디도스 공격 방어·모의훈련은 ‘생존전략’.... 디도스 대응 및 예방법 집중분석
[인터뷰] 심재홍 한국인터넷진흥원 침해대응단장에게 들어본 디도스 공격 실태
[설문조사] ‘디도스 대응 솔루션·서비스 인식 및 선택기준에 대한 설문조사’ 결과 발표
디도스 대응 대표 솔루션 분석: 안랩, 인포블록스, 넷스카우트, 메가존클라우드, 지란지교에스앤씨
[보안뉴스 김경애 기자] 최근 디도스 공격이 예사롭지 않다. 가비아, LG유플러스, KT 등 1분기에만 디도스 공격이 연이어 발생했다. 2022년 11월 대비 2023년 1월까지 무려 150% 증가했다. 기관과 기업에선 긴장감이 맴돌고 있다. 금융보안원은 지난 3월 2023년도 실전형 침해사고 대응훈련에 돌입했다. “최근 증폭·반사 디도스 공격이 증가했다”고 밝히며, 200여개 금융사 등을 대상으로 디도스 공격 발생 시 신속한 초기 대응, 서비스 복구, 최신 공격 기법 적용 등에 초점을 맞췄다.
[이미지=utoimage]
여기에서는 최근 급증한 디도스 보안 이슈에 대해 집중적으로 분석하고자 한다. 최근 발생한 디도스 공격 이슈를 비롯해 심재홍 한국인터넷진흥원 침해대응단장 인터뷰를 통해 디도스 보안위협과 사건 현황, 디도스 공격 대응을 위한 지원 제도 및 정책에 대해 들어봤다. 이어 ‘디도스 대응 솔루션·서비스 인식 및 선택기준에 대한 설문조사’를 통해 디도스 공격 현황과 대응 실태를 짚어보고, 디도스 모의훈련 솔루션 기업을 취재해 디도스 대응과 관련해 기업의 문제점과 디도스 대응 및 예방법에 대해 알아봤다.
디도스, 대역폭·자원소진·DB 부하 공격
분산 서비스 거부 공격인 디도스(DDoS: Distributed Denial of Service)는 공격자가 PC나 서버를 악성코드로 감염시켜 이른바 ‘좀비 PC’로 만든 후 대량의 트래픽을 유발해 시스템을 마비시키는 공격이다. ‘디도스 공격 대응 가이드’에 따르면 디도스 공격은 공격 형태에 따라 크게 △대역폭 공격 △자원 소진 공격 △웹·DB 부하 공격으로 구분된다.
대역폭 공격, UDP Flooding과 DNS Reflection Attack 대역폭 공격은 공격대상의 회선 대역폭을 고갈시키는 공격으로 유형에 따라 2가지로 나뉜다. 첫째, UDP Flooding 및 UDP 기반 반사 공격 유형인 UDP Flooding, ICMP Flooding. 둘째, DRDoS 유형인 DNS Reflection Attack, NTP Reflection Attack, CLDAP Reflection Attack, SSDP Reflection Attack, Memcached Reflection Attack, WS-Discovery Reflection Attack, ARMS Reflection Attack, CoAP Reflection Attack, Jenkins Reflection Attack, 기타 Reflection Attack 등이 있다.
그중 UDP Flooding은 가장 오랜 기간 사용된 대표적인 대역폭 공격방식이다. 의미 없는 데이터로 채워진 대량의 UDP Packet을 여러 봇넷(Botnet)을 통해 피해자 시스템으로 보낸다. 데이터 전송시 UDP 프로토콜의 비연결형(Connectionless) 특성을 악용한다. 단순 방식의 공격이지만 효과가 커 꾸준히 사용되고 있다. 반사 공격 등장 후 단일 UDP Flooding의 비중은 줄었으나 대역폭 공격에선 여전히 가장 큰 비중을 차지한다.
DRDoS(Distributed Reflection Denial of Service) 유형의 대역폭 공격은 단순 디도스 공격에서 발전해 서버, 네트워크 장비, 공유기 등 서버 역할을 할 수 있는 단말 장비까지 증폭 공격에 활용한다. DRDoS 유형 중 가장 대표적인 공격은 DNS Reflection Attack이다. DNS Reflection Attack은 공격자가 피해자의 IP로 위장(스푸핑)해 네임서버에 비정상 DNS 질의를 요청한다. 요청받은 네임서버는 DNS 응답 값을 위장한 IP로 전송해 공격대상의 회선 대역폭을 고갈시킨다. 공격 트래픽 양을 높이기 위해 단순 DNS Query가 아닌 Zone의 모든 정보를 요청하는 “ANY” Type 레코드를 요청하는 특징이 있다.
자원소진 공격
자원소진 공격은 TCP SYN, ACK Flooding 등이 있다. 가장 대표적인 공격은 SYN Flooding으로 과거부터 현재까지 가장 많이 사용되고 있다. TCP Protocol의 3-Way-Handshake를 악용한 공격기법으로 SYN Flag만 지속 전달하고 돌아오는 SYN·ACK 패킷에 대한 응답은 주지 않아 피해서버의 자원을 소모한다. bps에 비해 높은 pps를 보이며, 대규모의 트래픽을 발생시키지 않아도 서비스 접속 불가를 유도할 수 있다.
웹·DB부하 공격
웹·DB부하 공격은 GET Flooding, POST Flooding 등이다. 가장 대표적인 공격방식은 GET Flooding이다. 공격자는 TCP Protocol의 3-Way-Handshake를 통해 서버와 세션을 맺은 후, HTTP GET 메소드 요청을 통해 웹서버와 DB서버 자원을 소진시켜 정상 사용자의 웹서비스 이용을 차단한다. 자원소진 공격과 유사하게 bps에 비해 높은 pps를 보인다. 정상 요청과 유사한 요청을 보여 사전 대비가 어렵다. 적은 개수의 좀비PC·단말로도 서비스 장애를 유도할 수 있는 게 특징이다.
디도스 공격, 오래전부터 활용...지능·고도화 기법으로 진화
디도스 공격은 예전부터 꾸준히 발생하는 사이버 공격이다. 1999년까지만 해도 디도스 공격은 Ping of Death, Tear Drop, Smuff, Land Attack 등 비교적 단순한 형태의 도스(DoS) 공격이었다. 2005년 봇넷으로 대규모 트래픽을 유발하는 디도스, DRDoS, DDoS-For-Hire(돈을 받고 DDoS 공격을 수행해주는 시스템)로 진화했다.
주요 이슈로는 2011년 3월 4일 포털사, 은행, 정부 기관 등 40여 개 사이트를 마비시킨 3.4 디도스 대란, 2009년 7월 7일부터 10일까지 국내외 주요 정부기관, 포털 사이트, 은행 30개 이상의 웹사이트가 마비된 7.7 디도스 대란, 2003년 1월 25일 대한민국의 주요 인터넷망을 마비시킨 1.25 대란이 있다. 특히 7.7 디도스 사건은 사회적으로 디도스 공격의 심각성을 인지하는 계기가 됐다. 보안장비의 일부 기능으로 존재하던 디도스 대응이 하나의 솔루션으로 발전하는 시발점이 되었다.
최근 디도스 공격 트렌드 & 보안위협
최근 디도스 공격 트렌드는 디도스 공격 협박으로 금전을 요구하거나, 지능적이고 정교한 멀티 공격기법을 더한 새로운 형태로 진화하고 있다. 공격 대부분은 웹과 DB 부하 공격 등을 혼합하는 멀티 벡터 공격이고, 공격을 수행하는 봇넷 규모에 따라 위험도 역시 커지면서 디도스 공격 위협은 갈수록 커지고 있다.
신규 공격 유형은 대응 시스템 우회, 압도하기 위한 고도화된 스마트 어택(Smart Attack), 멤캐시드 리플렉션 어택(Memcached Reflection Attack), Carpet Bombing(카핏 바밍), 랜섬 디도스 등이 등장해 진화하고 있다. 전 세계적으로는 러-우크라이나 전쟁, 미-중 갈등 등 정치안보 이슈까지 더해지고 있다.
이에 주요 디도스 대응 솔루션 및 서비스 전문기업과의 인터뷰를 통해 최근 디도스 공격 트렌드와 보안위협, 그리고 주요 이슈에 대해 들어봤다.
넷스카우트, 가장 많은 공격 유형 1위 ‘TCP ACK’
디도스 공격은 갈수록 증가 추세다. 넷스카우트가 발표한 2022 글로벌 사이버 공격 현황에 따르면 공격 횟수(Attack Count)는 6,019,888건, 최대 대역폭(Max Bandwidth)은 957.9Gbps, 최대 처리량(Max Throughput)은 284.4 Mpps다.
가장 많은 공격 유형(TOP VECTORS) 1위는 TCP ACK, 2위 TCP SYN, 3위 DNS Amp, 4위 TCP RST, 5위 TCP SYN/ACK Amp 순으로 집계됐다.
최근 진화하는 사이버 공격의 특징은 △트리플 랜섬 디도스(Triple Ransom DDoS: File Encryption, Data Leakage and DDoS) 공격 △멀티 벡터 디도스(Multi-Vector DDoS) 공격 사례 증가 → 볼륨 + TCP 세션 + Application 동시 공격 △성능이 뛰어난 새로운 서버급 봇넷 Army 등장 △Git 서버의 취약점 악용 및 서버급 봇넷 증가 △Confluence, GitLab and Log4j 를 실행하는 서버들의 심각한 취약점 악용 △SSL, TLS 암호화 애플리케이션과 서비스에 대한 사이버 공격 증가 △단순 볼륨 공격이 아닌 TCP Flag (Syn, Ack, RST 등) 또는 DNS 공격 증가다.
디도스와 지능형 사이버 공격의 파괴력이 커지면서 사용자의 금전 피해도 늘고 있다. 넷스카우트가 조사한 설문에 따르면 응답자의 절반 이상은 피해 금액이 지난해 대비 두 배에 달하는 10억~100억 달러다. 다변화되는 사이버 위협에 단순한 디도스 방어 솔루션은 이제 역부족이다. 최신 위협 정보를 실시간 수집해 공격 타입별로 다양하고 정교한 방어 정책을 펴야 한다. 얼마나 신속하고 정교하게 자산을 보호하는지, 사고 후 실시간 트래픽을 통해 얼마나 정확하고 상세하게 감지 및 분석할 수 있는지가 매우 중요해졌다. 그렇지 않으면 피해는 계속 증가할 것으로 예상된다.
메가존클라우드, HTTP 디도스 공격 양 전년 대비 79% 증가
2023년 2월 13일 Cloudflare는 수십 건의 대용량 디도스 공격을 탐지했다. 대부분의 공격은 초당 5000만~7000만 rps(초당 요청 수)로 정점을 찍었고 가장 큰 공격은 7100만 rps를 초과했다. 2022년 6월 보고된 4600만 rps의 이전 기록보다 54% 이상 높은 가장 큰 HTTP 디도스 공격이다. 공격은 Cloudflare로 보호되는 HTTP·2 기반 및 표적 웹사이트로 30,000개 이상의 IP 주소에서 시작됐다. 공격받은 웹사이트는 유명 게임 제공업체, 암호화폐 거래소, 호스팅 제공업체 및 클라우드 컴퓨팅 플랫폼이 포함됐다. 공격은 수많은 클라우드 제공업체에서 시작됐고 함께 협력해 봇넷을 차단했다.
지난 몇 개월 동안 공격의 규모, 정교함 및 빈도도 증가했다. 최신 디도스 위협보고서에 따르면 HTTP 디도스 공격 양은 전년 대비 79% 증가했다. 100Gbps를 초과하는 볼륨 메트릭 공격의 양은 전 분기 대비 67% 증가했다. 3시간 이상 지속 공격 수치는 전분기 대비 무려 87% 증가했다.
하지만 공격자는 갈수록 대담해지는 추세다. 랜섬 디도스(Ransom DDoS) 공격은 한해 동안 꾸준히 늘어 조사 대상 4명 중 1명은 랜섬 디도스 공격 위협을 받았다. 따라서 위협 빈도수 증가와 고도화에 대한 탐지 및 완화는 자동화가 필요하다. 실시간으로 완화하기 위해 사람만 의존하면 방어가 불리하기 때문이다.
안랩, 정상·디도스 트래픽 함께 발생하는 환경 ‘주목’
코로나19로 인한 비대면 환경의 보편화, 5G 네트워크의 성장, 클라우드 도입 증가 등으로 인해 전 세계적으로 트래픽 양이 증가했다. 이는 정상 트래픽과 디도스 공격 트래픽이 함께 발생하기 쉬운 환경이란 얘기다. 바로 이점을 주목해야 한다. 공격자가 이미 알려진 기법을 활용해 다양한 기업을 타깃으로, 디도스 공격을 수행하기 때문이다.
