Offcanvas

How To / 모바일 / 애플리케이션 / 통신|네트워크

A10 네트웍스 기고 | 디도스 공격 방어법 ABC

2015.04.09 Rene Paap  |  Network World
디도스(DDos) 공격은 집에 누수 사고가 발생한 것과 같다. 공격자들이 아무런 경고 없이 기업에 충격을 줄 수 있기 때문이다. 그리고 이미 피해를 입고 난 이후에야 보안 솔루션이 감지해 보고하곤 한다. 심각한 피해를 방지하기 위해서는 더 신속하게 위협을 감지할 수단이 필요하다.



네트워크가 디도스 공격을 받는 경우, 보안/네트워크 담당자는 오랜 시간이 경과하고 나서야 디도스 공격을 인식하는 경우가 많다. 서버나 애플리케이션이 멈추지는 않기 때문이다. 또 위협 경감 대책이 효과를 보기까지는 이 보다 더 많은 시간이 요구되기도 한다.

그러나 대규모 공격은 사용자와 내부 서비스 감시 시스템이 감지하기 이전에 이미 막대한 피해를 초래할 수 있다. 또 애플리케이션 계층을 표적으로 한 공격을 감지하기란 더 어렵다. 공격 규모가 작아 감지가 힘들기 때문이다.

너무 늦게 위협을 경감할 경우 이미 피해가 발생한 상황일 것이다. 방화벽이 제 기능을 못하면서 리부팅이 되고, 더 심한 경우 '록업(Lock up)' 상태가 된다. 공격자의 시각에서는 디도스 공격이 효과를 거둔 것이다. 그 결과, 적법한 사용자가 서비스를 이용할 수 없는 상태가 된다.

전개 방법 및 감지
보안 팀은 다양한 방법을 활용해 네트워크에서 발생하고 있는 활동에 관한 정보를 수집할 수 있다. 가장 많이 사용되는 방법 중 하나는 넷플로우(NetFlow), IPFIX, sFlow 등 플로우 기술을 지원하는 플로우 샘플링(Flow sampling)이다.

라우터는 플로우 샘플링 과정 동안 패킷 표본을 수집한 후, 패킷에 관한 정보가 담긴 데이터그램(Datagram)을 내보낸다. 널리 통용되는 기술로 확장성이 높을뿐더러 네트워크 트래픽의 동향을 비교적 정확히 알려준다.

그러나 상세 보안 분석에서는 표본에만 의지하기 힘들다. 수천 패킷 중 하나만 이용하기 때문에 놓치는 정보가 많다. 이를 해결할 수 있는 것이 플로우 분석 장치다. 이는 장시간 트래픽 스트림의 행위를 평가 분석해 문제와 긍정 오류를 방지한다.

일반적인 디도스 보호를 위한 환경 전개에는 사건(인시던트) 발견 시 피해자의 트래픽을 경감 장치로 전환하고, 해야 할 행동을 알려주는 플로우 분석 장치가 사용된다. 이는 트래픽 수집 및 분석에 맞게 확장할 수 있는 방법이다. 또 잠재적인 악성 트래픽의 방향만 전환하면서 일부 대역 초과신청은 허용한다. 그러나 경감에 걸리는 평균 시간이 분 단위가 될 수 있다는 위험이 있다.

속도가 가장 빠른 최고의 디도스 감지 대책은 그 즉시 디도스를 감지해 경감할 수 있는 고성능 디도스 경감 장치를 '인-패스'(In-path) 배치하는 방식이다. 인-패스 배치는 유입 트래픽(비대칭)을 지속적으로 처리해준다. 또 유출 트래픽(대칭)을 처리할 수도 있다. 경감 장치가 초 단위로 위협을 경감시키는 행위를 할 수 있다는 의미이다. 단 여러 벡터를 대상으로 한 공격 동안 실제 성능과 업링크 용량에 맞춰 경감 솔루션을 확장시킬 수 있어야 한다.

인-패스 감지 및 샘플링의 대안인 미러 데이터 패킷(Mirrored data pakcets)은 분석에 필요한 상세 정보를 제공한다. 그런데 트래픽 경로에만 국한된 정보가 아니다. 이를 통해 네트워크의 다른 진입점을 통해 들어올 수도 있는 트래픽의 이상 행위를 빠르게 감지할 수 있다. 규모가 큰 네트워크에서는 확장성을 갖춘 미러링 솔루션을 구현하는데 어려움이 따를 수 있지만 중앙화된 분석과 경감에 우수한 효과를 발휘하는 방법이다.

