DPS 시리즈, “DDoS공격에 대해 안정적인 서비스 지속 보장 제품”
나리넷(대표 권택근 www.narinet.com)은 향후 3~4년 내에 도래할 10Gbps의 통신 보안 장비 분야에서 새로운 주역으로 자리잡기 위해 10Gbps급 네트워크 포르세서(NP) 기술을 이용해 국제 규격의 통신 플랫폼인 ATCA 제품을 개발하는 ‘고성능 통신 보안 장비의 핵심기술을 가진 전문업체’로의 성장을 목표로 삼고 있다.

사업분야는 Intelliguard I.T. DPS 시리즈 총판, ATCA 블레이드 제품 개발, 네트워크 침입탐지 및 통신보안 솔루션 개발 공급을 주력으로 하고 있다.

■ IntelliGuard I.T DPS 시리즈

이번 7.7 DDoS대란에서 보았듯이 DDoS 공격의 유형은 새로운 것이 아니다. 웹 서버의 자원 점유로 서비스 중지를 유발하는 공격에 대해서는 이미 1997년도에 공격에 대한 대비 방법이 발표되어 있듯이 널리 알려져 있다. 이번 공격에 대한 주된 대응 방식으로 공격에 사용된 PC에 백신 설치 등을 호소하였지만 이는 일부 공격의 근원을 차단할 수 있다는 데에는 의미가 있지만, 새롭게 제작된 공격 툴에 대해서는 즉각적인 대응을 할 수가 없고 백신 업체의 업데이트 및 좀비 PC에 백신 설치를 기다릴 수밖에 없게 된다.

좀비 PC에 대한 치료를 통해 공격 트래픽을 다소 줄이는 외에 공격 대상이 되는 서버 앞 단에 DDoS방어 장비를 설치해 서버를 보호하는 방법으로 DDoS 공격에 대처할 수 있다. 이번 DDoS 공격과 같은 동시 다발적 대량의 공격에 대한 대응 방어 시스템을 구축할 경우 다음의 점들을 반드시 고려하여야 한다.

▲ 공격 방식의 주종이었던, GET-Flooding 세션 공격과 대역폭 공격에 대한 대응 가능 여부
▲ 장비 설치시 기존 서비스에 주는 영향 최소화 - 장비 설치후 서비스 응답 시간이 늦어지는 경우가 있는데, 이는 설치된 장비의 패킷에 대한 처리 시간이 과도하거나, 1Gbps 기준 단방향 1.44Mpps의 처리 능력이 없는 경우이다.  이 경우 장비 자체가 문제를 발생시켜 전체 망을 망가트리게 된다.
▲ 새로운 공격 패턴 및 공격 툴에 대해서도 즉각적인 대응 - 패턴을 사용하는 방식이나, 사용자가 입력하는 방식은 장비 업체에서 제공하는 규칙(Rule)로 업데이트를 하거나 공격을 분석하여 패턴에 대한 규칙을 입력하기 전까지는 무방비 상태이다.
▲ 정상적인 트래픽도 동시에 차단 여부 - 장비의 목적은 서비스의 지속성에 있는데, 과도한 공격 차단이 되어 외부에서 서비스 자체가 중단되었다고 인식될 경우가 있다. 이는 DDoS 공격이 성공하였다는 것을 의미한다.

인텔리가드 DPS 시리즈는 기존의 IPS 등의 장비에 일부 공격 패턴을 추가해 DDoS 방어 기능을 수행하는 장비가 아닌 사용자 트래픽 학습을 통해 만들어진 데이터를 기반으로 DDoS 공격 방어만을 위하여 제작된 전문 장비이다. 시그니처-패턴에 기반한 장비는 백신과 마찬가지로 즉각적인 대응이 불가능하고, 패턴 검색이라는 특성 상 대용량 공격 처리에 한계 및 장비 운용의 불안을 야기할 수 있다.

인텔리가드의 DPS 시리즈는 기존의 DDoS 방어 전문 제품과는 다른 설계 철학을 가지고 설계되었다.  대부분의 장비가, 공격이 있을 경우 공격 트래픽을 골라내어 차단하는데 중점을 두고 있는 반면, DPS 시리즈는 정상적인 트래픽의 통과를 보장하여 최대한 서비스가 유지될 수 있도록 하는데 목표를 두고 있다.  차단을 목표로 할 경우는 공격이 발생하였을 경우 정상 트래픽까지 차단이 되어, 서버는 정상 운용되었지만, 서비스는 중단되는 경우가 있을 수 있다.

이를 제공하기 위하여, 고객의 트래픽에 대한 행위 분석에 기반하여 데이터베이스를 구축하고 이에 기반하여 정상적인 패킷을 통과시키는 ‘학습-점수화-보호’의 3단계 동작으로 구현되었다.

7.7 DDoS대란에서 이용된 대부분의 공격 방식인 GET-flooding 및 소위 CC-attack 등은 비정상적으로 많은 요청이 문제이지 GET-request나 CC 기능 자체는 정상적인 인터넷의 기능이다. 이는 새롭게 오픈된 사이트에 정상 트래픽이 몰려 서버가 다운되는 것과 동일한 현상인 것이다.

DDoS 공격에는 웹 서버의 서비스에 부하를 유발하여 서비스를 중단시키는 공격 외에도, 인프라의 네트워크 대역폭을 고갈시켜 서비스를 불능으로 빠지게 하는 공격도 많이 발생한다.  인텔리가드 DPS는 이러한 경우에도 학습된 고객의 IP 주소 데이터베이스를 기반으로 하여 서버에 도달해야 하는 트래픽을 최우선적으로 통과시켜 서비스가 지속될 수 있도록 보장한다.

이러한 다양한 DDoS 방어 동작을 수행하며 최악의 10G 트래픽에 대해서도 중단 없는 처리를 보장하는 인텔리가드 DPS 시리즈는 7.7 DDoS대란과 같은 경우에 안정적인 서비스의 지속을 보장할 수 있는 제품인 것이다.
 
■ 참관안내: www.isecconference.org 접속 ->사전참관등록->승인메일 발송->승인메일 출력후 ISEC 2009 현장서 제출->패찰 및 발표자료집 받음.

[김정완 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>