2017.09.19

DDoS 보호·완화·방어를 위한 7가지 필수 팁

George V. Hulme | CSO
DDoS 공격 규모가 커지고 그 기세도 갈수록 맹렬해지고 있다. 누구나 언제든 공격 목표가 될 수 있다. DDoS 공격에 맞서 자산을 보호하기 위한 몇 가지 필수적인 조언을 모았다.

1. DDoS 완화 계획 마련
조직은 공격자의 목표물이 될 수 있는 애플리케이션과 네트워크 서비스를 예상하고 이러한 공격을 완화하기 위한 비상 대응 계획을 마련해야 한다.

산테스는 “기업들은 이러한 공격과 그 공격에 대처하는 방법을 계획하는 데 주력한다. 내부적으로 수집한 공격 정보와 벤더가 제공하는 정보를 조합해 방어에 활용하는 역량을 향상시키는 중”이라고 말했다.

IBM의 프라이스도 “조직의 대처 능력이 향상되고 있다. 내부 애플리케이션과 네트워킹 팀을 통합하고 있으며 무방비 상태로 당하지 않도록 언제 공격 대응 단계를 높여야 하는지를 알고 있다. 공격자가 갈수록 교묘해지고 있지만 그에 대처하는 금융 기관들 역시 마찬가지”라고 말했다.

데이는 “비즈니스에 영향을 미치는 DDoS 공격이 발생하면 적절한 대외 메시지를 포함한 재해 복구 계획과 테스트된 절차가 마련되어 있어야 한다. 유형과 지리적 위치 측면에서 인프라의 다양성, 그리고 퍼블릭 및 프라이빗 클라우드를 활용한 적절한 하이브리드화도 DDoS 공격을 완화하는 데 도움이 될 수 있다”고 말했다.

비욘드트러스트(BeyondTrust)의 기술 고문 스콧 칼슨은 “규모가 큰 기업은 모두 여러 WAN 진입점, 대규모 트래픽 스크러빙(scrubbing) 제공업체와의 계획을 통해 네트워크 수준 보호부터 시작해서 공격을 완화하고 경계에 접근하기 전에 공격 경로를 돌려야 한다. WAN 속도 공격을 따라갈 수 있는 물리적 DDoS 장비는 없으므로 이를 클라우드에서 가장 먼저 스크러빙해야 한다. 운영 담당자가 스크러빙을 위해 트래픽 경로를 손쉽게 재설정하고 포화된 네트워크 장비를 장애 조치(fail over)할 수 있는 절차가 필요하다”고 말했다.



2. 실시간 조정
기업은 DDoS 공격에 맞서 실시간 조정이 가능해야 한다는 것은 예전부터 익히 알려진 사실이지만 2012년과 2013년, 연거푸 이어진 공격이 뱅크 오브 아메리카(Bank of America), 캐피탈 원(Capital One), 체이스(Chase), 시티뱅크(Citibank), PNC 뱅크(PND Bank) 및 웰스 파고(Wells Fargo)를 포함한 금융 서비스 및 은행 업계를 강타한 후 그 중요성이 더욱 부각됐다. 이러한 공격은 정교하고도 끈질겼다. 아버 네트웍스(Arbor Networks)의 솔루션 설계자인 개리 소크라이더는 “당시 공격은 다중 벡터 공격이었을 뿐만 아니라 수법이 실시간으로 바뀌었다”고 말했다. 공격자들은 사이트가 어떻게 반응하는지 살피다가 사이트가 다시 온라인 상태로 복귀하면 새로운 방법으로 공격했다.

소크라이더는 "이들은 끈질기게 물고 늘어지며 다른 포트, 다른 프로토콜을 공격하거나 새로운 소스에서 공격하는 등 끊임없이 전술을 바꾼다. 따라서 기업도 공격자와 대등한 수준으로 빠르고 유연하게 움직일 수 있는 태세를 갖추어야 한다”고 말했다.