성능 매트릭스를 주시
대다수 사람들에게 가장 중요한 매트릭스 중 하나는 대역폭(Bandwidth)이다. 흔히 인터넷 연결 서비스를 선택하면서 대역폭 관련 수치를 비교하는 경우가 많다. 대역폭이 중요한 것은 사실이지만, 다른 많은 요소들과 마찬가지로 그 상세 내용이 더 중요하다.

네트워킹 장치는 일반적으로 크기 차이가 있는 네트워크 패킷을 처리하는 역할을 한다. 그리고 패킷이 클수록 대역폭 사용량이 증가한다. 장치가 1초 동안 처리할 수 있는 패킷의 양이 네트워킹 노드에 제약을 준다. 공격자는 작은 패킷을 고속으로 대량 전송하면서, 꽤 빠르게 인프라의 부담을 가중시킬 수 있다. 특히 방화벽이나 IDS(Intrusion Detection Systems) 등 전통적인 보안 인프라에서 이런 위험이 높다.

또 이들 시스템은 스테이트풀(Stateful) 보안 방식에 기반을 두고 있어 상당수 플러딩(Flooding) 공격의 특징인 고속 스테이트리스(Stateless) 공격에 더 취약하다는 단점을 갖고 있다.

버라이즌(Verizon)은 '2014년 데이터 침해 사고 조사 보고서'(Data Breach Investigations Report)에서 공격 속도가 MPPS(Mean Packet-Per-Second) 기준 2013년 대비 4.5배 증가했다고 분석했다. 이 수치를 대입하면, 2014년 37 Mpps가 2015년에는 175 Mpps로 증가할 것임을 예측할 수 있다.

이는 트렌드의 중간 값에 불과하다. 실제 PPS는 이보다 높은 사례가 많다. 중간 값은 트렌드를 보여주는 역할을 할 뿐이다. 네트워크를 제대로 방어할 준비를 하기 위해서는 최악의 시나리오가 반영된 값에 초점을 맞춰야 한다.

확장성 확보
초당 100GB 이상의 대규모 공격(Volumetric)을 중심으로 네트워크가 고속 PPS 디도스 공격을 받았을 경우 적절한 패킷 처리력을 갖춘 경감 솔루션이 필요하다.

분석 인프라를 확장하는 것 또한 중요한 고려 사항이다. 플로우 기술은 확장성이 높지만, 세밀함과 경감 시간이라는 단점을 갖고 있다.

벤더는 소속 회사의 네트워크 규모에 맞는 성능 매트릭스를 제시할 것이다 그러나 실제 성능은 여기에 못 미칠 수 있다는 점을 유념해야 한다. 최근 공격들은 여러 벡터를 표적으로 삼는 경향이 있다. 이에 동시에 여러 공격 방법이 시도되곤 한다.

데이터시트 형태의 성능표는 제품이 니즈에 부합하는지 알려주는 지표를 제공한다. 그러나 도입을 계획하고 있는 경감 솔루션을 테스트하는 것이 좋다. 여러 차례의 테스트 과정 동안 공격 시나리오에 어떻게 대응하는지 검증해야 한다.

여러 벡터를 대상으로 한 공격이 트렌드로 부상하고 있다는 점은 성능 검증의 중요성을 강조해준다. SYN 플러드 같은 기초적인 공격도 하드웨어에서 공격을 경감하지 않으면 CPU의 스트레스를 높인다. 시스템이 HTTP GET 플러드 공격 등 더 복잡한 애플리케이션 계층 공격에 동시 다발적으로 대응을 할 경우 한계에 도달할 가능성도 있다.

정기적으로 네트워크 보안 성능을 검증하는 것이 아주 중요하다. 보안 솔루션이 여러 동시다발 공격에 대응하는지 확인하고, 네트워크 보안을 구현할 수 있는 투자를 하기 위해서다.

네트워크 플러딩은 가정의 누수 사고와 많은 공통점을 갖고 있다. 더 빨리 문제를 감지해야, 더 신속하게 조치를 취할 수 있다. 문제에 대처할 수 있는 대비 태세를 갖추는데 만전을 기해야 한다.

* Rene Paap는 애플리케이션 딜리버리 네트워킹 전문 기업 A10 네트웍스의 제품 마케팅 매니저다 . ciokr@idg.co.kr 
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.