[컴퓨터월드] 지난 2월 말 개발자 플랫폼인 깃허브(GitHub)에 1.35Tbps급 분산 서비스 거부(Distribute Denial of Service, 이하 디도스) 공격이 발생했다. 며칠 뒤 미국에서 1.7Tbps급의 디도스 공격을 아버 네트웍스(Arbor Networks)가 방어했다는 소식이 전해졌다. 이렇듯 디도스 공격의 규모가 매번 최고치를 갱신하고 있다. 클라우드, 사물인터넷(IoT)이 이슈로 부상하면서, 향후 디도스 공격의 규모는 더욱 커질 것으로 전망된다.

디도스 공격 규모가 점차 커지면서 보안업계도 분주해지고 있다. 특히 그동안의 과시용 목적이 아닌, 금전적 목적으로 디도스 공격을 진행하는 경향이 강해 심각한 피해가 우려된다. 국내 디도스 방어 시장의 현황 및 최신 기술 동향 등에 대해 살펴본다.

서버 마비시키는 사이버 공격, ‘디도스’

지난 2월 말 개발자 플랫폼인 깃허브에 1.35Tbps급 대규모 디도스 공격이 발생했다. 아카마이 측은 이 대규모 트래픽을 스크러빙센터로 우회해 방어에 성공했다고 발표한 바 있다. 일주일 뒤에는 미국에서 1.7Tbps급 공격이 발생했다는 소식이 전해졌다. 이 공격은 아버네트웍스가 방어한 것으로 알려졌다.

깃허브를 공격한 1.35Tbps급 공격과 미국에서 발생한 1.7Tbps급 공격 모두 멤캐시드(MemCached) 서버의 취약점을 악용한 UDP(User Datagram Protocol) 반사 공격으로 밝혀졌다. UDP는 인터넷 통신 프로토콜 중 하나로, 인터넷 상에서 서로 정보를 주고받을 때 정보를 보낸다는 신호나 받는다는 신호를 거치지 않고 보내는 쪽에서 일방적으로 데이터를 전달하는 방식을 뜻한다.

UDP 반사 공격은 공격자가 서버에 가짜 요청을 보내 표적 웹사이트에 증폭된 트래픽을 전달하는 방식으로 디도스를 유발한다. 이번에 활용된 멤캐시드 UDP 반사공격은 인터넷에 연결된 멤캐시드 서버의 취약점을 이용해 깃허브에 1.35Tbps규모의 트래픽을 발생시킨 것이다.

이렇듯 규모를 키워가며 기업에 위협이 되고 있는 디도스 공격이 처음 발생한 것은 1999년 8월 미국 미네소타대학교로 알려졌다. 이후 NBC, CNN 서버를 대상으로 한 공격이 발생하기도 했다. 초기에는 공격자 또는 공격 그룹이 특정 호스트를 공격해, 시스템 자원을 고갈시키는 방법이었다.

이후 악성코드로 PC를 감염시켜 좀비PC화하는 방법으로 진화됐다. 좀비PC로 봇넷을 형성하고, 특정 시기에 목표를 공격하는 방법이었다. 이 공격은 얼마나 많은 좀비PC를 동원하느냐에 따라 공격 규모가 결정됐다.

최근에도 사용되는 DRDoS 공격은 약 4년 전에 나타났다. DRDoS는 악성코드를 통해 봇넷을 만드는 이전 방법과 달리 별도의 에이전트를 설치하지 않고, 네트워크 통신 프로토콜 구조의 취약성을 이용해 서비스를 제공하고 있는 시스템이나 서버를 디도스 공격의 에이전트로 활용한다. 최근 대규모 공격에 활용된 멤캐시드 UDP 반사 공격이나, TCP(Transmission Control Protocol)를 활용한 공격이 여기에 해당된다.

업계는 DRDoS 공격의 방어가 어려운 이유로 정상적인 접속 폭주와 디도스를 구분하기 어렵기 때문이라고 설명한다. 예를 들면 암호화폐에 대해 관심이 폭발적으로 증가했을 때, 암호화폐 거래소 사이트의 서비스 장애가 발생한 적 있다. 암호화폐 거래소 측은 갑자기 이용자가 몰려 서버에 과부하가 걸린 것으로 생각하지만 디도스 공격을 당했을 수도 있다.