따라서 디도스 공격 규모와 발생 횟수가 모두 증가하는 상황에서 디도스 공격을 신속하고 정확하게 대응할 수 있는 시스템을 구축해야 한다. 또한, 개별 보안위협 사례에 의미를 두기보다 일상적으로 발생하는 트래픽 속에서 디도스 여부를 판단하기 위한 대응전략을 세워야 한다.
인포블록스, 오픈된 특성 노린 DNS 공격 주의
디도스 공격에서 가장 흔한 사례는 DNS 공격이다. DNS는 오픈된 특성으로 누구나 접근할 수 있어 공격 표적이 되기 쉽다. 서비스 연결의 중심점인 DNS만 공략해도 매우 넓은 범위의 피해를 입힐 수 있다. 특히, 디도스의 가장 큰 벡터 중 하나인 IoT를 이용한 DNS 공격 사례가 늘고 있다. IoT 기기는 폭발적으로 늘고 있어 앞으로 디도스 공격에 많이 이용될 것으로 보인다. 또한, 5G의 보편화로 디도스 공격 규모는 더욱 커질 전망이다.
디지털 트렌스포메이션, 4차 산업혁명 등 오늘날 급변하는 네트워크 환경에서 트래픽이 늘고 있다. DNS는 모든 트래픽을 연결해주는 기준점으로 그 중요도와 안정성 및 응답속도가 나날이 중요해지고 있다.
2023년 1분기, 가비아·LG유플러스·KT 등 줄줄이 디도스 공격 피해
1분기는 각종 이벤트와 행사, 홈페이지 개편, 공연 예매 등 인터넷 서비스 이용 및 접속이용이 많은 시즌이다. 공격자 역시 이점을 놓치지 않는다. 올해 1분기만 해도 알려진 디도스 공격 이슈만 여러 건이다.
▲올해 1~2월 발생한 디도스 공격 사건[이미지=보안뉴스]
도메인 기업 가비아가 지난 2월 24일 오전 10시 12분부터 12시 58분경까지 디도스 공격을 받았다. 가비아 네임 서버로 연결된 서비스 연결에 오류가 났고, 가비아 서비스 이용 기업은 접속 오류로 불편을 겪는 등 가비아 전체 서비스에 장애가 발생했다.
통신사인 LG유플러스도 지난 2월 4일 디도스 공격을 받았다. 소상공인, PC방 운영자, LG유플러스 인터넷과 IPTV 이용자는 인터넷 접속 장애로 인해 카드 결제 등 피해가 발생했다. LG유플러스는 디도스 공격 사태로 피해 보상 공지는 물론 대국민 사과, 정보보안 인력과 예산 확대 발표 등 여러 가지 대응책을 내놓았다.
KT 역시 지난 1월 2일 DNS 이상으로 인터넷 서비스 장애가 발생했다. 부산, 울산, 경남 등 지역에서 30여분간 KT 유선 인터넷 서비스 장애가 일어났다.
===============================================================
[인터뷰] 심재홍 한국인터넷진흥원 침해대응단장
“디도스 공격, 2022년 11월 대비 2023년 1월까지 150% 증가”
최근 급증한 디도스 보안위협과 관련해 심재홍 한국인터넷진흥원 침해대응단장의 인터뷰를 통해 공격 현황, 디도스 대응 관련 지원 제도 및 정책에 대해 들어봤다.
최근 디도스 보안위협과 공격 현황은 어떤가요?
디도스 공격은 다량의 네트워크 트래픽을 특정 사이트나 인터넷에 연결된 웹서버를 유입시켜 정상적인 서비스가 불가능하도록 만드는 공격인데요. 주로 국민이 자주 이용하는 웹 서비스를 마비시키거나, 사회 혼란을 조장하기 위해 기업의 유통서비스에 장애를 일으켜 공격 중단의 대가로 금전을 요구하는 형태로 진화해 왔습니다.
디도스 공격은 유입되는 트래픽에 대한 기업·기관의 수용 용량이 매우 중요한데요. 기업에서 디도스 공격으로 장애가 일어났다면 공격 방어 인프라가 구축되지 않았거나 감내 범위를 넘어선 겁니다. KISA에 신고된 디도스 공격 기준은 2022년 11월 대비 2023년 1월까지 150% 늘었어요.
디도스 공격과 관련한 주요 이슈는 무엇인가요?
일반적으로 디도스 공격은 인터넷에 공개된 특정 서비스나 서버의 도메인 주소(예. www.kisa.or.kr)에 대량의 트래픽을 일으키는데요. 최근에는 기업에서 운영 중인 서버나 제공 서비스의 IP 주소(예. 1.2.3.4)에 직접 트래픽을 집중시켜 서비스 장애를 일으킵니다. 또한, 기업에서 자체적으로 운영하는 DNS 서버(도메인 주소를 IP 주소로 변환)에 대량의 트래픽이 발생하는 경우도 있는데요. 이런 경우 특정 서버의 도메인 주소가 IP주소로 올바르게 변환되지 않았거나 없는 도메인 주소를 변환하도록 해 접속 장애가 발생하기도 합니다.
가비아의 경우 KISA에서 공동 대응한 것으로 알고 있습니다. 주요 문제점은 무엇이고, 침해 대응은 어떻게 했나요?
해당 사안은 먼저 KISA 종합상황실과 사이버대피소에서 가비아 호스팅 서비스를 받는 홈페이지 장애를 인지했어요. 가비아 측에 연락해 대응 프로세스가 시작되었습니다. 공격은 가비아에서 관리하는 도메인에 대한 IP 질의가 ISP 또는 구글 등 캐시 네임 서버를 거쳐 가비아 DNS로 대량 유입돼 장애가 발생했는데요. 가비아에서도 지난 2월 24일 네임 서버 장애 관련 공지를 올렸고 현재는 공격이 종료돼 더 이상 서비스 장애는 없습니다.
이러한 캐시 네임서버를 통해 유입된 트래픽은 공격과 정상 트래픽을 구분할 수 없어 사전 차단이 어렵습니다. 이와 같이 DNS를 노린 디도스 공격 대응을 위해서는 가비아와 캐시 네임 서버가 위치한 ISP기관 간 공동 대응이 필요합니다.
이에 KISA는 두 기관에 트래픽 정보 분석을 통해 공격 IP를 확보하고, 향후 동일한 공격이 유입된 경우 해당 공격 IP를 사전 차단하고 질의된 도메인 분석, 공격 IP 추출 등 사전 대응 체계 구축을 권고했습니다. 이어 기업의 자체적인 디도스 공격 대응력 향상을 위해 회선 대역폭 확대, DNS 서버 증설 및 디도스 대응 장비 등 보안 장비 구축 등을 권고했습니다.
디도스 공격 대응을 위해 KISA에서 노력하고 있는 점과 지원 정책은 무엇인가요?
중소기업기본법 제2조 및 중소기업기본법시행령 제3조에서 정하는 국내 ‘중소기업’은 디도스 공격 발생 시 사이버 대피소 서비스를 받을 수 있는데요. 신청은 보호나라(krcert.or.kr) 홈페이지 → 정보보호서비스 → 중소기업 홈페이지 보안강화에서 신청할 수 있습니다. 디도스 공격을 받고 있다면 대피소에 연락해 긴급보호를 받을 수 있습니다. 이후 필요 시 침해사고 원인 분석 등 공격 대응절차가 진행됩니다.
사이버대피소의 원리는 피해 서버(예, kisa.or.kr=1.1.1.1)의 IP를 DNS 변경을 통해 대피소 인입구간 IP로 변경(kisa.or.kr=2.2.2.2(대피소)하는 건데요. 그러면 본래의 서버(kisa.or.kr)로 유입되던 모든 트래픽을 대피소가 대신 받게 돼요. 그렇게 되면 대피소는 대규모 트래픽 중 정상 트래픽은 원 서버로, 비정상 트래픽은 차단해 공격 중에도 서비스를 유지할 수 있습니다.
KISA에서는 2010년부터 디도스 사이버대피소를 무료로 운영하고 있습니다. 국내 통신사도 유사한 대피소 서비스(유료)를 제공 중이고요. 더불어 공격 패킷에서 추출한 공격 IP가 해외에 있는경우 차단 또는 해당국가 CERT 조직을 통해 조치합니다. 국내 위치한 서버의 경우 트래픽 발생 원인을 조사하는 사고 분석 프로세스가 진행됩니다. 다만, 공격지 IP가 조작(스푸핑)된 경우 차단이나 사고조사가 진행될 수 없습니다. 이 경우 통신사 또는 서비스 주체의 보안 장비에서 스푸핑 IP를 차단해 피해가 발생하지 않도록 조치해야 합니다.
디도스 공격 대응을 위한 예방법에 대해 조언해 주신다면?
기업에서는 정상적인 인터넷 상황에서 네트워크 트래픽 소통량을 인지하고 이상징후 탐지를 위한 모니터링 체계를 갖춰야 합니다. 디도스 공격 발생시 서비스 장애 예방을 위해 콘텐츠 분산운영체계를 갖추는 게 중요해요. 디도스 공격은 지속적으로 발생하지 않아 기업은 부담일 수 있지만 디도스 대응 장비 구축·운영 및 필요시 통신사(ISP) 클린존 서비스(유료) 이용도 권고하고 있어요. 공격피해가 발생하게 되면, KISA 디도스 사이버 대피소 입주 또는 사용 중인 통신사(ISP)를 통해 우선 보호조치를 받아야 합니다.
==================================================================
[설문조사] 디도스 대응 솔루션 및 서비스 인식도와 선택기준
인력 및 예산 부족, 디도스 대응 어렵다 23.8% 1위
디도스 공격 유형, 단순 UDP·Flooding 등 대역폭 공격 38.9% 1위
기업과 기관의 디도스 대응은 여전히 미흡한 실정이다. 이에 본지가 기업과 기관의 보안담당자를 대상으로 2023년 3월 8일(수)~3월 14일(화)까지 진행한 ‘디도스 대응 솔루션·서비스 인식 및 선택기준에 대한 설문조사’ 결과 ‘귀사는 디도스 대응을 위해 어떤 노력을 하고 있나요’란 질문에 ‘인력 및 예산 부족으로 디도스 대응 노력이 어렵다’는 응답률이 23.8%로 가장 높았다. 이어 ‘디도스 시스템 구축 및 전용 솔루션 대응’ 21.8%, ‘정부, 기관 등에서 발표한 디도스 공격 대응 가이드와 긴급 위협 정보를 공유’ 16.6% 순으로 집계됐다.
▲ ‘디도스 대응 솔루션·서비스 인식 및 선택기준에 대한 설문조사’[이미지=보안뉴스]
특히 ‘전사적으로 디도스 모의훈련 및 교육을 정기적으로 하고 있다’ 2.1%, ‘ISP, CSP, KISA 등에서 제공하는 유·무료 디도스 방어 서비스 사용’ 2.1%, ‘ICMP, UDP 등 패킷 차단설정과 DNS 등 취약점 점검’ 7.8% 등 기본적인 대응이 제대로 이뤄지지 못하고 있는 것으로 나타났다.
▲ ‘디도스 대응 솔루션·서비스 인식 및 선택기준에 대한 설문조사’[이미지=보안뉴스]
가장 많이 받은 디도스 공격 유형은 단순 UDP, Flooding 등 대역폭 공격(38.9%)이다. 이어 DNS 서버 공격(20.2%), 초대용량 DRDoS 공격(19.7%), 세션 유지, 자원 고갈형 디도스(15%), 애플리케이션 계층 디도스(12.4%) 순으로 조사됐다.
디도스 공격 발생 빈도는 ‘일년에 3~4번’이 40.9%로 가장 많았다. 이어 ‘하루에 여러 번’ 14%, ‘한 달에 3~4번’ 13% 순으로 나타났다.
디도스 공격 피해는 ‘서버, 네트워크 장비 등의 과부하 발생’(27.5%)이 가장 많았다. 이어 ‘동일 회선 사용 시스템 접속 불가’ 13%, ‘대상 웹·DB서버 과부하 발생’ 8.3%, ‘시스템 과부하 및 통신 장애로 사내 업무수행 불가’ 7.8%, ‘고객 신뢰도 손실로 인한 회사 평판 및 브랜드 이미지 하락’ 6.2% 순으로 조사됐다.
디도스 대응체계, 기업의 문제점
디도스 공격 위협이 거세짐에 따라 기업도 디도스 대응이 쉽지 않다. 디도스 전문 솔루션 및 서비스 기업은 기업의 디도스 대응체계 수립과 관련해 문제점과 애로사항에 대해 다음과 같이 밝혔다.
