이창훈 교수, 사용자행위분석과 서버분석 통한 능동적 방어기술 제시
[보안뉴스 김정완] 지난 2009년 7.7DDoS대란을 위시해 최근의 3.4DDoS공격까지 DDoS공격을 통한 사이버테러가 끊임없이 발생하며 사회적 문제로 부각되고 있다. 그런 만큼 정부는 DDoS공격에 대한 대응체계 고도화를 추진하는 한편 대응방안 모색에 심혈을 기울이고 있다. 하지만 보안전문가들은 실상 DDoS공격을 완벽하게 차단하기란 쉽지 않다고 말한다.
 

▲이창훈 건국대 교수는 22일, 한국CSO협회가 개최한 CSO포럼에서 발표자로 나서 최근 이슈가 되고 있는 DDoS공격에 대한 대응방안으로 현재의 사후대응의 한계를 벗어나 기술적으로 사전에 차단할 수 있는 두 가지 대응기술을 제시했다. ＠보안뉴스.

 
또한 보안장비나 백신에 의한 대응만으로는 날로 지능화·조직화·자동화·속도화되고 있는 DDoS공격의 진화를 기술적으로 막을 수는 없는 실정이다. 이에 이렇듯 진화돼 가는 DDoS공격에 대해 사전에 기술적으로 막을 수 있는 두 가지 기술이 제안돼 주목된다.

이창훈 건국대학교 교수는 22일, 한국CSO협회(회장 이홍섭)가 개최한 2011년도 제3차 CSO포럼에서 ‘공격 형태와 기술적 특징 분석 및 효율적 대응방안’이란 주제를 통해 DDoS공격에 대한 기술적 대응방안을 제시했다.

우선 이날 이창훈 교수는 “DDoS공격에 대해 솔직한 심정으로 우리 사회는 ‘제발 우리는 공격하지 말아주기만’, ‘제발 공격이 끝나 주기만’, ‘서버단 보안장비들이 최대한 버텨주기만’ 등 기도하는 마음으로 공격자의 처분만을 기다리고 있는 상황”이라며 “현재 공격자를 모른 체 ‘보안장비나 백신에 의한’, ‘트래픽 차단’, ‘안전 지역에서의 집중관리’ 등을 통한 대응방식으로는 지능화 되는 공격에 대처하기에는 역부족”이라고 지적했다.

또한 이창훈 교수는 “좀비PC에 대한 백신 보급의 문제를 비롯해 능력 있는 보안관제 인력 문제가 해결되지 않았을 뿐만 아니라 근본적인 대안이 없는 기존 방식의 장비 추가 도입은 임시방편으로서 예산낭비”라고 지적하고 “공격자를 인지해 사전에 DDoS공격을 막는 것이 최상의 대응방안이 될 수 있을 것”이라며 공격자를 인지하는 두 가지 기술을 제안했다.

공격자의 행위 분석을 통해 실시간 대응이 가능한 PC단에서의 대응(User Behavior Analysis, 이하 ‘UBA’) 기술과 서버단에서의 대응인 감내시스템(Fault-Tolerant System) 기술이 그것이다.

PC단에서의 대응 기술은 사람이 서버에 요청하는 행위와 좀비PC가 공격하기 위해 요청을 할 때의 차이를 분석(User Behavior Analysis)하는 것이다. 단, 소프트웨어 에이전트가 각 PC마다 설치돼야 한다는 점에서 백신의 경우와 동일한 선제조건이 있다. 하지만 백신에 비해 UBA 기능을 갖춘 소프트웨어가 서버공격을 위한 요청은 원천적으로 차단이 가능하다는 장점이 있다. 또한 관제 센터가 연결돼 있을 경우에는 감염된 형태, 공격대상과 공격형태 등을 알 수 있다.

서버단에서 대응기술인 감내시스템은 좀비PC, 해커, 진화하는 공격 등에도 서버가 정상적으로 서비스하도록 한다. 감내시스템을 서버 앞단에 설치하고 현재 사용자의 UBA와 서버의 부하를 고려해 대응하는 방식으로 공격자로 판단되는 사용자는 일시적으로 차단이 가능하다.

과도한 서비스의 요청으로 서버의 부하가 클 경우 공격 의심자는 대기상태로 두어 일정 수준으로 부하가 줄었을 때 요청을 처리하는데, 최후의 경우에는 공격 의심 없는 사용자도 대기 상태에 머물게 한 후 부하가 줄어든 후에 요청을 정상 처리하도록 할 수 있어 서비스를 원활히 제공할 수 있는 장점을 가지고 있다.

즉 이 두 기술은 기존의 관점에서 벗어나 사용자 행위와 서버 분석을 통한 능동적인 방어체계라는 점이다.

한편 이창훈 교수는 이 기술을 활용하면 “서버공격자를 판단하고 대응하는 새로운 방식인 UBA는 서버의 부하를 고려해 가용성 유지가 가능하며 현재 보안체계와 결합해 조속한 활용이 가능해 현재의 사후대응에서 실시간대응을 가능케 한다”고 말하고 “백신 및 DDoS장비 등 기존 대응시스템들과의 연동으로 효율성 제고가 가능하다”고 주장했다.
[김정완 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>