아버네트웍스의 ‘제13차 연례 전세계 인프라 보안 보고서’에 따르면, 지난해인 2017년 총 750만 건의 디도스 공격이 발생했으며, 12개월 간 100회 이상의 디도스 공격을 받은 기업은 전체 응답기업의 13%에 달했다. 디도스 공격 1회당 발생하는 피해액은 약 1,000만 원에서 1억 원으로 나타났으며, 기업들은 디도스 공격으로 인한 가장 큰 피해로 평판과 브랜드 이미지 손상을 꼽았다.

공격 유형으로는 서비스 제공자에게는 대용량 공격, 기업 대상으로는 애플리케이션 레이어 공격이 다수를 차지한 것으로 나타났다. 또한 여러 방식이 혼재하는 멀티 벡터 공격이 2016년 대비 20% 증가한 것으로 조사됐다.

공격을 많이 받는 산업군은 게임과 금융분야였다. 게임사의 경우 전세계에서 다수의 일반 사용자가 접속하기 때문에 디도스 공격인지 사용자가 급증인지 파악이 어렵다고 한다. 또한 일부 게임사는 보안 투자를 소홀히 해 디도스 공격으로 서버가 다운되는 경우도 있다.

금융사를 겨냥한 공격은 상시적으로 발생한다. 특히 지난해 6월 아르마다 콜렉티브(Armada Collective)라는 해킹그룹이 국내 금융사 9곳을 대상으로 디도스 공격을 감행하겠다고 협박하며 비트코인을 요구하기도 했다. 당시 금융사들은 비상근무체제에 돌입했다.

국내 시장, 208억 원 규모 예상

한국정보보호산업협회(KISIA)의 ‘2017년 정보보호산업 실태조사 보고서’에 따르면, 국내 디도스 방어 관련 시장은 2016년 175억 원, 2017년에는 약 18% 성장한 208억 원 규모를 형성할 것으로 예상됐다. 산업 분야별 비중을 살펴보면 공공 및 교육기관이 58.8%, 일반기업 27.2%, 금융기관 14%로 조사됐다.

전문가들은 국내에서 디도스 방어 솔루션이 주목받기 시작한 것은 2009년 7.7 디도스 대란 이후라고 설명한다. 당시 공격방식은 좀비PC를 통해 발생되는 대용량의 트래픽을 기반으로 빅팀(Victim) 서버의 가용성을 해치는 형태였다.

글로벌 디도스 방어 시장에서는 아버네트웍스, 임퍼바(Imperva), 라드웨어(Radware) 등 보안 업체와 라임라이트 네트웍스, 아카마이 등 CDN(Contents Delivery Network) 기업이 활약하고 있다. 포레스터 리서치(Forrester Research)는 디도스 방어 시장의 리더로 임퍼바, 클라우드플레어(cloudFlare), 라드웨어, 아카마이, 아버네트웍스 등을 들고 있다.

국내 시장에서는 앞에서 말한 글로벌 기업 외에 안랩, 윈스, 시큐아이, 케이아이엔엑스(KINX) 등 국내 네트워크 및 보안 기업들이 활동하고 있으나 시장을 특별히 주도하는 업체가 없는 상황이다. 글로벌 기업들은 따로 국내 매출을 산출하지 않고, 국내업체도 디도스 방어 솔루션만 따로 집계하지 않아 업체별 정확한 시장점유율을 알 수는 없지만 시장을 장악한 업체가 없다는 것이 일반적인 시각이다.

업계는 디도스 보안 시장이 지속적으로 성장할 것이라고 전망한다. 그 요인으로 IoT 등 디바이스의 수가 급증하면서 디도스에 악용될 수 있는 매개체들이 늘어나고 있기 때문이다. 또한 공격 툴에 접근하기가 쉽다는 점도 디도스 공격이 늘어날 것으로 예측되는 이유다.

