[아이티데일리] 최근 주요 사이버 위협 트렌드로 ‘분산 서비스 거부(DDoS, Distributed Denial of Service)’ 공격이 떠오르고 있다. 지난해 말부터 전 세계적으로 디도스 공격이 정교해짐에 따라, 대응에 어려움을 겪고 있다. 더불어 디도스 공격 이후, 또 다시 공격을 실행하겠다는 협박으로 금전적인 이득을 노리는 ‘랜섬 디도스 공격’이 주요 트렌드로 부상하고 있다.

국내에서도 디도스 공격이 이슈가 되고 있다. 금융, 공공, IT 서비스 등 다양한 분야를 대상으로 공격이 발생하고 있으며, 그 수 역시 빠르게 늘어나고 있다. 지난 3월에는 네이버가 디도스 공격을 받아 일부 서비스의 장애가 나타나기도 했다.

보안 업계는 증가하는 디도스 위협에 대응하기 위해서는 조직적인 예방 체계를 강화하는 것이 중요하다고 강조했다. 국내에서는 KISA 및 ISP 등이 사이버 대피소 서비스를 제공하기 때문에, 이를 활용하는 것도 좋은 방안이라고 조언한다. 최근 디도스 공격 및 대응 현황을 살펴봤다.

디도스 대응 위한 체계 구축 및 강화 필요…모의훈련도 진행해야

디도스 공격에 대응하기 위해서는 체계를 갖추는 것이 가장 중요하다. KISA 관계자는 “디도스 공격의 경우 대부분 조직을 겨냥하기 때문에, 조직 내 디도스 대응 체계가 갖춰져 있어야 한다”면서 “기업에서는 DDoS 공격을 즉시 인지하고 조치할 수 있는 프로세스를 사전에 갖춰야 한다. DDoS 대응은 크게 ‘사전 준비 → 공격 인지 → 공격정보 탐지 → 방어서비스 적용 → 사후 조치’ 단계로 분류해 체계적으로 각 단계별 대응방안을 준비하시는 것을 권장한다”고 설명했다.

이어 “중소기업에서는 네트워크 인프라와 보안 인력 부족으로 보안에 취약한 것이 현실이다. 이런 점을 노리고 중소기업을 대상으로 하는 보안 위협은 점차 증가하고 있다. 디도스 사이버대피소 등 정부에서 지원하는 무료 보안서비스를 적극적으로 활용해 기업의 자산을 보호하길 바란다”고 말했다.

안랩 관계자는 “디도스 공격에 노출될 수 있는 사내 환경에 대해 정확히 파악하는 것이 디도스 대응의 첫걸음”이라고 조언한다. 기본적으로 사용하지 않는 포트(Port)는 차단해야 하며, IP접근 환경에 대한 관리 또한 필요하다는 설명이다. 또한 디도스 완화 솔루션을 이용해 보호대상별로 각각의 트래픽 환경에 최적화된 대응 정책을 수립해야 하며, 경우에 따라 조직이 사용하는 인터넷 회선 이상의 디도스 공격에 대응하기 위한 전략도 별도로 세워야 한다고 강조했다.

디도스 완화 솔루션은 크게 ▲임계치 기반 규칙 방어 ▲인증 기반 대응 등의 방법을 제공한다. 임계치 기반 규칙 방어는 패킷 구성 요소를 계산해 기준치 이상의 트래픽이 발생할 경우 디도스 공격으로 탐지해 대응하는 기법이며, 인증 기반 대응은 주로 봇 기반의 자동화된 공격에 대응하며, 임계치 기반 규칙을 우회하는 디도스 공격에 대응하기 위해 활용되고 있다. 여기서 ‘인증’은 TCP와 HTTP 프로토콜의 특성을 활용한다.

조학수 윈스 CTO는 모의대응훈련을 강화해야 한다고 강조했다. 조학수 CTO는 “2009년 7·7대란 이후, 국내에서는 디도스 대응 솔루션 도입 및 체계 구축, 모의 대응 훈련 등을 통해 대응 역량을 강화, 디도스 공격에 성공적으로 대응해왔다. 최근 피해 사례가 나오는 이유를 살펴보면, ▲대응 장비의 노후화 ▲공격 시나리오 및 공격 표면의 다양화 등을 꼽을 수 있다. 디도스 대응 역량을 강화하기 위해서는 대응 체계 구축도 중요하지만, 최신 공격 시나리오를 반영한 모의 대응 훈련을 실시하는 것도 필요하다”고 말했다.

