[Special Report] 교묘해진 DDoS 공격 원천 방어하는 '묘책'

[ DDoS 공격의 변화와 대응 방안 ]

 

오늘날 대다수의 기업들은 인터넷 비즈니스를 운영하고 있다. 인터넷을 통하여 고객과 소통하고, 상품을 판매하고, 서비스를 제공하며 기업의 비즈니스 연속성을 유지하는 것이다.
이러한 상황에서 만약 인터넷으로 제공되는 다양한 정보들이 단절된다면, 기업은 비즈니스 연속성의 침해로 인한 타격을 받게 될 것이다. 즉 ‘서비스 거부’라는 공격 형태가 비즈니스 연속성을 저해하는 것이다.
서비스 거부 공격에는 다양한 유형이 존재한다. 서버를 셧다운(Shut-down)하는 웹 서버 해킹, 권한 획득 및 시스템 파괴가 그 범위에 해당된다. 가장 쉽게 서비스 거부 공격을 할 수 있는 방법이 DDoS(Distributed Denial of Service) 위협으로 알려진 대규모 트래픽 유발 기법이다. 사실, DDoS 위협은 서버의 권한 획득 같은 고급 기술이 필요한 것이 아니다. 서비스를 제공하는 서버나 서비스 인프라에 대량의 트래픽을 보내 부하를 가중함으로써, 정상 사용자들이 서비스를 받는 데에 영향을 주거나 서비스 자체가 마비되도록 하는 것이다.
DDoS 위협에 대응하는 다양한 제품과 솔루션들이 이미 출시돼 있다. 가장 보편화된 대응 기법은 네트워크 트래픽 기반에서 대규모의 트래픽을 탐지하고 차단하는 DDoS Mitigator를 이용한 방법이다. 하지만, 최근의 DDoS 공격은 DDoS Mitigator 제품의 방어 메커니즘을 통과하거나 우회하는 형태로 발전하고 있다. 이로 인하여 DDoS 공격은 끊임없이 발생하고, 그 피해도 끊이지 않고 있다.
이 글에서는 최근의 DDoS 공격의 발전 양상을 분석하고, 안철수연구소의 트러스가드(TrusGuard) DPX에서 제공하는 DDoS 방어 기법을 소개한다.

 

 

DDoS 위협의 진화

규모의 공격 소스로부터 공격을 가하는 것이다. 특히 대량의 트래픽을 동시에 전송함으로써 서비스 거부 현상을 유발하는 것이 가장 많이 쓰이는 방법이다. 이를 위해 공격자는 다수의 좀비 PC를 획득하고, 이러한 좀비 PC를 중앙에서 제어함으로써 DDoS 공격을 조종한다. 공격자는 대체로 PC 사용자가 인지하지 못하는 상태에서 다양한 경로를 통하여 악성코드로 감염시킨 후 좀비 PC로 이용한다. 좀비 PC는 공격자와 연결된 상태로 다양한 명령을 받아 수행한다. 예를 들어 특정 홈페이지에 다량의 트래픽을 발송하는 DDoS 공격이라든지, 혹은 추가 공격이 포함된 공격 파일로 업데이트를 한다든지 하는 일련의 행위를 수행하게 된다.

 

최근의 DDoS 공격 기법은 다량의 트래픽을 유발하는 데에서 발전해, 정상 사용자의 트래픽과 매우 유사한 소량의 트래픽을 발생하는 기법으로 진화하고 있다. 정상 사용자의 접속 트래픽은 서버로 발송하는 초당 트래픽이 그리 많지 않으나, DDoS 공격 트래픽은 정상인 경우보다 많은 트래픽을 발송한다. 만일 서비스 거부 대상이 웹 페이지라면 정상 사용자는 웹 접속 트래픽을 보내지만, DDoS 공격 트래픽은 웹 접속 트래픽이 아닌 비정상적인 트래픽을 과도하게 보낸다. 따라서 정상 트래픽과 용량이나 특성이 다를 경우 차단을 한다면 DDoS 공격에 쉽게 대응할 수 있다.

 

하지만, 공격자는 이러한 차단 기법을 우회하기 위하여 공격 트래픽이지만 정상 사용자의 트래픽과 같이 소량의 웹 접속 트래픽을 발송한다. 물론 이러한 경우라도 트래픽을 발송하는 좀비 PC를 대규모로 획득하면 서비스 거부 현상을 쉽게 일으킬 수 있다.
더 나아가 서비스 거부 현상이 좀더 강하게 나타날 수 있도록 웹 애플리케이션의 취약점을 이용한 기법이 응용되고 있다. 예를 들어, HTTP Post 기반 형태로 세션을 지속적으로 유지하면서 10초에 1개의 패킷만 보내어 서비스에 부하를 주는 방법이나 HTTP 트래픽의 유효성을 검증하는 URL 리다이렉트(Redirect) 방법 등으로 그 기술이 발전하고 있다.