글로벌 디도스 시장은 CDN 및 스크러빙 센터와 같은 디도스 방어 서비스 기업의 성장이 두드러질 것으로 보인다. 반면 디도스 전용 솔루션 기업의 매출은 시장 성장으로 지속적인 증가가 가능하겠지만 서비스 기업에 비해 비중은 줄어들 것으로 예측된다.

국내 시장은 서비스 기업의 수요가 크게 늘어날 것으로 예상되는 세계 시장과 다소 차이를 보일 것으로 예상된다. 여전히 전용 솔루션 사업자가 강세를 보일 것이러는 얘기이다. 안랩 관계자는 국내 기업들은 글로벌 기업들과는 달리 서비스 이용보다는 자산을 소유하는 것을 선호하기 때문에 솔루션 수요가 여전히 높을 것으로 전망했다.

해커와 규모경쟁으로 치닫는 ‘디도스’

최근들어 디도스 시장의 가장 큰 특징은 디도스 공격 규모가 커지고 있다는 점이다. 공격 규모의 최대치가 계속해서 갱신되고 있는 것이다. 깃허브를 공격한 UDP 반사 공격의 경우 기존의 공격기법을 활용해 트래픽 용량을 극대화한 것으로 볼 수 있다. 즉 디도스 공격은 패턴이 비슷하기 때문에, 최신 기술보다 매 시점 공격 규모 갱신이 이슈가 되고 있다.

디도스 공격 규모는 앞으로도 더욱 커질 전망이다. 특히 IoT 디바이스를 감염시켜 공격하는 ‘미라이(Mirai) 봇넷’은 앞으로도 더욱 큰 위협이 될 가능성이 높다. IoT 디바이스의 경우 디바이스 보안 패치가 원활하지 않고, 디바이스 감염 여부 등을 파악하기 힘들어 대처하기가 어렵다. 여기에 악성코드의 변종이 계속 출현하면서 대응을 더욱 어렵게 만들고 있다.

보안 기업들 역시 규모가 커지는 공격에 대비하기 위해 대응 솔루션의 규모를 키우고 있다. 스크러빙 센터를 통해 서비스를 제공하는 클라우드 기반 솔루션은 스크러빙 센터의 용량을 더욱 늘리고 있다. 어플라이언스형 장비를 제공하는 기업들도 단일 장비의 용량을 업그레이드하고 있다.

디도스 공격의 또다른 특징으로 기존 과시 또는 시위 등과는 달라 금전을 획득할 목적으로 조직화, 체계화된 공격이 늘어나고 있다는 점을 들 수 있다. 아르마다 콜렉티브가 국내 금융사를 대상으로 협박한 사건이 대표적이다. 특히 암호화폐가 등장하면서 금전적인 목적의 사이버 공격이 늘고 있으며, 디도스 공격의 경우 공격을 예고하면서 금전적 대가를 요구하는 방식이 늘어나고 있다.

신동곤 아카마이 상무는 “이미 기업들이 디도스 방어체계를 구축하면서 디도스 공격을 막을 수 있는 역량을 갖췄다. 이에 공격자들은 디도스와 함께 랜섬웨어를 포함한 멀웨어 공격을 함께 하기도 한다”고 최신 공격 트렌드에 대해 설명했다. 디도스 공격으로 위장해 서버 내부에 멀웨어를 설치하거나, 정보를 유출하는 등의 공격이 발생하고 있다는 것이다.

신 상무는 공격이 변화하면서 대응하는 방법도 변하고 있다고 덧붙였다. 디도스 공격에 대응하기 위해 외부에서 오는 악성 트래픽을 탐지·차단할 뿐만 아니라 해당 트래픽이 서버 내부에서 어떤 행위를 유발하는지, 또는 정보를 유출하는지 등의 내부 가시성 확보도 중요해졌다. 이로 인해 최근에는 DNS를 이용해 내부에서 외부로 나가는 트래픽을 검사하는 솔루션이 출시되고 있다고 말했다.