3. DDoS 보호 및 완화 서비스 확보
사이너지스텍(CynergisTek)의 사이버 보안 전략 담당 부사장인 존 니예는 공격에 따라 조정이 가능하도록 기업 스스로 할 수 있는 일도 많지만 가장 경제적인 방법은 서드파티 DDoS 보호 서비스를 받는 것이라면서 “기업 내에서, 일반적으로 SOC 또는 NOC에서 모니터링을 통해 과도한 트래픽을 감시할 수 있으며, 이 트래픽이 정상 트래픽과 충분한 정도로 구분된다면 웹 애플리케이션 방화벽(WAF)이나 다른 기술 솔루션으로 차단할 수 있다. 큰 트래픽 부하를 감당할 수 있는 더 견고한 인프라를 구축하는 것도 가능하지만 이 솔루션은 서드파티 서비스를 사용하는 방법에 비해 훨씬 더 많은 비용이 든다”고 말했다.

데이터 센터 서비스 제공업체 사익스테라(Cyxtera)의 최고 사이버 보안 책임자인 크리스 데이 역시 니예와 같은 의견으로, 기업은 전문 서비스의 도움을 받는 방안을 고려해야 한다면서 “기업은 DDoS 완화 기업 또는 네트워크 서비스 제공업체와 협력해서 완화 역량을 확보하거나 최소한 공격이 발생할 때 신속하게 그러한 역량을 전개할 수 있는 태세를 갖추어야 한다”고 말했다.

니예는 “웹 자산이 비즈니스의 핵심인 기업이 할 수 있는 가장 효과적인 조치 중 하나는 서드파티 DDoS 보호 서비스를 받는 것”이라면서 “최선의 선택은 상황에 따라 다르고, 기업이 그러한 서비스를 사용하는 방안을 고려한다면 당연히 가용한 옵션을 철저히 조사할 것이므로 특정 벤더를 추천하기는 어렵다”고 덧붙였다.

4. 경계 방어에 의존하지 말 것
몇 년 전 금융 서비스 업체들을 강타한 DDoS 공격에 대해 취재하는 과정에서 인터뷰한 사람들은 하나같이 전통적인 구내 보안 장비(방화벽, 침입 차단 시스템, 로드 밸런서 등)로는 공격을 막을 수 없었다고 말했다.

몇 년 전 은행과 금융 서비스를 상대로 발생한 공격에 대해 이야기하면서 소크라이더는 “이러한 장비가 (방어에) 실패하는 것을 목격했다. 교훈은 단순하다. DDoS 공격이 그러한 장비에 도달하기 전에 완화할 역량을 갖추어야 한다는 것이다. 이러한 장비는 기업이 보호하고자 노력하는 서버와 똑같이 취약하다”고 말했다. 완화를 위해 할 수 있는 일 중 하나는 네트워크 경계에서 멀리 떨어진 지점부터 공격을 막을 수 있는 업스트림 네트워크 제공업체 또는 관리형 보안 서비스 제공업체에 의존하는 것이다.

대규모 공격에 직면할 경우 더 멀리 떨어진 업스트림에서 공격을 완화하는 것이 특히 중요하다.

소크라이더는 “10GB 용량의 인터넷 연결을 사용하는데 100GB 공격을 받는다면 10GB 선에서 맞서 싸우는 것은 헛수고다. 이미 업스트림부터 빈사 상태이기 때문”이라고 말했다.

5. 애플리케이션 계층 공격에 즉시 맞서기
특정 애플리케이션을 노리는 공격은 일반적으로 은밀하게 이루어지며 규모는 훨씬 더 작지만 집중적이다.

소크라이더는 “이러한 공격은 저공비행으로 레이더망을 피해가도록 설계되므로 애플리케이션 계층에서 딥 패킷 검사를 수행하고 모든 요소를 볼 수 있는 구내 또는 데이터 센터 보호가 필요하다. 이러한 종류의 공격을 완화하는 최선의 방법”이라고 말했다.

