TECHNOLOGY 20호

Deflector Shield
"DDoS 공격 막을 수 있다"

리버헤드 네트웍스 인수해 최신 기술 공개 … '자기 방어력' 갖춰
분산형 서비스거부(DDoS) 공격은 '대규모 붕괴를 위한 무기' 역할을 한다. 데이터나 정보를 훔치는 다른 공격들과는 달리 DDoS 공격은 며칠 동안 또는 몇 주 동안 비즈니스를 중단시키는 결과를 초래할 수 있다. 최근까지 기업들과 통신서비스 제공 업체들은 '공격자에 대한 DoS 완료'의 효과로 인해 그리고 세밀한 보안책을 마련하지 못해 비즈니스에 치명적인 타격을 입곤 했다.

시스코의 인터넷 스위칭 사업부 레이어4-7 서비스의 마케팅 디렉터인 스티브 우(Steve Woo)는 "공격자들은 비즈니스를 중단시킴으로써 항상 승리했다"며 "공격을 당하고 있다는 것을 인지할 때는 이미 상황이 악화된 상태였다. 비즈니스를 중단하지 않고 공격을 막아내는 것이 관건"이라고 설명했다.
공격을 당할 때에도 비즈니스의 지속성을 유지하는 것은 기업의 생존과 직결된다. DDoS 공격으로 인한 손실은 엄청나며, 매출액과 생산성에 큰 영향을 끼친다. 이러한 공격은 IT 예산을 증가시키고 기업들이 소송에 휘말리게 된다. 고객의 만족도와 자신감 역시 피해를 입어 영원히 회복이 어려울 수도 있다. 양키 그룹에 따르면 2000년 2월에 발생한 일련의 DDoS 공격으로 인해 아마존과 야후, 기타 대형 웹사이트가 약 120억 달러의 손실을 입은 것으로 추산된다. 잠재적인 손실은 이보다 훨씬 높다.

DDoS 공격은 규모와 폐해 면에서 더욱 커지면서 이를 탐지하고 완화하는 것도 더욱 어려워지고 있다. 일반적인 DDoS 공격은 수많은 '좀비(zombie)' 호스트를 통해 하나의 목표물을 공격한다. 좀비들은 높은 대역폭으로 언제나 접속되어 있는 인터넷을 통해 연결된 '보호되지 않은' 수백만 대의 컴퓨터를 무력화시킨다. 공격자들은 이러한 컴퓨터에 악성 소프트웨어를 확산시킨 다음 하나의 명령어로 공격을 단행한다. 컴퓨터 소유자들은 자신들의 PC가 엄청난 양의 탐지 불가능한 DDoS 트래픽을 전송한다는 것을 인식하지 못한다. 기하급수적으로 늘어난 수많은 좀비들은 이러한 트래픽을 타고 목표 리소스에 도달, 네트워크와 사용자들을 붕괴시킨다.

공격 목표에는 통신서비스 제공 업체의 네트워크 인프라와 데이터 센터의 모든 리소스가 포함될 수 있다. 또한 e-커머스와 데이터베이스, 애플리케이션 서버를 비롯해, 웹, DNS(Domain Name System), 이메일 시스템, 네트워크 라우터, 방화벽이나 침입 탐지 시스템 등 보안 장비, 액세스 링크 등도 목표물이 될 수 있다.

현재 진행중인 DDoS 공격을 탐지하는 데에는 여러 가지 방법이 있으며, 시스코는 이를 차단하는 기술과 많은 툴을 개발해왔다. 하지만 2002년까지는 세밀하고 애플리케이션에 특화된 차단 기술을 개발하는 것은 쉽지 않았다. 리버헤드 네트웍스(Riverhead Networks)가 악성 트래픽을 차단하고 합법적인 트래픽의 트랜잭션을 지속할 수 있게 해 비즈니스의 지속성을 유지할 수 있는 솔루션을 발표했을 때 비로소 그 기술과 툴이 세상에 나오게 되었다.