넷스카우트, “기업, 디도스 방어 솔루션의 중요성 간과”
최근 사이버 공격의 특징은 다양하고 복잡하게 진화된 공격기법의 증가다. 이제는 예전처럼 기존의 디도스 제품으로 방어하기 쉬운 단순한 볼륨(Volume) 공격이 아니다. 하지만 기업은 최상단에 있는 디도스 방어 솔루션의 중요성을 간과하거나 가볍게 보는 경향이 있다. 오늘날의 지능형 사이버 위협은 얼마나 스마트하게 극복해 내느냐가 관건이다. 대규모의 공격은 물론 새로운 공격, 경험하지 못한 사이버 위협, 다양한 형태의 공격에 대응할 수 있는 최적의 디도스 솔루션을 도입하고 구축해야 한다. 선제적 대응방안과 고도화된 공격에 실시간 대비할 수 있는 운영체계 도입이 필수다.
메가존클라우드, “기업, 디도스 트래픽 탐지·완화 반복에 고비용 발생”
수많은 기업이 디도스에 대해 고민하고 있지만 어려운 문제다. 공격은 공격자에 의해 시작돼도 봇이 공격하기 때문에 수많은 트래픽을 탐지하고 완화해가는 과정을 반복해야 한다. 이 과정에서 매우 큰 비용이 발생한다. 또 다양한 레이어(Layer)에서 디도스 공격이 고도화되기 때문에 이에 대한 지속적인 보안 수준과 용량 업그레이드에 많은 기업이 어려움을 겪고 있다.
안랩, “기업, 이미 알려진 디도스 공격에도 대응 미흡”
다수의 디도스 공격은 이미 알려진 방식을 활용해 공격한다. 하지만 기업은 여전히 대응과 예방에 어려움을 겪고 있다. 그 이유는 첫째, 디도스 공격이 다양한 기법으로 자주 발생하기 때문이다. 둘째, 디도스 트래픽은 정상 트래픽과 함께 들어와 정상과 비정상 트래픽의 구별이 쉽지 않다. 셋째, 디도스 공격은 비교적 수행 난이도가 낮아 빈번히 발생해 공격 범인 추적과 분석이 쉽지 않다.
특히, 기업은 정상 트래픽과 디도스 트래픽 구분이 어려워 자동화된 대응 도입이 쉽지 않다. 때문에 디도스 대응을 위해 인력에 의존하는 게 현실이다. 하지만 한정된 인력으로 소화하기엔 여러 가지 어려움이 있다. 주말, 새벽 시간대 디도스 공격 발생 시 대응이 지연되거나 메가 이벤트 발생시 트래픽 폭증으로 대응이 쉽지 않다. 또 디도스 트래픽 간 식별의 어려움 등 많은 애로사항이 있다.
인포블록스, 범용 DNS의 한계·부하 분산 아키텍처 구성 미흡
디도스 대응에 있어 기업과 기관의 공통된 문제점은 △첫째, 범용 DNS의 한계점이다. 모니터링이나 보안 적용이 어렵기 때문에 공격이 일어난 후 인지할 수 있어 디도스 대응이 쉽지 않다. △둘째, 가짜 트래픽을 식별하고 차단하기 위한 솔루션 부재로 기업과 기관에서 일반적인 트래픽과 디도스 공격 트래픽 구분이 어렵다. △셋째, 부하 분산을 위한 아키텍처 구성이 없다. △넷째, 고가용성과 보안을 탑재한 DNS 서버의 필요성에 대한 인식이 낮다.
디도스 공격, 모의훈련으로 사전 예방
디도스 공격 대응을 위해선 무엇보다 예방이 매우 중요하다. 평소 전사적으로 디도스 대응 모의훈련이 되어 있다면 사전에 사고 방지뿐 아니라 대형사고로 이어지지 않을 수 있다. 모의훈련 솔루션 및 서비스는 디도스 공격에 대해 모의훈련 장비를 통해 대응하고, 시스템에서 발생할 수 있는 문제를 확인해 예방할 수 있다.
금융보안원도 최근 잇따른 디도스 공격 대응 및 예방을 위해 약 200개 금융회사 등을 대상으로 디도스 공격 대응훈련에 나섰다. 금융권에 디도스 공격 발생 시 신속히 초기 대응 및 서비스 복구 절차를 수행할 수 있도록 미들박스(Middlebox: 통신 구간에 트래픽 변환, 검사 등을 조작하는 네트워킹 장치) 등 상용 장비 취약점을 이용한 공격을 시나리오에 반영해 실효성을 높였다.
이처럼 디도스 공격이 급증함에 따라 디도스 공격 대응을 위한 디도스 모의훈련의 중요성이 커지고 있다. 모의훈련을 통해 평소 기업에서 인지하지 못했던 보안위협을 발견할 수 있고, 문제점 점검 및 대비할 수 있기 때문이다. 그러기 위해선 무엇보다 실전과 같은 모의훈련이 중요하다. 지란지교에스앤씨는 디도스 대응 모의훈련과 관련해 기업의 문제점과 솔루션 도입 시 고려사항에 대해 다음과 같이 말했다.
“전세계, 디도스 공격 들끓어 모의훈련 확대 중”
최근 들어 국내는 물론 전 세계에서 사이버 공격피해가 발생하고 있다. 이를 방지하기 위해 중국, 베트남, 인도네시아, 카자흐스탄 등 여러 국가의 기관과 기업에선 해외 여러 지점을 대상으로 모의훈련을 확대하고 있다. 이는 그만큼 디도스 공격이 거세지고 있다는 의미이며, 사고 예방을 위한 방안으로 디도스 대응 모의훈련이 중요하다는 걸 뜻한다.
특히, 디도스 공격 모의훈련을 통해 안티 디도스(Anti-DDoS) 장비나 보안 장비 강화가 필요하다. 하지만 여전히 안티 디도스(Anti-DDoS) 장비 없이 운영되거나 특정 공격에 대한 탐지·차단 등의 정책 없이 운영되는 기업·기관이 부지기수다. 실제 디도스 공격 등 사이버 침해사고 위험에 노출된 경우가 적지 않아 문제가 되고 있다.
디도스 모의훈련 솔루션 및 서비스 도입 시 고려사항
지란지교에스앤씨, 공격용 IP와 실시간 탐지 환경 필요
디도스 모의훈련 솔루션 및 서비스 도입 시에는 반드시 고려해야 할 점이 있다. 첫째, 공격에 사용할 공격용 IP가 있어야 한다. 기업 내에서 진행하는 경우 사설 IP가 필요하고, 외부에서 진행할 경우 공인 IP가 있어야 한다.
둘째, 보안 장비(Anti-DDoS, Firewall, IPS) 엔지니어가 실시간으로 모니터링 및 대응할 수 있도록 환경이 뒷받침돼야 한다. 특히 주의해야 할 점은 일반 사용자의 서비스에 영향을 주면 안 된다. 디도스 모의훈련 시 일반 사용자의 서비스는 가능하면서 공격은 차단할 수 있어야 한다. 보안장비의 대응 불가 시, 웹 서버의 리소스, 서비스 가능 여부를 실시간으로 확인해야 한다. 디도스 공격에 사용되는 공격 패턴 중 일부 공격에 대해서는 대규모 Botnet(공격용 IP) 약 5만개를 방어할 수 있도록 디도스 대응 능력이 개선돼야 한다.
안티 디도스 장비의 방어 임계치, 공격차단 가능 여부 등 대응능력에 따라 디도스 공격 유형, 공격 시간, 공격량의 변화로 기관의 안티 디도스 장비의 디도스 대응 능력(어떤 공격에 대한 차단이 불가능했는지, 공격 차단은 불가능하고 탐지만 가능했는지 등)을 확인할 수 있다. 이를 통해 디도스 대응 능력에 대한 전체적인 실태 파악이 가능하고 향후 컨설팅 활용이 가능하다.
[이미지=안랩]
[디도스 공격 대응 대표 솔루션 집중분석-1]
‘AhnLab DPX’, 디도스 공격에 최적화된 대응 솔루션
고도화되는 디도스 공격을 효과적으로 방어해 안전한 비즈니스 환경 조성
디도스(DDoS)는 오래됐지만 아직도 가장 빈번한 공격이다. 공격 방법 역시 점점 고도화되어 여러 기법을 복합적으로 활용한 공격이 발생하고 있다. 이는 시스템 과부하, 업무 & 서비스 중단, 통신 장애를 초래해 비즈니스 연속성을 저해하고 고객 신뢰도를 잃게 한다. 디도스 공격에 효과적으로 대응하기 위해서는 최적의 방어 기법과 패킷 처리 성능 및 안정성을 보장하는 디도스 대응 솔루션이 필요하다.
압도적인 성능, 차별화된 기능 ‘AhnLab DPX’
‘AhnLab DPX’는 국내 최초로 40G·100G 네트워크 인터페이스 카드(NIC) 장착을 지원하며, DPDK(Data Plane Development Kit) 기반의 압도적인 고성능 패킷 처리 역량을 자랑한다. 제품 라인업은 5000B, 10000B, 20000B 중 고객의 환경에 따라 선택할 수 있다. 특히, ‘AhnLab DPX 20000B’는 하이엔드 고성능 모델로 100G 이상의 초대형 디도스 공격에 최적화된 방어 역량을 제공한다.
‘AhnLab DPX’는 12단계 필터를 기반으로 고도화된 디도스 대응 역량을 제공한다. 12단계 필터는 국가 기반 차단, 정책 예외·접근 차단, 시스템 격리, HTTP 접속 인증, 스테이트풀(Stateful) 검사 등 디도스 공격에 대한 체계적이고 세밀한 방어가 가능하도록 구성되어 있다.
또, 탁월한 인증 기능을 바탕으로 트래픽 유발 대상이 사람인지 봇(Bot)인지 식별한다. ‘AhnLab DPX’는 TCP와 HTTP 각각 세 가지, 총 여섯 가지 인증 기법을 제공하는데, TCP Session과 HTTP Request의 정상 여부를 판별해 봇 기반 공격을 탐지해 차단할 수 있다.
‘AhnLab DPX’는 보호 대상을 각각 ‘존(Zone)’이라는 개념으로 설정할 수 있고, 최대 328개의 존을 제공해 각 대상에 대한 관리를 완전히 분리해 수행할 수 있도록 한다.
유연한 연동으로 보안 역량 극대화
‘AhnLab DPX’는 외부 SIEM(Security Information & Event Management) 및 빅데이터 플랫폼과 연동해 로그 가시성을 확보하고 빅데이터 분석을 수행할 수 있다. 또, 다양한 SOAR(Security Orchestration, Automation and Response)와 로그를 연동하고 Rest API를 통해 대응 정책 자동화를 구현할 수 있다. 안랩의 위협 관리 시스템 AhnLab TMS와도 연동해 정책과 로그 통합 관리가 가능하다.
[이미지=엑스퍼넷]
[디도스 공격 대응 대표 솔루션 집중분석-2]
DNS 디도스 공격 대응을 위한 ‘인포블록스 ADP’ 솔루션
진화하는 DNS 기반 위협으로부터 중요 IT 인프라 보호 및 비즈니스 보장
지난 2월 국내 호스팅 업체의 DNS가 디도스 공격을 받아 약 3시간 동안 그룹웨어 서비스 장애와 해당 업체의 DNS 사용 기업에서 홈페이지 접속 장애가 발생했다. 디도스 공격은 국내 대기업과 금융권 등 전 산업에 걸쳐 꾸준히 발생하고 있다. 매년 DNS 트래픽은 증가하고 있으며 DNS를 겨냥한 공격은 나날이 늘고 있다. 뿐만 아니라 기술의 변화와 사용 목적의 증가로 DNS의 TCP 트래픽도 증가해 DNS 서버 부하로 이어져, 이를 이용한 공격 또한 많은 부하를 가져오기 시작했다.
DNS는 비즈니스 운영에 필요한 미션 크리티컬 네트워크 연결을 제공하고 있어 모든 조직의 기초가 된다. 그러나 DNS는 공개되어 있다는 특성과 핵심 인터넷 서비스라는 점에서 유혹적인 공격 대상이다. 외부 DNS 서버가 다운되면 전체 네트워크가 인터넷에서 차단되고, DNS 중단은 이메일, 웹사이트, VoIP 및 SaaS(Software as a Service)와 같은 중요한 IT 애플리케이션의 서비스 장애로 이어진다. 다시 말해, DNS는 비즈니스를 온라인 상태로 유지하는 데 필요한 핵심 인프라로 디도스 공격을 위한 최고의 표적이다. 공격에 성공하면 피해 기업은 고객과의 신뢰를 잃을 뿐만 아니라 천문학적인 손실도 입을 수 있다.
