디도스 공격 방어, 평소에는 환경설정 및 취약점 관리 통해
가장 중요한 수칙은 “평소 서비스 그대로 유지하는 것”
[보안뉴스 문가용] 오전에 게재된 디도스 관련 칼럼을 통해 “현재 네트워크 환경에서는 디도스를 완벽하게 차단할 수 없다”는 점을 밝혔다. 결국 보안이 집중해야 할 것은 최대한 디도스 공격이 걸리지 않도록 미리 조치를 취하는 것과 사후에 복구를 서두르는 것이다. 그에 대한 이야기를 이번 편에서 이야기 해보고자 한다.
▲ 백조처럼 물밑에선 바쁘게, 물위에선 우아하게
1. 보안에 특화된 환경설정
디도스 공격에 대해 “응, 알어, 트래픽 늘려서 사이트 다운시키는 거”라고만 단순히 알고 있는 건 일반인 수준이다. 보안 담당자라면 디도스 공격이 일어나는 다양한 기술적 배경들을 이해하고 있어야 하며, 그런 공격 기술들 중 가장 위협이 되는 것들을 순서대로 목록화해서 네트워크의 환경을 설정해야 한다. 여기서 말하는 네트워크의 환경이란 모든 시스템과 애플리케이션들을 말한다.
2. 패치와 업데이트 소식들도 빠릿빠릿하게
제로데이 취약점이 공개되면 해당 제조사 및 업체는 거의 모든 경우 만사를 제치고 업데이트부터 만들어 배포한다. 그러나 제조사가 아무리 빠릿빠릿하게 일을 해결해도 현실 속에서 제로데이 취약점들은 여전히 아프게 작용한다. 왜냐, 사용자들이 배포된 걸 사용하지 않기 때문이다. 즉 결국에 문제를 해결해야 하는 건 사용자 자신인데, 그걸 너무나 모르고 있다는 것이다. 이 점은 수년 째 개선 가능성이 제로에 가깝다는 게 증명되었다. 보안 담당자가 해줘야 한다.
3. 엔드유저 훈련시키기
디도스 공격으로부터 기업의 네트워크를 보호하기 위한 노력을 하는 것도 중요하지만, 요즘 네트워크 환경에서는 침입 경로가 너무 많아 그런 노력들만으로는 제대로 된 결과가 나오기를 바라기 힘들다. 특히 네트워크 끝에 대롱대롱 위태롭게 달려 있는 기기들과 그 사용자들이 표적이 되기 일쑤다. 이른바 엔드포인트가 취약하다는 건데, 이에 대해서는 아직까지 이렇다 할 해결책이 나오지 않은 상태다. 주요 공격 방식을 사용자들에게 자주 알려주고 교육을 시키는 것이 유일한 답이다.
4. 네트워크의 흐름 관찰하기
네트워크 흐름은 네트워크 내에서 벌어지는 통신들에 대한 가장 최신의 소식을 담고 있는 정보다. 여기에는 누가 어떤 정보를 누구에게 얼마나 보내는지와 어떤 방식으로 언제 보냈는지도 명확히 포함되어 있고, IP 주소와 포트, 프로토콜, 엑스포트시 사용한 기기들에 대한 정보도 있다. 이 정보는 라우터, 스위치, 방화벽, 부하 분산 장치, 하이퍼바이저, 호스트에 설치된 소프트웨어에 잘 보관되어 있다. 네트워크 상태를 한 눈에 볼 수 있게 해주는 중요한 정보로, 이상한 행동이나 스파이 행위, 봇넷의 활동, 디도스 공격 등이 금방 눈에 띈다. 그래서 네트워크 흐름 분석이라는 개념이 보안 전략에 빠르게 편입되고 있기도 하다.
5. 디도스 솔루션들에 대해서
이런 작업들을 쉽게 할 수 있도록 사용자들을 돕는 솔루션들은 이미 시중에 파다하다. 그래서 소비자들 입장에서는 혼란스러울 수밖에 없다. 하지만 이 솔루션들은 크게 두 가지로 구분이 가능하다. 바로 ‘탐지용’과 ‘복구용’이다.
