[특집 : Anti DDoS 구축 성공 사례] IDC업체 LG데이콤 _ 시스코 가드 앤 디텍터(Guard & Detector) 구축사례
고객의 안정적인 서비스 제공을 위한 최적의 솔루션 고려
LG데이콤은 유선통신사업을 시작으로 현재는 인터넷, IPTV, 웹하드, 호스팅 서비스 등 기업과 가정 고객 대상 서비스를 제공하고 있다. 또 지난 1999년 IDC를 국내 오픈하고 현재까지 10년 넘게 네트워크 서비스를 제공하고 있는 국내 IDC센터 서비스 선두 기업이다. 조성일 LG데이콤 IDC사업부 아웃소싱사업팀 팀장은 “지난해 지속적인 DDoS 공격에 의한 보안 위협이 심각해짐에 따라 시스코의 가드 앤 디텍터를 도입·운영해 안정적인 서비스를 제공하고 있다”고 말했다.

그동안 LG데이콤은 DDoS 방어 장비를 렌탈하거나 판매를 대행했었다. 그런데 고객단에 구축하는 장비는 한계가 있었다. 그래서 백본단에서 막을 수 있는 방법을 고민한 끝에 지난 해 7월부터 DDoS 방어 장비의 도입을 준비하기 시작해 지난 해 10월 논현센터에 시스코의 Anti DDoS 솔루션 구축을 완료, 운영하고 있다. 구축을 위한 준비와 구축 기간은 모두 합해서 2~3개월 정도 소요됐으며 여러 가지 DDoS 방어 장비를 조사하고 BMT를 거친 결과 즉시 방어가 가능하고 서비스 중단이 없이 방어가 가능한 아웃오브패스 방식의 시스코의 가드 앤 디텍터(Guard & Detector)를 선택했다.
조성일 LG데이콤 IDC사업부 아웃소싱사업팀 팀장은 DDoS 방어장비의 도입 배경과 도입 전의 보안 위협상황에 대해서 “시스코의 DDoS 방어장비 도입 검토 시기인 지난해 1월~5월까지 LG데이콤 IDC고객에 대한 DDoS 공격은 월 평균 38회에 최대 8~70G까지 공격 트래픽이 발생하여 서비스를 제공할 수 없는 심각한 상황이었다”며 “주요 공격 대상 고객은 호스팅사업을 하는 Vitual IDC와 게임, 전자상거래 업체, 방송사 등이었다”고 밝혔다.
LG데이콤은 백본단에서 DDoS 방어 장비를 구축한 첫 사례로서 15G 급으로 구축되어 있다. 구축당시 무엇보다 고려한 점은 고객 적용시 러닝 기간, 즉 트래픽 분석 기간이 조금 필요한데 긴급 서비스를 요구하면 급하게 트래픽 유형을 만들어야 하는데 이에 따른 어려움이 좀 있었다.
 

고객 서비스에 영향 미치지 않는 솔루션 우선 고려
LG데이콤은 구축 전 DDoS 방어장비 선택 과정에서 제품 선택시 중요하게 고려한 부분은 백본 단에서 대용량 DDoS 공격 10G 이상을 방어할 수 있고 정상트래픽은 보호해주는 장비를 우선 고려했고 그 다음에 서비스 적용시 고객의 서비스에 영향을 미치지 않는 Out of Line 방식의 제품과 고객별로 DDoS 차단 정책을 독립적으로 적용할 수 있는 장비가 무엇인지를 먼저 조사했다.
그 결과 시스코의 DDoS 방어장비를 선택하게 된 것이다. 그 이유는 앞서 설명한 조건들을 충족하면서 실시간 방어가 가능한 장비는 시스코의 가드 앤 디텍터가 유일했던 것. 또 학습을 통한 트래픽 분석을 기반으로 실시간으로 대용량 DDoS 공격을 방어할 수 있다는 점은 LG데이콤에 꼭 필요한 기능이었던 것이다.
조 팀장은 시스코 제품의 기능적 특징과 타사 제품과 가장 큰 차별점에 대해서 “ Out-of-Path 형태의 DDoS 공격 탐지 및 방어 장비로 기존 네트워크에 영향을 주지 않고 DDoS 공격을 탐지 및 방어가 가능하다는 점과 대규모 DDoS 공격에 대해서도 우수한 차단 성능을 가지고 있다”며 “평상시 트래픽에 대해 상세한 정책을 자동으로 생성하여 정확한 탐지 및 오탐률 최소의 차단 기능을 제공하고 있으며 시스코의 네트워크에 대한 깊은 이해를 통한 다양한 구성 방식을 제공해 소규모부터 대규모까지 유연한 구성이 가능한 장비라는 점”을 꼽았다.
즉 가드 앤 디텍터는 이상 현상 탐지 및 차단기능으로 DDoS 공격을 감지할 뿐만 아니라, 악성 트래픽을 실시간으로 탐지해 업무에 필수적인 합법적인 트랜잭션의 흐름에 영향을 주지 않고 차단하기 때문에 고객들은 DDoS 공격을 효과적으로 차단하고 지속적이고 안정적인 비즈니스를 할 수 있게 된다는 것.
조 팀장은 “무엇보다도 정교한 DDoS 탐지 기술을 수행하는데, 기업 내부의 서버 트래픽의 정상적인 흐름을 자동 인식하고 DDoS 성격의 위협적인 트래픽을 탐지한다”며 “MVP(Multi Verification Process) 기술을 통해 공격 목표로 향하는 위협적인 Traffic만을 필터링 하는 것이 가능하다”고 설명했다.  
 