업계에서 가장 진보된 DNS 보안 솔루션 ‘인포블록스 ADP’
‘인포블록스(Infoblox)’는 중요한 DNS 서비스를 공격으로부터 보호하기 위해 우수한 보호 기능을 제공해 조직에 매우 높은 가용성을 보장한다. DNS 기반 공격이 있어도 비즈니스 서비스는 항상 가동되고 운영된다.
DDI(DNS·DHCP·IPAM) 기반의 네트워크 컨텍스트 정보를 기반으로 누가 네트워크를 사용하고 있는지, 어떤 장치에 있는지, 공격 세부 정보에 대한 중앙 집중식 가시성을 제공해 신속한 대응이 가능하다.
DNS 공격에 대한 완벽한 대비
‘인포블록스 ADP(Advanced DNS Protection)’는 DNS 디도스, 익스플로잇, NXDOMAIN, 데이터 유출(DNS Tunneling) 및 DNS 하이재킹 공격과 같은 광범위한 DNS 기반 공격을 방어한다. 인프라스트럭처 오버프로비저닝(Infrastructure Over-Provisioning)이나 간단한 응답 속도 제한에 의존하는 접근 방식과 달리, ADP는 정상적인 쿼리에만 응답하며 DNS 공격을 지능적으로 감지하고 완화한다. 보안 패치를 배포할 필요 없이 지속적으로 업데이트 되는 위협 인텔리전스를 사용해 적법한 쿼리에만 응답하며 지능적으로 DNS 공격을 탐지하고 완화한다.
또한 종합적인 보고서 및 경고 시스템을 통해 네트워크에 발생한 공격을 파악하고 조치를 취하는데 필요한 모든 정보를 제공한다. 보고서에는 각 카테고리 별 이벤트의 수, 규칙, 심각도, 회원 동향 분석 및 시간 기반 분석이 포함되며 ‘인포블록스’ 리포팅 서버를 통해 보고서에 액세스할 수 있다. 업계에서 가장 진보된 ‘인포블록스 ADP’ 솔루션을 이용하면 중요한 인프라와 비즈니스가 항상 작동하도록 보장해 네트워크 안정성을 한 차원 높일 수 있다.
▲사이트라인 방어 체계(Out of Band), 클러스터링 구성[이미지=넷스카우트]
[디도스 공격 대응 대표 솔루션 집중분석-3]
넷스카우트, 지능형 디도스에 대한 최적의 방어 체계 구성방안 제시
디도스에 대한 최초·최후 방어선 구축… 디도스 보안 환경 안정성 극대화
최근 사이버위협 가운데 특히 디도스 공격은 갈수록 정교해지고 있다. 대용량 공격에서부터 애플리케이션 공격, 암호화 및 오픈소스의 취약점을 활용한 공격, 랜섬웨어, 멀웨어 등 다양하고, 동시다발적인 공격들이 IT서비스 운영 환경을 위협하고 있다. 넷스카우트는 명확한 가시성 기반의 대량 공격과 다양한 위협 방식의 공격 방어를 위해 디도스 최적화와 동시에 기업의 사이버위협 대책의 효율성을 보장하고, CTI(Cyber Threat Intelligence) 기반의 보안 환경 안정성을 위한 두 가지 대안을 제시한다.
‘사이트라인’-대규모 디도스 공격과 분산된 서비스 환경 위한 방어체계
넷스카우트의 ‘사이트라인(Sightline with TMS)’은 통신사, 대형 그룹사에 대한 최적화된 공격 방어와 가시성을 제공해 안정적인 보안 환경의 구성과 효율적인 보안 운영 체계를 동시에 제공한다.
최근 디도스 트렌드는 스피드를 활용한 네트워크 무력화 공격으로 이 공격이 기승을 부리고 있다. 기업은 Bandwidth 소진, 물리적인 네트워크 장비에 타격을 가하는 공격에 대비해야 한다. 서비스 접속 지연·불가 등의 공격에 다양한 방어 방안과 Threat Intelligence 기반의 APT, 멀웨어, 랜섬웨어 등 자동화된 대비도 필요하다.
특히 대규모 네트워크를 운영하는 통신사, 국내 대기업의 IT서비스 회사 등은 다양하고 대규모의 공격에 대한 방어 체계 구축, 네트워크 서비스를 제공받는 기업과 계열사에 대한 네트워크 기반의 디도스 방어 체계를 구성하고 운영해야 한다. 대량의 네트워크 공격을 방어하고 애플리케이션 서비스 공격에 대한 대응 체계를 마련해, Threat Intelligence 기반의 AI를 통한 자동화된 차단 체계를 수립해 최적화된 사이버위협 대응 방안을 구축해야 한다. 또 효율적이며 최적화된 보안 운영 방안 기술을 반드시 필수적으로 갖추어야 한다. ‘사이트라인’은 최대 400Gbps의 동시 처리와 클러스터링으로 대량의 네트워크에 확대 및 최적화 구성을 제공한다.
▲AED 방어 구성(Inline), 최대 200GBPS[이미지=넷스카우트]
AED-HTTPS 포함한 암호화 공격 및 애플리케이션 방어 최적화
개별 기업의 특화된 디도스와 애플리케이션 방어 체계 역시 필수다. 넷스카우트의 ‘AED’는 디도스 방어를 넘어서, 애플리케이션에 특화된 공격 방어, HTTPS를 포함한 암호화 기법의 공격, 봇넷(Botnet) 및 오픈 소스의 취약점을 이용한 공격 등 다양한 공격의 동시다발적인 방어 기법은 물론 글로벌 Threat Intelligence 기반의 자동화된 사이버위협의 방어 수단을 제공한다.
특히 기업에서 웹 애플리케이션 위주 운영이 증가하고 있어 HTTP 기반의 애플리케이션에 대한 방어 체계는 필수다. HTTPS 암호화 트래픽을 이용한 공격, 애플리케이션 Payload 위·변조 공격에 대한 방어 체계 역시 필수 구성요소다. 이제 개별 기업은 디도스를 넘어 Threat Intelligence Gateway 기반의 광범위한 사이버위협 차단 체계로 구성을 변경하고 구축해야 한다. 애플리케이션을 이해하는 공격 완화, 애플리케이션별 특화된 방어 체계 구성, Threat Intelligence AI DB의 개별 적용과 자동화 등 다양한 위협 완화 방안을 마련해야 한다. 덧붙여 Zoom, WebEx, Salesforce 등 외부와 연계된 연결 접점의 방어 등 변화하는 IT서비스 환경에 최적화된 방어 체계를 구축해야 한다.
‘AED’는 최대 200Gbps의 동시 처리로 기업의 네트워크 인프라에 최적화된 보안 환경의 구성은 물론 In & Outbound 트래픽에 대한 감시와 위협 완화, HTTPS 및 Payload 시그니처 기반 방어를 지원한다.
[이미지=지란지교에스앤씨]
[디도스 공격 대응 대표 솔루션 집중분석-4]
지란지교에스앤씨, ‘넷스피어’로 디도스 공격 대응 능력 실태 파악가능
우리 기업도 사이버 침해 사고 위협에 노출되어 있을까, 사전 예방 최우선
디도스 공격은 기업과 개인 모두에게 중대한 위협이 되고 있다. 그 양과 방법이 방대해지고 복잡해지고 있다. 다양한 IoT 기기가 생겨나면서 또 다른 봇넷(Botnet)을 만들어 대규모 디도스 공격을 할 수 있게 되었다.
게다가 클라우드 기반의 리소스를 사용한 디도스 공격은 추적과 방어가 더욱 어렵다. 이렇게 더욱 정교하고 규모가 커진 디도스 공격과 사이버 위협으로부터 강력한 디도스 방어 전략을 세우기 위해 지란지교에스앤씨의 ‘넷스피어’는 디도스 공격 모의훈련으로 실태 점검과 컨설팅을 제공한다.
국내 디도스 공격 모의훈련 시뮬레이터 ‘넷스피어(NetSpear)’
지란지교에스앤씨의 ‘넷스피어(NetSpear)’는 국내 디도스 공격 모의훈련 시뮬레이터로써 기업과 기관의 보안에 대해 현실적인 진단과 실제에 가까운 훈련 서비스를 제공한다. 특히 디도스 봇넷 공격을 비롯해 TCP 디도스, Flooding, HTTPS 웹사이트, IGMP·ARP 디도스, ICMP 디도스, Combined, UDP 디도스(Jankins, ARMS 포함)등 모두 시뮬레이팅이 가능하다. 이에 따라 디도스 위험 관리에 대한 능력을 평가할 수 있어 디도스 대응 능력을 개선할 수 있다.
GS인증과 조달청 나라장터 등록, 디도스 모의훈련 제품으로 선두 목표
지란지교에스앤씨는 2011년 설립 이후 1000건 이상의 디도스 모의훈련을 다양한 기업과 기관에 진행하며 디도스 모의훈련에 대한 전문성을 갖췄다. 이렇게 매년 디도스 모의훈련에 대한 수요가 증가하고 있어 ‘넷스피어’의 안정성과 우수함을 인증하고자 연내 GS인증을 진행할 계획이다. 또한 GS인증이 진행되면 조달청 나라장터에도 등록, 더 많은 기관에서 편리하게 ‘넷스피어’를 이용할 수 있을 것으로 보인다.
[이미지=메가존클라우드]
[디도스 공격 대응 대표 솔루션 집중분석-5]
Cloudflare, 서비스형 Network Edge로 통합 글로벌 네트워크 플랫폼
최전방에서 고객사 Web과 Application을 디도스·Web·Bot 공격 방어
메가존클라우드는 2021년 6월 Cloudflare와 보안 및 CDN 서비스 확대를 위한 파트너십을 체결하고 Cloudflare서비스를 이용하는 기업에 애플리케이션 보안 솔루션(WAF)을 비롯한 CDN(Content Delivery Network), Application 가속, API 방어, Web Application Firewall, Bot 관리, 디도스 공격 방어 서비스를 제공하고 있다. 메가존클라우드는 제조업, 게임산업, 이커머스, 가상화폐(Crypto Currency) 산업 등 전산업군에 걸친 국내 고객 레퍼런스를 빠르게 확보해 나가고 있으며, Cloudflare 서비스에 대한 기술 전문성과 역량을 인정받아 지난 2022년 Services Partner of the Year과 MVP of the Year를 수상했다.
1. Cloudflare Architecture
Cloudflare는 서비스형 Network Edge로서 보안, 성능, 안전성을 제공하는 통합 글로벌 네트워크 플랫폼이다. 최전방에서 고객사 Web과 Application을 디도스, Web, Bot 공격으로 부터 방어하고 보호한다.
2. Cloudflare DDoS(디도스)
Cloudflare 디도스 서비스는 트래픽의 성능 저하 없이 285+ Pop에서 자체 보유한 192Tbps 네트워크 용량으로 모든 규모, 모든 종류의 디도스 공격을 차단한다. △글로벌 285+ Pop 보유: Cloudflare는 글로벌 285+ Pop(=스크러빙 센터)에서 디도스 공격 모니터링 및 방어 제공 △192Tbps 네트워크 용량 보유: Cloudflare의 글로벌 192Tbps 네트워크 용량을 통한 대역폭 디도스 공격 방어 제공 △3초 이내 디도스 공격 감지 및 방어: L3~L7까지 거의 모든 Layer에서 디도스 공격을 3초 이내에 탐지 및 방어한다.
3. Cloudflare WAF(Web Application Firewall)
Cloudflare WAF는 OWASP Top 10 공격부터 최신 취약점까지 사이버위협으로 고객 비즈니스를 보호한다. △Managed Rules: OWASP Top 10부터 최신 보안 취약점까지 신속한 보안 관리 및 사용자 맞춤형 Rules 관리를 제공한다. △제로데이 취약점 방어: 자체 WAF ML(Machine Learning)을 통해 Zero-Day 취약점 또는 변형된 위협에 대해 방어 기능을 제공한다. △데이터 유출 방지: 개인정보(개인식별정보, 금융정보, 신용카드정보)와 API Key와 같은 민감 데이터 유출을 방지한다. △크리덴셜 스터핑 차단: 다크웹을 통해 확보한 계정 정보 탈취를 목적으로 한 무차별 계정 암호 대입 공격(Credential Stuffing)을 방어하고 차단한다.
4. Cloudflare Bot Management
Cloudflare Bot Management는 약 20M의 글로벌 웹 트래픽을 분석해 Bot Score를 부여하고, 악성 Bot에 대해 방어한다. 자체적으로 보유한 5가지 Bot 분석 메커니즘과 다양한 보안 기능을 활용해 알려지지 않은 Bot 공격도 효과적으로 차단한다. 시장조사기관 가트너(Gartner)는 WAF 부문에 Cloudflare를 ‘소비자 선택’으로 선정했고 Forrester는 WAF 부문에 ‘리더’로 Cloudflare를 선정했다.