클라우드 서비스와 구축형으로 막는다

디도스 공격에 대응하기 위한 방법은 크게 어플라이언스형과 서비스형 두가지가 있다. 어플라이언스형은 디도스 전용 장비를 설치해 대응하는 방법이며, 서비스형은 CDN과 스크러빙 센터 등 클라우드 환경을 이용해 디도스 공격에 대응하는 방법이다.

그렇다면 어떤 방법이 가장 효과적일까. 서비스형과 어플라이언스형은 모두 장단점이 존재한다. 우선 스크러빙센터나 CDN 같은 서비스형 솔루션은 대규모 디도스 공격을 막는 데 유리하다. Tbps급의 공격 같이 대규모 공격은 단일 장비에서 방어하기 어렵다.

< 인터뷰> 클라우드 기반 서비스 통해 디도스 완화한다 윤석인 라임라이트 네트웍스 기술이사 윤석인 라임라이트 네트웍스 기술이사는 클라우드 디도스 방어 서비스를 스탠다드 방식, 온넷 방식, BGP DNS 방식 등 크게 3가지로 설명했다. 윤 이사 설명에 따르면, 먼저 스탠다드 방식은 스크러빙 센터를 통해 디도스 공격에 대응한다. 하지만 이럴 경우 스크러빙센터로 우회해야 하기 때문에 서비스 제공에 지연시간이 생길 수 있다. 윤 이사는 “이를 보완하는 방법으로 라임라이트 네트웍스는 온넷 방식으로 디도스 완화 서비스를 제공한다. 온넷 방식은 CDN의 거점인 팝(POP)마다 스크러빙 센터를 설치해 디도스에 대응한다. 팝 내부에 스크러빙 센터를 구축함으로써 지연시간을 최소화한다”고 설명했다. 이어 “라임라이트 네트웍스는 전세계 28개 팝에 스크러빙 센터를 온넷방식으로 구축했다. 거점별로 차이는 있지만 한 거점당 최대 1.4Tbps까지 대응할 수 있고, 팝을 모두 활용한다면 22Tbps까지 방어가 가능하다”며, “하지만 이 경우 IP기반 공격 등 정밀 타깃 공격은 CDN을 우회할 수 있어, BGP DNS 방식으로 보완하고 있다. 또 웹 애플리케이션 방화벽(Web Application Firewall)을 오리진 서버 앞단에 설치함으로써 보안을 한 단계 더 제공한다”고 덧붙였다.

안랩 관계자는 “대규모의 공격은 대용량의 트래픽을 수용하고 분산 및 필터링할 수 있는 스크러빙센터나 CDN같은 서비스형 솔루션이 적합하다”고 설명했다. 그는 이어 “다만, 스크러빙센터 및 CDN 방식은 소량 정밀 타격형 공격에는 취약하다”고 덧붙였다.

안랩 측 설명에 따르면, 클라우드 서비스형 솔루션은 고객 별 정교한 정책 설정이나 탐지가 어렵기 때문에 미탐 및 오탐이 발생할 소지가 있다. 이에 반해 어플라이언스형 장비는 디도스 탐지엔진을 기반으로 해 정교한 탐지가 가능하며, 기업에 맞는 정책을 설정할 수 있다는 장점이 있다. 업계 관계자들은 “이 두 형식의 솔루션은 어떤 것이 더 좋다고 단정할 수 없다”며, “이 솔루션들은 상호 보완할 수 있는 부분이 있다”고 말한다.

국내는 아직까지 해외처럼 대규모 디도스 공격의 대상이 되고 있지 않다. 하지만 보안 업계는 국내 기업도 언제든지 대규모 공격을 받을 수 있다고 경고한다. 디도스 공격의 대상이 되지 않는다고 보안에 소홀히 한다면, 엄청난 피해를 입을 수 있다는 것이다.

신동곤 아카마이 상무는 “보안은 유사시 상황에 대비하는 보험과 같은 성격을 갖고 있다”며, “지금 당장 필요성이 없다고 해도 유사시를 대비해 방어 장비를 구축해야 한다”고 강조했다.