 

DDoS 최신 기법의 확산도 더욱 빨라지고 있다. 기존의 좀비 PC는 PC 사용자의 의지와 상관없이 진행됐지만, 최근에는 핵티비즘(Hacktivism)과 같이 공격에 동조하는 풍조가 확산되면서 자발적인 좀비 PC가 늘고 있다. 자발적인 좀비 PC는 사용자가 직접 새로운 공격 도구를 설치하고 업데이트하기 때문에 새로운 DDoS 공격 기법이 빠르게 업데이트되는 것이 특징이다. 이 때문에 향후 DDoS 공격 기법이 발전하는 것과 함께, 그 확산 속도도 더욱 빨라질 것이라는 우려가 제기되고 있다.

 

 

진화하는 DDoS 공격 대응을 위한 주요 기술

앞서 살펴본 바와 같이 DDoS 공격 기법은 지속적으로 발전하고 있으며, 특히 정상 사용자와 유사한 형태의 트래픽을 발송하는 DDoS 공격 기법이 증가하고 있다. 또한 대규모의 좀비 PC를 이용해 짧은 순간에 많은 트래픽이 집중되는 현상이 나타난다.
이에 대응하기에 기존의 보안 제품들은 다음과 같은 한계가 있다.

 

가. Firewall 제품군
A. 정상적인 세션이 대규모 좀비 PC로부터 발생될 경우 Concurrent Session 과부하 현상 발생
B. 짧은 시간 내에 세션이 연결되므로, CPS(Connection Per Second) 성능 초과 현상 발생
C. 정상 접속 세션 연결의 지연 혹은 장애 발생
D. DDoS 공격은 정상 서비스를 대상으로 공격하는데, Firewall 제품군은 정상 서비스에 대해서는 항상 오픈하기 때문에 DDoS 방어에 부적합

 

나. IPS 제품군
A. Firewall 제품과 마찬가지로 세션(Session) 과부하 문제 보유
B. IPS는 유해 패킷을 차단하는 것이 목적이지만, DDoS 공격 트래픽은 유해 패킷으로 규정할 수 있는 시그니처가 없어 차단 불가능

 

다. 기존 DDoS 제품군
A. IPS 기반 DDoS 제품은 세션(Session) 과부하 문제 발생
B. 정상 트래픽 양을 초과하는 과도한 트래픽일 경우 차단하는 방식으로 대응
C. 최근 DDoS 공격 양상은 정상 트래픽 양과 비슷하거나 오히려 적은 트래픽 양을 발생하므로D DoS 공격 차단 기술을 우회

 

따라서, 지속적으로 발전하는 DDoS 공격에 대응하기 위해서는, 아래와 같은 새로운 기술들이 필요하다.

 

가. 세션(Session) 관리를 하지 않는 Stateless 방식의 기술 적용
A. Concurrent Session 및 Connection Per Second 제약 회피

 

나. ‘공격 트래픽 차단’의 관점이 아닌 ‘정상 트래픽 판단’의 관점으로 전환
A. 대규모 트래픽 탐지 및 차단
B. 정상 트래픽과 유사한 DDoS 공격 트래픽 판단 기술 적용 필요

 

다. 대규모 트래픽에 대응하기 위한 전략
A. 단일 제품으로 대응 불가능한 대규모 트래픽을 처리하기 위한 클러스터링 기법 적용
B. 정상 트래픽 판단을 위한 기술이 클러스터링 기법과 함께 제공되어야 함

 

라. 다양한 구성 방식 제공
A. 간편한 설치와 장애 대응을 위하여 바이패스(Bypass) 기능이 적용된 인라인(Inline) 구성 방식
B. 대규모 망의 안정성을 높이기 위한 아웃오브패스(Out-of-Path) 구성 방식

 

마. 애플리케이션 취약점을 기반으로 한 DDoS 공격 트래픽 대응 필요
A. 기존 IPS 제품의 강점인 시그니처 기반 공격 대응 방식
B. 기존 L4/L7 기반의 정상 트래픽 판단 기준 방식
C. 기존 DDoS 제품의 임계치 기반(Threshold Based) 기준 방식

 

 

AhnLab TrusGuard DPX의 DDoS 공격 대응 기법

안랩 트러스가드 DPX(AhnLab TrusGuard DPX, 이하 트러스가드 DPX)는 세션(Session) 관리를 하지 않으면서 다양한 형태의 DDoS 공격 트래픽을 탐지•차단할 수 있는 기능을 제공한다. 따라서 세션 과부하 현상이 일어나지 않으며, 비대칭 라우팅 경로(Asymmetric Routing Path)로 운용되는 망 환경에서도 정상 트래픽과 DDoS 공격 트래픽을 판단할 수 있다.

 

또한 정상 트래픽을 판단하기 위해, 정상적인 TCP 세션 연결인지, TCP 상태 정보가 맞는지에 대해 자체적으로 판단하는 안티스푸핑 필터(Anti-Spoofing Filter)를 제공한다. 정상적으로 웹에 접근하는 트래픽인지 여부를 판단하는 봇넷(BotNet) 필터도 제공, 기존의 URL Redirect 기법을 우회하는 공격에 대응할 수 있도록 해준다. 이러한 근거를 통하여 정상적으로 접근하는 소스 IP를 자동으로 판단하며, 긴급 시 정상적으로 접근하지 않은 소스 IP의 트래픽을 차단한다. 아울러 상태 정보가 존재하는 TCP 트래픽뿐만 아니라, UDP/ICMP 등 상태 정보가 없는 패킷에 대해서도 대응할 수 있는 기능도 제공한다.

