DDoS 공격을 탐지하고 차단할 수 있는 장비에는 어떻것이 있나요?
그럼 이렇게 다양한 DDoS 공격을 정확하게 탐지하고 탐지한 공격을 완벽하게 차단하기 위해 어떤 DDoS 방어 장비(Anti-DDoS)가 사용되고 있는지 알아보죠. 관리자의 입장에서는 악의적인 공격자가 실제로 DDoS 공격을 해서 웹서버가 마비되었는지 아니면 정상적인 많은 사용자가 짧은 시간 안에 폭주해서 마비되었는지 정확하게 구분하기가 쉽지 않습니다.
웹서버를 관리하는 입장에서는 웹 데몬(홈페이지를 전달해 주는 프로그램)이 죽는 것으로 밖에 확인되지 않고, 라우터, 스위치 장비에서는 특정시간대에 많은 양의 패킷이 왔다는 것 밖에 확인되지 않기 때문에 정확한 공격 여부를 확인하기 힘듭니다.
인터넷 회선의 제일 앞에서 공격을 방어하는 방화벽에서는 DDoS 공격을 탐지하고 차단할 수는 있을까요? 대부분의 방화벽에서는 용량 기반이나 자원 소모 공격에 대해 부분적으로 탐지와 차단은 가능하나 완벽한 차단은 불가능합니다. UDP/ ICMP/ SYN Flood공격의 경우 초당 들어오는 패킷 개수를 측정하여 PPS 단위로 임계치를 지정하여 임계치 이상으로 들어오는 패킷은 무조건 차단할 수 있는 기능이 있지만 이런 기능으로는 초보적인 방어만 가능하며 더욱이 애플리케이션 기반 공격은 탐지와 차단 차제가 불가능합니다.
그래서 DDoS 공격만 전문적으로 방어하는 장비가 등장하게 되었습니다. DDoS 공격을 방어하기 위해서는 크게 탐지와 차단 두 가지 기능으로 구분할 수 있습니다. 아무리 차단이 잘 되더라도 탐지가 되지 않으면 방어 자체가 불가능합니다. 일반적으로 가장 많이 사용하는 탐지 방법이 임계치를 지정하여 임계치를 넘으면 공격으로 판단하는 방법입니다.
임계치를 어떻게 설정하느냐에 따라 공격 탐지의 정확도가 좌우됩니다. 특정한 서버의 IP로 들어오는 트래픽을 모니터링하는데 24시간 중에 밤보다는 낮 시간대, 낮시간에서도 출근시간 후 1~2시간 그리고 퇴근 1~2시간 전과 같이 특정한 시간에 트래픽이 증가하게 됩니다. 이렇게 시간에 따라 트래픽의 양이 변하게 되는데 고정된 임계치를 사용한다면 공격 탐지의 정확도가 낮아질 수밖에 없습니다.
또한 임계치를 지정하는 기준이 특정한 목적지 IP로 들어오는 트래픽을 합산한 양인지, 출발지 IP를 기준으로 합산한 양인지, 아니면 출발지, 목적지 IP를 쌍으로 하여 모든 연결에 대해 각각의 트래픽 합산 양을 임계치로 사용할 건지에 따라 공격 탐지의 정확도가 달라지게 됩니다.
초기 장비의 경우 구현이 쉽고 장비에 부하가 가지 않는 방법인 출발지 혹은 목적지 IP 기준으로 모니터링하였으나 이런 방법이 공격 탐지에 그다지 효과적이지 않다고 판별되고, 시스템의 연산처리 성능이 증가하면서 출발지, 목적지를 모두 모니터링하는 방식으로 발전하게 되었습니다. 좀 더 자세한 공격 탐지에 대한 내용은 다음 글에서 소개하도록 하겠습니다.
전문적인 DDoS 방어 장비는 완전히 새로운 장비가 아니고 기존에 존재하던 보안 장비에 있는 기능을 활용하는 방식으로 개발이 시작되었습니다. 방화벽이나 IPS, 혹은 L7 스위치, QoS(Quality of Service) 장비 등에서 공격 탐지와 방어에 유용한 기능을 재활용하고, 재활용된 기능을 좀 더 강화하고 옵션을 추가하는 방식으로 발전하게 되었습니다. 그래서 여러 벤더에서 개발된 방어 장비는 어떤 보안장비를 베이스로 개발되었는지에 따라 장단점이 존재하게 됩니다. 그럼 기존의 보안장비에서 어떤 기능이 DDoS 공격 방어에 활용되는지 아래 <그림 1>을 통해 확인해 보도록 하겠습니다.
방화벽의 보안정책 기술은 이미 알려진 공격자나 국가의 IP를 차단할 때 활용되고, IPS의 패턴 탐지 기능은 패킷 내 특정 패턴을 탐지하여 공격을 탐지/차단하는데 활용됩니다. L7 스위치의 경우 트래픽 세션 분석과 HTTP 등 애플리케이션 레벨 탐지 기능을 활용하여 복합적인 L3~L4레벨 및 L7 공격을 방어할 수 있습니다. 마지막으로 QoS 장비의 쉐이핑(Shaping) 기술은 공격 대상으로 가는 대용량 트래픽을 일정 양 이하로 줄여서 서버가 받는 부하를 일정 수준 밑으로 유지시켜 주는 데 사용됩니다.