[김경애 기자(boan3@boannews.com)]
[인터뷰] 심재홍 한국인터넷진흥원 침해대응단장에게 들어본 디도스 공격 실태
[설문조사] ‘디도스 대응 솔루션·서비스 인식 및 선택기준에 대한 설문조사’ 결과 발표
디도스 대응 대표 솔루션 분석: 안랩, 인포블록스, 넷스카우트, 메가존클라우드, 지란지교에스앤씨
[보안뉴스 김경애 기자] 최근 디도스 공격이 예사롭지 않다. 가비아, LG유플러스, KT 등 1분기에만 디도스 공격이 연이어 발생했다. 2022년 11월 대비 2023년 1월까지 무려 150% 증가했다. 기관과 기업에선 긴장감이 맴돌고 있다. 금융보안원은 지난 3월 2023년도 실전형 침해사고 대응훈련에 돌입했다. “최근 증폭·반사 디도스 공격이 증가했다”고 밝히며, 200여개 금융사 등을 대상으로 디도스 공격 발생 시 신속한 초기 대응, 서비스 복구, 최신 공격 기법 적용 등에 초점을 맞췄다.
[이미지=utoimage]
여기에서는 최근 급증한 디도스 보안 이슈에 대해 집중적으로 분석하고자 한다. 최근 발생한 디도스 공격 이슈를 비롯해 심재홍 한국인터넷진흥원 침해대응단장 인터뷰를 통해 디도스 보안위협과 사건 현황, 디도스 공격 대응을 위한 지원 제도 및 정책에 대해 들어봤다. 이어 ‘디도스 대응 솔루션·서비스 인식 및 선택기준에 대한 설문조사’를 통해 디도스 공격 현황과 대응 실태를 짚어보고, 디도스 모의훈련 솔루션 기업을 취재해 디도스 대응과 관련해 기업의 문제점과 디도스 대응 및 예방법에 대해 알아봤다.
디도스, 대역폭·자원소진·DB 부하 공격
분산 서비스 거부 공격인 디도스(DDoS: Distributed Denial of Service)는 공격자가 PC나 서버를 악성코드로 감염시켜 이른바 ‘좀비 PC’로 만든 후 대량의 트래픽을 유발해 시스템을 마비시키는 공격이다. ‘디도스 공격 대응 가이드’에 따르면 디도스 공격은 공격 형태에 따라 크게 △대역폭 공격 △자원 소진 공격 △웹·DB 부하 공격으로 구분된다.
대역폭 공격, UDP Flooding과 DNS Reflection Attack 대역폭 공격은 공격대상의 회선 대역폭을 고갈시키는 공격으로 유형에 따라 2가지로 나뉜다. 첫째, UDP Flooding 및 UDP 기반 반사 공격 유형인 UDP Flooding, ICMP Flooding. 둘째, DRDoS 유형인 DNS Reflection Attack, NTP Reflection Attack, CLDAP Reflection Attack, SSDP Reflection Attack, Memcached Reflection Attack, WS-Discovery Reflection Attack, ARMS Reflection Attack, CoAP Reflection Attack, Jenkins Reflection Attack, 기타 Reflection Attack 등이 있다.
그중 UDP Flooding은 가장 오랜 기간 사용된 대표적인 대역폭 공격방식이다. 의미 없는 데이터로 채워진 대량의 UDP Packet을 여러 봇넷(Botnet)을 통해 피해자 시스템으로 보낸다. 데이터 전송시 UDP 프로토콜의 비연결형(Connectionless) 특성을 악용한다. 단순 방식의 공격이지만 효과가 커 꾸준히 사용되고 있다. 반사 공격 등장 후 단일 UDP Flooding의 비중은 줄었으나 대역폭 공격에선 여전히 가장 큰 비중을 차지한다.
DRDoS(Distributed Reflection Denial of Service) 유형의 대역폭 공격은 단순 디도스 공격에서 발전해 서버, 네트워크 장비, 공유기 등 서버 역할을 할 수 있는 단말 장비까지 증폭 공격에 활용한다. DRDoS 유형 중 가장 대표적인 공격은 DNS Reflection Attack이다. DNS Reflection Attack은 공격자가 피해자의 IP로 위장(스푸핑)해 네임서버에 비정상 DNS 질의를 요청한다. 요청받은 네임서버는 DNS 응답 값을 위장한 IP로 전송해 공격대상의 회선 대역폭을 고갈시킨다. 공격 트래픽 양을 높이기 위해 단순 DNS Query가 아닌 Zone의 모든 정보를 요청하는 “ANY” Type 레코드를 요청하는 특징이 있다.
자원소진 공격
자원소진 공격은 TCP SYN, ACK Flooding 등이 있다. 가장 대표적인 공격은 SYN Flooding으로 과거부터 현재까지 가장 많이 사용되고 있다. TCP Protocol의 3-Way-Handshake를 악용한 공격기법으로 SYN Flag만 지속 전달하고 돌아오는 SYN·ACK 패킷에 대한 응답은 주지 않아 피해서버의 자원을 소모한다. bps에 비해 높은 pps를 보이며, 대규모의 트래픽을 발생시키지 않아도 서비스 접속 불가를 유도할 수 있다.
웹·DB부하 공격
웹·DB부하 공격은 GET Flooding, POST Flooding 등이다. 가장 대표적인 공격방식은 GET Flooding이다. 공격자는 TCP Protocol의 3-Way-Handshake를 통해 서버와 세션을 맺은 후, HTTP GET 메소드 요청을 통해 웹서버와 DB서버 자원을 소진시켜 정상 사용자의 웹서비스 이용을 차단한다. 자원소진 공격과 유사하게 bps에 비해 높은 pps를 보인다. 정상 요청과 유사한 요청을 보여 사전 대비가 어렵다. 적은 개수의 좀비PC·단말로도 서비스 장애를 유도할 수 있는 게 특징이다.
디도스 공격, 오래전부터 활용...지능·고도화 기법으로 진화
디도스 공격은 예전부터 꾸준히 발생하는 사이버 공격이다. 1999년까지만 해도 디도스 공격은 Ping of Death, Tear Drop, Smuff, Land Attack 등 비교적 단순한 형태의 도스(DoS) 공격이었다. 2005년 봇넷으로 대규모 트래픽을 유발하는 디도스, DRDoS, DDoS-For-Hire(돈을 받고 DDoS 공격을 수행해주는 시스템)로 진화했다.
주요 이슈로는 2011년 3월 4일 포털사, 은행, 정부 기관 등 40여 개 사이트를 마비시킨 3.4 디도스 대란, 2009년 7월 7일부터 10일까지 국내외 주요 정부기관, 포털 사이트, 은행 30개 이상의 웹사이트가 마비된 7.7 디도스 대란, 2003년 1월 25일 대한민국의 주요 인터넷망을 마비시킨 1.25 대란이 있다. 특히 7.7 디도스 사건은 사회적으로 디도스 공격의 심각성을 인지하는 계기가 됐다. 보안장비의 일부 기능으로 존재하던 디도스 대응이 하나의 솔루션으로 발전하는 시발점이 되었다.
최근 디도스 공격 트렌드 & 보안위협
최근 디도스 공격 트렌드는 디도스 공격 협박으로 금전을 요구하거나, 지능적이고 정교한 멀티 공격기법을 더한 새로운 형태로 진화하고 있다. 공격 대부분은 웹과 DB 부하 공격 등을 혼합하는 멀티 벡터 공격이고, 공격을 수행하는 봇넷 규모에 따라 위험도 역시 커지면서 디도스 공격 위협은 갈수록 커지고 있다.
신규 공격 유형은 대응 시스템 우회, 압도하기 위한 고도화된 스마트 어택(Smart Attack), 멤캐시드 리플렉션 어택(Memcached Reflection Attack), Carpet Bombing(카핏 바밍), 랜섬 디도스 등이 등장해 진화하고 있다. 전 세계적으로는 러-우크라이나 전쟁, 미-중 갈등 등 정치안보 이슈까지 더해지고 있다.
이에 주요 디도스 대응 솔루션 및 서비스 전문기업과의 인터뷰를 통해 최근 디도스 공격 트렌드와 보안위협, 그리고 주요 이슈에 대해 들어봤다.
넷스카우트, 가장 많은 공격 유형 1위 ‘TCP ACK’
디도스 공격은 갈수록 증가 추세다. 넷스카우트가 발표한 2022 글로벌 사이버 공격 현황에 따르면 공격 횟수(Attack Count)는 6,019,888건, 최대 대역폭(Max Bandwidth)은 957.9Gbps, 최대 처리량(Max Throughput)은 284.4 Mpps다.
가장 많은 공격 유형(TOP VECTORS) 1위는 TCP ACK, 2위 TCP SYN, 3위 DNS Amp, 4위 TCP RST, 5위 TCP SYN/ACK Amp 순으로 집계됐다.
최근 진화하는 사이버 공격의 특징은 △트리플 랜섬 디도스(Triple Ransom DDoS: File Encryption, Data Leakage and DDoS) 공격 △멀티 벡터 디도스(Multi-Vector DDoS) 공격 사례 증가 → 볼륨 + TCP 세션 + Application 동시 공격 △성능이 뛰어난 새로운 서버급 봇넷 Army 등장 △Git 서버의 취약점 악용 및 서버급 봇넷 증가 △Confluence, GitLab and Log4j 를 실행하는 서버들의 심각한 취약점 악용 △SSL, TLS 암호화 애플리케이션과 서비스에 대한 사이버 공격 증가 △단순 볼륨 공격이 아닌 TCP Flag (Syn, Ack, RST 등) 또는 DNS 공격 증가다.
디도스와 지능형 사이버 공격의 파괴력이 커지면서 사용자의 금전 피해도 늘고 있다. 넷스카우트가 조사한 설문에 따르면 응답자의 절반 이상은 피해 금액이 지난해 대비 두 배에 달하는 10억~100억 달러다. 다변화되는 사이버 위협에 단순한 디도스 방어 솔루션은 이제 역부족이다. 최신 위협 정보를 실시간 수집해 공격 타입별로 다양하고 정교한 방어 정책을 펴야 한다. 얼마나 신속하고 정교하게 자산을 보호하는지, 사고 후 실시간 트래픽을 통해 얼마나 정확하고 상세하게 감지 및 분석할 수 있는지가 매우 중요해졌다. 그렇지 않으면 피해는 계속 증가할 것으로 예상된다.
메가존클라우드, HTTP 디도스 공격 양 전년 대비 79% 증가
2023년 2월 13일 Cloudflare는 수십 건의 대용량 디도스 공격을 탐지했다. 대부분의 공격은 초당 5000만~7000만 rps(초당 요청 수)로 정점을 찍었고 가장 큰 공격은 7100만 rps를 초과했다. 2022년 6월 보고된 4600만 rps의 이전 기록보다 54% 이상 높은 가장 큰 HTTP 디도스 공격이다. 공격은 Cloudflare로 보호되는 HTTP·2 기반 및 표적 웹사이트로 30,000개 이상의 IP 주소에서 시작됐다. 공격받은 웹사이트는 유명 게임 제공업체, 암호화폐 거래소, 호스팅 제공업체 및 클라우드 컴퓨팅 플랫폼이 포함됐다. 공격은 수많은 클라우드 제공업체에서 시작됐고 함께 협력해 봇넷을 차단했다.
지난 몇 개월 동안 공격의 규모, 정교함 및 빈도도 증가했다. 최신 디도스 위협보고서에 따르면 HTTP 디도스 공격 양은 전년 대비 79% 증가했다. 100Gbps를 초과하는 볼륨 메트릭 공격의 양은 전 분기 대비 67% 증가했다. 3시간 이상 지속 공격 수치는 전분기 대비 무려 87% 증가했다.
하지만 공격자는 갈수록 대담해지는 추세다. 랜섬 디도스(Ransom DDoS) 공격은 한해 동안 꾸준히 늘어 조사 대상 4명 중 1명은 랜섬 디도스 공격 위협을 받았다. 따라서 위협 빈도수 증가와 고도화에 대한 탐지 및 완화는 자동화가 필요하다. 실시간으로 완화하기 위해 사람만 의존하면 방어가 불리하기 때문이다.
안랩, 정상·디도스 트래픽 함께 발생하는 환경 ‘주목’
코로나19로 인한 비대면 환경의 보편화, 5G 네트워크의 성장, 클라우드 도입 증가 등으로 인해 전 세계적으로 트래픽 양이 증가했다. 이는 정상 트래픽과 디도스 공격 트래픽이 함께 발생하기 쉬운 환경이란 얘기다. 바로 이점을 주목해야 한다. 공격자가 이미 알려진 기법을 활용해 다양한 기업을 타깃으로, 디도스 공격을 수행하기 때문이다.
