[특집] 나우콤, 스나이퍼DDX(SNIPER DDX) - CC인증 EAL4 DDoS 공격 유형별 자동화된 차단 방법론 이용해 악의적 공격 방어
스나이퍼DDX는 국내 업체로는 첫 DDoS 전용 보안장비로 지난해 4월 출시되었고 국가·공공기관, 금융권, 일반기업 등 총 50여 곳의 굵직한 레퍼런스를 확보하고 있다. 올해 5월 국내외 1호로 국가정보원 정보보호제품 공통평가기준(CC) 인증을 획득한 데 이어 6월 말 역시 국내 1호로 한국산업기술시험원(KTL)으로부터 국가 소프트웨어 품질인증인 굿소프트웨어(GS) 인증까지 획득했다.

나우콤이 국내 업체 최초로 개발해 주목받은 DDoS(분산서비스거부공격) 방어장비 ‘스나이퍼DDX’는 이번 ‘7.7 DDoS 대란’으로 유명세를 더했다. 7.7대란의 공격대상으로 지정된 주요 기관에서 DDoS 트래픽이 폭주하자 긴급하게 DDoS 방어장비 지원을 요청한 것.
 
나우콤은 이미 7월 7일 오후 고객사 트래픽 변화를 감지하고 비상대응체제를 가동, 고객 지원용 DDoS 방어장비를 준비했다. 덕분에 국내에서 공격이 시작된 후 4일 동안에만 스나이퍼DDX 30대를 지원하는 등 고객 요구에 발 빠르게 대응할 수 있었다. 공격대상 중에는 이미 스나이퍼DDX로 DDoS 대응체계를 구축한 기관이 있어 피해를 줄일 수 있었다. 특히 7.7대란의 최우수 대응기관으로 인정받고 있는 하나은행은 당시 스나이퍼DDX를 도입해 운영중이었기 때문에 유연하게 대응한 것으로 나타났다.
 
나우콤 김대연 대표는 “10년이 넘는 보안사업 경험과 네트워크 보안에 집중해온 기술력 및 제품 경쟁력을 바탕으로 신속하고 유연한 대응이 가능했다”며 “보안이 중요한 은행권에서 자사 DDoS 방어장비가 성공적인 대응툴로 평가되고 있어 앞으로 안티DDoS 사업에 미치는 영향이 클 것”으로 기대했다.


정상 트래픽과 DDoS 트래픽 구분 기술 ‘특허’
스나이퍼DDX는 국내 업체로는 첫 DDoS 전용 보안장비로 지난해 4월 출시되었고 국가·공공기관, 금융권, 일반기업 등 총 50여 곳의 굵직한 레퍼런스를 확보하고 있다. 올해 5월 국내외 1호로 국가정보원 정보보호제품 공통평가기준(CC) 인증을 획득한 데 이어 6월 말 역시 국내 1호로 한국산업기술시험원(KTL)으로부터 국가 소프트웨어 품질인증인 굿소프트웨어(GS) 인증까지 획득했다. 또한 7.7DDoS 대란을 계기로 국가·공공기관이 DDoS 방어장비를 긴급히 도입할 수 있도록 하기 위해 안티DDoS 도입기준에 새로 추가된 ‘별도 지정제품’에 있어서도 나우콤이 발 빠르게 대응해 지난 7월 17일 등록을 마쳤다.
 
이 제품의 핵심기술인 정상 트래픽과 DDoS 트래픽을 구분하는 기술 또한 이미 지난해 9월 ‘분산서비스거부공격 차단장치 및 그 방법’의 명칭으로 특허 등록을 마쳤다. 이 기술은 인터넷 및 네트워크 상에서 정상적인 사용자와 비정상적인 사용자를 구분해 DDoS 등 비정상 트래픽을 보다 정확하게 탐지하고 차단하기 위해 사용되는 기술로 안티DDoS, 침입방지시스템(IPS), 통합보안제품(UTM) 등 다양한 네트워크 보안장비에 적용할 수 있다. 또한 사용자와 접속대상 서버간의 정상적인 통신이 이뤄진 경우에 한해서 티켓을 발행해 넓은 대역폭을 이용하도록 하고 확인되지 않은 접속자에 대해서는 제한된 대역폭을 제공함으로써 정상 트래픽의 원활한 흐름을 보장한다.
 
스나이퍼DDX는 400메가(M)급 1000 모델과 2기가(G)급 2000 모델과 4G급 4000 모델에 이어 10G 성능의 5000 모델까지 보유하고 있어 라인업이 탄탄하다는 평가를 받고 있다.
 
더불어 고객 요구에 유연하게 대응하기 위해 인라인(In-Line) 기술방식에 이어 아웃오브패스(Out of Path) 기술방식을 적용한 스나이퍼DDX-OP 제품군도 추가됐다.
아웃오브패스는 네트워크 회선 바깥에서 패킷을 감시하고 DDoS 패킷 유입시 별도의 제어장비와 연동하여 방어하는 방식으로, 현재 일부 제품만 이 방식을 지원하고 있다. 반면, 인라인은 네트워크 회선상에서 직접 통과하는 패킷을 실시간 감시와 동시에 차단하는 방식으로, IPS, 방화벽(Firewall) 등 대부분의 차단장비에 적용되고 있는 기술이다. 회사측에 따르면, 아웃오브패스는 대규모 인터넷서비스망을 운영하는 통신사업자(ISP)와 인터넷데이터센터(IDC)에서 선호하는 방식이며, 인라인은 쇼핑몰, 게임 서버팜(Server Farm)과 같은 단일 서비스망 보호에 적합한 방식이다.