'자가방어 네트워크' 선봬
시스코는 2004년 3월 리버헤드의 인수를 완료함으로써 시스코 보안 제품군에 리버헤드의 DDoS 탐지 및 완화 기술을 포함시킬 수 있게 되었다. 시스코의 IT 인터넷 서비스 그룹 네트워크 엔지니어인 롤랜드 도빈스(Roland Dobbins)는 "지구상에 이와 같은 솔루션은 없을 것"이라면서 "시스코 보안 툴킷에 매우 중요한 역할을 담당하고 있다"고 밝혔다.
시스코의 DDoS 대응 솔루션은 DDoS 공격시에 서비스의 지속성을 보장해 주는 시스코의 자가방어네트워크(SDN)의 중요한 기능인 시스코 가드 XT와 Cisco Traffic Anomaly Detector XT를 포함하고 있다.
가드와 디텍터는 대기업과 정부 기관 등 데이터 센터와 웹 서비스를 위한 다중 방어 전략을 비롯해 관리형 호스팅과 웹 접속 서비스를 제공하는 통신서비스 제공 업체들의 보안 전략에 필수적인 구성 요소이다. 시스코는 시스코 7600 시리즈 라우터와 시스코 카탈리스트 6500 시리즈 스위치 플랫폼을 위한 통합 모듈에 디텍터와 가드를 이미 채택하고 있다.
이러한 솔루션은 Flooding과 애플리케이션 등 두 가지 기본적인 공격에 대해 방어할 수 있다.

Flooding 공격 엄청난 양의 TCP, UDP 또는 인터넷 컨트롤 메시지 프로토콜(ICMP) 패킷으로 네트워크 링크와 장비에 공격을 감행함으로써 유효한 트래픽을 이용할 수 없도록 네트워크 리소스를 소진하고 보안 장비가 부하를 감당하지 못하도록 한다.

애플리케이션 공격 TCP와 HTTP 등 프로토콜의 예상된 행동을 사용해 컴퓨팅 리소스에 접근, 합법적인 트랜잭션과 요청 프로세스를 방해한다. 대표적인 예로는 HTTP half-open과 HTTP 에러 공격 등이 있다.

맨위로

기타 보안 툴
시스코는 기존 기술을 사용해 DoS 공격을 탐지하고 완화할 수 있는 다양한 툴과 기술을 보유하고 있다. 이러한 장비는 심도 있는 보안 아키텍처에서 중요한 보안 역할을 담당하고 시스코 보안 툴킷에서도 중요한 부분을 차지하고 있다. 여기에는 다음과 같은 장비가 포함된다.

방화벽 정적인 보안 정책을 집행하는데 주로 사용된다.

침입 탐지 시스템 서명을 이용할 수 있을 경우 유용한 공격 탐지 기능을 제공하지만 그 자체로는 DoS 공격의 세밀하고 확장 가능한 완화 기능을 제공하지 못한다.

라우터 시스코 가드 완화 프로세스에서 중요한 역할을 담당한다. 액세스 컨트롤 리스트(ACL)과 RTBH(Remotely Triggered Blackholes)은 매우 유용하지만 일반적으로 '부수적인 피해(collateral damage)'를 억제하기 위해 지원되는 행동 기반의 피드백 메커니즘을 포함하고 있지 않다.

로드 밸런서 DDoS 애플리케이션 공격을 차단하도록 개발되지는 않았지만 과부하가 확산되는 것을 막는데 지원될 수 있다.

비즈니스의 지속성 보장 : 많은 장비들은 DDoS 공격을 탐지하고 시스코 가드에 통보할 수 있다. 가드는 목표 장비를 향해 가는 모든 트래픽의 방향을 전환하도록 통보한다. 트래픽을 분석하고 악성 패킷을 삭제한 다음 합법적인 트래픽만을 목표 지점에 전송하기 때문에 공격시에도 비즈니스의 지속성을 보장할 수 있다.

효과적인 차단 전략
전용 DDoS 차단은 4가지 방법으로 이뤄져야 한다. 먼저, 차단하는데 국한하지 않고 공격을 완화해야 한다. 두 번째는 합법적인 트래픽과 악의적인 트래픽을 정확하게 구분해 서비스의 지속성을 보장해야 한다. 세 번째는 방화벽과 IDS 등 다른 보안 장비를 포함해 높은 가치의 자산을 최대한 보호할 수 있는 적절한 방법으로 구현돼야 한다. 마지막으로 예측 가능하며 비용 효과적인 방법으로 확장해야 한다.
시스코 가드 XT와 Cisco Traffic Anomaly Detector XT는 시스코 라우터와 연동해 위의 4가지 사항에 모두 부합하는 비용 효과적인 솔루션을 개발했다. 4단계 솔루션에는 탐지, 전환(diversion), 분석 및 필터링, 포워딩 등이 포함돼 있다.