시그널 사이언스(Signal Sciences)의 전략, 마케팅 및 파트너십 담당 부사장 타일러 실즈는 “조직에는 애플리케이션 계층 DoS 공격에 대처할 수 있는 웹 보호 툴이 필요하다. 비즈니스 로직을 충족하도록 구성 가능한 툴이어야 한다. 네트워크 기반 완화책으로는 더 이상 충분하지 않다”고 말했다.

컨테이너 보안 업체 아쿠아 시큐리티(Aqua Security) 공동 창업자이자 CTO인 아미르 저비는 DDoS 공격에 대처하기 위해 취할 수 있는 단계 중 하나는 애플리케이션을 복수의 퍼블릭 클라우드 제공업체에 배포함으로써 중복성을 추가하는 것이라면서 “이렇게 하면 애플리케이션 또는 인프라 제공업체가 공격을 당하더라도 다른 클라우드 환경으로 손쉽게 옮길 수 있다”고 말했다.

6. 협업
은행들은 이러한 공격과 관련하여 약간이나마 협력하고 있다. 이들이 공개하는 모든 정보는 엄격하게 은행들 사이에서만 공유되고 철저히 보호되지만 제한적인 방법이긴 해도 은행들은 대부분의 다른 업계에 비해 협업을 잘 하는 편이다.

IBM의 금융 부문 보안 전략가인 린 프라이스는 “은행들은 상호, 그리고 각자의 통신 제공업체와 협력하고 있으며 서비스 제공업체와도 직접 협력한다. 그래야만 한다. 따로 떨어져 혼자서는 보안에 성공할 수 없기 때문”이라고 말했다.

예를 들어, 금융 서비스 업계가 공격 목표가 되었을 당시 이들은 금융 서비스 정보 공유 및
분석 센터(Financial Services Information Sharing and Analysis Center)에 지원을 요청하고 위협에 대한 정보를 공유했다. 아카마이 테크놀로지(Akamai Technologies)의 금융 서비스
부문 수석 전략가인 리치 볼스트리지는 “이러한 정보 공유 회의에서 대형 은행들은 현재 일어나는 공격의 유형, 사용해본 결과 효과적인 것으로 입증된 솔루션 등에 대해 매우 개방적으로 대화했다. 이런 방법으로 대형 은행들은 최소한 서로 대화는 해오고 있다”고 말했다.

업종을 불문하고 다른 분야에서도 이러한 금융 분야의 전략을 받아들일 수 있으며 받아들여야만 한다.

7. 2차 공격 경계
DDoS 공격은 그 자체로도 큰 피해를 입힐 수 있지만 가끔 더욱 극악한 공격을 위해 단순히 주의를 분산시키는 용도로 사용되는 경우도 있다.

프라이스는 “DDoS는 다른 방향에서 감행되는 더 강력한 공격을 위한 분산 전술일 수 있다. 은행들은 DDoS 공격을 모니터링하고 방어해야 할 뿐만 아니라 DDoS가 예를 들어 계정이나 기타 민감한 정보를 훔치기 위한 다면적 공격의 한 가지 요소에 불과할 수 있다는 점도 인지해야 한다”고 말했다.

8. 경계태세 유지
DDoS 공격은 규모가 큰 업계와 기업만 목표로 하는 것처럼 보이는 경우가 많지만 연구 결과 이는 사실이 아닌 것으로 드러났다. 상호 연결된 현대의 디지털 공급망(모든 대기업은 수십, 많게는 수백 개의 온라인 공급업체에 의존함), 공격으로 의사를 표현하는 온라인 행동주의와 다른 국가의 산업을 대상으로 한 정부 후원 공격의 확산, 그리고 DDoS 공격의 간단함까지 감안하면 모든 조직은 스스로를 공격 목표라고 생각해야 한다.

