2016.05.26

우리 회사에 꼭 맞는 클라우드 DDoS 보안 서비스 고르기

David Geer | CSO
많은 기업이 정말 혼자만의 힘으로 보안을 유지하고 있을까? 일단 한 유명 조사 결과는 그렇다고 말한다. 그러나 항상 그럴 수 있는 것은 아니다.


이미지 출처 : Getty Images Bank

'SANS 인스티튜트의 'IT 보안 지출 트렌드 2016(IT Security Spending Trends 2016)' 보고서를 보면 기업은 정보 보안에 배정된 기술과 인력, 예산을 기업 내부의 기술과 역량에 집중적으로 투자하고 있다. 이것은 매우 흥미로운 결과지만, 여기서 생각해 볼 것은 좀 다른 주제다. 바로 서비스 거부 공격(DDoS, Denial of Service attack)에 대한 대응이다.

DDoS는 이 보고서의 내용 중 기업 내부의 힘만으로 대응할 수 없는 유일한 위협이었다. 설문 참여기업 대부분은 외부 업체의 도움이 필요하다고 답했고, 이 중에서도 특히 클라우드 기반 DDoS 보안 서비스를 선호했다.

예를 들면 (순서는 무작위다) F5 실버라인(F5 Silverline), 아버 네트웍스(Arbor Networks)의 아버 클라우드(Arbor Cloud), 클라우드플레어(CloudFlare)의 고급 DDoS 보호, 베리사인 DDoS 보호 서비스(VeriSign DDoS Protection ServicE), 임퍼바 인캡슐라(Imperva Incapsula), 아카마이 코나 사이트 디펜더(Akamai Kona Site Defender), 시스코 가드(Cisco Guard), 레벨 3 DDoS 미티게이션(Level 3 DDos Mitigation) 등이다.

여기 이러한 클라우드 DDoS 보안 서비스를 선택할 때 알아야 할 4가지 팁을 소개한다.

팁 1: 리스크 프로필을 파악하라
우리 기업에 꼭 맞는 클라우드 DDoS 보안 서비스를 결정하는 시작점은 우리 회사의 리스크 프로필(risk profile)을 파악하는 것이다. 이 프로필에 맞춰 적당한 이를 막을 수 있는 클라우드 서비스를 찾아야 하기 때문이다. CISSP의 선임 보안 컨설턴트이자 테크놀로지 어소시에이션 오브 조지아(Technology Association of Georgia)의 사이버보안 시뮬레이션 의장 팀 쿨렌은 이를 다음과 같이 제시한다.

- 당신의 사이트/서비스는 심각한 DDoS 공격을 받았을 때 얼마나 오래 시스템 중단을 감수할 수 있는가?
- 공격이 받았을 때 예상되는 매출 하락 폭은 어느 정도인가?
- DDoS 때문에 발생한 시스템 중단이 고객 신뢰도나 시장 점유율 하락에 어떤 영향을 미치는가?

팁 2: 필요한 보호와 범위를 파악하라
DDoS을 받았을 때 기업이 감수해야 할 피해의 규모를 파악했다면 이제 어떤 종류의 보안이 필요한지 확인해야 한다. 예를 들어 제로 데이 공격에 대비해 감지와 보호할 가장 중요할 수 있다. 많은 DDoS 공격은 보안 업체가 아직 패치하지 않은 새로운 운영체제나 애플리케이션의 취약점을 이용하기 때문이다.

쿨렌은 “업체가 DDoS 공격으로부터 고객을 보호하기 위해 솔루션을 얼마나 빠르게 개선하는지 확인해야 한다. 공격을 받을 때 기업과 기업 내 데이터를 충분히 보호할 수 있는지도 알아둘 필요가 있다"고 말했다.

팁 3: 업체의 조사 방법을 파악하라
클라우드 DDoS 보안 서비스가 공격에 대한 데이터를 수집하는 방식도 중요하다. 쿨렌에 의하면 업체가 다음과 같은 능력을 갖추고 활용하고 있는지 확인해야 한다.

