최근 급속도로 늘어나고 있는 가정용•상업용 IoT 디바이스(Device)를 악용한 대용량의 DDoS 공격이 증가하고 있다. 2016년 10월, 미국의 DNS서비스 운영업체인 딘(Dyn)의 데이터센터로 약 1TB 가량의 DNS 증폭 DDoS 공격이 가해졌다. 이 공격의 시작점은 ‘미라이(Mirai)’로 명명된 IoT 디바이스용 악성코드로, 이로 인해 딘의 서비스를 이용하던 미국 동부지역의 CNN, 아마존, 넷플릭스 등 다수의 웹사이트들이 수시간 동안 마비되는 초유의 사태가 발생했다. 7•7, 3•4 DDoS 공격 이후 DDoS 공격은 더욱 진화하여 신종 공격 툴과 더불어 프로토콜의 취약점 및 IoT 디바이스의 허술한 보안을 악용한 공격이 일반화되고 있다. 클라우드 기술과 플랫폼의 발달로 더 이상 특정 기술 집단이 행할 수 있는 어려운 영역이 아닌, 적은 비용으로 행할 수 있는 DDoS 공격 서비스화도 가속화되고 있다.
이렇게 진화하는 DDoS 공격에 대응하는 안랩 트러스가드 DPX(AhnLab TrusGuard DPX, 이하 TG DPX)는 특허 받은 독자 보안 기술이 적용된 방어 알고리즘을 구현한 엔진과 안랩의 인프라를 결합한 DDoS 방어 전용 제품이다.
일반적인 DDoS 전용 제품은 방어 성능의 확보를 위해 보호 대상들의 허용(Tolerance) 정도를 관리자의 판단에 의거하여 임계치를 설정, 공격 탐지 및 방어의 시발점을 지정하는 방식을 사용하고 있다. 이렇게 타제품에서는 임계치 설정을 운영자의 판단에 맡기는 반면, TG DPX는 정상적인 상태에서 자동 학습을 통해 임계치로 사용할 수 있는 권고 수치를 제시하고 있다. 자동 학습을 통해 제시되는 권고치는 TCP/HTTP/DNS 등의 평면적인 값이 아닌 각 출발지/목적지와 포트의 조합으로, 다양한 서비스 환경에 맞게 상세한 설정이 가능하도록 추출된다. 운영자는 이렇게 측정된 학습값과 보호 대상의 성능 정도를 고려하여 DDoS 방어에 사용할 임계치를 설정할 수 있다.
[그림 1] 트러스가드 DPX 자동 학습(Self-Learning) 기능
시그니처 방식의 한계 극복
DDoS 공격은 더 이상 정해진 패턴에 의존하는 방식으로는 대응할 수 없을 만큼 진화했으며, 제로데이(Zero-day) 공격뿐 아니라 프로토콜 취약점을 활용한 공격 등 복합적인 공격이 일반화되고 있다. TG DPX는 이런 복합적인 공격에 대응하기 위해 사전 정의된 패턴에 의존하는 대신 다단계 필터 구조를 활용하여 평소의 학습 결과를 바탕으로 오탐이 최소화된 탁월한 DDoS 공격 방어 기능을 제공한다.
TG DPX의 오탐 방지를 위한 다단계 필터는 세분화된 정책과 좀비 PC 탐지 기술을 이용해 공격 트래픽을 정확히 판단하여 정상 트래픽과 고객사 서비스의 지속성을 보장한다. 특히, 세분화된 정책별로 최대 200여개의 소스 IP 별 임계치를 별도로 산출하여 DDoS 공격 방어 시 NAT된 IP 단위의 오탐을 최소화할 수 있는 차별화된 기능을 제공한다. 또한 알려진 공격에 대한 긴급 대응을 위해 사용자 시그니처를 적용하여 방어 정책을 설정할 수 있으며, 전통적인 공격 방어를 위한 시그니처도 사용 가능하다.
전통적 공격과 최신 공격을 동시 대응
TG DPX는 허위(Spoofed) IP 기반 플러딩(Flooding)과 단편화(Fragmentation)된 패킷에 의한 플러딩 등 전통적인 형태의 DDoS 공격은 물론, 최근 빈도가 높아지고 있는 세션 기반(TCP/HTTP)의 공격까지 완벽히 방어할 수 있도록 설계되었다. 공격 탐지와 차단의 정확도를 높이기 위해 성능이 보장된 인증 기능을 제공하고 있으며, TCP/HTTP뿐만 아니라 최신 트렌드 공격인 DNS 증폭 공격에도 인증 기능을 구현해 정상 트래픽을 가장한 DNS 공격도 방어 가능하다.
가상 장비(Virtual Appliance) 기능과 멀티테넌트(Multi-Tenant) 환경 지원
TG DPX는 인라인(Inline) 구성 방식뿐만 아니라 안정적인 아웃 오브 패스(Out-of-Path) 구성 방식도 제공해 다양한 네트워크 환경에 적합한 구성 방식을 지원하고 있다. 보호 대상을 목적에 따라 존(Zone)으로 분류•구성하여 각 보호 대상별 차별화된 탐지 방어 정책을 적용할 수 있으며, 최대 128개의 존을 단일 장비로 구성 할 수 있다.
각각의 존(Zone)은 가상의 장비로 동작하며, 탐지 및 방어뿐 아니라 각 별개의 관리자 생성과 개별 모니터링, 리포트 생성까지 분리하여 제공한다. 멀티테넌트 환경을 필요로 하는 곳에서는 단일 장비로 최대 128개의 서비스 테넌트(Tenant)를 제공할 수 있다.
[그림 2] 최대 128개 존 설정을 통한 혁신적인 분산 관리 기능
한국에서 DDoS 공격은 더 이상 특별한 사건이 아닌 상시 발생하는 이벤트라 할 수 있다. 따라서 TG DPX는 공공, 기업, 금융 등 한 분야에 집중하기 보다는 고른 산업군에 구축 및 운용되어 다양한 DDoS 공격에 대응할 수 있는 노하우를 축적하고 기술 개발과 함께 고객 확대를 이어가고 있다. 특히, 지난 2016년 신모델 출시와 더불어 기능 개선, 더욱 강력해진 실망 성능을 바탕으로 ISP(Internet Service Provider), 포털 서비스 기업 등의 대규모 시장에서 괄목할만한 성과를 거두고 있다. 시장에서 굵직한 글로벌 제품들과 BMT 경쟁을 통해 당당히 경쟁력을 입증하면서 글로벌과 어깨를 나란히 하는, 명실공히 국내 제1의 DDoS 공격 대응 전용제품의 명성을 쌓아가고 있다.