라드웨어, “보안정책 강화 위해 공격 발생 시 정확한 정보 수집해야“
[보안뉴스 호애진] 최근 발생하는 디도스(DDoS) 공격 형태는 소규모 트래픽만으로도 실제 서비스에 영향을 끼칠 수 있으며, 그 피해는 트래픽의 규모에 크게 좌우되지 않는 것으로 나타났다.
 



라드웨어(Radware)는 ‘2011년 라드웨어 글로벌 애플리케이션 및 네트워크 보안 보고서(2011 Radware Global Application & Network Security Report)’를 통해 최근 발생하는 디도스 공격은 대용량 트래픽을 이용한 네트워크 공격보다 오히려 소규모의 애플리케이션 트래픽을 이용한 공격이 더 많은 피해를 유발할 수 있다고 밝혔다.

그렇다면 디도스 공격은 보통 어느 정도 규모일까? 라드웨어 긴급 대응팀에 따르면 대부분의 성공적인 디도스 공격은 초당 1기가비트(Gbps)를 하회했다. 물론 2010년의 위키리크스 공격처럼 10기가 수준의 공격이 없지는 않지만 사실 웹사이트를 마비시키는 데는 그 정도로 많은 트래픽이 필요하지 않다.

즉, 라드웨어가 조사한 결과에 따르면 2011년 발생한 디도스 공격 중 76%가 1기가 이하였으며, 그 가운데 32%가 10메가도 채 되지 않았다. 그리고 9%만이 10기가가 넘었다. 

애플리케이션 디도스 공격의 경우 서버 리소스 고갈을 목적으로 하기 때문에 서버의 대역폭과는 무관하게 디도스 공격을 성공시킬 수 있다. 따라서 네트워크를 보호하려면 세션을 관리하는 솔루션 및 서버를 모두 방어해야 한다.

대개 DDoS 공격은 네트워크의 TCP/IP 인프라를 표적으로 한다. 즉, TCP/IP 스택 취약점 및 TCP/IP 자체의 취약점을 이용하는 공격, 그리고 무차별 대입 공격이 사용된다.

라드웨어 측은 “공격 유형 역시 중요하다. 애플리케이션 레벨을 표적으로 하는 소규모 HTTP 플러드(flood)의 형태나 규모가 정상 사용자와 유사해지고 공격에 대한 탐지가 어려워지면서 네트워크를 표적으로 하는 대용량 UDP 플러드 공격보다 더 많은 피해를 줄 수 있다. 따라서 디도스 공격을 평가할 때 공격의 규모와 유형을 모두 고려해야 한다”고 지적했다. 다시 말해 규모가 작더라도 디도스 공격은 그 특징에 따라 얼마든지 더 치명적일 수 있다는 것이다.

보고서는 이 외에도 대규모 네트워크 플러드 공격 도중 발생한 1기가 이하의 애플리케이션 공격의 서비스 영향도를 측정한 결과 네트워크 플러드 공격보다 애플리케이션 공격이 훨씬 강력한 서비스 임팩트를 가져오는 것으로 확인했다. 그 이유는 정상 IP 및 시스템을 이용해 발생되는 애플리케이션 공격보다 변조된 IP가 사용된 네트워크 플러드 공격의 탐지가 훨씬 손쉬웠기 때문이다.

한편, 라드웨어는 기업의 보안정책 강화를 위해 공격 발생 시 정확한 공격정보를 수집할 것을 권고했다. 네트워크 플러드 공격의 경우 공격형태, PPS, BPS 등이 필요하며, 애플리케이션 공격의 경우 트랜젝션 수, 실시간 커넥션량, 신규 커넥션량 등의 수집이 필요하다.

또한, 고객의 비즈니스 모델에 따라 중요도를 판단하고 이에 맞는 솔루션을 도입해야 하며, 서비스 프로바이더 측면에서 대용량 공격 트래픽 완화 지원 여부를 확인해야 한다고 라드웨어 측은 설명했다. 더욱이 애플리케이션 공격을 차단하기 위해 네트워크 및 애플리케이션 행동분석 기능이 탑재된 Anti-DoS 솔루션을 도입하고, 통합보안 관리를 위한 보안 로그/이벤트의 SEIM(Security Event Information Management) 시스템을 구축해야 한다는 것이다.  

디도스 공격이 발생했을 경우 공격을 차단하기가 쉽지 않기 때문에 실제 서비스에 어떠한 영향이 발생하는지 정확하게 분석할 필요가 있다. 디도스 공격이 2011년보다 훨씬 지능화되고 나날이 복잡해지고 있기 때문에 다양한 공격을 안정적으로 차단할 수 있는 솔루션을 도입하는 것이 가장 중요한 과제라고 할 수 있다.   
[호애진 기자(boan5@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>