초당 기가바이트인 GBPS, 대역폭 크기 알려줘 보다 대중적인 수치 제공
초당 패킷 수인 PPS, 컴퓨터 자원을 소모시키는 공격이라 막기 더 까다로워
[보안뉴스 문가용 기자] 디도스 공격, 막기 어렵게 하려면 어떻게 꾸며야 할까? 반드시 초당 수십 기가바이트에 달하는 용량을 자랑할 필요는 없다.
[이미지 = iclickart]
이번 달 초 보안 업체 임퍼바(Imperva)가 조치한 한 디도스 공격은 초당 5억 개의 패킷으로 구성되어 있었는데, 이는 패킷 양으로만 따졌을 때 사상 최고의 디도스 공격이었다고 한다. 이 공격은 디도스 공격 중에서도 SYN 플러드(SYN Flood)라고 분류되는 건데, 공격자가 TCP 연결 요청을 빠르게 보냄으로써 시스템을 마비시키는 걸 말한다. 공격자는 고도로 무작위화 되고 스푸핑되었을 가능성이 높은 포트와 주소를 사용해 평범한 SYN 패킷과 대형 SYN 플러드를 모두 보냈다고 한다.
임퍼바는 “최근 공격자들은 이렇게 다양한 디도스 공격 기법을 섞어 정상적인 SYN 패킷만으로도 CPU와 같은 컴퓨터 자원을 소모시킬 수 있다”고 설명하며, “대형 패킷이 네트워크를 가득 채우기 때문에 일반 패킷만으로도 효과를 발휘하는 것”이라고 말한다.
또한 임퍼바는 이번 달 초에 있었던 디도스 공격에 두 개의 도구가 활용됐다고도 설명했다. “둘 다 이미 유명한 툴로, 하나는 일반적인 SYN 트래픽을 만드는 것이고 다른 하나는 대형 SYN 공격을 하는 것입니다. 둘은 서로 다른 사람이 만든 것으로 보이지만, 혼합해서 사용됨으로써 강력하고 파괴적인 디도스 공격이 완성되고 있습니다. 아마 인터넷 역사에서 가장 골치 아픈 디도스 공격이 아닐까 합니다.”
방어하는 기업이나 미디어는 디도스 공격이 일어났다고 했을 때 ‘용량’을 제일 먼저 살핀다. 임퍼바의 보안 연구원인 토머 샤니(Tomer Shani)는 “하지만 용량은 디도스 공격의 수많은 요소 중 하나일 뿐”이라고 말한다. “용량이 크다고 막기 어려운 게 아니고, 용량이 크다고 무조건 파괴적인 것도 아닙니다(BPS). 막기 어렵고 파괴적인 걸 설명하려면 PPS, 즉 초당 패킷 수가 더 정확한 수치를 제공합니다.”
예를 들어 작년 깃허브(GitHub)에서 발생한 디도스 공격의 경우 최고 트래픽이 초당 1.35 테라바이트였다. 대역폭의 측면에서는 역사상 가장 큰 디도스 공격이었다. 그래서 많은 관심을 끌었고, 디도스 공격의 심각함을 알리는 좋은 사례가 되었다. 그렇지만 ‘완화’나 ‘대응’이라는 측면에서 이는 그리 까다로운 공격은 아니다. 네트워크 대역폭만 알맞게 늘려주면 방어가 가능하기 때문이다. 실제 많은 디도스 방어 서비스가 대역폭 넓히는 것을 기본 원리로 삼고 있기도 하다.
그렇다면 PPS 지수가 높은 디도스 공격은 어떨까? 임퍼바는 “일단 모든 패킷을 하나하나 확인하고 처리하는 데에 필요한 컴퓨터 자원들이 소모된다. 그래서 이런 자원들이 마구 소모되는 걸 막기 위해 라우터나 스위치 등 네트워크 장비들이 제한을 거는데, 주로 패킷 비율에 따라 이것이 결정된다. 패킷의 크기가 아니”라고 설명한다. “PPS 공격을 막으려면 컴퓨터나 장비의 프로세싱 파워가 굉장히 높아야 합니다. 네트워크 장비들이 일반적으로 가지고 있는 파워 수준을 훨씬 상회할 정도로요.”
