Defense By Design: How To Dampen DDoS Attacks With A Resilient Network

방어의 내재화: 안정적인 네트워크로 DDoS 공격을 막아내는 방법

- 스캇 보웬(Scott Bowen)

DDoS(Distributed-Denial-of-Service) 공격은 역사적으로 획기적인 혁신과 창의력을 앞세워 그 모습과 방법이 계속 진화해 왔기 때문에 조직의 예방 노력을 쉽게 무력화시킵니다.

DDoS 공격을 100% 효과적으로 방어하는 솔루션은 개발이 거의 불가능합니다. 그러나 최고정보책임자(CIO), 최고정보보안책임자(CISO), 해당 팀의 전문가는 조직 내의 위험을 평가하고 조직에 적합한 안정적인 네트워크를 구축하여 DDoS 공격을 대비, 대응, 해결하기 위한 효과적인 방법을 보유하고 있습니다. 아키텍처와 절차를 결합하여 시스템 장애가 일어날 가능성과 그 영향을 제한하는 것이 하나의 예입니다.

Defense By Design: How To Dampen DDoS Attacks With A Resilient Network
매우 짧은 순간의 시스템 중단이나 성능 저하도 매출, 고객 서비스, 평판에 악영향을 미칠 수 있습니다.

DDoS 공격은 디지털 응답 속도를 저해하여 비즈니스 활동을 중단시키거나 성능을 저하시키는 등 그 목적에 따라 정의할 수 있습니다. 공격자들은 감염시킨 컴퓨터 여러 대를 사용하여 하나의 시스템을 표적으로 삼고 수많은 방향에서 트래픽을 무차별 전송하는 방식으로 시스템을 마비시킵니다.

이 공격은 애플리케이션 레이어에 영향을 미치거나, 가짜 데이터 요청을 급격히 증가시키거나, 쓸모없는 데이터로 시스템에 과부하를 일으킬 수 있습니다. 또한 시스템의 일부로 가장하여 데이터 요청을 통해 다른 부분을 마비시킬 수 있습니다.

Akamai Technologies의 기업 담당 부사장 겸 총괄 매니저 존 서머스(John Summers)는 이렇게 말합니다. "DDoS 공격은 민감한 데이터를 탈취하는 웹 애플리케이션 공격 등 동시 다발적으로 일어나는 다른 공격의 연막 전술로 활용할 수도 있습니다."

다음 공격

2016년 10월에 발생한 대규모 미라이(Mirai) 봇넷 공격은 이전에 경험했던 여타 공격과는 완전히 달랐습니다. Akamai 인터넷 보안 현황 보고서에 논의된 대로 DVR, 웹캠 등 약 50만 대의 디바이스가 "봇"의 공격 군단으로 활용되었습니다.

미국 퍼듀 대학교의 정보 보호·보안 교육 및 리서치 센터에서 상임이사 겸 명예교수직을 맡고 있는 유진 스패포드(Eugene Spafford)는 이렇게 말합니다. "이와 같은 초대형 공격은 매일 발생하지 않습니다. 하지만 추가적인 대규모 공격은 반드시 일어날 것이며, 일반적이지 않은 형태로 우리 앞에 모습을 드러낼 것입니다."

사물 인터넷(IoT)으로 인해 점차 확대되고 있는 "공격면"은 이러한 미래의 공격에서 핵심 역할을 담당할 것입니다. 스패포드는 다음과 같이 덧붙입니다. "온라인 사용자와 운영 개체 수가 늘어남에 따라 공격자들은 이러한 목표물의 대다수를 장악하고 봇넷과 같은 다른 악용 수단으로 전환시킬 능력을 갖게 됩니다. DDoS 공격은 계속해서 증가할 뿐입니다.

지금까지 가장 잘 알려진 DDoS 공격들은 다양한 이유로 비교적 짧은 기간 동안 일어났기 때문에 모든 공격에서 가장 민첩한 대응보다 인내심이면 해결되는 수준이었을 수 있습니다. 앞으로 이런 상황이 계속 유지될지는 아무도 모릅니다."

매우 짧은 순간의 시스템 중단이나 성능 저하도 매출, 고객 서비스, 평판에 악영향을 미칠 수 있습니다. 그리고 한 기업에서 발생한 공격이 전체 비즈니스 흐름에 피해를 줄 수 있습니다. 예를 들어, 선적업체를 표적으로 삼는 DDoS 공격은 항구에 수하물이 산처럼 쌓이는 결과를 초래합니다. 이로 인해 제품이 유통업체나 판매점에 입고되지 않으며 결국 고객들은 다른 곳을 찾게 되고 거래상들은 자신들과 직접적인 관련이 없는 문제로 인해 경제적 피해를 입게 됩니다.