기업들은 디도스 공격에 대한 기술적 대응은 어떻게 이뤄지고 있을까. 최근 대두되는 디도스 공격인 ‘미라이 봇넷’과 UDP 반사 공격에 대한 대응법을 물어봤다. 우선 ‘미라이 봇넷’이 발생시키는 디도스 공격은 HTTP, TCP, UDP, ICMP 등 다양한 프로토콜을 활용한 플루딩(Flooding) 공격이 가능하다. 플루딩 공격은 플루딩(홍수)이라는 단어 뜻 그대로 트래픽을 넘치게 해 서버를 마비시키는 공격이다. 이런 공격 기법은 각 프로토콜에 대해 대응해야 한다.

HTTP를 활용한 HTTP 리퀘스트 플루딩(Request Flooding) 공격은 정상 브라우저를 인증하는 HTTP 인증 필터로 대응이 가능하며, TCP나 UDP 같은 프로토콜을 사용하는 경우에도 트래픽의 임계치를 기반해 탐지 및 차단이 가능하다. ‘미라이 봇넷’ 초기 버전은 HTTP 인증 필터로 대응이 가능했으나, 최근 발견된 변종은 인증필터를 무력화하는 경우도 발견됐다. 이같은 경우 HTTP 리퀘스트의 임계치를 설정해 대응할 수 있다.

UDP 반사 공격의 경우 UDP와 출발지 포트를 기준으로 탐지 및 차단이 가능하다. UDP에 대한 대응은 사용하지 않는 프로토콜 포트를 기본적으로 차단해 놓으면 되고, 사용하는 경우에는 화이트리스트에 등록하며 나머지는 임계치를 설정해 탐지 및 차단할 수 있다.

디도스 공격, 대비가 답

디도스 방어 시장은 디도스 공격 규모와 같이 성장해왔다. 디도스 공격은 혁신적인 신기술 적용보다는 기존의 기술을 활용해 규모를 키우는 방식으로 진행되고 있다. 이에 대응하는 입장에서도 대규모의 트래픽에 견딜 수 있는 환경을 구성하고 있다.

업계 관계자들은 최근 디도스 공격은 알고도 차단하기 어렵다고 지적한다. 정상적인 트래픽과 함께 들어오기 때문이다. 이에 대응하기 위해서는 디도스 공격 트래픽만 분리해 차단해야 한다. 이렇게 필터링하는 과정이 생김으로써 서비스 지연시간이 생길 수밖에 없고, 지연시간이 생긴다면 해커의 의도가 일부 성공했다고 얘기할 수도 있다. 디도스 공격의 목표 자체가 서비스 제공에 영향을 주는 것이기 때문이다.

최근 대규모의 디도스 공격을 쉽게 할 수 있는 환경이 만들어지고 있다. IoT의 발전으로 네트워크에 연결된 디바이스의 수는 폭증하고 있으나, 아직 이에 대한 보안은 미비한 상황이다. 또한 디도스 공격은 국가를 넘나들며 발생한다. 우리나라도 언제든지 대규모 디도스 공격의 타깃이 될 수 있다는 얘기다. 국내의 경우 한국인터넷진흥원에서 중소기업을 위한 인터넷대피소를 운영해 디도스 대응책을 제공하고 있지만, 기업별로 대비책을 마련해야 한다.

<제품소개>

시큐아이 ‘시큐아이 MFD’

시큐아이는 디도스 공격에 대응하기 위한 솔루션으로 ‘시큐아이 MFD’ 시리즈를 제공하고 있다. ‘시큐아이 MFD’는 64비트 시큐아이OSTM과 멀티코어 플랫폼에 최적화된 아키텍처가 탑재됐다. 보호 도메인, 보호 프로파일을 통해 네트워크 환경에 적용할 수 있는 유연한 보안 정책 설정이 특징이며, 다계층 다단계 방어 엔진으로 디도스 공격을 탐지해 차단한다. 더불어 위협관리시스템 및 정보보안센터와 연계해 효과적인 방어체계를 구축할 수 있다.

