[특집 : Product Review] DDoS대응센터 Anti DDoS 서비스
최대 100G 공격 수용 능력, DDoS 공격 피해시 피해 보상 시스템 운영
DDoS대응센터는 미국 IDC관제센터의 국내 독자 투자 법인으로 게임 등 온라인 서비스에 대한 DDoS 공격에 대한 집중적이고 전문화된 서비스를 제공하는 전문 기업으로써 DDoS 방어기술 관련 전 세게적인 특허를 다수 출원중이며 DDoS 방어 기술에서 세계 최고를 목표로 Anti DDoS 서비스를 제공하고 있다.

최근 DDoS 방어를 더욱더 힘들게 하는 환경 중에서 가장 대표적인 원인을 정리하면, 초고속 광랜의 급속한 확산에 기인한 밴드위스 공격이 100G 육박하고 AS가 되는 좀비 판매 사이트 증가와 공격 성능을 따라 잡지 못하는 방어 장비 성능 등이라고 할 수 있다.
● 밴드위스 공격이 100G 육박
최근 인터넷 전화와 IPTV 보급으로 인해 각 가정마다 광랜이 급속하게 늘어나고 있어 세계 최고 수준의 유래를 찾을 수 없는 초고속 인터넷 환경이 구축되고 있다. 이런 환경이 급속하게 늘어나면서 역기능 또한 만만치가 않다. ADSL 환경에서는 최대 업로드 속도가 640K인 것이 광랜으로 전환되면서 최대 80Mbs로 늘어나면서 좀비 한대가 발생시키는 트래픽의 양이 기하급수적으로 늘어나고 있다.
2007년 하반기에 1G에서 2009년 상반기에 100G에 육박한 공격이 출몰하고 있는 상태이며 가히 기하급수적인 증가라 아니할 수 없다. 이런 추세에 IPTV 및 VoIP 등의 서비스에 따라 광대역 서비스의 요구가 늘어나고 있어서 조만간 1Gbps의 가정용 서비스까지 보급되게 되면 현재의 공격량에 대비해서 10배까지 늘어날 수 있는 조건이 된다.
● 좀비 거래의 상용화 사이트 증가
인터넷 사이트에서 ‘Zombie guarantee AS’라는 것이 발견되었다. 좀비를 판매하는 측에서 좀비가 커지거나 블랙 처리되더라도 그 숫자에 맞도록 AS를 한다는 것이며 누구나가 이 사이트에만 접근이 되면 요구하는 계좌로 송금이 확인되면 좀비를 바로 사용할 수가 있다.
힘들게 좀비를 모으기 위해서 많은 시간을 소비할 필요도 없고 직접 공격 방법을 몰라도 좀비 설정 화면에서 몇 가지 간단한 클릭으로 누구나 DDoS 공격자가 되는 것이다. 해킹에 대한 고급 기술이나 지식이 필요하지도 않는다.
또한 P2P 서비스, 웹하드 서비스 등에 의해 좀비 프로그램이 삽입된 각종 컨텐츠의 유통이 가속화 되고 있고 일부 보안에 대한 무관심한 사용자 또는 무지에 의해서 개인의 컴퓨터에서 제거되지 않고 공격대기 상태로 남아있는 경우가 늘어나고 있다.
실제 사용자는 자신의 PC가 감염된 사실도 모르는 상태에서 공격자로 둔갑하게 되어 공격 IP로서 다른 서비스도 사용하지 못하는 경우가 발생하게 되며 인터넷 접속에 불이익을 당하는 경우도 발생하고 있다. ISP에서는 공격 IP에 대해 계속 차단조치를 수행하는 행정적·기술적 업무의 부하도 증가하고 있다.
게다가 과거와는 달리 좀비 프로그램을 이용하여 공격하는 공격자도 감염된 PC의 성능에 영향을 주지 않고 다수의 좀비PC를 이용하여 개별 좀비는 DDoS 방어 장비의 임계치를 초과하지 않는 정도로 소수의 트래픽을 발생시키는 형태로 공격을 유도하므로 DDoS 방어 장비의 공격감지 임계치까지 통과하는 경우도 빈번히 발생하게 되어 서비스용 서버의 부하증가로 서비스 중단이 발생하기도 한다.
● 공격 성능을 따라 잡지 못하는 방어 장비의 성능
금융권에서 DDoS 공격으로 인해 사회 이슈가 되었던 2008년 상반기에 대부분 1G급 장비들만 나와 있었을 때 공격은 이미 2G(TCP 공격) 이상의 공격이 들어오고 있었고 공격이 들어올 때 방어 장비부터 먼저 장애가 발생하는 현상이 빈번하게 발생했다. 최근에 10G 장비가 나오기 시작했다고 하지만 인터페이스 부분이 아닌 실제 성능이 얼마나 나올지는 의문이다. 이런 상황에서 이미 공격은 이미 10G( TCP 공격) 이상으로 발생하고 있어 방어체계 구성을 힘들게 하고 있다.
일부 DDoS 방어 장비의 경우 정상 사용자의 트래픽도 공격으로 오인하여 접속을 거부하는 경우도 있고 학습을 통해서 공격을 방어하는 장비라고 하는 경우에도 소수의 공격 트래픽을 다수의 좀비 PC가 유발시키는 경우에는 공격이 아니라고 판단하고 서비스하여 서버의 부하가 증가하게 되고 서비스 거부가 되는 현상이 발생하기도 한다.
방어 장비의 정책에 따라 다르지만 대부분은 공격자의 IP를 블로킹 하여 방어를 하게 되는데 이런 경우에는 트래픽 양의 증가 및 오탐이 무시할 수 없는 정도로 발생하여 결국은 서비스 중단이 일어나는 경우가 많다.
공격 툴(좀비)의 발전도 무시할 수 없다. 요즘 중국에서 유행하고 있는 Fatboy의 경우에 공격을 받은 서버의 세션을 일반적인 상황으로는 절대로 끊을 수 없게 하면서 트래픽을 자체적으로 발생시키게 된다. 이런 형태는 공격이 들어오는 것으로 보이는 게 아니라 서버 자체가 트래픽을 발생시켜 시스템 최대 전송량을 보내게 되어 서비스가 되지 않게 해서 정상적으로 다운로드 트래픽이 증가하는 것처럼 인식되므로 경험해보지 않은 서버관리자의 경우에는 원인을 찾기가 힘든 경우도 많다.
게다가 공격이 Proxy를 통해서 경유되어 들어오는 형태가 많이 있으므로 대부분 IP 주소를 Spoofing하게 되고 심지어 공격 양이 증가하면 네트워크 장비의 CPU를 100%까지 만들어서 네트워크에서 DoS가 되는 경우도 있다.