위험 평가

Duo Security에서 수석 보안 전략가로 근무하고 있는 사이버 보안 연구원 웬디 나더(Wendy Nather)는 이렇게 말합니다. "모든 기업이 거대한 봇넷 공격의 규모 또는 정교성에 대비한 방어 체계를 구축할 필요는 없습니다. 그 대신 자사에 특정적인 위험을 평가하고 위협 인텔리전스를 꼼꼼이 살펴본 후 공격을 감행할 동기가 있는 인물과 어떤 유형의 공격을 사용할 수 있는지 파악해야 합니다."

유럽 주요 은행의 지역 보안을 리드한 경험이 있는 나더에 따르면, 개별 유통 부서 같은 더 작은 운영 그룹은 은행과 동일한 방식으로 스스로를 보호할 필요가 없습니다.

대비 태세를 갖추기 위해서는 먼저 CISO가 주요 시장에서 자사 위험 프로필의 규모와 특성을 평가한 다음 가장 발생 가능성이 높은 DDoS 공격 유형에 맞설 계획을 수립해야 합니다.

주로 위험은 국가나 지역마다 상이한 업계 환경 및 규정과 관련이 깊습니다. 스패포드는 비즈니스 안정성에 미치는 규정 영향의 다양한 예를 언급했습니다. 원자력 발전소를 운영하려면 승인을 받지 않은 코드 변경을 제한하는 데 필요한 컴퓨팅 능력이 필요합니다. 의료 업계는 진료 기록의 기밀성을 보장할 수 있는 네트워크를 보유해야 하며, 금융 업계는 데이터를 적절히 감사할 수 있도록 안전하게 보관하고 유지관리해야 합니다.

스패포드는 이렇게 말합니다. "규정에 대한 천편일률적인 접근 방식은 없습니다. 규정 환경에서 비즈니스의 맥락을 파악해야 합니다."

안정성을 지원하는 아키텍처

네트워크 아키텍처는 안정성을 확보하기 위한 토대를 제공합니다. 조직에서 피하려는 것은 완전히 평탄한 네트워크, 즉 아키텍처 전반에서 대역폭을 공유하여 시스템의 모든 부분을 가용하게 만드는 네트워크로 비즈니스를 운영하는 것입니다. 이 경우에 한 부분을 공격하면 모든 부분에 대한 접속이 개방될 수 있습니다. "우수한 보안 사례에서는 네트워크를 분할합니다"라고 스패포드는 설명합니다.

달리 말해, 모든 종류의 공격 확산을 막기 위해서는 조직이 네트워크의 다양한 영역을 칸막이로 분리할 수 있어야 합니다. 까다로운 점은 네트워크가 구축되거나 확장된 방식으로 이를 구현하면 다양한 영역 사이의 연결을 원하거나 필요로 할 때 위험에 노출되는 것입니다.

나더에 따르면, 아키텍처 관점에서 안정적인 네트워크는 다수의 해당 구성 요소에 대한 이중화 기능과 필요한 경우 한 장비 세트에서 다른 장비 세트로 트래픽을 리라우팅하는 능력도 갖추고 있어야 합니다.

서로 다른 애플리케이션 티어(예: 복잡한 여러 웹사이트) 사이에 대규모 트래픽 전송이 일어나는 네트워크의 경우 백엔드에 오직 하나의 데이터베이스만 있어야 한다고 나더는 말합니다.

나더는 다음과 같은 2가지 전술을 강조해서 설명합니다. 안정적인 네트워크는 관리자가 로그인하여 변경 사항을 적용할 수 있는 제어 포인트를 여러 개 보유하고 있어야 합니다. 그리고 인터넷 서비스 사업자 한 곳에만 의존하는 대신 다양한 사업자들을 통한 여러 접속 포인트를 갖추어야 합니다.

공격에 대비

공격을 받았을 때 문제를 해결하기 위한 일련의 절차 수립 과정에서 모든 변수를 다룰 수는 없습니다. 특히 DDoS 공격이 얼마나 창의적일 수 있는지를 감안하면 더욱 그렇습니다. 그러나 확립된 규약을 "런북"에 문서화하면 공격이 발생할 때 누가 무엇을 하는지 명확히 파악하는 데 많은 도움이 될 수 있습니다.

나더는 이렇게 말합니다. "공격 대응 절차 수립 과정에서 조직은 수신 트래픽에 잠재적 공격 패턴이 있는지 모니터링할 담당자를 지정하고 해당 인원이 발견한 결과를 조직의 상위 그룹에 보고할 능력을 갖추고 있는지 확인해야 합니다.

실제 공격이 발생하면 최상위 경영진, 법무 및 PR 부서의 관련자, 비즈니스 운영진을 개입시키는 방법을 알아야 합니다. 사법 기관의 개입도 필요할 수 있습니다."

시스템 운영자는 시스템의 주요 수신 연결을 차단하는 방법을 미리 파악한 다음 필요한 서비스 연결을 다시 개방하는 프로세스를 진행해야 한다고 스패포드는 강조합니다.