샤니는 “네트워크의 대역폭을 늘리는 것보다 네트워크 장비 하나하나의 프로세싱 파워를 높이는 일은 훨씬 비싸고 어려운 일”이라고 설명을 덧붙였다. “그렇기 때문에 PPS 공격에 더 주의를 기울여야 합니다. 깃허브 공격의 경우, 용량은 그렇게나 컸지만 PPS는 1억 2960만에 그쳤습니다. 임퍼바가 1월에 맞닥트린 디도스 공격은 PPS가 네 배는 더 컸습니다. 당연히 깃허브에서의 공격보다 막기가 훨씬 더 어려웠죠.”
보안 업체 코레로 네트워크 시큐리티(Corero Network Security)의 CEO 애슐리 스티븐슨(Ashley Stephenson)은 “디도스 공격은 표적이 된 조직의 취약점과 공격 벡터를 활용하는 사례가 많다”며 “대역폭 용량을 많이 잡아먹는 공격이든, 컴퓨터 자원을 많이 잡아먹는 PPS 공격이든, 상황에 따라 심각하게 파괴적일 수 있다”고 설명한다. “두 유형을 두고 하나가 더 무섭다고 일반화시키는 건 무리입니다. 디도스 공격의 파괴력이란 단순히 계산되는 게 아니거든요.”
3줄 요약
1. 일반 기업이나 미디어, 디도스 공격의 대역폭 용량에 주로 초점을 맞춤.
2. 하지만 대역폭 용량은 네트워크 넓혀 막을 수 있음. PPS가 높은 공격은 컴퓨터 자원을 늘려야 하므로 방어가 더 까다로움.
3. 일각에서는 상황에 따라 용량 많은 공격이 더 치명적일 수 있다고 주장하기도 함.
[국제부 문가용 기자(globoan@boannews.com)]
초당 패킷 수인 PPS, 컴퓨터 자원을 소모시키는 공격이라 막기 더 까다로워
[보안뉴스 문가용 기자] 디도스 공격, 막기 어렵게 하려면 어떻게 꾸며야 할까? 반드시 초당 수십 기가바이트에 달하는 용량을 자랑할 필요는 없다.
[이미지 = iclickart]
이번 달 초 보안 업체 임퍼바(Imperva)가 조치한 한 디도스 공격은 초당 5억 개의 패킷으로 구성되어 있었는데, 이는 패킷 양으로만 따졌을 때 사상 최고의 디도스 공격이었다고 한다. 이 공격은 디도스 공격 중에서도 SYN 플러드(SYN Flood)라고 분류되는 건데, 공격자가 TCP 연결 요청을 빠르게 보냄으로써 시스템을 마비시키는 걸 말한다. 공격자는 고도로 무작위화 되고 스푸핑되었을 가능성이 높은 포트와 주소를 사용해 평범한 SYN 패킷과 대형 SYN 플러드를 모두 보냈다고 한다.
임퍼바는 “최근 공격자들은 이렇게 다양한 디도스 공격 기법을 섞어 정상적인 SYN 패킷만으로도 CPU와 같은 컴퓨터 자원을 소모시킬 수 있다”고 설명하며, “대형 패킷이 네트워크를 가득 채우기 때문에 일반 패킷만으로도 효과를 발휘하는 것”이라고 말한다.
또한 임퍼바는 이번 달 초에 있었던 디도스 공격에 두 개의 도구가 활용됐다고도 설명했다. “둘 다 이미 유명한 툴로, 하나는 일반적인 SYN 트래픽을 만드는 것이고 다른 하나는 대형 SYN 공격을 하는 것입니다. 둘은 서로 다른 사람이 만든 것으로 보이지만, 혼합해서 사용됨으로써 강력하고 파괴적인 디도스 공격이 완성되고 있습니다. 아마 인터넷 역사에서 가장 골치 아픈 디도스 공격이 아닐까 합니다.”