스나이퍼 DDX의 특장점
스나이퍼DDX는 DDoS 공격 유형별 자동화된 차단 방법론을 이용해 악의적인 트래픽 공격을 방어한다. 7.7DDoS 대란과 같이 다양하고 복합적으로 발생되는 지능화된 DDoS 공격을 행동기반 및 시그니처 기반의 탐지/방어 기법으로 차단하며 정밀하게 설계된 다단계 방어 엔진과 인공지능 탐지/차단 방식을 적용해 네트워크 환경에 최적화된 DDoS 대응 방어 전략을 제시한다.
 
8개의 다단계 방어 엔진
단계별 최적의 방어 엔진에서 순차적으로 차단하기 때문에 DDoS 트래픽의 차단률와 정확도가 높다. 가장 먼저 ‘Protocol Anomaly Filtering Engine’에서 유입되는 트래픽이 프로토콜 규정에 적합한지 검사해 TCP/UDP/ICMP/IP 등의 프로토콜 규약에 위배되는 패킷을 최우선으로 차단한다. 다음으로 ‘Dynamic Filtering Engine’에서 각 엔진별 탐지/차단되는 패킷 정보를 실시간 관리하면서 차단하며, ‘Static Defense Engine’을 통해 네트워크에서 분리해야 하는 트래픽을 사용자 룰로 등록해 차단한다. ‘Smart Session Shaping Engine’에서는 유입되는 트래픽과 공격자IP가 해당 목록에 등록되어 있는지 확인, 등록되어 있지 않다면 해당 트래픽을 제한된 대역폭으로 전달한다.
 
다음으로 ‘Signature Matching Engine’을 통해 나우콤 자체 CERT(NOWCERT)에서 신속하게 취합/분석한 최신 시그니처와 매칭하여 해당되는 트래픽을 차단한다. 여기까지 통과한 트래픽은 다시 ‘Statistics Analysis Engine’의 자가학습 통계기법으로 알려지지 않은 포트에 대한 유해트래픽 여부까지 알 수 있게 된다. 다음 단계인 ‘Signature Extraction Engine’을 거쳐 패킷을 상세 분석한 후 공통된 공격 시그니처를 추출한다. 마지막으로 ‘A.L.S.I Engine’을 통해 TCP Connection-Oriented 기반 공격과 L3, L5-L7에서 수행되는 단편화된 공격까지 재조합해 탐지하고 차단한다.
 
인공지능 탐지/차단 방식 ‘WSPP'
정해진 탐지정책에 의한 탐지/차단과 함께 ‘WSPP(Wide-Spread Protection Puzzer)’방식을 적용해 인공지능 탐지와 차단이 가능하다. 응용프로그램 계층의 상태정보를 정밀 검증하고 분석해 이미 알려진 공격에 대해 정확하게 탐지/차단하며 새로운 폴리모픽 트래픽 탐지기술인 ‘WSPP’방식을 통해 알려지지 않은 공격에 대해서도 탐지/차단한다.
 
특히 ‘WSPP’방식은 3단계의 엔진 설계로 DDoS 트래픽에 대한 탐지 및 차단의 정확도를 높였다. ‘Smart Session Shaping(Triple ‘S’) Engine’으로 하이브리드 DDoS과 Spoofed TCP(Syn)를 탐지하고, ‘Statistic Analysis Engine’으로 무형의 행위기반 탐지기능을 제공한다.
 
또한 ‘Signature Extraction Engine’을 통해 자가 학습과 자동 추출로 Non Spoofed와 데이터가 포함된 Spoofed DDoS까지 탐지하고 차단한다.

스나이퍼DDX의 주요 기능
실시간 세션재현과 실시간 트래픽 감시/대응, QoS 및 Firewall, High Availability 등의 기능을 통해 DDoS 트래픽을 차단하면서 웹 서비스의 연속성과 네트워크 안정성을 높여준다.
실시간 세션재현 : Source IP와 Destination IP, 트래픽 사이즈, 기간/프로토콜/서비스별 트래픽 추이 등 실시간으로 맺어지는 세션정보를 보여주며, 비정상세션 발생시 관리자가 강제적으로 종료할 수 있는 기능을 제공해 실시간 모니터링부터 비상대응까지 가능하다. 실시간 트래픽 감시/대응 : 전체 인가/비인가, Drop/비인가 Accept별 트래픽 증감과 웹서버 인증/비인증, Drop/비인증 Accept별 트래픽 증감, 프로토콜/NIC포트별 트래픽 증감 등을 그래프로 보여준다. 또 트래픽 현황 정보 테이블과 실시간 세션량(cps) 그래프를 제공한다. QoS/Firewall Policy : bps(사이즈)와 pps(패킷수) 기준으로 인터페이스별 대역폭을 제한하는 QoS 기능과 방화벽 기능인 프로토콜/포트별 필터링과 제한패킷 자동Drop 기능을 제공한다. High Availability : 스나이퍼DDX 2대를 설치해 각 DDX 간 Sync Trunk를 이용, 로컬 서버팜에 접속하는 정보를 교환하여 공유함으로써 DDoS 장비 문제 발생시에도 서비스의 연속성과 DDoS 장비의 기능을 유지할 수 있다. 스나이퍼DDX는 경쟁우위의 기술력과 다양한 기능, 탄탄한 제품 라인업과 특허기술을 기반으로 국가기관에서 요구하는 보안성 기준과 품질 기준 만족에 7.7DDoS 대란의 적절한 대응까지 더해 경쟁력을 높였으며 고객 요구에 유연한 기술개선과 지속적 제품관리로 안티DDoS 사업을 확대해나갈 계획이다.
<글 : 정보보호 21c 편집팀>

[월간 정보보호21c 통권 제109호(info@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>