‘시큐아이 MFD’는 스몰, 미디움, 라지 등 3가지 라인업으로 구성돼 있으며, 스몰의 경우 2Gbps까지 대응이 가능하고, 미디움은 4Gbps, 라지는 한 대당 20Gbps로 최대 100Gbps까지 구성할 수 있다.

안랩 ‘트러스가드 DPX’

안랩은 디도스 대응 솔루션으로 ‘트러스가드 DPX’를 공급하고 있다. ‘트러스가드 DPX’는 안랩의 보안기술이 적용된 방어 알고리즘을 구현한 엔진과 인프라를 결합한 제품이다. ‘트러스가드 DPX’는 제로데이 공격, 프로토콜 취약점을 악용한 공격 등 복합적인 공격에 대응하기 위해 다단계 필터구조를 활용해 디도스에 대응한다.

또한 허위 IP 기반 플러딩(Flooding)과 단편화(Fragmentation)된 패킷에 의한 플러딩 등 전통적인 형태의 DDoS 공격은 물론, 최근 빈도가 높아지고 있는 세션 기반의 공격(TCP/HTTP)까지 방어할 수 있도록 설계됐다. 더불어 DPX는 인라인(Inline) 구성 방식뿐만 아니라 안정적인 아웃 오브 패스(Out-of-Path) 구성 방식도 제공해 다양한 네트워크 환경에 적합한 구성 방식을 지원한다. 보호 대상을 그 목적에 따라 존(Zone)으로 분류 구성해 각 보호 대상별 차별화된 탐지 방어 정책을 적용할 수 있으며, 최대 128개의 존을 단일 장비로 구성 할 수 있다.

향후 안랩은 HTTPS를 이용한 웹 트래픽이 증가함에 따라, ‘트러스가드 DPX’도 해당 트래픽 형태로 발생하는 DDoS 공격을 탐지, 차단하기 위한 기술을 출시할 예정이다. 해당 기술은 암호화된 형태의 DDoS 공격에 대응하기 위해 HTTPS 암-복호화 솔루션과의 연계에 초점을 맞춰 개발하고 있다.

윈스 ‘스나이퍼 원d’

윈스의 ‘스나이퍼 원d(SNIPER ONE-d)’는 시스템 및 네트워크 자원에 대한 다양한 형태의 침입 행위를 패킷 기반 탐지 방식 외에도 네트워크상에서 비정상 트래픽 또는 정상 트래픽을 사용한 공격의 효과적인 방어를 수행하는 보안 솔루션이다.

‘스나이퍼 원d’의 다중 엔진은 일반 네트워크 및 DNS, DHCP, VOIP와 같이 특화된 서비스 망의 공격을 탐지 및 차단한다. 또한 네트워크 트래픽의 흐름이 외부에서 내부로 향하는 공격의 형태뿐만 아니라, 상황인지를 통해 내부 네크워크 내 시스템을 감염시켜 외부 서버를 공격하는 것을 탐지 및 차단할 수 있다. 또한 자동 학습을 통한 정상사용자 인지와 내부 자산시스템과의 연동을 통해 공격 이벤트의 영향도를 분석해 관리자가 위협에 정확한 대응을 수행할 수 있도록 지원한다.

‘스나이퍼 원d’의 특장점으로는 ▲평판 분석으로 자동화 공격 차단 ▲세션 인증관리로 업무 연속성 보장 ▲DNS 전용정책으로 공격차단 ▲자산정보 연계로 봇넷 위협 사전대응 등을 꼽을 수 있다.

케이아이엔엑스 ‘K-클린’ 및 ‘사이트디펜더’

케이아이엔엑스의 디도스 방어 상품은 크게 세 가지이다. ▲케이아이엔엑스 디도스 방어 시스템과 연결하는 안티 디도스 서비스(Anti-DDos Service) ▲디도스 방어 회선을 제공하는 서킷 서비스(Circuit Service) ▲도메인 위임으로 디도스 공격을 방어하는 SOS 서비스 등이다.