따라서 항상 대비하고, 이 기사의 조언을 조직의 대 DDoS 전략 구축을 위한 시작 지점으로 활용하기 바란다. editor@itworld.co.kr
 

2017.09.19

DDoS 보호·완화·방어를 위한 7가지 필수 팁

George V. Hulme | CSO
DDoS 공격 규모가 커지고 그 기세도 갈수록 맹렬해지고 있다. 누구나 언제든 공격 목표가 될 수 있다. DDoS 공격에 맞서 자산을 보호하기 위한 몇 가지 필수적인 조언을 모았다.

1. DDoS 완화 계획 마련
조직은 공격자의 목표물이 될 수 있는 애플리케이션과 네트워크 서비스를 예상하고 이러한 공격을 완화하기 위한 비상 대응 계획을 마련해야 한다.

산테스는 “기업들은 이러한 공격과 그 공격에 대처하는 방법을 계획하는 데 주력한다. 내부적으로 수집한 공격 정보와 벤더가 제공하는 정보를 조합해 방어에 활용하는 역량을 향상시키는 중”이라고 말했다.

IBM의 프라이스도 “조직의 대처 능력이 향상되고 있다. 내부 애플리케이션과 네트워킹 팀을 통합하고 있으며 무방비 상태로 당하지 않도록 언제 공격 대응 단계를 높여야 하는지를 알고 있다. 공격자가 갈수록 교묘해지고 있지만 그에 대처하는 금융 기관들 역시 마찬가지”라고 말했다.

데이는 “비즈니스에 영향을 미치는 DDoS 공격이 발생하면 적절한 대외 메시지를 포함한 재해 복구 계획과 테스트된 절차가 마련되어 있어야 한다. 유형과 지리적 위치 측면에서 인프라의 다양성, 그리고 퍼블릭 및 프라이빗 클라우드를 활용한 적절한 하이브리드화도 DDoS 공격을 완화하는 데 도움이 될 수 있다”고 말했다.

비욘드트러스트(BeyondTrust)의 기술 고문 스콧 칼슨은 “규모가 큰 기업은 모두 여러 WAN 진입점, 대규모 트래픽 스크러빙(scrubbing) 제공업체와의 계획을 통해 네트워크 수준 보호부터 시작해서 공격을 완화하고 경계에 접근하기 전에 공격 경로를 돌려야 한다. WAN 속도 공격을 따라갈 수 있는 물리적 DDoS 장비는 없으므로 이를 클라우드에서 가장 먼저 스크러빙해야 한다. 운영 담당자가 스크러빙을 위해 트래픽 경로를 손쉽게 재설정하고 포화된 네트워크 장비를 장애 조치(fail over)할 수 있는 절차가 필요하다”고 말했다.



2. 실시간 조정
기업은 DDoS 공격에 맞서 실시간 조정이 가능해야 한다는 것은 예전부터 익히 알려진 사실이지만 2012년과 2013년, 연거푸 이어진 공격이 뱅크 오브 아메리카(Bank of America), 캐피탈 원(Capital One), 체이스(Chase), 시티뱅크(Citibank), PNC 뱅크(PND Bank) 및 웰스 파고(Wells Fargo)를 포함한 금융 서비스 및 은행 업계를 강타한 후 그 중요성이 더욱 부각됐다. 이러한 공격은 정교하고도 끈질겼다. 아버 네트웍스(Arbor Networks)의 솔루션 설계자인 개리 소크라이더는 “당시 공격은 다중 벡터 공격이었을 뿐만 아니라 수법이 실시간으로 바뀌었다”고 말했다. 공격자들은 사이트가 어떻게 반응하는지 살피다가 사이트가 다시 온라인 상태로 복귀하면 새로운 방법으로 공격했다.

소크라이더는 "이들은 끈질기게 물고 늘어지며 다른 포트, 다른 프로토콜을 공격하거나 새로운 소스에서 공격하는 등 끊임없이 전술을 바꾼다. 따라서 기업도 공격자와 대등한 수준으로 빠르고 유연하게 움직일 수 있는 태세를 갖추어야 한다”고 말했다.