따라서 디도스 공격 규모와 발생 횟수가 모두 증가하는 상황에서 디도스 공격을 신속하고 정확하게 대응할 수 있는 시스템을 구축해야 한다. 또한, 개별 보안위협 사례에 의미를 두기보다 일상적으로 발생하는 트래픽 속에서 디도스 여부를 판단하기 위한 대응전략을 세워야 한다.
인포블록스, 오픈된 특성 노린 DNS 공격 주의
디도스 공격에서 가장 흔한 사례는 DNS 공격이다. DNS는 오픈된 특성으로 누구나 접근할 수 있어 공격 표적이 되기 쉽다. 서비스 연결의 중심점인 DNS만 공략해도 매우 넓은 범위의 피해를 입힐 수 있다. 특히, 디도스의 가장 큰 벡터 중 하나인 IoT를 이용한 DNS 공격 사례가 늘고 있다. IoT 기기는 폭발적으로 늘고 있어 앞으로 디도스 공격에 많이 이용될 것으로 보인다. 또한, 5G의 보편화로 디도스 공격 규모는 더욱 커질 전망이다.
디지털 트렌스포메이션, 4차 산업혁명 등 오늘날 급변하는 네트워크 환경에서 트래픽이 늘고 있다. DNS는 모든 트래픽을 연결해주는 기준점으로 그 중요도와 안정성 및 응답속도가 나날이 중요해지고 있다.
2023년 1분기, 가비아·LG유플러스·KT 등 줄줄이 디도스 공격 피해
1분기는 각종 이벤트와 행사, 홈페이지 개편, 공연 예매 등 인터넷 서비스 이용 및 접속이용이 많은 시즌이다. 공격자 역시 이점을 놓치지 않는다. 올해 1분기만 해도 알려진 디도스 공격 이슈만 여러 건이다.
▲올해 1~2월 발생한 디도스 공격 사건[이미지=보안뉴스]
도메인 기업 가비아가 지난 2월 24일 오전 10시 12분부터 12시 58분경까지 디도스 공격을 받았다. 가비아 네임 서버로 연결된 서비스 연결에 오류가 났고, 가비아 서비스 이용 기업은 접속 오류로 불편을 겪는 등 가비아 전체 서비스에 장애가 발생했다.
통신사인 LG유플러스도 지난 2월 4일 디도스 공격을 받았다. 소상공인, PC방 운영자, LG유플러스 인터넷과 IPTV 이용자는 인터넷 접속 장애로 인해 카드 결제 등 피해가 발생했다. LG유플러스는 디도스 공격 사태로 피해 보상 공지는 물론 대국민 사과, 정보보안 인력과 예산 확대 발표 등 여러 가지 대응책을 내놓았다.
KT 역시 지난 1월 2일 DNS 이상으로 인터넷 서비스 장애가 발생했다. 부산, 울산, 경남 등 지역에서 30여분간 KT 유선 인터넷 서비스 장애가 일어났다.
===============================================================
[인터뷰] 심재홍 한국인터넷진흥원 침해대응단장
“디도스 공격, 2022년 11월 대비 2023년 1월까지 150% 증가”
최근 급증한 디도스 보안위협과 관련해 심재홍 한국인터넷진흥원 침해대응단장의 인터뷰를 통해 공격 현황, 디도스 대응 관련 지원 제도 및 정책에 대해 들어봤다.
최근 디도스 보안위협과 공격 현황은 어떤가요?
디도스 공격은 다량의 네트워크 트래픽을 특정 사이트나 인터넷에 연결된 웹서버를 유입시켜 정상적인 서비스가 불가능하도록 만드는 공격인데요. 주로 국민이 자주 이용하는 웹 서비스를 마비시키거나, 사회 혼란을 조장하기 위해 기업의 유통서비스에 장애를 일으켜 공격 중단의 대가로 금전을 요구하는 형태로 진화해 왔습니다.
디도스 공격은 유입되는 트래픽에 대한 기업·기관의 수용 용량이 매우 중요한데요. 기업에서 디도스 공격으로 장애가 일어났다면 공격 방어 인프라가 구축되지 않았거나 감내 범위를 넘어선 겁니다. KISA에 신고된 디도스 공격 기준은 2022년 11월 대비 2023년 1월까지 150% 늘었어요.
디도스 공격과 관련한 주요 이슈는 무엇인가요?
일반적으로 디도스 공격은 인터넷에 공개된 특정 서비스나 서버의 도메인 주소(예. www.kisa.or.kr)에 대량의 트래픽을 일으키는데요. 최근에는 기업에서 운영 중인 서버나 제공 서비스의 IP 주소(예. 1.2.3.4)에 직접 트래픽을 집중시켜 서비스 장애를 일으킵니다. 또한, 기업에서 자체적으로 운영하는 DNS 서버(도메인 주소를 IP 주소로 변환)에 대량의 트래픽이 발생하는 경우도 있는데요. 이런 경우 특정 서버의 도메인 주소가 IP주소로 올바르게 변환되지 않았거나 없는 도메인 주소를 변환하도록 해 접속 장애가 발생하기도 합니다.
가비아의 경우 KISA에서 공동 대응한 것으로 알고 있습니다. 주요 문제점은 무엇이고, 침해 대응은 어떻게 했나요?
해당 사안은 먼저 KISA 종합상황실과 사이버대피소에서 가비아 호스팅 서비스를 받는 홈페이지 장애를 인지했어요. 가비아 측에 연락해 대응 프로세스가 시작되었습니다. 공격은 가비아에서 관리하는 도메인에 대한 IP 질의가 ISP 또는 구글 등 캐시 네임 서버를 거쳐 가비아 DNS로 대량 유입돼 장애가 발생했는데요. 가비아에서도 지난 2월 24일 네임 서버 장애 관련 공지를 올렸고 현재는 공격이 종료돼 더 이상 서비스 장애는 없습니다.
이러한 캐시 네임서버를 통해 유입된 트래픽은 공격과 정상 트래픽을 구분할 수 없어 사전 차단이 어렵습니다. 이와 같이 DNS를 노린 디도스 공격 대응을 위해서는 가비아와 캐시 네임 서버가 위치한 ISP기관 간 공동 대응이 필요합니다.
이에 KISA는 두 기관에 트래픽 정보 분석을 통해 공격 IP를 확보하고, 향후 동일한 공격이 유입된 경우 해당 공격 IP를 사전 차단하고 질의된 도메인 분석, 공격 IP 추출 등 사전 대응 체계 구축을 권고했습니다. 이어 기업의 자체적인 디도스 공격 대응력 향상을 위해 회선 대역폭 확대, DNS 서버 증설 및 디도스 대응 장비 등 보안 장비 구축 등을 권고했습니다.
디도스 공격 대응을 위해 KISA에서 노력하고 있는 점과 지원 정책은 무엇인가요?
중소기업기본법 제2조 및 중소기업기본법시행령 제3조에서 정하는 국내 ‘중소기업’은 디도스 공격 발생 시 사이버 대피소 서비스를 받을 수 있는데요. 신청은 보호나라(krcert.or.kr) 홈페이지 → 정보보호서비스 → 중소기업 홈페이지 보안강화에서 신청할 수 있습니다. 디도스 공격을 받고 있다면 대피소에 연락해 긴급보호를 받을 수 있습니다. 이후 필요 시 침해사고 원인 분석 등 공격 대응절차가 진행됩니다.
사이버대피소의 원리는 피해 서버(예, kisa.or.kr=1.1.1.1)의 IP를 DNS 변경을 통해 대피소 인입구간 IP로 변경(kisa.or.kr=2.2.2.2(대피소)하는 건데요. 그러면 본래의 서버(kisa.or.kr)로 유입되던 모든 트래픽을 대피소가 대신 받게 돼요. 그렇게 되면 대피소는 대규모 트래픽 중 정상 트래픽은 원 서버로, 비정상 트래픽은 차단해 공격 중에도 서비스를 유지할 수 있습니다.
KISA에서는 2010년부터 디도스 사이버대피소를 무료로 운영하고 있습니다. 국내 통신사도 유사한 대피소 서비스(유료)를 제공 중이고요. 더불어 공격 패킷에서 추출한 공격 IP가 해외에 있는경우 차단 또는 해당국가 CERT 조직을 통해 조치합니다. 국내 위치한 서버의 경우 트래픽 발생 원인을 조사하는 사고 분석 프로세스가 진행됩니다. 다만, 공격지 IP가 조작(스푸핑)된 경우 차단이나 사고조사가 진행될 수 없습니다. 이 경우 통신사 또는 서비스 주체의 보안 장비에서 스푸핑 IP를 차단해 피해가 발생하지 않도록 조치해야 합니다.
디도스 공격 대응을 위한 예방법에 대해 조언해 주신다면?
기업에서는 정상적인 인터넷 상황에서 네트워크 트래픽 소통량을 인지하고 이상징후 탐지를 위한 모니터링 체계를 갖춰야 합니다. 디도스 공격 발생시 서비스 장애 예방을 위해 콘텐츠 분산운영체계를 갖추는 게 중요해요. 디도스 공격은 지속적으로 발생하지 않아 기업은 부담일 수 있지만 디도스 대응 장비 구축·운영 및 필요시 통신사(ISP) 클린존 서비스(유료) 이용도 권고하고 있어요. 공격피해가 발생하게 되면, KISA 디도스 사이버 대피소 입주 또는 사용 중인 통신사(ISP)를 통해 우선 보호조치를 받아야 합니다.
==================================================================
[설문조사] 디도스 대응 솔루션 및 서비스 인식도와 선택기준
인력 및 예산 부족, 디도스 대응 어렵다 23.8% 1위
디도스 공격 유형, 단순 UDP·Flooding 등 대역폭 공격 38.9% 1위
기업과 기관의 디도스 대응은 여전히 미흡한 실정이다. 이에 본지가 기업과 기관의 보안담당자를 대상으로 2023년 3월 8일(수)~3월 14일(화)까지 진행한 ‘디도스 대응 솔루션·서비스 인식 및 선택기준에 대한 설문조사’ 결과 ‘귀사는 디도스 대응을 위해 어떤 노력을 하고 있나요’란 질문에 ‘인력 및 예산 부족으로 디도스 대응 노력이 어렵다’는 응답률이 23.8%로 가장 높았다. 이어 ‘디도스 시스템 구축 및 전용 솔루션 대응’ 21.8%, ‘정부, 기관 등에서 발표한 디도스 공격 대응 가이드와 긴급 위협 정보를 공유’ 16.6% 순으로 집계됐다.
▲ ‘디도스 대응 솔루션·서비스 인식 및 선택기준에 대한 설문조사’[이미지=보안뉴스]
특히 ‘전사적으로 디도스 모의훈련 및 교육을 정기적으로 하고 있다’ 2.1%, ‘ISP, CSP, KISA 등에서 제공하는 유·무료 디도스 방어 서비스 사용’ 2.1%, ‘ICMP, UDP 등 패킷 차단설정과 DNS 등 취약점 점검’ 7.8% 등 기본적인 대응이 제대로 이뤄지지 못하고 있는 것으로 나타났다.
▲ ‘디도스 대응 솔루션·서비스 인식 및 선택기준에 대한 설문조사’[이미지=보안뉴스]
가장 많이 받은 디도스 공격 유형은 단순 UDP, Flooding 등 대역폭 공격(38.9%)이다. 이어 DNS 서버 공격(20.2%), 초대용량 DRDoS 공격(19.7%), 세션 유지, 자원 고갈형 디도스(15%), 애플리케이션 계층 디도스(12.4%) 순으로 조사됐다.
디도스 공격 발생 빈도는 ‘일년에 3~4번’이 40.9%로 가장 많았다. 이어 ‘하루에 여러 번’ 14%, ‘한 달에 3~4번’ 13% 순으로 나타났다.
디도스 공격 피해는 ‘서버, 네트워크 장비 등의 과부하 발생’(27.5%)이 가장 많았다. 이어 ‘동일 회선 사용 시스템 접속 불가’ 13%, ‘대상 웹·DB서버 과부하 발생’ 8.3%, ‘시스템 과부하 및 통신 장애로 사내 업무수행 불가’ 7.8%, ‘고객 신뢰도 손실로 인한 회사 평판 및 브랜드 이미지 하락’ 6.2% 순으로 조사됐다.
디도스 대응체계, 기업의 문제점
디도스 공격 위협이 거세짐에 따라 기업도 디도스 대응이 쉽지 않다. 디도스 전문 솔루션 및 서비스 기업은 기업의 디도스 대응체계 수립과 관련해 문제점과 애로사항에 대해 다음과 같이 밝혔다.