 

물론, 전통적인 DDoS 공격 대응 방식인 임계치(Threshold) 기반의 필터도 제공한다. 이는 앞서 정상 트래픽 판단에서 확인된 정상 소스 IP가 평상시보다 과도하게 트래픽을 발송할 경우 임계치 기반으로 탐지 및 차단하게 되므로, 기존의 임계치 기반 단일 정책에 비해 월등히 높은 정확도와 낮은 오탐률을 제공한다. 또한, 정확한 임계치를 산출하기 위하여 자동 자가 학습(Automatic Self-Learning) 기능과 정상적이지만 많은 트래픽을 발송하는 소스 IP들의 임계치를 각 보호 대상별로 최대 128개씩 개별적으로 학습할 수 있는 기능을 제공한다.

 

 

단일 제품의 성능을 초과하는 대규모 DDoS 트래픽에 대응하기 위해서는 2대 이상의 장비가 액티브-액티브(Active-Active) 형태로 구동돼야 한다. 트러스가드 DPX는 최대 12대의 제품이 하나의 제품처럼 구동할 수 있는 클러스터링 기능을 제공한다. 이를 통하여 최대 120Gbps의 대역폭을 처리할 수 있으며, 정상 트래픽을 발송하는 소스 IP 확인 정보를 12대의 클러스터 내의 제품들 간에 상호 동기화하는 기능을 통해 여러 제품을 하나의 제품처럼 운용할 수 있다. 그리고 네트워크 라인 중간에 위치하는 인라인(Inline) 구성 방식을 지원하며, 제품 장애 발생 시 우회를 통한 자동복구능력(Fault Tolerance)을 제공한다. 대규모 망 구성에 적용할 수 있도록 네트워크 라인 중간에 위치하지 않는 아웃오브패스(Out-of-Path) 구성 방식도 지원하여 더 진화된 자동복구능력을 제공한다. 아웃오브패스 구성 방식은 시스코(Cisco) 제품군의 라우터 및 스위치와 연동하여 구성할 수 있다.

 

앞으로의 DDoS 공격은 더 작은 트래픽 형태로 나타날 것이며, 취약점을 기반으로 공격하여 더 많은 서비스 부하를 일으킬 것이다. 이에 효과적으로 대응할 수 있는 방법은 취약점 기반의 패킷을 차단하는 IPS다. 이를 위해 트러스가드 DPX는 이미 시그니처 기반 필터(Signature Based Filter)를 적용하고 있어 새로운 위협에 적극 대응할 수 있다.

 

 

향후 DDoS 공격의 변화 예측 및 대응 방안 제언

위에서 살펴본 바와 같이 DDoS 공격은 매우 다양하다. 공격자들은 DDoS 공격을 좀더 효과적으로 수행하기 위하여 여러 가지 DDoS 공격 기법들을 지속적으로 개발하고 있다. 반면, 방어자들은 새로운 DDoS 공격 유형을 방어하기 위한 기법들을 끊임없이 연구하고 있다. 이러한 순환 생태계에서 지금 순간에도 공격자와 방어자는 치열한 싸움을 하고 있다. 이 싸움에서 이기기 위해서는 새로운 형태의 DDoS 공격 대응 기법이 필요하다. 다시 말하면, 기존의 DDoS 공격 대응 제품처럼 단순 임계치 기반의

DDoS 공격 방어에 초점을 맞추는 방식으로는 다변하는 DDoS 공격에 효과적으로 대응하기에는 한계가 있다.

 

안철수연구소는 다양한 악성코드 정보와 DDoS 공격 정보를 DDoS 공격 대응 전용 제품인 트러스가드 DPX와 유기적으로 연계해 적용하고 있다. DDoS 공격 근원인 좀비 PC를 유발하는 악성코드 정보를 분석하고 관련 정보와 정책을 엔드포인트 제품뿐만 아니라 네트워크 어플라이언스 제품에 신속하게 업데이트 및 반영하고 있다. 즉, 새로운 DDoS 공격 기법을 분석해 신규 DDoS 공격 방어를 위한 기법을 트러스가드 DPX에 빠르게 적용하고 있다.

 

향후 DDoS 공격은 임계치 기반의 DDoS 공격 전용 제품을 우회하기 위하여 소규모 트래픽을 유발하는 좀비 PC를 광범위하게 이용할 것이다. 따라서 공격 트래픽 차단 관점이 아닌 정상 트래픽의 판단 관점으로 전환해야 새로운 DDoS 공격 유형이 나오더라도 정상 트래픽이 아닐 경우 미리 차단할 수 있으며 긴급 DDoS 공격에 대한 대응이 가능하다. 트러스가드 DPX는 대규모 트래픽 처리를 위한 클러스터링 기술, 다양한 구성 방식 등을 지원함으로써 DDoS 공격을 철저히 방어하고 고객의 서비스 연속성을 보장하는 데 안성맞춤인 제품이다.@