- 공격 데이터를 고립시키기 위해 자체 메트릭을 사용하나?
- 공격 경보 보고와 전파, 바이러스/악성코드 시그니쳐 업데이트를 위해 클라우드를 사용하나?
- 데이터 수집에 있어서 전 세계에 걸쳐 진행하는가?
- 새로운 공격이 등장할 때 능동적으로 이를 조사하고 식별하나?

능동적 보안(proactive security) 같은 추가 기능 관련 비용도 물론 고려해야 한다.

팁 4: 배치 옵션
안심하고 편안하게 도입할 수 있는 옵션을 제공하는지도 중요하다. 예를 들면 클라우드를 통하는 모든 것의 설정, 공격을 인지한 후 트래픽을 수동으로 클라우드로 전환하기 위한 준비작업, 시스템이 공격을 인지하고 클라우드 서비스로 트래픽을 전환하는 설정 등이다.


쿨렌은 기업이 클라우드 기반 DDoS 솔루션 도입시 확인해야 할 사항 뿐만 아니라 핵심 서비스 능력에 따라 각 클라우드 DDoS 보안 서비스를 비교할 수 있는 팁도 제공했다. 다음 8가지이다.

품질 1: 짧은 지연시간. 업체 클라우드에서 애플리케이션을 테스트해 그들이 트래픽을 스캔할 때 지연시간이 적은지를 확인하라. 쿨렌은 “공개된 스크러빙 용량을 보면 F5는 2Tb/초, 임퍼바는 1.5Tb/초, 아버 네트웍스는 1.1Tb/초다. 적어도 속도에 관한 한 이 업체는 추천할 만하다”고 말했다.

품질 2: 보안추적 기록. 제품에 대해 문의해 답변을 얻을 수 있는 업체의 고객사를 확보하라. F5, 아버 네트웍스, 임퍼바는 이 업계에서 잔뼈가 굵었고 그들 솔루션의 장점에 대해 설명해 줄 업체도 많이 가지고 있다고 쿨렌은 말한다.

품질 3: 원격 티케팅 서비스. 대부분 서비스 업체가 원격 티케팅을 제공한다. 쿨렌은 “F5와 아카마이 같은 업체는 문제 해결과 원격 티케팅 부문에서 좋은 평가를 받고 있다. 이들은 문제를 해결할 때까지 계속 신경을 쓴다”고 말한다.

품질 4: 셀프 관리를 위한 강력한 사용자 인터페이스(UI)와 대시 보드. 이 부분은 사용자에 따라 선호도가 천차만별이다. 쿨렌은 "개인적으로 임퍼바와 F5의 대시보드 방식을 좋아한다. 아버 네트웍스도 추천할 만하지만 이들만큼 직관적이지는 않다”고 말한다.

품질 5: 검식팀. 검식팀은 특정 보안 이슈와 적절한 해결책을 사례별로 이해하는 데 도움이 된다. 쿨렌에 따르면 F5는 공격과 트렌드를 관찰하는 별도의 조사팀을 운영하고 있어 이 부문에서 차별화된 경쟁력을 갖고 있다.

품질 6: 로깅. 로그로부터 분석한 완벽한 공격 데이터 기록은 유출 이면의 범인을 잡아내는 데 매우 중요하다. 이는 모든 업체가 제공하는 추가 기능이므로, 필요에 따라 선택하면 된다.

품질 7: 라이선스. 쿨렌에 따르면 업체는 가능한 보호 옵션, 필요하거나 사용한 대역폭, 온 사이트 하드웨어/클라우드 구독 여부 등에 따라 다양한 라이선스를 제공한다. 이밖에 접속 기반 라이선싱도 있다. 클라우드 접속 기기에 따라 과금되며 다른 서비스를 포함할 수도 있다. 아카마이와 F5는 이런 부분에서 매우 다양한 선택사항을 제공한다.

품질 8: 로컬 환경에 대한 영향 최소화. 이와 관련해 업체들은 3가지 방식으로 서비스한다. 일부 업체의 클라우드 서비스는 모든 트래픽을 클라우드로 우선 돌린다. 다른 업체는 트래픽을 회사 사이트로 먼저 가게 하고, 또 다른 업체는 공격 시까지 모든 트래픽을 회사로 가게 한다. 이 중 가장 마지막 방식이 로컬 환경에 대한 영향을 최소한으로 할 수 있다. ciokr@idg.co.kr



2016.05.26

우리 회사에 꼭 맞는 클라우드 DDoS 보안 서비스 고르기

David Geer | CSO
많은 기업이 정말 혼자만의 힘으로 보안을 유지하고 있을까? 일단 한 유명 조사 결과는 그렇다고 말한다. 그러나 항상 그럴 수 있는 것은 아니다.