탐지 : 디도스 공격의 가능성 자체를 최소화하려면 네트워크 내에 있는 모든 시스템, 방화벽, IDS/IPS 등을 최대한 안전하게 설정해야 한다. 사실 디도스를 미리 탐지한다는 솔루션은 성립 자체가 매우 어렵다. 최근 발생하는 디도스 공격의 트래픽은 시그니처나 출처를 가지고 악성인지 아닌지 판단하기가 불가능에 가깝기 때문이다. 그렇다고 디도스가 일어나고 나서야 ‘아, 디도스 맞네’하는 것도 우습다. 그래서 네트워크의 흐름을 분석해야 한다는 것이다. 네트워크의 흐름을 다루는 탐지 솔루션은 검토할만 하다.
복구 : 대부분 디도스 관련 솔루션들은 ‘자동 복구’ 기능을 자랑한다. 혹은 공격에 사용되는 트래픽을 딴 곳으로 우회시키거나 하는 기능을 가지고 있을 것이다. 하지만 디도스 공격에 대처할 때 지켜야할 가장 중요한 수칙은 ‘다른 서비스나 사업 운영에 방해가 되지 않도록 해야 한다’는 것이다. 그러므로 디도스 복구 툴이라고 한다면 나쁜 트래픽은 걸러내고 필요한 트래픽은 통과시키는 기능을 가지고 있어야 한다. 사업을 평상시처럼 유지시키면서 뒤에서 디도스 트래픽을 해소시켜야 한다는 것이다.
역사가 깊은 만큼 디도스 공격은 당분간은 계속해서 벌어질 우리의 현실이며 미래다. 심지어 이전보다 더 거세질 전망이다. 디도스 공격으로부터 네트워크를 보호하려면 1) 평소엔 알려진 취약점을 최소화시키고 2) 공격의 징조가 조금이라도 보일 때 즉각 대처할 수 있도록 해주는 ‘무기’를 가지고 있어야 한다. 무엇보다 기존의 서비스 및 사업이 조금도 방해받지 않도록 지켜주어야 ‘보안’이 제대로 가치를 발하게 된다는 걸 기억해야겠다.
글 : 빈센트 버크(Vincent Berk)
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
- 공공·금융·민간 CPO, 개인정보처리자, 보안담당자 등 4,000여명 참석
- 공무원상시학습, CPPG, CISSP, CISA, ISMS등 관련 교육이수(최대 16시간) 인정
- CPO, 개인정보처리자, 보안담당자 등 사전 무료 참관등록(www.pisfair.org/2016/)
가장 중요한 수칙은 “평소 서비스 그대로 유지하는 것”
[보안뉴스 문가용] 오전에 게재된 디도스 관련 칼럼을 통해 “현재 네트워크 환경에서는 디도스를 완벽하게 차단할 수 없다”는 점을 밝혔다. 결국 보안이 집중해야 할 것은 최대한 디도스 공격이 걸리지 않도록 미리 조치를 취하는 것과 사후에 복구를 서두르는 것이다. 그에 대한 이야기를 이번 편에서 이야기 해보고자 한다.
▲ 백조처럼 물밑에선 바쁘게, 물위에선 우아하게
1. 보안에 특화된 환경설정
디도스 공격에 대해 “응, 알어, 트래픽 늘려서 사이트 다운시키는 거”라고만 단순히 알고 있는 건 일반인 수준이다. 보안 담당자라면 디도스 공격이 일어나는 다양한 기술적 배경들을 이해하고 있어야 하며, 그런 공격 기술들 중 가장 위협이 되는 것들을 순서대로 목록화해서 네트워크의 환경을 설정해야 한다. 여기서 말하는 네트워크의 환경이란 모든 시스템과 애플리케이션들을 말한다.
2. 패치와 업데이트 소식들도 빠릿빠릿하게
제로데이 취약점이 공개되면 해당 제조사 및 업체는 거의 모든 경우 만사를 제치고 업데이트부터 만들어 배포한다. 그러나 제조사가 아무리 빠릿빠릿하게 일을 해결해도 현실 속에서 제로데이 취약점들은 여전히 아프게 작용한다. 왜냐, 사용자들이 배포된 걸 사용하지 않기 때문이다. 즉 결국에 문제를 해결해야 하는 건 사용자 자신인데, 그걸 너무나 모르고 있다는 것이다. 이 점은 수년 째 개선 가능성이 제로에 가깝다는 게 증명되었다. 보안 담당자가 해줘야 한다.