3. DDoS 보호 및 완화 서비스 확보
사이너지스텍(CynergisTek)의 사이버 보안 전략 담당 부사장인 존 니예는 공격에 따라 조정이 가능하도록 기업 스스로 할 수 있는 일도 많지만 가장 경제적인 방법은 서드파티 DDoS 보호 서비스를 받는 것이라면서 “기업 내에서, 일반적으로 SOC 또는 NOC에서 모니터링을 통해 과도한 트래픽을 감시할 수 있으며, 이 트래픽이 정상 트래픽과 충분한 정도로 구분된다면 웹 애플리케이션 방화벽(WAF)이나 다른 기술 솔루션으로 차단할 수 있다. 큰 트래픽 부하를 감당할 수 있는 더 견고한 인프라를 구축하는 것도 가능하지만 이 솔루션은 서드파티 서비스를 사용하는 방법에 비해 훨씬 더 많은 비용이 든다”고 말했다.

데이터 센터 서비스 제공업체 사익스테라(Cyxtera)의 최고 사이버 보안 책임자인 크리스 데이 역시 니예와 같은 의견으로, 기업은 전문 서비스의 도움을 받는 방안을 고려해야 한다면서 “기업은 DDoS 완화 기업 또는 네트워크 서비스 제공업체와 협력해서 완화 역량을 확보하거나 최소한 공격이 발생할 때 신속하게 그러한 역량을 전개할 수 있는 태세를 갖추어야 한다”고 말했다.

니예는 “웹 자산이 비즈니스의 핵심인 기업이 할 수 있는 가장 효과적인 조치 중 하나는 서드파티 DDoS 보호 서비스를 받는 것”이라면서 “최선의 선택은 상황에 따라 다르고, 기업이 그러한 서비스를 사용하는 방안을 고려한다면 당연히 가용한 옵션을 철저히 조사할 것이므로 특정 벤더를 추천하기는 어렵다”고 덧붙였다.

4. 경계 방어에 의존하지 말 것
몇 년 전 금융 서비스 업체들을 강타한 DDoS 공격에 대해 취재하는 과정에서 인터뷰한 사람들은 하나같이 전통적인 구내 보안 장비(방화벽, 침입 차단 시스템, 로드 밸런서 등)로는 공격을 막을 수 없었다고 말했다.

몇 년 전 은행과 금융 서비스를 상대로 발생한 공격에 대해 이야기하면서 소크라이더는 “이러한 장비가 (방어에) 실패하는 것을 목격했다. 교훈은 단순하다. DDoS 공격이 그러한 장비에 도달하기 전에 완화할 역량을 갖추어야 한다는 것이다. 이러한 장비는 기업이 보호하고자 노력하는 서버와 똑같이 취약하다”고 말했다. 완화를 위해 할 수 있는 일 중 하나는 네트워크 경계에서 멀리 떨어진 지점부터 공격을 막을 수 있는 업스트림 네트워크 제공업체 또는 관리형 보안 서비스 제공업체에 의존하는 것이다.

대규모 공격에 직면할 경우 더 멀리 떨어진 업스트림에서 공격을 완화하는 것이 특히 중요하다.

소크라이더는 “10GB 용량의 인터넷 연결을 사용하는데 100GB 공격을 받는다면 10GB 선에서 맞서 싸우는 것은 헛수고다. 이미 업스트림부터 빈사 상태이기 때문”이라고 말했다.

5. 애플리케이션 계층 공격에 즉시 맞서기
특정 애플리케이션을 노리는 공격은 일반적으로 은밀하게 이루어지며 규모는 훨씬 더 작지만 집중적이다.

소크라이더는 “이러한 공격은 저공비행으로 레이더망을 피해가도록 설계되므로 애플리케이션 계층에서 딥 패킷 검사를 수행하고 모든 요소를 볼 수 있는 구내 또는 데이터 센터 보호가 필요하다. 이러한 종류의 공격을 완화하는 최선의 방법”이라고 말했다.