한편 개인의 입장에서도 디도스 공격을 예방하기 위한 노력이 필요하다. 개인의 PC 및 IoT 기기, 라우터 등이 디도스 공격에 악용되지 않도록 관리하는 것이 중요하다. PC의 경우 윈도우 및 SW 최신 업데이트 유지, 안티바이러스 솔루션 이용 등 필수 보안 수칙을 지켜야 하며, IoT 기기와 라우터 등은 보안 설정 등을 통해 관리해야 한다.

아카마이는 디도스 대응을 위해 SASE(Secure Access Service Edge)와의 연계도 고민할 수 있다고 조언했다. 아카마이 관계자에 따르면, SASE는 네트워크 및 네트워크 보안 솔루션의 기능을 글로벌 클라우드 네이티브 서비스로 통합한 보안 개념이다. 디도스 방어 서비스 또한 SASE의 보호 대상에 포함이 돼야 하고, 디도스 장비에 대한 접근 권한과 운영 또한 SASE 프레임워크를 도입했다면 이와 연계하는 방안이 필요하다는 설명이다. 아카마이 관계자는 “SASE는 사용자의 접속 경로와 열람 데이터를 일일이 추적하고 검증하는 제로 트러스트, 이중 인증 등 민첩하고 확장 가능한 보안을 제공한다. 이는 디도스 공격이 발생해도 비즈니스 안정성을 유지할 수 있게 해주는 순기능을 포함한다”고 설명했다.

디도스 완화 솔루션과 서비스 함께 이용하는 하이브리드 체계 주목

글로벌 시장조사기업 프로스트앤설리번에 따르면, 글로벌 디도스 대응 시장은 2024년까지 두 자릿수의 연평균 성장률을 보일 것으로 예상된다.

디도스 대응 시장은 글로벌 보안 기업들이 주도하고 있는 스크러빙 센터(Scrubbing Center)와 디도스 완화 솔루션 시장으로 구분할 수 있다. 스크러빙 센터는 고객사의 트래픽을 센터로 우회시켜 악성 트래픽을 차단하고 정상 트래픽은 통과시키는 데이터 통제 센터를 의미한다. 스크러빙 센터 서비스를 제공하고 있는 주요 글로벌 기업은 라드웨어(Radware), 아카마이(Akamai), 임퍼바(Imperva), 클라우드플레어(Cloudflare), 라임라이트네트웍스(LimeLight Networks) 등이다. 이 기업들은 글로벌 시장조사기업 포레스터 리서치에서 발표하는 ‘2021년 1분기 포레스터 웨이브: 디도스 완화 솔루션’ 부문에서 리더로 선정됐다.

글로벌 시장의 특징은 아마존웹서비스(AWS), 마이크로소프트(MS), 구글(Google), 알리바바클라우드(Alibaba Cloud) 등 클라우드 서비스 제공기업(CSP)들이 주요 공급기업으로 꼽히고 있다는 점이다. 클라우드 서비스가 확산됨에 따라, CSP들이 제공하고 있는 디도스 완화 서비스의 영향력이 확대되고 있는 것으로 분석된다.

국내에서는 안랩, 시큐아이, 윈스 등 네트워크 보안 기업들이 디도스 완화 솔루션을 공급하고 있으며, ISP와 KISA가 사이버 대피소 서비스를 제공하고 있다. 디도스 완화 솔루션 시장은 2009년 7·7대란 이후 시장이 반짝 성장했다가 둔화됐다는 것이 업계 관계자들의 공통된 의견이다.

디도스 공격은 공격 기법에 큰 변화가 있는 것이 아니기 때문에, 기술보다는 성능에 솔루션의 초점이 맞춰진다. 특히 디도스 완화 솔루션은 공격이 발생했을 때만 빛을 발하기 때문에, 솔루션 구축에 꾸준한 투자가 이뤄지기 어렵다. 이번처럼 디도스 공격이 사회적인 이슈로 떠올랐을 때, 업그레이드 수요가 발생하는 것도 이런 이유 때문이다. 실제 최근 디도스 공격이 증가하면서 디도스 완화 솔루션에 대한 문의가 크게 늘어난 것으로 전해진다.