3. 엔드유저 훈련시키기
디도스 공격으로부터 기업의 네트워크를 보호하기 위한 노력을 하는 것도 중요하지만, 요즘 네트워크 환경에서는 침입 경로가 너무 많아 그런 노력들만으로는 제대로 된 결과가 나오기를 바라기 힘들다. 특히 네트워크 끝에 대롱대롱 위태롭게 달려 있는 기기들과 그 사용자들이 표적이 되기 일쑤다. 이른바 엔드포인트가 취약하다는 건데, 이에 대해서는 아직까지 이렇다 할 해결책이 나오지 않은 상태다. 주요 공격 방식을 사용자들에게 자주 알려주고 교육을 시키는 것이 유일한 답이다.
4. 네트워크의 흐름 관찰하기
네트워크 흐름은 네트워크 내에서 벌어지는 통신들에 대한 가장 최신의 소식을 담고 있는 정보다. 여기에는 누가 어떤 정보를 누구에게 얼마나 보내는지와 어떤 방식으로 언제 보냈는지도 명확히 포함되어 있고, IP 주소와 포트, 프로토콜, 엑스포트시 사용한 기기들에 대한 정보도 있다. 이 정보는 라우터, 스위치, 방화벽, 부하 분산 장치, 하이퍼바이저, 호스트에 설치된 소프트웨어에 잘 보관되어 있다. 네트워크 상태를 한 눈에 볼 수 있게 해주는 중요한 정보로, 이상한 행동이나 스파이 행위, 봇넷의 활동, 디도스 공격 등이 금방 눈에 띈다. 그래서 네트워크 흐름 분석이라는 개념이 보안 전략에 빠르게 편입되고 있기도 하다.
5. 디도스 솔루션들에 대해서
이런 작업들을 쉽게 할 수 있도록 사용자들을 돕는 솔루션들은 이미 시중에 파다하다. 그래서 소비자들 입장에서는 혼란스러울 수밖에 없다. 하지만 이 솔루션들은 크게 두 가지로 구분이 가능하다. 바로 ‘탐지용’과 ‘복구용’이다.
탐지 : 디도스 공격의 가능성 자체를 최소화하려면 네트워크 내에 있는 모든 시스템, 방화벽, IDS/IPS 등을 최대한 안전하게 설정해야 한다. 사실 디도스를 미리 탐지한다는 솔루션은 성립 자체가 매우 어렵다. 최근 발생하는 디도스 공격의 트래픽은 시그니처나 출처를 가지고 악성인지 아닌지 판단하기가 불가능에 가깝기 때문이다. 그렇다고 디도스가 일어나고 나서야 ‘아, 디도스 맞네’하는 것도 우습다. 그래서 네트워크의 흐름을 분석해야 한다는 것이다. 네트워크의 흐름을 다루는 탐지 솔루션은 검토할만 하다.
복구 : 대부분 디도스 관련 솔루션들은 ‘자동 복구’ 기능을 자랑한다. 혹은 공격에 사용되는 트래픽을 딴 곳으로 우회시키거나 하는 기능을 가지고 있을 것이다. 하지만 디도스 공격에 대처할 때 지켜야할 가장 중요한 수칙은 ‘다른 서비스나 사업 운영에 방해가 되지 않도록 해야 한다’는 것이다. 그러므로 디도스 복구 툴이라고 한다면 나쁜 트래픽은 걸러내고 필요한 트래픽은 통과시키는 기능을 가지고 있어야 한다. 사업을 평상시처럼 유지시키면서 뒤에서 디도스 트래픽을 해소시켜야 한다는 것이다.
역사가 깊은 만큼 디도스 공격은 당분간은 계속해서 벌어질 우리의 현실이며 미래다. 심지어 이전보다 더 거세질 전망이다. 디도스 공격으로부터 네트워크를 보호하려면 1) 평소엔 알려진 취약점을 최소화시키고 2) 공격의 징조가 조금이라도 보일 때 즉각 대처할 수 있도록 해주는 ‘무기’를 가지고 있어야 한다. 무엇보다 기존의 서비스 및 사업이 조금도 방해받지 않도록 지켜주어야 ‘보안’이 제대로 가치를 발하게 된다는 걸 기억해야겠다.
글 : 빈센트 버크(Vincent Berk)
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
- 국내 최대 규모의 개인정보보호 컨퍼런스 PIS FAIR 2016 - 6월 9일(목)~10일(금) 개최- 공공·금융·민간 CPO, 개인정보처리자, 보안담당자 등 4,000여명 참석
- 공무원상시학습, CPPG, CISSP, CISA, ISMS등 관련 교육이수(최대 16시간) 인정
- CPO, 개인정보처리자, 보안담당자 등 사전 무료 참관등록(www.pisfair.org/2016/)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