정상 트래픽 보호하면서 지속적인 고객 서비스 제공
LG데이콤에서 이번 시스코의 DDoS 방어 솔루션 구축시 가장 중요하게 생각한 부분은 공격이 들어오면 정상 트래픽의 보호를 통해 고객의 서비스 지속 여부였다. DDoS 공격의 특성상 사전 공격 예고 후 공격이 들어오기는 하지만 그 시간이 매우 짧아 정상적인 학습 기간을 확보하기 곤란하여 긴급개통을 위해 수작업을 병행하여 공격을 방어하고 이후 공격이 없는 기간에 학습을 수행하는 방식으로 운영한 것. 무엇보다 서비스가 아주 끊기는 상황이 없도록 하는 것을 중요하게 생각하고 이 같은 DDoS 방어 존을 구축함으로써 보다 안정적인 질 좋은 서비스의 제공이 용이해졌다.
아울러 간편한 설치 구성은 어떠한 구성환경에서도 표준 라우팅 프로토콜 기반의 유연한 설치를 가능하게 하며 웹 기반의 간편한 관리 구성을 제공하여 관리의 효율성을 보장해주는 점도 주요 고려사항이 됐다.
조 팀장은 “처음엔 앞서 말한 것과 같이 긴급 개통을 위해 수작업을 병행하면서 운영을 위한 작업을 진행하면서 운영팀원들이 많은 어려움을 겪었다”며 “하지만 현재는 고객들이 만족하고 있고 이 같은 서비스를 받기위해 다른 IDC에 있거나 자체 전산실에서 운영하던 장비를 LG데이콤 IDC로 이전하는 고객이 다수 발생하고 있어 매우 만족스럽게 생각한다”고 밝혔다.
또한 그는 “이렇게 만족스러운 네트워크 서비스는 LG데이콤의 네트워크 서비스의 안정성에 대한 신뢰도 증가로 이어졌고 그 결과 고객 만족도의 제고로 이어졌다”고 덧붙였다.
 
효과적인 대용량 DDoS 공격 방어
DDoS 공격은 그 궁극적인 목적이 서비스의 중단에 있기 때문에 여러 가지 공격 유형 중 고객들이 가장 높은 비용 손실을 겪게 하는 공격이다. 특히 인터넷 기반의 비즈니스를 하는 고객들은 DDoS공격에 의한 서비스 중단은 당장의 영업 손실 외에도 기업의 신뢰도에 매우 큰 타격을 받는다.     
조 팀장은 “시스코 가드 앤 디텍터의 고성능 DDoS 방어 기능은 대용량 DDoS 공격을 방어 할 수 있도록 클러스터링 기술을 통해 18Gbps 이상의 대용량 DDoS 방어 솔루션을 구축해준다”며 “이 뿐만 아니라 이 솔루션의 뛰어난 디자인 유연성으로 어플라이언스 기반 및 카탈리스트 6500 또는 시스코 7600 샤시 기반에 구축하는 것이 가능하다”고 설명했다.
아울러 라우팅 기반의 우회 기술을 통해 고객들의 다양한 환경에서도 구축이 가능한 유연성도 장점이라고 덧붙였다. 또한 그는 고객이 DDoS 공격이 발생할 때만 해당 피해 시스템으로 향하는 트래픽을 인라인 형태로 자동 구성하고 서비스 지연을 위한 DoS 및 DDoS공격 탐지의 경우에도 정상 트래픽만 분류하여 지속적인 서비스가 가능하도록 구성되어 있어 비즈니스를 최우선으로 고려하여 비즈니스 연속성을 보장할 수 있다는 점은 시스코만의 강점이라고 강조했다.     
그는 “LG데이콤의 현재 사내 보안 이슈는 고객들에게 피해를 주는 DDoS 공격이 계속적인 이슈였고 고객들은 보안과 관련해서는 비용이 저렴한 통합보안 서비스를 많이 요구하고 있어 향후에는 이러한 요구에 따라 다양한 DDoS 공격에 대응하는 서비스를 개발하고 내부정보 유출 솔루션도 제공할 계획”이라고 밝혔다.
 
향후 DDoS 방어 체계 확대
LG데이콤은 앞으로 이와 같은 동일한 방식의 DDoS 방어 체계를 서초1, 2센터에도 확대할 예정이다. 조 팀장은 “4월에 새로 문을 여는 LG데이콤 가산 IDC에도 동일한 서비스를 제공할 뿐만 아니라 고객 요구에 맞춘 공유형 보안 상품을 제공하여 가산센터를 ‘Secured 센터’로 차별화 해나갈 계획”이라고 밝혔다.
즉 DDoS 방어를 위한 솔루션이 대부분 고가의 장비이기 때문에 쉽게 도입을 못하고 있는 중소기업 고객들을 위한 맞춤형 보험형 서비스도 개발해 시행한다는 것.
한편 그는 LG데이콤은 무엇보다 고객들의 서비스가 중단되는 상황이 없도록 하는 것을 가장 중요하게 생각하고 DDoS 방어 존을 확대·구축함으로써 LG데이콤의 고객 서비스 만족도를 한층 더 높이고 고객들은 더 안전하고 양질의 서비스를 받기 위해서 LG데이콤 IDC를 찾아오도록 만들어 나갈 것이라고 덧붙였다.
 

[월간 정보보호21c 통권 제105호 (info@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>