안랩 관계자는 “특히 스크러빙 센터와 디도스 완화 솔루션을 연동한 하이브리드(Hybrid) 디도스 방어체계가 주목받고 있다. 일상적/저용량 디도스 공격에 대해서는 디도스 완화 솔루션으로, 대용량 디도스 공격에 대해서는 스크러빙 센터로 대응하는 방식이다”라고 설명했다.

국내 시장의 특징은 ISP의 디도스 완화 서비스를 이용하는 경우가 많다는 것이다. 앞서 말한 것처럼 디도스 완화는 공격이 발생한 비상시에만 활용된다. 이를 위해 솔루션을 구축하는 것은 부담이 크다는 이야기다. 이런 이유로 비상시 ISP의 서비스를 이용하는 방안이 대세를 이루고 있다.

하지만 서비스가 활성화돼 있다고 해서 솔루션 시장이 위축된 것은 아니다. ISP가 디도스 완화 서비스를 운영하기 위해 디도스 완화 솔루션을 구입해야 하기 때문이다. 업계 관계자들은 “디도스 완화 솔루션과 서비스는 서로 보완적인 성격이 있기 때문에, 시장에 악영향을 주는 것으로 보기는 어렵다”고 설명했다. 시큐아이 관계자는 “최근 디도스 초대용량 디도스 공격으로 서비스를 완전히 다운시키는 것보단 지능적으로 서버 리소스를 조금씩 잠식하는 방식이 늘어나면서, 디도스 완화 솔루션에 대한 관심과 수요가 늘어나고 있다”고 말했다.

글로벌기업, 국내 스크러빙 센터 설립하고 시장 공략

글로벌 기업들은 국내 스크러빙 센터를 설립하면서 국내 디도스 완화 서비스를 제공하고 있다. 라드웨어, 임퍼바, 아카마이 등이 국내에 스크러빙 센터를 구축하고 있다.

라드웨어는 지난 2018년 국내에 ‘클라우드 스크러빙 센터’를 오픈하고, 디도스 완화 서비스를 제공하고 있다. 스크러빙 센터 오픈 당시 최은락 라드웨어코리아 이사는 “클라우드 스크러빙 센터가 국내에 구축된 만큼 공공분야에서 민감한 데이터 국외 유출 등의 문제를 해결해 비즈니스로 연결될 것으로 기대한다”고 말한 바 있다. 라드웨어의 ‘클라우드 스크러빙 센터’는 5Tbps 용량의 디도스 방어가 가능하며, 글로벌 네트워크와 연결해, 데이터의 해외 송신 등에 따른 컴플라이언스 해소 등의 이점을 제공한다.

임퍼바 또한 2018년에 국내 스크러빙 센터를 구축해 서비스를 제공하고 있다. 임퍼바의 글로벌 네트워크를 기반으로 제공되는 디도스 방어 서비스 ‘인캡슐라(INCAPSULA)’는 공격 양상에 상관없이 디도스 공격을 수초 이내로 탐지하고 방어할 수 있어, 기업의 웹서비스를 타깃으로 한 대량의 디도스와 봇(Bot)에 의한 웹 트래픽을 통제한다. 또한 임퍼바는 보안위협에 효과적으로 대응하기 위해 디도스 공격 대응, 웹 시큐리티, 글로벌 로드밸런싱, 24시간 관제 등의 보안 서비스를 원스톱으로 제공하고 있다.

임퍼바 ‘인캡슐라’는 가상 디도스 스크러빙 센터를 통해 사용자와 가까운 센터에서 공격을 차단한다. 또한 웹사이트 보호, 봇 차단, 사용자 체감속도 향상, 서버 및 데이터센터 로드분산, DNS 캐싱 및 보호, 인프라보호 등 다양한 솔루션을 제공하고 있다. 임퍼바의 국내 스크러빙 센터는 약 5Tbps 규모의 디도스 공격까지 대응할 수 있다.

아카마이는 디도스 대응을 위해 ‘아카마이 프롤렉식(Akamai Prolexic)’ 서비스를 제공하고 있다. ‘아카마이 프롤렉식’ 서비스는 168Tbps 이상의 CDN 용량을 기반으로 디도스 공격에 대응한다. 아카마이 관계자는 “‘아카마이 프롤렉식’ 서비스는 상시 가동형(Always-On) 방식과 온디맨드 방식의 운영이 가능하다. 즉 평상시에도 아카마이 스크러빙 센터를 항상 사용하는 방식과 디도스 공격이 들어왔을 때만 우회하는 방식 중 선택이 가능하다는 의미다. 어떤 방식을 사용하든 아카마이의 보안 관제 센터는 고객의 트래픽을 모니터링하고 공격의 징후가 보이면 사전에 정의한 정책에 따라 고객과 디도스 방어에 대한 작업을 수행한다”고 설명했다.