이렇게 발전된 방어 장비는 아래 <그림 2>과 같이 크게 인라인(Inline) 방식과 아웃 오브 패스(Out of Path) 방식으로 구분되어 진화하게 되었습니다. 먼저 인라인 방식의 장비가 현재 시장에서 가장 흔하게 볼 수 있는 방식으로 인터넷과 서버가 연결된 회선 라인상에 장비를 설치하여, 서버와 단말 간의 트래픽을 모니터링하다가 공격을 탐지하게 되면 직접 차단을 수행하는 방식으로 작동하는 장비입니다.
그림의 녹색라인은 정상적인 트래픽이고 빨간색은 공격으로 탐지된 트래픽으로 방어 장비에서 차단되게 됩니다. 이렇게 라인 위에 위치하기 때문에 통상 "인라인 타입"이라고 불립니다. 소규모에서 대규모까지 다양한 방어 성능을 제공하는 제품 라인업이 있으며, 시장의 70~80%는 인라인 방식의 장비가 보급되어 있습니다.
다음으로 아웃 오브 패스 방식의 장비는 탐지와 차단 장비가 분리되어 작동합니다. 평상시에는 탐지장비가 트래픽을 모니터링하고 있고 트래픽은 차단 장비를 거치지 않고 바로 서버로 전달됩니다. 탐지장비가 공격을 탐지하게 되면, 공격 대상 서버 IP주소를 확인하여, 해당 서버로 가는 트래픽만 선별적으로 차단 장비로 우회시켜 공격을 차단하는 방식으로 작동합니다.
그림에서 녹색라인은 정상적인 트래픽이므로 차단 장비를 거치지 않고 바로 전달되고, 빨간색 라인은 공격으로 탐지되어 차단 장비로 우회되어 차단되게 됩니다. 공격 대상으로 가는 정상적인 트래픽도 차단 장비로 전달되지만 차단 장비에서 정상 트래픽으로 판단하면 차단되지 않고 서버로 전달되게 됩니다.
탐지와 차단이 분리되어 있기 때문에 인라인 장비에 비해 좀 더 효율적으로 공격 대응이 가능하지만, 비교적 공급 단가가 높은 점과 설치가 다소 까다롭기 때문에 적용 가능한 환경이 한정적인 단점이 존재합니다.
마지막으로 인라인 장비와 아웃 오브 패스 장비의 장단점을 비교하면서 이번 글을 마무리하겠습니다. 아래 <그림 3>과 같이 인터넷 회선이 1~4개로 적은 일반적인 소~중규모 기업의 경우에는 인라인 장비가 설치가 간편하고 유지보수에 유리한 점이 있습니다.
그에 비해 아웃 오브 패스 방식 장비는 반드시 회선 위에 설치될 필요가 없기 때문에 모니터링해야 하는 회선이 많은 KT, SKT 같은 회선사업자나 대기업 혹은 중견기업 등 별도의 IDC를 운영하는 기업에 적합합니다. 실제로 국내에 있는 대부분의 기업은 인라인 방식의 장비가 운영 중이며 KT, SKT, LGT, 삼성 등과 같은 대규모의 회선을 보유한 기업은 아웃 오브 패스 방식의 장비가 운영 중입니다.
모니터링하는 회선을 정원에 있는 나무라고 가정해 보죠. 나무가 얼마 없는 고객사는 그냥 나무만 직접 확인하면서 병충해가 없는지 가지는 쳐야 하는지, 영양제는 언제 줘야 하는지 등등 직접 관리하는데 문제가 없지만, 나무가 굉장히 많아 거의 숲을 이루는 규모에서는 나무 하나하나를 직접 관리하기가 힘들 수밖에 없습니다. 이 때는 높은 곳에서 숲을 바라보고 있다가 잎의 색깔이 바뀌거나, 잎이 많이 떨어져서 앙상할 경우에만 선별적으로 문제가 있는 나무를 직접 확인해 보며 됩니다.
회선의 경우도 마찬가지이다. 모니터링 대상이 얼마 없으면 장비가 직접 회선에 흐르는 트래픽을 직접 모니터링하면서 관리하면 되지만, 관리해야 하는 대상이 많은 경우에는 회선에 흐르는 트래픽을 일일이 모니터링하기에는 조직의 자원이 부족할 수 있습니다. 이럴 경우 모니터링하는 장비의 효율을 위해 L4 레벨의 트래픽만 모니터링하다가 무언가 낌새가 이상하거나 조금이라도 문제가 있다고 생각될 때, 해당 트래픽만 선별적으로 직접 트래픽을 확인해서 L7 레벨까지 확인한다면 공격 트래픽을 좀 더 정확하게 확인하고 차단할 수 있는데 이런 방식을 아웃 오브 패스 방식의 동작 방식이라고 합니다.
그럼 다음 글에서는 어떻게 DDoS 공격을 오탐(정상 트래픽을 공격으로 탐지) 및 미탐(공격 트래픽을 정상으로 탐지) 없이 탐지할 수 있는지 대해 알아보도록 하겠습니다.