보안 문제를 해결하도록 설계되었다. 예를 들어 IPS 장비는 데이터 유출로 이어지는 침입 시도를 차단한다. 방화벽은 정책 실행을 담당하여 허가되지 않은 데이터 액세스를 방지한다. 이러한 보안 제품들은 ‘네트워크 무결성 및 기밀성’ 관련 문제를 해결하는 데 효과적이다. 하지만 DDoS 공격과 관련된 ‘네트워크 가용성’ 문제는 해결하지 못한다.

방화벽과 IPS 장비의 한계를 통해 IDMS(Intelligent DDoS Mitigation Solution)의 중요한 이점을 확인할 수 있다.

IDMS는 ‘스테이트리스(stateless)’이다. 즉, 모든 연결에 대한 상태를 저장하지 않는다. 방화벽이나 IPS 같은 스테이트풀(stateful) 장비는 DDoS에 취약하며 문제를 가중시킬 뿐이다. IDMS 솔루션은 공격이 타깃 가격한 이후에 생성되는 시그니처에 의존하지 않는다. 대신에 IDMS는 여러 가지 공격 대응 기술을 지원한다. 이렇게 함으로써 대부분의 공격 유형으로부터 박스를 보호할 수 있다.

또한 IDMS 솔루션은 다양한 구축 구성을 지원한다. 무엇보다 중요한 점은 IDMS가 필요에 따라 OOB(out-of-band) 구축이 가능하다는 것이다. 이러한 유연성은 솔루션의 확장성을 증대시킨다. 솔루션 확장성은 DDoS 공격 규모가 갈수록 커지는 상황에서 필수적으로 요구된다. IDMS는 분산 탐지 기법을 지원하는 완벽하게 통합된 솔루션으로서 ‘분산’ DoS 공격을 효과적으로 방어한다. IPS 장비는 단일 세그먼트 기반 탐지를 활용하기 때문에 주요 공격을 놓칠 수 있다.

△자동화 : 자동화는 최근 보안 분야에서 가장 뜨거운 이슈이다. 자동화는 인력부족 해소에 도움을 주고, 대응 속도를 향상시키는 데에도 필수적이다. 제대로 된 IDMS를 사용하면 보안 운영자가 공격을 인식하기도 전에 자동으로 공격을 탐지하고 대응을 시작할 수 있다. IDMS 솔루션에는 각각 특정 유형을 공격을 타깃으로 하는 수십 가지의 자동화된 빌트인 방어 기능이 탑재될 수 있다.

온프레미스 솔루션과 클라우드 기반 보호 서비스가 결합된 하이브리드 DDoS 방어 구축에서는 공격 볼륨이 지정된 임계값에 도달하면 즉시 IDMS에서 신호를 보내 클라우드 기반 방어를 자동으로 활성화할 수 있다. 이러한 기능은 공격이 갈수록 대규모화되고 공격 기법이 다단계화되는 상황에서 특히 더 중요하다.

△대응 : DDoS 공격을 성공적으로 방어하려면 올바른 기술 솔루션을 갖추는 것이 첫 번째이지만, 이것이 전부는 아니다. 기본 방어 기능에서부터 클라우드 기반 대응 서비스 연결에 이르기까지 DDoS 방어의 여러 요소들이 자동화되어 있긴 하지만, 대응과 전반적인 방어에서 핵심적인 역할을 수행하는 것은 사람이다. 보안팀은 주저 없이 위협을 인식하고 대응할 준비가 되어 있어야 한다. 공격이 발생했을 때 신속하게 대응할 수 있는 ‘조직적인 반사’ 능력을 개발하기 위해서는 준비가 핵심이다.

NETSCOUT Arbor는 수십 년에 걸친 DDoS 방어 경험을 통해 신속하고 효과적인 사고 대응 처리를 위해서는 연습과 훈련이 필수적임을 확인했다. DDoS 방어의 관건인 사람의 역할을 무시한다면 잘못된 솔루션을 선택하는 것과 마찬가지로 비즈니스에 치명적인 영향을 줄 수 있다.

이러한 가운데 Arbor는 오는 8월 30일~31일 코엑스 그랜드볼룸에서 정부 및 공공기관 및 기업의 정보보호최고책임자, 정보보호담당자, 개인정보보호최고책임자(CPO), 개인정보처리자 등을 대상으로 개최되는 ‘ISEC 2018’에 참가해 강연과 관련 제품을 소개할 예정이다.
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>