이어 “아카마이는 스크러빙 센터와 고객사 목적지 사의의 1:1 결합을 N:1 가상 터널로 교체했고, 이를 통해 고객은 클린 트래픽을 특정 스크러빙 센터 혹은 모든 스크러빙 센터로부터 직접 받을 수 있게 됐다. 결과적으로 전송 경로가 다양해지면서 네트워크 장애 회피의 효과가 극대화된 것이다. 디도스 공격 트래픽은 그 크기가 증가하는 추세이기 때문에 아카마이의 스크러빙 센터와 보안 인력 또한 이에 맞춰 지속적인 증설을 계획하고 있다”고 덧붙였다.

마지막으로 “아카마이는 웹 환경에 특화된 웹 방화벽 및 디도스 완화 솔루션과 웹이 아닌 모든 환경에서 사용 가능한 스크러빙 센터 방식의 디도스 완화 솔루션 모두를 보유하고 있다. 때에 따라서는 스크러빙 센터 방식으로도 웹 환경을 포함해 보호할 수 있는 전략을 사용하기도 한다. ‘아카마이 프롤렉식’ 서비스의 경우 항상 사용하는 옵션이 아니라 필요시 사용하는 옵션을 제공하고 있고, 과금도 인바운드 트래픽 기준이 아닌 클린 트래픽 기준으로 책정하기 때문에 경제적인 옵션이 가능하다. 만약 현재도 지속적인 디도스 공격으로 인한 어려움이 있다면 이를 어떻게 해결할지 아카마이와 논의하였으면 한다”고 강조했다.

국내 기업, 최신 네트워크 사양 맞춰 솔루션 성능 업그레이드

국내에서도 디도스 공격이 이슈가 되면서, 디도스 완화 솔루션 시장에 조금씩 활기가 돌고 있다. 업계 관계자들은 기존 구축됐던 디도스 완화 솔루션의 노후화 등으로 인해 교체 수요가 나오고 있으며, 디도스 대응을 위한 문의도 증가하고 있다고 입을 모았다.

특히 최근에는 100G급 네트워크 인프라 구축에 맞춰 디도스 완화 솔루션도 업그레이드하고 있다. 안랩은 최근 업그레이드된 ‘안랩 DPX’를 선보였으며, 윈스 또한 네트워크 인프라 발전에 맞춰 제품을 업그레이드한 ‘스나이퍼 원-d(Sniper ONE-d)’를 공급하고 있다. 시큐아이도 성능에 초점을 맞춰 제품을 업그레이드하고 있다.

안랩은 지난 5월 디도스 공격 대응 전용 솔루션 ‘안랩 DPX’를 출시했다. 기존 솔루션인 ‘안랩 트러스가드 DPX(AhnLab TrusGuard DPX)’에서 성능을 강화한 신규 모델이다. ‘안랩 DPX’는 10단계 디도스 완화 기능을 제공하며 고성능 패킷 처리 시스템을 사용해 디도스 공격에 대응한다. 특히 정상 사용자와 봇을 식별하는 인증 기능에 있어 다양한 식별 기법을 제공하는 것이 특징이다. 또한 사용자의 편리한 솔루션 사용을 위해 네트워크 트래픽 임계치 산정을 위한 셀프런(Self-Learn) 기능을 제공한다.

안랩 관계자는 “100G NIC(Network Interface Card)를 장착해 100G 이상 초고용량 디도스 공격에 대한 방어를 지원한다(DPX 20000B 모델 한정). 또한, 기존 ‘안랩 트러스가드 DPX’ 대비 패킷 처리 성능을 대폭 개선했으며, SSD/HDD를 탑재하고 자체 빅데이터 DB를 적용해 별도의 로그 관리 솔루션 없이도 빠르고 편리하게 공격 탐지 정보를 확인할 수 있는 등 제품의 전반적인 성능이 향상됐다”고 설명했다.