시그널 사이언스(Signal Sciences)의 전략, 마케팅 및 파트너십 담당 부사장 타일러 실즈는 “조직에는 애플리케이션 계층 DoS 공격에 대처할 수 있는 웹 보호 툴이 필요하다. 비즈니스 로직을 충족하도록 구성 가능한 툴이어야 한다. 네트워크 기반 완화책으로는 더 이상 충분하지 않다”고 말했다.

컨테이너 보안 업체 아쿠아 시큐리티(Aqua Security) 공동 창업자이자 CTO인 아미르 저비는 DDoS 공격에 대처하기 위해 취할 수 있는 단계 중 하나는 애플리케이션을 복수의 퍼블릭 클라우드 제공업체에 배포함으로써 중복성을 추가하는 것이라면서 “이렇게 하면 애플리케이션 또는 인프라 제공업체가 공격을 당하더라도 다른 클라우드 환경으로 손쉽게 옮길 수 있다”고 말했다.

6. 협업
은행들은 이러한 공격과 관련하여 약간이나마 협력하고 있다. 이들이 공개하는 모든 정보는 엄격하게 은행들 사이에서만 공유되고 철저히 보호되지만 제한적인 방법이긴 해도 은행들은 대부분의 다른 업계에 비해 협업을 잘 하는 편이다.

IBM의 금융 부문 보안 전략가인 린 프라이스는 “은행들은 상호, 그리고 각자의 통신 제공업체와 협력하고 있으며 서비스 제공업체와도 직접 협력한다. 그래야만 한다. 따로 떨어져 혼자서는 보안에 성공할 수 없기 때문”이라고 말했다.

예를 들어, 금융 서비스 업계가 공격 목표가 되었을 당시 이들은 금융 서비스 정보 공유 및
분석 센터(Financial Services Information Sharing and Analysis Center)에 지원을 요청하고 위협에 대한 정보를 공유했다. 아카마이 테크놀로지(Akamai Technologies)의 금융 서비스
부문 수석 전략가인 리치 볼스트리지는 “이러한 정보 공유 회의에서 대형 은행들은 현재 일어나는 공격의 유형, 사용해본 결과 효과적인 것으로 입증된 솔루션 등에 대해 매우 개방적으로 대화했다. 이런 방법으로 대형 은행들은 최소한 서로 대화는 해오고 있다”고 말했다.

업종을 불문하고 다른 분야에서도 이러한 금융 분야의 전략을 받아들일 수 있으며 받아들여야만 한다.

7. 2차 공격 경계
DDoS 공격은 그 자체로도 큰 피해를 입힐 수 있지만 가끔 더욱 극악한 공격을 위해 단순히 주의를 분산시키는 용도로 사용되는 경우도 있다.

프라이스는 “DDoS는 다른 방향에서 감행되는 더 강력한 공격을 위한 분산 전술일 수 있다. 은행들은 DDoS 공격을 모니터링하고 방어해야 할 뿐만 아니라 DDoS가 예를 들어 계정이나 기타 민감한 정보를 훔치기 위한 다면적 공격의 한 가지 요소에 불과할 수 있다는 점도 인지해야 한다”고 말했다.

8. 경계태세 유지
DDoS 공격은 규모가 큰 업계와 기업만 목표로 하는 것처럼 보이는 경우가 많지만 연구 결과 이는 사실이 아닌 것으로 드러났다. 상호 연결된 현대의 디지털 공급망(모든 대기업은 수십, 많게는 수백 개의 온라인 공급업체에 의존함), 공격으로 의사를 표현하는 온라인 행동주의와 다른 국가의 산업을 대상으로 한 정부 후원 공격의 확산, 그리고 DDoS 공격의 간단함까지 감안하면 모든 조직은 스스로를 공격 목표라고 생각해야 한다.

따라서 항상 대비하고, 이 기사의 조언을 조직의 대 DDoS 전략 구축을 위한 시작 지점으로 활용하기 바란다. editor@itworld.co.kr
 

X