‘안티 디도스 서비스’는 물리적으로 케이아이엔엑스의 디도스 방어 장비 하단에 고객의 장비를 설치함으로써 디도스 방어 시스템과 직접 연결해 서비스를 제공한다. SOS 서비스는 케이아이엔엑스의 디도스 방어 시스템 내 L7 장비를 통해 고객의 서버를 캐시한다. 간단한 도메인 위임만으로 디도스 공격에 빠르게 대응할 수 있다. 또한 해외에 있는 KINX 네트워크 거점(PoP)을 기반으로 하는 글로벌 서비스를 사용할 경우 애니캐스트(Anycast) 및 캐싱(Caching) 방식으로 해외에서 발생하는 공격을 분산 처리할 수 있다.

마지막으로 서킷 서비스는 고객의 디도스 방어 장비와 케이아이엔엑스의 디도스 방어 전용회선을 연동해 디도스 공격에 대응한다. 케이아이엔엑스 디도스 방어 서비스의 가장 큰 특징이자 장점은 다양한 업체들의 회선으로 구성된 대용량 디도스 방어 회선을 갖추고 있다는 점이다. 특정 회선에 대해 공격이 발생해도 원활한 서비스를 유지할 수 있기 때문에 안정적인 대응이 가능하다.

이와 더불어 케이아이엔엑스는 CDN과 디도스 방어 서비스를 결합한 솔루션을 제공하고 있다. CDN 캐시 서버를 케이아이엔엑스의 디도스 방어 시스템 내에 구축하고, 3단계에 걸친 트래픽 필터링을 통해 콘텐츠 보안 기능을 제공한다. 케이아이엔엑스 관계자는 “클라우드, CDN을 활용해 다양한 형태의 디도스 방어 서비스를 준비하고 있다”며, “해외업체들과의 제휴를 통해 글로벌 방어 서비스로 확장하고자 한다”고 말했다.

라임라이트 네트웍스 ‘클라우드 보안 서비스’

라임라이트 네트웍스는 자사 CDN 기반의 5가지 보안플랫폼으로 구성된 ‘네트워크 클라우드 보안 서비스’를 제공하고 있다. 5가지 보안 플랫폼은 디도스 방어, 웹 애플리케이션 방화벽, 봇매니저, API 보안, 멀웨어 방어 서비스 등이다. 라임라이트의 ‘네트워크 클라우드 보안 서비스’의 특장점은 라임라이트의 CDN을 기반으로 개발됐지만 개방 플랫폼으로 구성돼 CDN을 사용하지 않는 고객도 서비스를 이용할 수 있다는 점이다.

라임라이트가 제공하는 보안 서비스는 5가지 플랫폼을 통해 5단계로 구성돼 있다. 첫 단계에서는 CDN에서 화이트/블랙리스트 기반 사전 차단 기능을 제공한다. 두 번째 단계에서는 서버를 노리고 들어오는 악성 트래픽을 완화하는 디도스 방어 서비스가 구축된다. 트리팩 패턴을 분석해 악성 여부를 판단, 차단하는 기능을 제공한다.

이를 우회하기 위해 악성 트래픽을 위장시킨다면, 다음단계인 웹 애플리케이션 방화벽에서 차단할 수 있다. 웹 애플리케이션 방화벽은 트래픽의 패킷을 분석해 탐지하는 기능을 제공한다. 또 이단계에서 봇 매니저를 통해 봇 트래픽을 따로 탐지 관리하는 기능도 지원한다. 다음으로는 웹 서버 앞단에서 멀웨어를 차단하는 멀웨어 프로텍션 서비스가 제공된다. 마지막으로 API 방어 서비스를 통해 변조된 API를 탐지·관리하는 서비스로 구성돼 있다.

아카마이, ‘클라우드 기반 보안 솔루션’

아카마이는 ▲봇매니저 ▲악성사이트 접속 차단 서비스 ▲데이터센터 방어 서비스 ▲웹사이트 방어 서비스 ▲DNS 공격 방어 서비스 ▲웹 애플리케이션 프로텍터 ▲클라이언트 공격성향 서비스 등으로 구성된 ‘클라우드 기반 보안 솔루션’을 제공하고 있다.