DDoS 대응센터의 효과적인 DDoS 공격 방어 체계
공격에 대해서 효과적으로 방어하기 위해서는 공격 유형을 먼저 분석해야 한다. 공격 유형은 개괄적으로 3단계로 분류할 수 있다.
1단계로  타깃 시스템에 대한 ‘TCP 공격 → UDP 공격’으로 시작하여 이 공격이 방어가 되면 2단계로 ‘네트웍의 Gateway 장비에 대한 공격’을 수행하며 또 그 공격을 방어하면 3단계로 ‘Application의 취약점 공격’의 3단계 공격을 수행한다.
상기에서 일반적인 DDoS 공격은 1, 2 단계로 보아야 하며 3단계는 분석을 통한 해킹 단계로 진입하는 것이다. 그러나 최근에는 대부분 1단계와 2단계에서 거의 시스템이 초토화되는 경우가 많다.
이런 형태의 공격을 위해서 공격자들도 진화하고 있어서 타깃 시스템에 대한 DDoS 방어를 위해 네트워크에 방어 장비를 설치한다고 하더라도 서버자체의 성능 또는 동작방식에 따라 서비스 거부가 될 수 밖에 없는 경우가 많다.
또한 네트워크에서 방어를 한다고 하더라도 비정상 트래픽(공격 트래픽)을 블로킹 처리하게 되면 TCP 및 UDP트래픽이 서버까지 가기 위해 대기하는 양이 많아지게 되므로 네트워크에 부하를 많이 주게 되고 심지어는 L3스위치 등이 처리하지 못하는 정도의 FRG PPS 공격이 들어오는 경우도 있어서 내부의 네트워크 전체가 서비스가 안되는 지경까지 갈 수도 있다.
즉 DDoS 공격은 공격의 타깃뿐만 아니라, 같은 데이터 센터에 있는, 또는 같은 사내에 있는 서비스 전체에 영향을 주게 되므로 공공의 적이라고 할 수 있다.