방어하는 기업이나 미디어는 디도스 공격이 일어났다고 했을 때 ‘용량’을 제일 먼저 살핀다. 임퍼바의 보안 연구원인 토머 샤니(Tomer Shani)는 “하지만 용량은 디도스 공격의 수많은 요소 중 하나일 뿐”이라고 말한다. “용량이 크다고 막기 어려운 게 아니고, 용량이 크다고 무조건 파괴적인 것도 아닙니다(BPS). 막기 어렵고 파괴적인 걸 설명하려면 PPS, 즉 초당 패킷 수가 더 정확한 수치를 제공합니다.”
예를 들어 작년 깃허브(GitHub)에서 발생한 디도스 공격의 경우 최고 트래픽이 초당 1.35 테라바이트였다. 대역폭의 측면에서는 역사상 가장 큰 디도스 공격이었다. 그래서 많은 관심을 끌었고, 디도스 공격의 심각함을 알리는 좋은 사례가 되었다. 그렇지만 ‘완화’나 ‘대응’이라는 측면에서 이는 그리 까다로운 공격은 아니다. 네트워크 대역폭만 알맞게 늘려주면 방어가 가능하기 때문이다. 실제 많은 디도스 방어 서비스가 대역폭 넓히는 것을 기본 원리로 삼고 있기도 하다.
그렇다면 PPS 지수가 높은 디도스 공격은 어떨까? 임퍼바는 “일단 모든 패킷을 하나하나 확인하고 처리하는 데에 필요한 컴퓨터 자원들이 소모된다. 그래서 이런 자원들이 마구 소모되는 걸 막기 위해 라우터나 스위치 등 네트워크 장비들이 제한을 거는데, 주로 패킷 비율에 따라 이것이 결정된다. 패킷의 크기가 아니”라고 설명한다. “PPS 공격을 막으려면 컴퓨터나 장비의 프로세싱 파워가 굉장히 높아야 합니다. 네트워크 장비들이 일반적으로 가지고 있는 파워 수준을 훨씬 상회할 정도로요.”
샤니는 “네트워크의 대역폭을 늘리는 것보다 네트워크 장비 하나하나의 프로세싱 파워를 높이는 일은 훨씬 비싸고 어려운 일”이라고 설명을 덧붙였다. “그렇기 때문에 PPS 공격에 더 주의를 기울여야 합니다. 깃허브 공격의 경우, 용량은 그렇게나 컸지만 PPS는 1억 2960만에 그쳤습니다. 임퍼바가 1월에 맞닥트린 디도스 공격은 PPS가 네 배는 더 컸습니다. 당연히 깃허브에서의 공격보다 막기가 훨씬 더 어려웠죠.”
보안 업체 코레로 네트워크 시큐리티(Corero Network Security)의 CEO 애슐리 스티븐슨(Ashley Stephenson)은 “디도스 공격은 표적이 된 조직의 취약점과 공격 벡터를 활용하는 사례가 많다”며 “대역폭 용량을 많이 잡아먹는 공격이든, 컴퓨터 자원을 많이 잡아먹는 PPS 공격이든, 상황에 따라 심각하게 파괴적일 수 있다”고 설명한다. “두 유형을 두고 하나가 더 무섭다고 일반화시키는 건 무리입니다. 디도스 공격의 파괴력이란 단순히 계산되는 게 아니거든요.”
3줄 요약
1. 일반 기업이나 미디어, 디도스 공격의 대역폭 용량에 주로 초점을 맞춤.
2. 하지만 대역폭 용량은 네트워크 넓혀 막을 수 있음. PPS가 높은 공격은 컴퓨터 자원을 늘려야 하므로 방어가 더 까다로움.
3. 일각에서는 상황에 따라 용량 많은 공격이 더 치명적일 수 있다고 주장하기도 함.
[국제부 문가용 기자(globoan@boannews.com)]
Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
 th.jpg)
.jpg)
 TH.png)
.jpg)
.jpg)
 THJ.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