맨위로

탐지(Detection)
시스코 가드는 일반적인 트래픽 패턴을 관찰하고 학습한 다음, 관찰된 행동을 토대로 정책과 임계치를 설정한다. 디텍터는 이상 행동을 토대로 만들어진 알고리즘을 사용해 DDoS 행위를 관찰하기 때문에 새로운 공격 유형을 밝혀낼 수 있다. 이상 행동이 탐지되면, 디텍터가 비정상적인 트래픽과 목표에 관한 상세 정보를 가드에 보내 경고한다.

전환(Diversion)
가드가 잠재 공격에 대해 경고를 받으면 전환 단계에 들어가게 된다.
가드는 가장 가까운 업스트림 라우터에 BGP(Border Gateway Protocol)를 발송해 전환을 시작한다. 이 라우터는 DDoS 목표로 향해가는 모든 트래픽을 가드에 보낸다. 다른 목적지의 트래픽은 네트워크 토폴로지를 통해 목표로 설정되지 않은 지역으로 계속 전송되며, 목표로 향해 가는 트래픽의 방향이 전환돼 아무런 영향을 받지 않게 된다.

중소규모 기업을 위한 보안

멀티기가비트 액세스 링크를 가진 대기업 고객들을 위해 통신서비스 제공 업체들은 가드를 구축하는 것이 효과적이다. 하지만 속도가 낮은 링크를 보유한 소규모 고객들이 가드를 구축하는 것은 비용면에서 효율적이지 않다.

통신서비스 제공 업체들은 이러한 고객들을 장거리-변환(Long-Diversion) 방법을 통해 보호할 수 있다. 이 방법은 중앙 네트워크에 가드 한대를 설치해 고객 건물의 에지 링크 가까이 디텍터와 함께 구현하는 것이다. 에지에 위치한 디텍터에 의해 규명된 공격 트래픽은 다양한 BGP 피어링 라우터에서 중앙에 위치한 가드까지 '먼거리의 전환'이 이뤄진다. 중앙 가드는 세척 과정을 거쳐 원래의 목적지에 포워딩하는데, 주로 GRE(Generic Routing Encapsulation)나 다른 적절한 재주입 방법을 통해 이뤄진다.

일부 통신서비스 제공 업체들은 관리형 DDoS 보호 서비스를 제공하기 위해 이미 시스코 가드와 디텍터를 사용하고 있다. 가드를 통해 이러한 통신서비스 제공 업체들은 네트워크에 있는 모든 고객들을 보호하기 위해 목표로 설정된 고객의 서비스를 중단하지 않아도 되며, 고객의 매출액과 비즈니스의 지속성을 보장하기 위한 서비스 수준 협약(SLA)을 보전할 수 있다.

랙스페이스 매니지드호스팅(Rackspace Managed Hosting)은 미국 텍사스에 본사를 두고 있는 관리형 호스팅 서비스 제공 업체이다. 이 업체는 '적극적인 지원'을 위해 DDoS 공격으로부터 고객들을 보호하기를 원했다. 가드의 베타 테스트 업체이자 시스코 레퍼런스 고객인 랙스페이스는 관리형 DDoS 서비스를 최초로 제공한 회사이다. 프리벤티어(PrevenTier)를 통해 랙스페이스는 5,600여 고객들의 다양한 요구 사항에 부응하기 위해 전용 애드혹(ad-hoc) DDoS 완화 서비스를 제공하고 있다. 가드는 DDoS 공격의 80%를 자동으로 완화해준다.

랙스페이스의 엔지니어링 부사장인 폴 프로우탄(Paul Froutan)은 "가드가 주요 경로에 위치하지 않아 더욱 안심 된다"면서 "우리의 시스템에 더 이상 장애가 발생하지 않고 있다. 이는 우리에게 매우 중요하다"고 밝혔다.