● DDoS 대응센터 방어체계의 특징
세계 최고 수준의 공격 수용 능력-100G DDoS 방어 서비스 업계 최초 피해시 피해 보상 서비스 제공   가장 공격이 많은 게임 고객들을 통한 방어능력 검증 IDC 이동 없이도 사용할 수 있는 서비스(플록싱 이용)
전체 공격 트래픽 100G, TCP 공격 10G(10G 방화벽, NBA - Flow Data  Based)를 방어할 수 있도록  설계가 되어 있다. 이 규모는 국내뿐만 아니라 세계 최고 수준이라고 자부할 수 있다. 전체 공격 트래픽  100G 공격까지 수용한다는 의미는 100G까지 ‘널라우팅 처리’를 하지 않는다는 것이며 이는 DDoS 방어체계에서 매우 중요한 부분이다.
고객 컨설팅을 하다 보면 대역폭 공격에 대해서 서버 바로 상단에서 UDP, ICMP는 차단되어 있는데 널처리가 되었다고 이유를 물어보는 고객들이 의외로 많다. 이는 서비스 받고 있는 IDC나 VIDC에서 공격 트래픽을 포함한 트래픽에 대한 수용량이 공격으로 인하여 임계치를 넘어서게 되므로 널라우팅 처리를 하지 않을 수 없는 것이다.
또한 정상트래픽 정도의 공격이 다수의 좀비PC에서 들어오는 경우에는 서버에서의 대응동작도 무시할 수가 없다.
이를 위해서 공격을 많이 받는 특정 고객의 경우에 서버의 별도의 Agent를 설치하여 서버에서 세션만 연결하는 비정상적인 트래픽에 대해서 추가로 제어를 하여 서버의 부하를 줄여주고 트래픽을 줄여주게 되어 시스템의 안정을 통해 안정된 서비스를 보장할 수 있다.
DDoS 공격의 방어는 단순히 네트워크 장비로만 처리하기에는 방어장비의 부하증가로 인해 오히려 서비스 존의 전체적인 중단이 발생할 수 도 있으며 일부 유입되는 트래픽에 의해 서버에서의 부하증가로 서비스 중단이 발생하는 경우가 많다,
따라서 네트워크에서만 방어하는 구조뿐만 아니라 시스템자체에 별도의 Agent를 이용해서 시스템 부하를 경감시키는 구조가 필요하다.
만약 프록시 시스템을 이용하게 되면 프록시 시스템 자체가 최종 서버의 역할을 하게 되므로 방어장비 자체에서 시스템으로 가는 부하를 줄여줄 수 있다.
그래프에서 보면 DDoS 공격시에 35.2G이상의 트래픽이 발생되는 것을 볼 수 있다, 이 경우에는 ICMP및 UDP에 대한 필터링이 적용된 경우인데도 불구하고 TCP만 약 30G정도 발생하는 것을 볼 수 있다(공격유형 = TCP FRG공격).

DDoS 대응센터의 특징                                     
최대 100G 공격(UDP 포함)까지 방어(세계 최대 규모)        3일간 무상 테스트 기간 제공 - 플록시를 통한 테스트 - 서버를 고객측에서 제공할 경우 IDC 설치 공격 트래픽 원천 차단 기술(Zombie-Breaker) - 좀비 공격을 차단시키는 기술 - 공격 감지 후 공격 트래픽 감소 공격 트래픽에 대한 모니터링 방안 제공 Multi-Level 방어 체계- 100G UDP 방어체계(ICMP 포함)  - 10G Tcp 방어체계  - Zombie-Breaker 이상 트래픽 감시 시스템                                  - Netflow Date를 이용한 감시 시스템                   백업 시스템 운영 가능(기존 IDC를 옮기지 않는 경우 효과적, 저렴한 빌링 체계) - 백업 도메인 등록 후 장애시 백업 공지 - 피 공격시 백업 도메인으로 전환  이벤트성 상품 - 대학 수강신청, 인터넷투표, 인터넷이벤트(공연, 정치적 민감한 사항 등)에 대한 일 단위 상품 해외 IDC 동시 운영(미국, 일본) * 피해 보상조건 : DDoS 방어망 내부에 대한 공격으로 피해가 발생시 최대 1억원 까지 보장. 단, ISP 또는 상단 IDC 장애로 인한 피해와 운영 애플리케이션 자체 취약점에 의한 공격은 제외한다. 고객 성공 사례

P게임사
공격 유형 : TCP 공격과 UDP 공격을 혼합한 70G 공격이 들어와 IDC에서 1차 널라우팅 처리, 2차 공격이 잇달아 들어옴에 따라 IDC에서 퇴출된 상태. 솔루션 : DDoS 대응센터 ePureNet -호스팅 공격 방어 : 재 개통을 하자 바로 공격이 대기하고 있다가 공격이 재개됨. 1차 TCP 공격으로 3G 공격 이 차단되었으나 서버에 부하가 발생 → 운영 서버와 DB 세팅 값을 대응할 수 있도록 추가 설정. 2차 TCP 공격 차단하고 3차 UDP 공격  80G  방어(널라우팅 되지 않음. 단, 웹 속도가 다소 지연됨)하고 현재는 안정화 단계 임.  K쇼핑몰
공격 유형 : TCP 공격에 이은 UDP 공격으로 40G 공격으로 IDC에서 널라우팅 처리됨. 특이 사항 : IDC를 옮길 수가 없는 상황(서버를 상당히 보유).  솔루션 : DDoS 대응센터 ePureNet - 백업(플록시로 구성).  결과 : 예비 도메인으로 미리 세팅, 공격시 비상 도메인으로 전환하여 백업, 공격 방어. R기획사
내용 : 중요한 공연의 인터넷 매표에 대한 공격 협박, 매표 시스템이 공격으로 인하여 서비스가 중단되는 경우 상당한 손실이 발생됨. 공격 유형 : 웹서버에 대한 CC 공격, 게이트웨이 단에 대한 공격으로 서버가 다운됨. 솔루션 : DDoS 대응센터 ePureNet - 백업(플록시 구성,  단기 계약 - 7일).   결과 : 공격시 사전 세팅된 예비 도메인 가동, 서비스 백업. <글 : 정보보호21c 편집팀>

[월간 정보보호21c 통권 제105호 (info@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>