이어 “안랩은 고객 환경에 최적화된 구성의 제품을 제안하고 있다. 앞으로 새롭게 출시된 ‘안랩 DPX’를 중심으로 디도스 완화 솔루션 시장을 공략할 예정이며, 특히 하이엔드 모델 ‘DPX 20000B’를 중심으로 인터넷 서비스 제공 사업자(ISP), 클라우드 서비스 제공 사업자(CSP), 인터넷데이터센터(IDC) 등의 고성능 DDoS 대응 솔루션 수요에 대응할 계획”이라고 덧붙였다.

윈스도 100G급 네트워크 업그레이드에 맞춰 ‘스나이퍼 원-d’를 업그레이드했다. ‘스나이퍼 원-d’는 시스템 및 네트워크 자원에 대한 다양한 형태의 침입 행위를 패킷 기반 탐지 방식 외에도 네트워크상에서 비정상 트래픽 또는 정상 트래픽을 사용한 공격의 효과적인 방어를 수행한다.

‘스나이퍼 원–d’의 다중 엔진은 일반 네트워크 및 DNS, DHCP, VOIP와 같이 특화된 서비스 망의 공격을 효과적으로 탐지 및 차단한다. 또한 네트워크 트래픽의 흐름이 외부에서 내부로 향하는 공격의 형태뿐만 아니라, 상황인지를 통해 내부 네트워크 내 시스템을 감염시켜 외부 서버를 공격하는 것을 탐지 및 차단한다. 또한 자동 학습을 통한 정상사용자 인지와 내부 자산시스템과의 연동을 통해 공격 이벤트의 영향도를 분석해 관리자가 위협에 정확한 대응을 수행하는 것이 특징이다.

‘스나이퍼 원-d’의 특징은 단일 장비로 디도스 대응과 IPS를 함께 적용할 수 있다는 것이다. 조학수 윈스 CTO는 “윈스의 ‘스나이퍼 원-d’는 국내 디도스 대응 솔루션으로 최초로 CC인증을 획득한 제품이다. 2010년부터 시장에 솔루션을 공급해, 높은 시장 점유율을 보유하고 있다”면서 “특히 ‘스나이퍼 원-d’는 윈스의 강점인 유해 트래픽 식별 및 제어 기술을 반영돼 있다. IPS와 디도스 대응 솔루션은 원리가 비슷하기 때문에, 이를 통합적으로 제공하는 제품도 공급하고 있다”고 설명했다.

이어 조학수 CTO는 “최근 네트워크 보안 업계에서는 네트워크 및 보안 장비 간 연계를 통해 사이버 위협에 대응하는 연동성이 강조되고 있다. 윈스는 이러한 트렌드에 맞춰 공격자를 식별하는 위협 헌팅 시스템과 인텔리전스 시스템, 자동제어 시스템을 개발해 연동하는 방안을 추진하고 있으며, 올해 솔루션 라인업을 완성할 계획이다”라고 말했다.

시큐아이는 디도스 대응 솔루션 ‘시큐아이 MFD’를 공급하고 있다. ‘시큐아이 MFD’는 진화된 디도스 공격의 모든 유형을 탐지하고 정밀한 분석으로 빠른 공격 대응이 가능하다는 것이 시큐아이 측 설명이다.

시큐아이에 따르면 공격 이벤트의 가시성을 높이고 위협에 대한 빠른 분석을 지원해 정책 관리 효율화를 높인 것이 특징이다. 고성능 HW 플랫폼 기술로 최대 120Gbps의 대용량 공격 대응이 가능하고, 정교한 엔진을 탑재해 레이어 3 계층부터 레이어 7 계층까지 다양한 디도스 공격에 대응할 수 있다. 실시간 패킷 내용을 분석하는 자동 학습 방어 기능을 지원해 알려지지 않은 신규 공격까지 대응이 가능하다.

관리자 UI를 통한 최적화된 공격 대응 도구를 제공한다. 대시보드 화면의 이벤트를 확인하며 동시에 원클릭 설정으로 빠른 정책 적용이 가능하며, UI를 통해 실제 RAW 패킷 정보까지 조회 가능해 손쉽게 패킷 분석 정보를 확인할 수 있다. 최대 514개의 가상 도메인을 지원해 보호할 영역에 따라 차별화된 정책 운영도 가능하다. 가상 도메인별 로그·통계·보고서 정보 관리가 가능해 사용자의 편의성을 높였다.