분석과 필터링
가드는 전환된 트래픽을 분석 및 필터링해 악성 패킷을 삭제하고 합법적인 것을 포워딩한다. 이를 위해 가드는 패킷 플로우를 '세척'하기 위해 MVP(Multi-Verification Process)라 불리는 독특한 특허 출원 기술을 사용한다. 이러한 세척 과정은 다음과 같이 다섯 가지 모듈로 이루어진다:

패킷 필터링 정적이며 역동적인 DDoS 필터는 목표지점에 트래픽이 도달하기 전에 차단한다. 정적인 필터는 사용자가 구성할 수 있으며, 디폴트 값이 설정돼 출시된다. 역동적인 필터는 관찰된 행동과 자세한 플로우 분석을 토대로 다른 모듈에 삽입돼 검증 수준을 높이고 규명된 악성 소스나 플로우를 차단하는 실시간 업데이트를 제공한다.

적극적인 검증 시스템에 들어오는 패킷의 합법성 여부를 검사하고 유효한 패킷을 삭제할 가능성을 없애준다. 하지만 진보된 DDoS 공격은 합법적인 IP 소스 어드레스를 사용하기 때문에 이 단계에서는 단순히 서툰 공격만을 차단할 수 있다. 따라서 합법적인 어드레스에서 나온 패킷의 목록을 작성한 다음 향후 분석을 위해 이상 징후 인식 모듈로 보내게 된다.

이상 행동 인식 정적인 필터나 적극적인 검증 모듈에 의해 차단되지 않은 트래픽을 모니터링하고 이를 기본적인 행동 패턴과 비교해 합법적인 소스의 패턴과 다른 것을 찾아낸다. 공격 소스와 유형은 이 단계에서 규명되어 악성 트래픽을 차단하거나 보다 자세한 분석을 실행하기 위해 역동적인 필터를 설치하도록 해주는 패킷 필터링 모듈의 가이드라인을 제공한다.

프로토콜 분석 이상 행동 인식 모듈에 의해 규명된 플로우를 처리하는 단계로, 애플리케이션에 특화된 공격을 찾아낸다. 불완전한 트랜잭션이나 에러를 포함한 이상한 행동을 보이는 프로토콜 트랜잭션을 탐지한다.

속도 제한(Rate limiting) 선택 사항인 속도 제한을 통해 플로우 당 트래픽 형성에 대한 속도를 제한해 보다 자세한 모니터링이 이뤄지는 동안 목표의 과부하를 야기하지 못하도록 한다.

포워딩
가드가 합법적인 트래픽을 검증하게 되면, 목표 지점에 포워딩해 공격시에도 서비스의 지속성을 유지 시켜 준다. 이 마지막 단계는 다른 DDoS 완화 기술이나 제품과 시스코 가드를 차별시켜 주는 요인이다.

확장성과 클러스터링
DDoS 공격에 대한 방어를 위해서는 대규모의 패킷을 성공적으로 처리할 수 있는 고도로 확장 가능한 솔루션이 필요하다. Cisco Traffic Anomaly Detector XT는 최대 90개 지역에서 동시에 3백만 pps 속도를 통해 2Gbps의 모니터링 기능을 제공하는 2개의 기가비트 이더넷 인터페이스를 갖고 있다.
또 시스코 가드 XT는 2개의 기가비트 이더넷 인터페이스를 보유하고 있어 최대 1백만 pps로 1Gbps의 완화 기능을 제공한다. 가드는 최대 150만 동시 접속을 처리하기 때문에 서버나 지역의 크기에 따라 평균 15곳의 공격 지점을 보호할 수 있다. 1msec 이하의 지연 속도로 목표 지점으로 합법적인 트래픽을 전송하며 10만개의 좀비로부터 방어할 수 있다.
두 장비 모두 하루만에 설치가 가능하며 명령어 인터페이스나 웹 기반 사용자 콘솔을 통해 관리할 수 있다.
위의 두 가지 가드는 중간 규모의 통신서비스 제공 업체 네트워크나 대기업의 비무장지대(DMZ) 네트워크를 보호하는데 충분하다(DMZ는 외부 인터넷 사용자들이 웹과 FTP 서버를 포함한 서버에 액세스할 수 있도록 해주며 기업의 사설 LAN에 대한 보안을 유지시켜준다).
더욱 높은 용량이 필요할 경우 시스코 카탈리스트 6500 시리즈 스위치 한대에 최대 8개의 가드를 클러스터링해 더욱 높은 볼륨과 다양한 목표 공격에 대해 멀티기가비트 보호 기능을 구현할 수 있다.

DDoS 공격을 차단하는 방법에 대한 백서를 원할 경우, cisco.com/packet/163_5b1을 방문하기 바란다.


맨위로

Cisco에 문의하세요



Packet 지난 호 보기