이미지 출처 : Getty Images Bank

'SANS 인스티튜트의 'IT 보안 지출 트렌드 2016(IT Security Spending Trends 2016)' 보고서를 보면 기업은 정보 보안에 배정된 기술과 인력, 예산을 기업 내부의 기술과 역량에 집중적으로 투자하고 있다. 이것은 매우 흥미로운 결과지만, 여기서 생각해 볼 것은 좀 다른 주제다. 바로 서비스 거부 공격(DDoS, Denial of Service attack)에 대한 대응이다.

DDoS는 이 보고서의 내용 중 기업 내부의 힘만으로 대응할 수 없는 유일한 위협이었다. 설문 참여기업 대부분은 외부 업체의 도움이 필요하다고 답했고, 이 중에서도 특히 클라우드 기반 DDoS 보안 서비스를 선호했다.

예를 들면 (순서는 무작위다) F5 실버라인(F5 Silverline), 아버 네트웍스(Arbor Networks)의 아버 클라우드(Arbor Cloud), 클라우드플레어(CloudFlare)의 고급 DDoS 보호, 베리사인 DDoS 보호 서비스(VeriSign DDoS Protection ServicE), 임퍼바 인캡슐라(Imperva Incapsula), 아카마이 코나 사이트 디펜더(Akamai Kona Site Defender), 시스코 가드(Cisco Guard), 레벨 3 DDoS 미티게이션(Level 3 DDos Mitigation) 등이다.

여기 이러한 클라우드 DDoS 보안 서비스를 선택할 때 알아야 할 4가지 팁을 소개한다.

팁 1: 리스크 프로필을 파악하라
우리 기업에 꼭 맞는 클라우드 DDoS 보안 서비스를 결정하는 시작점은 우리 회사의 리스크 프로필(risk profile)을 파악하는 것이다. 이 프로필에 맞춰 적당한 이를 막을 수 있는 클라우드 서비스를 찾아야 하기 때문이다. CISSP의 선임 보안 컨설턴트이자 테크놀로지 어소시에이션 오브 조지아(Technology Association of Georgia)의 사이버보안 시뮬레이션 의장 팀 쿨렌은 이를 다음과 같이 제시한다.

- 당신의 사이트/서비스는 심각한 DDoS 공격을 받았을 때 얼마나 오래 시스템 중단을 감수할 수 있는가?
- 공격이 받았을 때 예상되는 매출 하락 폭은 어느 정도인가?
- DDoS 때문에 발생한 시스템 중단이 고객 신뢰도나 시장 점유율 하락에 어떤 영향을 미치는가?

팁 2: 필요한 보호와 범위를 파악하라
DDoS을 받았을 때 기업이 감수해야 할 피해의 규모를 파악했다면 이제 어떤 종류의 보안이 필요한지 확인해야 한다. 예를 들어 제로 데이 공격에 대비해 감지와 보호할 가장 중요할 수 있다. 많은 DDoS 공격은 보안 업체가 아직 패치하지 않은 새로운 운영체제나 애플리케이션의 취약점을 이용하기 때문이다.

쿨렌은 “업체가 DDoS 공격으로부터 고객을 보호하기 위해 솔루션을 얼마나 빠르게 개선하는지 확인해야 한다. 공격을 받을 때 기업과 기업 내 데이터를 충분히 보호할 수 있는지도 알아둘 필요가 있다"고 말했다.

팁 3: 업체의 조사 방법을 파악하라
클라우드 DDoS 보안 서비스가 공격에 대한 데이터를 수집하는 방식도 중요하다. 쿨렌에 의하면 업체가 다음과 같은 능력을 갖추고 활용하고 있는지 확인해야 한다.