나더는 다음과 같이 부연 설명합니다. "성공적인 기업들은 정기적으로 공격 대비 훈련을 진행합니다. 특정 공격 시나리오에 따라 기업 비즈니스 및 기술 부서의 책임자들은 컨퍼런스 콜 또는 미팅에서 함께 모여 DDoS 공격에 대한 각자의 역할을 논의하고 대응 방안을 마련해야 합니다.

이러한 훈련 활동은 근육을 키우는 운동과 같습니다."

안정적인 조치

공격이 발생하고 방어 체계가 완전히 무너지지 않을 정도로 기업이 대비가 되어 있을 때 가장 시급한 조치는 더 많은 대역폭과 머신 파워로 대응하는 것입니다. "공격을 받는 시점에 더 많은 대역폭과 머신을 보유하고 있으면 해결책이 됩니다"라고 스패포드는 말합니다.

이러한 인프라는 클라우드에 존재할 수 있습니다. "가장 큰 규모의 조직들에서도 대규모 공격을 막아낼 용량이 부족할 수 있습니다. 안정성을 보장하는 유일한 방법은 폭넓게 확장 가능한 온디맨드 방식의 용량을 갖춘 클라우드 레이어를 보유하는 것입니다"라고 서머스는 알려줍니다.

"조직은 공격의 특성에 따라 표적이 되는 시스템을 다른 IP 주소 및 하드웨어로 이동시킬 수 있도록 IP 주소, 도메인 네임, 라우팅을 변경할 수 있는 민첩성도 갖추고 있어야 합니다"라고 스패포드는 말합니다.

그리고 사용 중인 도메인 네임 시스템(DNS)의 품질도 무시하면 안 됩니다. 서비스 사업자가 기본적으로 제공하는 DNS는 공격을 받을 때 필요한 용량이 부족할 수 있습니다. 가능한 경우 기본 DNS 사업자가 비즈니스에 영향을 미치는 DDoS 공격으로 시달릴 때 백업 DNS 사업자를 이용하는 것이 좋습니다.

가끔은 조직이 공격을 모두 흡수하는 "블랙홀"이 될 수 있습니다. 즉, 트래픽이 의도된 표적으로 전송될 것이라고 공격자들이 예측하는 대로 공격 트래픽의 채널이 바뀌지만, 실제로는 분석할 수 있는 제어 공간으로 전송되는 경우를 말합니다.

나더에 따르면, 이런 상황에서 기업의 보안팀에 기술 전문가가 있거나 외부 조력자를 통해 전문가와 접촉할 수 있으면 실시간 포렌식 분석을 실시하여 공격 애플리케이션 자체의 약점을 찾아서 활용하고 기능을 저하시키거나 무력화시킬 수 있습니다.

사후 조치 검토

스패포드는 일단 공격을 물리쳤으면 다음 질문을 통한 사후 조치 검토를 제안합니다.

  • 공격을 충분히 일찍 감지했습니까?
  • 비즈니스에 중요한 서비스를 계속 제공하기 위해 적절한 단계를 수행했습니까?
  • 대응책이 효과를 발휘했습니까?
  • 파악하지 못한 공격의 다른 측면이 있었습니까?
  • 종류를 막론하고 놓쳐버린 후유증이 있습니까?

사후 조치 검토 정보를 비즈니스 파트너는 물론 DDoS 방어 서비스 사업자 또는 보안 컨설팅 업체 등 정보를 확인해야 하는 조력자들과 공유합니다. 스패포드는 조력자가 "공격 이전 또는 공격 중에 정보를 제공한 경우 이를 적절히 사용했습니까?"라는 질문으로 끝을 맺었습니다.

안정성의 장점

서머스에 따르면, 안정성은 비즈니스의 핵심에 영향을 미칩니다. "DDoS 공격의 효과적인 방어는 다운타임 감소를 의미하며, 이는 중단 없는 고객 서비스 및 비즈니스 운영과 더 낮은 매출 손실 위험으로 이어집니다"라고 서머스는 말합니다.

안정성은 수준 높은 고객 경험 제공이라는 약속을 지킬 수 있게 합니다. 고객은 원하는 것을 신속하게 찾아서 구매하고 자신의 비즈니스에 착수합니다. 최적의 이커머스 성능을 기대하는 디지털 세대 고객들이 주류를 이루는 현대 사회에서 미미한 성능 저하도 비즈니스에 큰 피해를 입힐 수 있습니다.

마지막으로 안정성이 뛰어난 네트워크를 구축하면 최근 DDoS 공격의 희생자 명단에 자사 이름이 오르는 일은 절대로 없을 것입니다. 기업 평판이 운영 및 커뮤니케이션을 지속하는 능력에 달려 있는 경우 공격을 방어하고 그 영향을 상쇄시킬 수 있는 네트워크가 필요하다고 스패포드는 말합니다.

프리랜서 저술가 겸 편집자인 스캇 보웬은 True/Slant.com, ForbesTraveler.com, Fortune Small Business에 기고한 경력이 있습니다. 스캇의 소설 Ten Years of the Yale Anglers' Journal은 Tight Lines의 선집에 포함되었습니다.

Related CIO Content