넷스카우트, “기업, 디도스 방어 솔루션의 중요성 간과”
최근 사이버 공격의 특징은 다양하고 복잡하게 진화된 공격기법의 증가다. 이제는 예전처럼 기존의 디도스 제품으로 방어하기 쉬운 단순한 볼륨(Volume) 공격이 아니다. 하지만 기업은 최상단에 있는 디도스 방어 솔루션의 중요성을 간과하거나 가볍게 보는 경향이 있다. 오늘날의 지능형 사이버 위협은 얼마나 스마트하게 극복해 내느냐가 관건이다. 대규모의 공격은 물론 새로운 공격, 경험하지 못한 사이버 위협, 다양한 형태의 공격에 대응할 수 있는 최적의 디도스 솔루션을 도입하고 구축해야 한다. 선제적 대응방안과 고도화된 공격에 실시간 대비할 수 있는 운영체계 도입이 필수다.
메가존클라우드, “기업, 디도스 트래픽 탐지·완화 반복에 고비용 발생”
수많은 기업이 디도스에 대해 고민하고 있지만 어려운 문제다. 공격은 공격자에 의해 시작돼도 봇이 공격하기 때문에 수많은 트래픽을 탐지하고 완화해가는 과정을 반복해야 한다. 이 과정에서 매우 큰 비용이 발생한다. 또 다양한 레이어(Layer)에서 디도스 공격이 고도화되기 때문에 이에 대한 지속적인 보안 수준과 용량 업그레이드에 많은 기업이 어려움을 겪고 있다.
안랩, “기업, 이미 알려진 디도스 공격에도 대응 미흡”
다수의 디도스 공격은 이미 알려진 방식을 활용해 공격한다. 하지만 기업은 여전히 대응과 예방에 어려움을 겪고 있다. 그 이유는 첫째, 디도스 공격이 다양한 기법으로 자주 발생하기 때문이다. 둘째, 디도스 트래픽은 정상 트래픽과 함께 들어와 정상과 비정상 트래픽의 구별이 쉽지 않다. 셋째, 디도스 공격은 비교적 수행 난이도가 낮아 빈번히 발생해 공격 범인 추적과 분석이 쉽지 않다.
특히, 기업은 정상 트래픽과 디도스 트래픽 구분이 어려워 자동화된 대응 도입이 쉽지 않다. 때문에 디도스 대응을 위해 인력에 의존하는 게 현실이다. 하지만 한정된 인력으로 소화하기엔 여러 가지 어려움이 있다. 주말, 새벽 시간대 디도스 공격 발생 시 대응이 지연되거나 메가 이벤트 발생시 트래픽 폭증으로 대응이 쉽지 않다. 또 디도스 트래픽 간 식별의 어려움 등 많은 애로사항이 있다.
인포블록스, 범용 DNS의 한계·부하 분산 아키텍처 구성 미흡
디도스 대응에 있어 기업과 기관의 공통된 문제점은 △첫째, 범용 DNS의 한계점이다. 모니터링이나 보안 적용이 어렵기 때문에 공격이 일어난 후 인지할 수 있어 디도스 대응이 쉽지 않다. △둘째, 가짜 트래픽을 식별하고 차단하기 위한 솔루션 부재로 기업과 기관에서 일반적인 트래픽과 디도스 공격 트래픽 구분이 어렵다. △셋째, 부하 분산을 위한 아키텍처 구성이 없다. △넷째, 고가용성과 보안을 탑재한 DNS 서버의 필요성에 대한 인식이 낮다.
디도스 공격, 모의훈련으로 사전 예방
디도스 공격 대응을 위해선 무엇보다 예방이 매우 중요하다. 평소 전사적으로 디도스 대응 모의훈련이 되어 있다면 사전에 사고 방지뿐 아니라 대형사고로 이어지지 않을 수 있다. 모의훈련 솔루션 및 서비스는 디도스 공격에 대해 모의훈련 장비를 통해 대응하고, 시스템에서 발생할 수 있는 문제를 확인해 예방할 수 있다.
금융보안원도 최근 잇따른 디도스 공격 대응 및 예방을 위해 약 200개 금융회사 등을 대상으로 디도스 공격 대응훈련에 나섰다. 금융권에 디도스 공격 발생 시 신속히 초기 대응 및 서비스 복구 절차를 수행할 수 있도록 미들박스(Middlebox: 통신 구간에 트래픽 변환, 검사 등을 조작하는 네트워킹 장치) 등 상용 장비 취약점을 이용한 공격을 시나리오에 반영해 실효성을 높였다.
이처럼 디도스 공격이 급증함에 따라 디도스 공격 대응을 위한 디도스 모의훈련의 중요성이 커지고 있다. 모의훈련을 통해 평소 기업에서 인지하지 못했던 보안위협을 발견할 수 있고, 문제점 점검 및 대비할 수 있기 때문이다. 그러기 위해선 무엇보다 실전과 같은 모의훈련이 중요하다. 지란지교에스앤씨는 디도스 대응 모의훈련과 관련해 기업의 문제점과 솔루션 도입 시 고려사항에 대해 다음과 같이 말했다.
“전세계, 디도스 공격 들끓어 모의훈련 확대 중”
최근 들어 국내는 물론 전 세계에서 사이버 공격피해가 발생하고 있다. 이를 방지하기 위해 중국, 베트남, 인도네시아, 카자흐스탄 등 여러 국가의 기관과 기업에선 해외 여러 지점을 대상으로 모의훈련을 확대하고 있다. 이는 그만큼 디도스 공격이 거세지고 있다는 의미이며, 사고 예방을 위한 방안으로 디도스 대응 모의훈련이 중요하다는 걸 뜻한다.
특히, 디도스 공격 모의훈련을 통해 안티 디도스(Anti-DDoS) 장비나 보안 장비 강화가 필요하다. 하지만 여전히 안티 디도스(Anti-DDoS) 장비 없이 운영되거나 특정 공격에 대한 탐지·차단 등의 정책 없이 운영되는 기업·기관이 부지기수다. 실제 디도스 공격 등 사이버 침해사고 위험에 노출된 경우가 적지 않아 문제가 되고 있다.
디도스 모의훈련 솔루션 및 서비스 도입 시 고려사항
지란지교에스앤씨, 공격용 IP와 실시간 탐지 환경 필요
디도스 모의훈련 솔루션 및 서비스 도입 시에는 반드시 고려해야 할 점이 있다. 첫째, 공격에 사용할 공격용 IP가 있어야 한다. 기업 내에서 진행하는 경우 사설 IP가 필요하고, 외부에서 진행할 경우 공인 IP가 있어야 한다.
둘째, 보안 장비(Anti-DDoS, Firewall, IPS) 엔지니어가 실시간으로 모니터링 및 대응할 수 있도록 환경이 뒷받침돼야 한다. 특히 주의해야 할 점은 일반 사용자의 서비스에 영향을 주면 안 된다. 디도스 모의훈련 시 일반 사용자의 서비스는 가능하면서 공격은 차단할 수 있어야 한다. 보안장비의 대응 불가 시, 웹 서버의 리소스, 서비스 가능 여부를 실시간으로 확인해야 한다. 디도스 공격에 사용되는 공격 패턴 중 일부 공격에 대해서는 대규모 Botnet(공격용 IP) 약 5만개를 방어할 수 있도록 디도스 대응 능력이 개선돼야 한다.
안티 디도스 장비의 방어 임계치, 공격차단 가능 여부 등 대응능력에 따라 디도스 공격 유형, 공격 시간, 공격량의 변화로 기관의 안티 디도스 장비의 디도스 대응 능력(어떤 공격에 대한 차단이 불가능했는지, 공격 차단은 불가능하고 탐지만 가능했는지 등)을 확인할 수 있다. 이를 통해 디도스 대응 능력에 대한 전체적인 실태 파악이 가능하고 향후 컨설팅 활용이 가능하다.
[이미지=안랩]
[디도스 공격 대응 대표 솔루션 집중분석-1]
‘AhnLab DPX’, 디도스 공격에 최적화된 대응 솔루션
고도화되는 디도스 공격을 효과적으로 방어해 안전한 비즈니스 환경 조성
디도스(DDoS)는 오래됐지만 아직도 가장 빈번한 공격이다. 공격 방법 역시 점점 고도화되어 여러 기법을 복합적으로 활용한 공격이 발생하고 있다. 이는 시스템 과부하, 업무 & 서비스 중단, 통신 장애를 초래해 비즈니스 연속성을 저해하고 고객 신뢰도를 잃게 한다. 디도스 공격에 효과적으로 대응하기 위해서는 최적의 방어 기법과 패킷 처리 성능 및 안정성을 보장하는 디도스 대응 솔루션이 필요하다.
압도적인 성능, 차별화된 기능 ‘AhnLab DPX’
‘AhnLab DPX’는 국내 최초로 40G·100G 네트워크 인터페이스 카드(NIC) 장착을 지원하며, DPDK(Data Plane Development Kit) 기반의 압도적인 고성능 패킷 처리 역량을 자랑한다. 제품 라인업은 5000B, 10000B, 20000B 중 고객의 환경에 따라 선택할 수 있다. 특히, ‘AhnLab DPX 20000B’는 하이엔드 고성능 모델로 100G 이상의 초대형 디도스 공격에 최적화된 방어 역량을 제공한다.
‘AhnLab DPX’는 12단계 필터를 기반으로 고도화된 디도스 대응 역량을 제공한다. 12단계 필터는 국가 기반 차단, 정책 예외·접근 차단, 시스템 격리, HTTP 접속 인증, 스테이트풀(Stateful) 검사 등 디도스 공격에 대한 체계적이고 세밀한 방어가 가능하도록 구성되어 있다.
또, 탁월한 인증 기능을 바탕으로 트래픽 유발 대상이 사람인지 봇(Bot)인지 식별한다. ‘AhnLab DPX’는 TCP와 HTTP 각각 세 가지, 총 여섯 가지 인증 기법을 제공하는데, TCP Session과 HTTP Request의 정상 여부를 판별해 봇 기반 공격을 탐지해 차단할 수 있다.
‘AhnLab DPX’는 보호 대상을 각각 ‘존(Zone)’이라는 개념으로 설정할 수 있고, 최대 328개의 존을 제공해 각 대상에 대한 관리를 완전히 분리해 수행할 수 있도록 한다.
유연한 연동으로 보안 역량 극대화
‘AhnLab DPX’는 외부 SIEM(Security Information & Event Management) 및 빅데이터 플랫폼과 연동해 로그 가시성을 확보하고 빅데이터 분석을 수행할 수 있다. 또, 다양한 SOAR(Security Orchestration, Automation and Response)와 로그를 연동하고 Rest API를 통해 대응 정책 자동화를 구현할 수 있다. 안랩의 위협 관리 시스템 AhnLab TMS와도 연동해 정책과 로그 통합 관리가 가능하다.
[이미지=엑스퍼넷]
[디도스 공격 대응 대표 솔루션 집중분석-2]
DNS 디도스 공격 대응을 위한 ‘인포블록스 ADP’ 솔루션
진화하는 DNS 기반 위협으로부터 중요 IT 인프라 보호 및 비즈니스 보장
지난 2월 국내 호스팅 업체의 DNS가 디도스 공격을 받아 약 3시간 동안 그룹웨어 서비스 장애와 해당 업체의 DNS 사용 기업에서 홈페이지 접속 장애가 발생했다. 디도스 공격은 국내 대기업과 금융권 등 전 산업에 걸쳐 꾸준히 발생하고 있다. 매년 DNS 트래픽은 증가하고 있으며 DNS를 겨냥한 공격은 나날이 늘고 있다. 뿐만 아니라 기술의 변화와 사용 목적의 증가로 DNS의 TCP 트래픽도 증가해 DNS 서버 부하로 이어져, 이를 이용한 공격 또한 많은 부하를 가져오기 시작했다.
DNS는 비즈니스 운영에 필요한 미션 크리티컬 네트워크 연결을 제공하고 있어 모든 조직의 기초가 된다. 그러나 DNS는 공개되어 있다는 특성과 핵심 인터넷 서비스라는 점에서 유혹적인 공격 대상이다. 외부 DNS 서버가 다운되면 전체 네트워크가 인터넷에서 차단되고, DNS 중단은 이메일, 웹사이트, VoIP 및 SaaS(Software as a Service)와 같은 중요한 IT 애플리케이션의 서비스 장애로 이어진다. 다시 말해, DNS는 비즈니스를 온라인 상태로 유지하는 데 필요한 핵심 인프라로 디도스 공격을 위한 최고의 표적이다. 공격에 성공하면 피해 기업은 고객과의 신뢰를 잃을 뿐만 아니라 천문학적인 손실도 입을 수 있다.
