국정원 검증받은 인증 장비라도 공격 대응에 한계
DDoS(분산서비스거부) 공격은 특정사이트를 대상으로 대량의 트래픽을 발생시켜 서비스를 마비시키는 공격으로 알려져 있다. 하지만, 최근 DDoS 공격 유형은 소규모 공격만으로도 서비스에 부하를 주는 형태로 바뀌고 있다는 게 업계의 분석이다.
어제의 공격이 더 이상 오늘의 공격이 아닐 정도로 신종, 변종 공격에 계속적으로 대응해야 하는 상황이기 때문에, 주어진 특정 조건 하에 테스트를 거쳐 발급된 DDoS 장비 인증 평가 제도가 과연 얼마나 의미가 있을지 의문이다. 국정원으로부터 검증받은 장비들의 대부분은 IPS(침입방지시스템)를 태생으로 하여, 시그니처/ 임계치 기반으로 공격을 방어하는 방식이기 때문에 소규모로 발생하고 있는 최신 DDoS 공격 방어에는 한계가 있는 것으로 지적되고 있다.
현재 정부, 공공기관들은 모의 테스트를 통해 그 동안 도입한 장비의 탐지, 대응력은 물론, DDoS 대응 체계를 정비하고 있다. 그러면서 인증 받은 국산 장비를 도입한 일부 기관들에서 다시 외산 장비들을 불러 모아 테스트를 하고 있는 것으로 알려져 업계가 떠들썩하다. "과연 인증 받은 장비가 무조건 유효한가?"라는 의문을 다시 불러일으키고 있는 것이다.
더욱이 테스트에 참여한 외산 장비 업체의 한 관계자에 따르면, '기존에 도입한 인증 받은 국산장비- A 외산 장비- B 외산 장비'로 구성하여 100Mbps 공격을 보내 테스트를 실시한 결과, 인증 받은 국산 장비에서 탐지/차단 못한 공격을 외산 장비가 탐지했고, 공격 IP를 차단하는 방식의 국산 장비는 심지어 정상 서비스를 차단하는 것으로 나타났다.
별도 지정제품으로 등록됐고 CC인증을 받은 장비임에도 불구하고, 실제 망에서 공격 대응을 제대로 못하고 있다면 정말 큰 일이 아닐 수 없다. 평가 방식이 잘못되었거나 평가 자체가 그다지 의미가 없다는 말과 똑같다.
국내에서는 DDoS 장비들을 국정원 별도 지정제품제도와 CC인증제도로 검증해 왔다. 평가 항목에는 장비에 대한 공격 탐지 기능, 성능에 대한 테스트가 포함되지만, 지난해 발생한 7.7 공격처럼 알려진 공격 유형에 대한 툴을 그대로 가져와 테스트를 수행하고 있다고 한다. 장비에 공격 트래픽을 미리 등록해 막는다는 것을 의미하는데 실제 망에 적용할 경우 예측 못했던 공격이 발생함으로 테스트 결과와 실제 운영 환경에서의 결과는 사뭇 달라질 수도 있는 것.
인증을 이미 획득한 업체들조차도 "공격의 종류가 많을 수밖에 없기 때문에 모든 테스트를 다 했다고는 볼 수 없다. 단, DDoS 제품이 가져야 할 성능, 탐지 등 최소한의 부분은 테스트된 것이라 할 수 있다"며 DDoS 인증을 받은 장비라도 실망에서 공격을 잘 막고 못 막느냐는 별개임을 사실상 인정하고 있다. 오히려 해당 업체들은 그 동안 평가과정을 통해 기본적인 장비 기능, 성능 외에 엔진 업데이트 등 기존 공격에 대한 대응마저도 느린 업체들은 구분됐다고 보고 있다. 인증을 받은 장비들은 앞으로 실망에서 잘 막고 못 막느냐에 따라 다시 한 번 옥석이 구분될 것으로 예상했다.
지난해 7.7 대란 이전까지만 하더라도 외산 장비 위주의 시장이었던 국내 DDoS 시장을, 현재 국산 DDoS 업체들이 장악하게 된 가장 큰 이유가 바로 별도 지정제품제도와 CC인증제도였다. 시장에서 20개 이상 난립했던 DDoS 장비를 구분하는 결정적인 기준이었던 것이다. 그나마 검증된 장비로서 시장에서 판매되고 있는 인증 장비의 평가 방식이 잘못되었거나 인증 자체가 그다지 의미 없다면, 새로운 도입 방식이 필요하지 않을까 생각한다.
보안 장비를 무작정 인증만 보고 도입했던 방식에서 벗어나, 운영자들이 직접 장비가 신규 공격에 얼마나 빠르게 대응 가능한지도 제대로 따져보고 도입해 시행착오를 덜 수 있기를 바란다.
관련기사
김정은 기자
jekim92@itdaily.kr