이그레스 필터링 기술, 내부 봇넷 활동 제어에 효과적 IT 기술과 네트워크의 발달로 가장 수혜를 입은 대표적인 분야를 들라고 하면 사이버 공격을 그 중 하나로 꼽을 수 있을 것이다. 그물처럼 엮여 있는 네트워크로 연결된 무수히 많은 IT 시스템들은 각종 사이버 공격이 언제든지 전파되고 확대 재생산되는데 있어 최적의 요건이 아닐 수 없다. 이처럼 IT/통신 환경의 발달 속에서 보안 문제가 우리 사회에 끼치는 영향은 실로 엄청나다. 최근 몇 년 간 국내에서 일어난 보안 사건만 보더라도 대규모의 고객 정보가 유출되거나 세계 최고를 자랑하는 인터넷 환경이 일순간에 마비되는 위험과 혼란은 우리 주위에 언제나 도사리고 있다.

최근 들어서는 기업 내부의 위험요소 제거나 외부 공격의 차단 못지않게 내부에 존재하는 공격 위협이 밖으로 전파되지 않도록 하는 기술의 중요성이 강조되고 있다. 작은 보안 위협이 다른 사람, 기업 또는 지역의 IT 시스템과 네트워크에 치명적인 문제를 일으켰을 때 본의 아니게 공격을 하게 된 쪽이나 그 공격의 대상이 된 쪽 모두가 심각한 피해를 입을 것은 너무도 자명하다.
 
이처럼 기업 내부의 위협이 밖으로 번져나가서 기업 외부의 IT 자원에 영향을 미치는 것을 차단해주는 방법으로 이그레스 필터링(EGRESS Filtering)이 주목 받고 있다. 이그레스 필터링은 특정 서비스를 위해 트래픽을 필터링하는 기술로 최근에는 DDoS 공격 패킷이 외부로 나가는 것을 차단하는 기술로서 그 중요성이 더욱 높아졌다. DDoS 공격은 주로 대량의 봇넷(BotNet, 좀비PC)을 통해 전파되는데 이그레스 필터링 기술은 내부 직원의 PC가 예기치 못해 봇넷의 일원이 되었을 때도 그 봇넷을 통한 공격이 외부로 나가지 않도록 막는데 탁월한 효과가 있기 때문이다.
 
봇넷은 DDoS 공격 등에 이용하기 위해 사용자 본인도 모르게 악성 코드에 감염된 컴퓨터를 말한다. 악성코드에 감염된 좀비 PC는 자신도 모르는 사이 원격 조정되어 특정 사이트에 패킷을 범람시키는 DDoS 공격도 좀비 PC에 의해 이루어진다. 전문가들의 분석에 따르면 지난 해 2월에 암호화 통신과 백도어 기능을 수행하는 웜 악성코드가 유포됐고 이들이 5월경부터 정보유출과 DDoS 공격을 유발하는 좀비PC망으로 진화했다고 밝혔다.

네트워크상에 존재하는 다양한 위협 요소
● DoS Attack 컴퓨터나 네트워크 자원을 고갈시켜 해당 컴퓨터와 네트워크가 정상 서비스를 제공할 수 없게 만드는 모든 공격 방법들을 지칭하며 주로 소프트웨어/프로토콜 구현상의 버그나 시스템의 설정 오류 등의 허점을 이용한다.

● 분산 서비스 거부 공격(DDoS:Distributed Denial of service Attack) 기존의 서비스 거부공격(DoS 공격)에 분산처리 개념이 도입된 것으로 모든 공격이 자동화되어 널리 유포되는 DDoS 공격 툴을 이용하면 웬만한 해킹기술을 가진 공격자라도 쉽게 적용할 수 있다. 대부분의 공격들이 자동화 툴을 이용하기 때문에 짧은 시간에 쉽게 수행될 수 있고 높은 대역폭을 갖는 중계 사이트들을 공격 자원으로 활용해 분산 네트워크 공격을 구성할 수 있다.

권고되는 Filtering Tool
● 방화벽이나 라우터에서 권고되는 필터링 툴 Ingress / Egress Filtering(RFC 2267)은 라우터나 방화벽에서 로컬 네트워크의 Outbound traffic 패킷을 검사해 차단하는 방법이고 Disable direct broadcast externally(RFC 2664)는 라우터나 방화벽에서 들어오는 트래픽의 Destination address가 Network-prefix-directed broadcast로 설정된 트래픽을 Drop시킨다. 또 Disable UDP/TCP diagnostic ports externally는 Chargen이나 Echo 등의 진단들이 공격에 이용되는데 이러한 포트들은 외부에서 사용하는 경우가 거의 없으므로 호스트나 방화벽에서 차단한다.

Egress Filtering 정책과 전략
이에 워치가드의 새로운 XTM 이그레스 필터링 정책은 멀웨어 감염 피해를 최소화하고 이를 위해서 네트워크 단계와 응용프로그램 단계에서의 이그레스 필터링이 가능하도록 했다. 이그레스 필터링 설정 전략으로는 작은 정책부터 시작하는 것이다. 즉 불필요한 포트의 접근성 제한, 사용자를 기준으로 보안 정책 규칙 설정, 다양한 Proxy 정책을 이그레스 필터링과 함께 적용, WG에서 제공하고 있는 다양한 보안서비스와의 연동, 트래픽 관리, Application Blocker를 적용한 데이터 유출 방지, Role Based Management의 적용 등이다.
 
한꺼번에 대량의 공격을 발생시키는 사이버 공격들은 대부분 PC에 설치된 애플리케이션이나 OS의 취약점 등을 이용해 대상 PC를 봇(bot)으로 만들게 되는데 이러한 봇을 활용해 대규모 공격을 시도하는 것 외에도, 봇이 PC의 개인정보를 유출시키게 되는 위험도 내포하게 된다. 이처럼 기업 내부의 정보가 유출되거나 기업 내부의 PC 자원이 사회적인 대규모 사이버 공격에 이용될 수도 있는 요소를 사전에 방지하는 것은 IT를 활용해 비즈니스의 생산성과 효율성을 높이려는 기업이라면 반드시 해결해야 될 사항이다.
 
공격이 날로 복잡해지고 빨라지는 환경 속에서 내부정보 유출이나 DDoS 공격 방어를 전문으로 하는 솔루션으로는 지능적인 사이버 공격의 좋은 사냥감이 될 위험성을 완전히 제거할 수 없다.
 
다양한 보안 솔루션과 결합된 이그레스 필터링 정책을 적용한다면 기업들은 Outbound로 연결된 응용프로그램을 제어하는 방법을 기초로 해서 사용자 컴퓨팅 환경을 보다 강력하게 보호할 수 있는 해법을 찾을 수 있을 것이다.
<글 : 정종우 워치가드코리아 지사장(John.Chung@watchguard.com)>

[월간 정보보호21c 통권 제117호(info@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>