업계에서 가장 진보된 DNS 보안 솔루션 ‘인포블록스 ADP’
‘인포블록스(Infoblox)’는 중요한 DNS 서비스를 공격으로부터 보호하기 위해 우수한 보호 기능을 제공해 조직에 매우 높은 가용성을 보장한다. DNS 기반 공격이 있어도 비즈니스 서비스는 항상 가동되고 운영된다.
DDI(DNS·DHCP·IPAM) 기반의 네트워크 컨텍스트 정보를 기반으로 누가 네트워크를 사용하고 있는지, 어떤 장치에 있는지, 공격 세부 정보에 대한 중앙 집중식 가시성을 제공해 신속한 대응이 가능하다.
DNS 공격에 대한 완벽한 대비
‘인포블록스 ADP(Advanced DNS Protection)’는 DNS 디도스, 익스플로잇, NXDOMAIN, 데이터 유출(DNS Tunneling) 및 DNS 하이재킹 공격과 같은 광범위한 DNS 기반 공격을 방어한다. 인프라스트럭처 오버프로비저닝(Infrastructure Over-Provisioning)이나 간단한 응답 속도 제한에 의존하는 접근 방식과 달리, ADP는 정상적인 쿼리에만 응답하며 DNS 공격을 지능적으로 감지하고 완화한다. 보안 패치를 배포할 필요 없이 지속적으로 업데이트 되는 위협 인텔리전스를 사용해 적법한 쿼리에만 응답하며 지능적으로 DNS 공격을 탐지하고 완화한다.
또한 종합적인 보고서 및 경고 시스템을 통해 네트워크에 발생한 공격을 파악하고 조치를 취하는데 필요한 모든 정보를 제공한다. 보고서에는 각 카테고리 별 이벤트의 수, 규칙, 심각도, 회원 동향 분석 및 시간 기반 분석이 포함되며 ‘인포블록스’ 리포팅 서버를 통해 보고서에 액세스할 수 있다. 업계에서 가장 진보된 ‘인포블록스 ADP’ 솔루션을 이용하면 중요한 인프라와 비즈니스가 항상 작동하도록 보장해 네트워크 안정성을 한 차원 높일 수 있다.
▲사이트라인 방어 체계(Out of Band), 클러스터링 구성[이미지=넷스카우트]
[디도스 공격 대응 대표 솔루션 집중분석-3]
넷스카우트, 지능형 디도스에 대한 최적의 방어 체계 구성방안 제시
디도스에 대한 최초·최후 방어선 구축… 디도스 보안 환경 안정성 극대화
최근 사이버위협 가운데 특히 디도스 공격은 갈수록 정교해지고 있다. 대용량 공격에서부터 애플리케이션 공격, 암호화 및 오픈소스의 취약점을 활용한 공격, 랜섬웨어, 멀웨어 등 다양하고, 동시다발적인 공격들이 IT서비스 운영 환경을 위협하고 있다. 넷스카우트는 명확한 가시성 기반의 대량 공격과 다양한 위협 방식의 공격 방어를 위해 디도스 최적화와 동시에 기업의 사이버위협 대책의 효율성을 보장하고, CTI(Cyber Threat Intelligence) 기반의 보안 환경 안정성을 위한 두 가지 대안을 제시한다.
‘사이트라인’-대규모 디도스 공격과 분산된 서비스 환경 위한 방어체계
넷스카우트의 ‘사이트라인(Sightline with TMS)’은 통신사, 대형 그룹사에 대한 최적화된 공격 방어와 가시성을 제공해 안정적인 보안 환경의 구성과 효율적인 보안 운영 체계를 동시에 제공한다.
최근 디도스 트렌드는 스피드를 활용한 네트워크 무력화 공격으로 이 공격이 기승을 부리고 있다. 기업은 Bandwidth 소진, 물리적인 네트워크 장비에 타격을 가하는 공격에 대비해야 한다. 서비스 접속 지연·불가 등의 공격에 다양한 방어 방안과 Threat Intelligence 기반의 APT, 멀웨어, 랜섬웨어 등 자동화된 대비도 필요하다.
특히 대규모 네트워크를 운영하는 통신사, 국내 대기업의 IT서비스 회사 등은 다양하고 대규모의 공격에 대한 방어 체계 구축, 네트워크 서비스를 제공받는 기업과 계열사에 대한 네트워크 기반의 디도스 방어 체계를 구성하고 운영해야 한다. 대량의 네트워크 공격을 방어하고 애플리케이션 서비스 공격에 대한 대응 체계를 마련해, Threat Intelligence 기반의 AI를 통한 자동화된 차단 체계를 수립해 최적화된 사이버위협 대응 방안을 구축해야 한다. 또 효율적이며 최적화된 보안 운영 방안 기술을 반드시 필수적으로 갖추어야 한다. ‘사이트라인’은 최대 400Gbps의 동시 처리와 클러스터링으로 대량의 네트워크에 확대 및 최적화 구성을 제공한다.
▲AED 방어 구성(Inline), 최대 200GBPS[이미지=넷스카우트]
AED-HTTPS 포함한 암호화 공격 및 애플리케이션 방어 최적화
개별 기업의 특화된 디도스와 애플리케이션 방어 체계 역시 필수다. 넷스카우트의 ‘AED’는 디도스 방어를 넘어서, 애플리케이션에 특화된 공격 방어, HTTPS를 포함한 암호화 기법의 공격, 봇넷(Botnet) 및 오픈 소스의 취약점을 이용한 공격 등 다양한 공격의 동시다발적인 방어 기법은 물론 글로벌 Threat Intelligence 기반의 자동화된 사이버위협의 방어 수단을 제공한다.
특히 기업에서 웹 애플리케이션 위주 운영이 증가하고 있어 HTTP 기반의 애플리케이션에 대한 방어 체계는 필수다. HTTPS 암호화 트래픽을 이용한 공격, 애플리케이션 Payload 위·변조 공격에 대한 방어 체계 역시 필수 구성요소다. 이제 개별 기업은 디도스를 넘어 Threat Intelligence Gateway 기반의 광범위한 사이버위협 차단 체계로 구성을 변경하고 구축해야 한다. 애플리케이션을 이해하는 공격 완화, 애플리케이션별 특화된 방어 체계 구성, Threat Intelligence AI DB의 개별 적용과 자동화 등 다양한 위협 완화 방안을 마련해야 한다. 덧붙여 Zoom, WebEx, Salesforce 등 외부와 연계된 연결 접점의 방어 등 변화하는 IT서비스 환경에 최적화된 방어 체계를 구축해야 한다.
‘AED’는 최대 200Gbps의 동시 처리로 기업의 네트워크 인프라에 최적화된 보안 환경의 구성은 물론 In & Outbound 트래픽에 대한 감시와 위협 완화, HTTPS 및 Payload 시그니처 기반 방어를 지원한다.
[이미지=지란지교에스앤씨]
[디도스 공격 대응 대표 솔루션 집중분석-4]
지란지교에스앤씨, ‘넷스피어’로 디도스 공격 대응 능력 실태 파악가능
우리 기업도 사이버 침해 사고 위협에 노출되어 있을까, 사전 예방 최우선
디도스 공격은 기업과 개인 모두에게 중대한 위협이 되고 있다. 그 양과 방법이 방대해지고 복잡해지고 있다. 다양한 IoT 기기가 생겨나면서 또 다른 봇넷(Botnet)을 만들어 대규모 디도스 공격을 할 수 있게 되었다.
게다가 클라우드 기반의 리소스를 사용한 디도스 공격은 추적과 방어가 더욱 어렵다. 이렇게 더욱 정교하고 규모가 커진 디도스 공격과 사이버 위협으로부터 강력한 디도스 방어 전략을 세우기 위해 지란지교에스앤씨의 ‘넷스피어’는 디도스 공격 모의훈련으로 실태 점검과 컨설팅을 제공한다.
국내 디도스 공격 모의훈련 시뮬레이터 ‘넷스피어(NetSpear)’
지란지교에스앤씨의 ‘넷스피어(NetSpear)’는 국내 디도스 공격 모의훈련 시뮬레이터로써 기업과 기관의 보안에 대해 현실적인 진단과 실제에 가까운 훈련 서비스를 제공한다. 특히 디도스 봇넷 공격을 비롯해 TCP 디도스, Flooding, HTTPS 웹사이트, IGMP·ARP 디도스, ICMP 디도스, Combined, UDP 디도스(Jankins, ARMS 포함)등 모두 시뮬레이팅이 가능하다. 이에 따라 디도스 위험 관리에 대한 능력을 평가할 수 있어 디도스 대응 능력을 개선할 수 있다.
GS인증과 조달청 나라장터 등록, 디도스 모의훈련 제품으로 선두 목표
지란지교에스앤씨는 2011년 설립 이후 1000건 이상의 디도스 모의훈련을 다양한 기업과 기관에 진행하며 디도스 모의훈련에 대한 전문성을 갖췄다. 이렇게 매년 디도스 모의훈련에 대한 수요가 증가하고 있어 ‘넷스피어’의 안정성과 우수함을 인증하고자 연내 GS인증을 진행할 계획이다. 또한 GS인증이 진행되면 조달청 나라장터에도 등록, 더 많은 기관에서 편리하게 ‘넷스피어’를 이용할 수 있을 것으로 보인다.
[이미지=메가존클라우드]
[디도스 공격 대응 대표 솔루션 집중분석-5]
Cloudflare, 서비스형 Network Edge로 통합 글로벌 네트워크 플랫폼
최전방에서 고객사 Web과 Application을 디도스·Web·Bot 공격 방어
메가존클라우드는 2021년 6월 Cloudflare와 보안 및 CDN 서비스 확대를 위한 파트너십을 체결하고 Cloudflare서비스를 이용하는 기업에 애플리케이션 보안 솔루션(WAF)을 비롯한 CDN(Content Delivery Network), Application 가속, API 방어, Web Application Firewall, Bot 관리, 디도스 공격 방어 서비스를 제공하고 있다. 메가존클라우드는 제조업, 게임산업, 이커머스, 가상화폐(Crypto Currency) 산업 등 전산업군에 걸친 국내 고객 레퍼런스를 빠르게 확보해 나가고 있으며, Cloudflare 서비스에 대한 기술 전문성과 역량을 인정받아 지난 2022년 Services Partner of the Year과 MVP of the Year를 수상했다.
1. Cloudflare Architecture
Cloudflare는 서비스형 Network Edge로서 보안, 성능, 안전성을 제공하는 통합 글로벌 네트워크 플랫폼이다. 최전방에서 고객사 Web과 Application을 디도스, Web, Bot 공격으로 부터 방어하고 보호한다.
2. Cloudflare DDoS(디도스)
Cloudflare 디도스 서비스는 트래픽의 성능 저하 없이 285+ Pop에서 자체 보유한 192Tbps 네트워크 용량으로 모든 규모, 모든 종류의 디도스 공격을 차단한다. △글로벌 285+ Pop 보유: Cloudflare는 글로벌 285+ Pop(=스크러빙 센터)에서 디도스 공격 모니터링 및 방어 제공 △192Tbps 네트워크 용량 보유: Cloudflare의 글로벌 192Tbps 네트워크 용량을 통한 대역폭 디도스 공격 방어 제공 △3초 이내 디도스 공격 감지 및 방어: L3~L7까지 거의 모든 Layer에서 디도스 공격을 3초 이내에 탐지 및 방어한다.
3. Cloudflare WAF(Web Application Firewall)
Cloudflare WAF는 OWASP Top 10 공격부터 최신 취약점까지 사이버위협으로 고객 비즈니스를 보호한다. △Managed Rules: OWASP Top 10부터 최신 보안 취약점까지 신속한 보안 관리 및 사용자 맞춤형 Rules 관리를 제공한다. △제로데이 취약점 방어: 자체 WAF ML(Machine Learning)을 통해 Zero-Day 취약점 또는 변형된 위협에 대해 방어 기능을 제공한다. △데이터 유출 방지: 개인정보(개인식별정보, 금융정보, 신용카드정보)와 API Key와 같은 민감 데이터 유출을 방지한다. △크리덴셜 스터핑 차단: 다크웹을 통해 확보한 계정 정보 탈취를 목적으로 한 무차별 계정 암호 대입 공격(Credential Stuffing)을 방어하고 차단한다.
4. Cloudflare Bot Management
Cloudflare Bot Management는 약 20M의 글로벌 웹 트래픽을 분석해 Bot Score를 부여하고, 악성 Bot에 대해 방어한다. 자체적으로 보유한 5가지 Bot 분석 메커니즘과 다양한 보안 기능을 활용해 알려지지 않은 Bot 공격도 효과적으로 차단한다. 시장조사기관 가트너(Gartner)는 WAF 부문에 Cloudflare를 ‘소비자 선택’으로 선정했고 Forrester는 WAF 부문에 ‘리더’로 Cloudflare를 선정했다.
[김경애 기자(boan3@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