‘아카마이 클라우드 보안 솔루션’은 6개 분산형 스크러빙(Scrubbing) 센터와 24만 대에 이르는 보안 장비로 전세계 공격 데이터를 상시 분석하며, 온디맨드 방어 서비스를 제공한다.

서비스를 하나씩 살펴보면, 봇매니저는 웹사이트에 접속하는 봇을 관리해주는 서비스며, 악성사이트 접속차단 서비스는 아카마이 인텔리전스를 기반으로 DNS의 안정성을 강화하고 악성 도메인에 접속하지 못하게 차단하는 서비스를 지원한다.

아카마이의 데이터센터 방어 서비스인 ‘프롤렉식(Prolexic)’ 솔루션은 기업의 애플리케이션과 인프라에 도달하지 않도록 디도스 공격을 클라우드에서 차단한다. 또한 100여 명에 이르는 아카마이 SOC(Security Operation Center) 전문가들의 실시간 트래픽 분석과 사고대응 서비스를 받을 수 있다.

웹사이트 방어 서비스인 ‘코나 사이트 디펜더(Kona Site Defender)’는 디도스 방어 솔루션 및 웹 애플리케이션 방화벽을 아카마이 플랫폼에 구현해 성능 저하 없이 웹사이트를 보호해준다. DNS 방어 서비스인 ‘패스트 DNS’는 DNS의 성능을 향상시킴과 동시에 공격으로부터 방어하는 기능을 제공한다.

마지막으로 클라우드 공격성향 서비스는 아카마이가 클라우드 보안 인텔리전스 빅 데이터 분석 엔진을 통해 전세계 인터넷 공격정보를 분석해 리스크 스코어 형태로 정보를 제공한다. IP에 따른 디도스 공격, 스캐닝, 웹 스크레이핑, 웹 공격 등의 가능성을 공격 받기 전에 파악할 수 있다.

임퍼바 ‘인캡슐라’

임퍼바는 자사의 디도스 방어 솔루션 ‘인캡슐라(Incapsula)’를 정상적인 사용자에게 영향을 주지 않으면서 공격량에 상관없이 모든 유형의 디도스 공격을 10초 이내에 방어 할 수 있는 솔루션이라고 소개한다. 임퍼바 글로벌 네트워크는 5Tbps 이상의 스크러빙 용량을 보유하고 있으며 초당 300억 개의 공격 패킷을 처리 할 수 있다. ‘인캡슐라’는 레이어7 공격에 실시간 가시성을 제공하고 보안 정책을 즉각적으로 조정해 공격자가 궤도에 오르지 못하도록 조치한다.

임퍼바 ‘인캡슐라’는 웹사이트 성능을 높이고 보호하며 모든 서버로의 디도스 공격을 방어하고 높은 가용성을 보장하는 다기능 CDN을 제공한다. 더불어 여러 기기 또는 서비스를 단일 기반 클라우드 서비스로 통합함으로써 비용을 절감하고 운영을 단순화할 수 있다. 또한, 간단한 DNS 변경을 통해 활성화되며 하드웨어나 소프트웨어를 추가할 필요가 없다.

‘인캡슐라’는 악의적인 트래픽을 필터링해 디도스 공격에서부터 스패밍 시도 등을 탐지해 DB 주입 공격을 차단한다. 또한 센터 내에 존재하는 서버들의 로드분산 및 센터 간의 글로벌 로드 밸런싱 기능을 제공하며, 센터간 페일오버 기능을 제공한다.

‘인캡슐라’에는 SQL 인젝션, 원격 파일 인젝션 및 크로스 사이트 스크립팅 등 알려진 위협 요소들로부터 웹사이트를 보호하는 웹 방화벽 기능들이 포함돼 있다. 또한 정상적인 사용자에게 영향을 끼치지 않으면서 스패머(spammer), 스크래퍼(scraper) 및 기타 악의적인 봇으로부터 웹사이트를 보호할 수도 있다. 마지막으로 임퍼바는 연중무휴로 운영하는 네트워크 운영 세넡와 전용 보안팀을 통해 서비스를 보장하고 있다.