- 공격 데이터를 고립시키기 위해 자체 메트릭을 사용하나?
- 공격 경보 보고와 전파, 바이러스/악성코드 시그니쳐 업데이트를 위해 클라우드를 사용하나?
- 데이터 수집에 있어서 전 세계에 걸쳐 진행하는가?
- 새로운 공격이 등장할 때 능동적으로 이를 조사하고 식별하나?

능동적 보안(proactive security) 같은 추가 기능 관련 비용도 물론 고려해야 한다.

팁 4: 배치 옵션
안심하고 편안하게 도입할 수 있는 옵션을 제공하는지도 중요하다. 예를 들면 클라우드를 통하는 모든 것의 설정, 공격을 인지한 후 트래픽을 수동으로 클라우드로 전환하기 위한 준비작업, 시스템이 공격을 인지하고 클라우드 서비스로 트래픽을 전환하는 설정 등이다.


쿨렌은 기업이 클라우드 기반 DDoS 솔루션 도입시 확인해야 할 사항 뿐만 아니라 핵심 서비스 능력에 따라 각 클라우드 DDoS 보안 서비스를 비교할 수 있는 팁도 제공했다. 다음 8가지이다.

품질 1: 짧은 지연시간. 업체 클라우드에서 애플리케이션을 테스트해 그들이 트래픽을 스캔할 때 지연시간이 적은지를 확인하라. 쿨렌은 “공개된 스크러빙 용량을 보면 F5는 2Tb/초, 임퍼바는 1.5Tb/초, 아버 네트웍스는 1.1Tb/초다. 적어도 속도에 관한 한 이 업체는 추천할 만하다”고 말했다.

품질 2: 보안추적 기록. 제품에 대해 문의해 답변을 얻을 수 있는 업체의 고객사를 확보하라. F5, 아버 네트웍스, 임퍼바는 이 업계에서 잔뼈가 굵었고 그들 솔루션의 장점에 대해 설명해 줄 업체도 많이 가지고 있다고 쿨렌은 말한다.

품질 3: 원격 티케팅 서비스. 대부분 서비스 업체가 원격 티케팅을 제공한다. 쿨렌은 “F5와 아카마이 같은 업체는 문제 해결과 원격 티케팅 부문에서 좋은 평가를 받고 있다. 이들은 문제를 해결할 때까지 계속 신경을 쓴다”고 말한다.

품질 4: 셀프 관리를 위한 강력한 사용자 인터페이스(UI)와 대시 보드. 이 부분은 사용자에 따라 선호도가 천차만별이다. 쿨렌은 "개인적으로 임퍼바와 F5의 대시보드 방식을 좋아한다. 아버 네트웍스도 추천할 만하지만 이들만큼 직관적이지는 않다”고 말한다.

품질 5: 검식팀. 검식팀은 특정 보안 이슈와 적절한 해결책을 사례별로 이해하는 데 도움이 된다. 쿨렌에 따르면 F5는 공격과 트렌드를 관찰하는 별도의 조사팀을 운영하고 있어 이 부문에서 차별화된 경쟁력을 갖고 있다.

품질 6: 로깅. 로그로부터 분석한 완벽한 공격 데이터 기록은 유출 이면의 범인을 잡아내는 데 매우 중요하다. 이는 모든 업체가 제공하는 추가 기능이므로, 필요에 따라 선택하면 된다.

품질 7: 라이선스. 쿨렌에 따르면 업체는 가능한 보호 옵션, 필요하거나 사용한 대역폭, 온 사이트 하드웨어/클라우드 구독 여부 등에 따라 다양한 라이선스를 제공한다. 이밖에 접속 기반 라이선싱도 있다. 클라우드 접속 기기에 따라 과금되며 다른 서비스를 포함할 수도 있다. 아카마이와 F5는 이런 부분에서 매우 다양한 선택사항을 제공한다.

품질 8: 로컬 환경에 대한 영향 최소화. 이와 관련해 업체들은 3가지 방식으로 서비스한다. 일부 업체의 클라우드 서비스는 모든 트래픽을 클라우드로 우선 돌린다. 다른 업체는 트래픽을 회사 사이트로 먼저 가게 하고, 또 다른 업체는 공격 시까지 모든 트래픽을 회사로 가게 한다. 이 중 가장 마지막 방식이 로컬 환경에 대한 영향을 최소한으로 할 수 있다. ciokr@idg.co.kr

X