[Special Report] 3부_트래픽 급증과 지능화된 DDoS 공격, 무엇으로 감당할 것인가

2012.10.17

출•퇴근 길, 터널에 차가 몰려 길게 늘어서 있는 모습을 상상하면 일단 가슴이 답답하다. 교통 체증으로 도로 위에 차들이 늘어 서 있는 상황에서 어떤 차가 고장이 나거나 도로 어디에선가 사고라도 났다면 뒤에 있는 차들은 앞으로 나아가기는커녕 옴짝달싹 못 하는 짜증 가득한 상황이 된다. DDoS(Distributed Denial of Service, 분산서비스거부) 공격이 딱 이런 상황이다.


몰리는 트래픽으로 네트워크 장비나 서버가 다운되어 뒤이어 들어오는 정상적인 서비스 요청을 처리하지 못하는 상황이 되는 것이다. 교통 체증이 매일같이 발생하듯이 DDoS 공격도 항상 발생되고 있다. 다만, 규모가 작아 피해 기관에서 조차 미처 공격으로 인지되지 못 하는 경우가 많아 DDoS 공격이 보편적으로 느껴지지 않을 따름이다. 아니면, 지난 2009년과 2011년에 발생했던 대규모 DDoS 공격에 비하면 소소한 DDoS 공격은 언론의 주목을 받지 못하기 때문일까.


그러나 DDoS 공격 빈도는 지속적으로 증가하고 있을 뿐만 아니라, 공격 기법 자체도 더욱 지능화되고 있다. 특히 급변하는 네트워크 환경 속에서 기존의 DDoS 대응 솔루션만으로는 곧 한계를 맞게 될 지경이다.

일반인들까지도 ‘DDoS’ 또는 ‘DDoS 공격’이라는 말이 익숙할 정도로 우리나라는 대규모 DDoS 공격을 두 번이나 겪었다. 덕분에(?) 좀비PC 등에 대한 일반인들의 보안 인식이 높아지기도 했다.

 

그럼에도 DDoS 공격의 위험성은 줄어들기는커녕 더욱 위협적으로 변모하고 있다. DDoS 공격 기법만 해도 지난 3•4 DDoS 공격을 기점으로 소규모 패킷을 이용하는 방식 등 나날이 진화하고 있다. 파일공유 사이트나 카페 등에서 누구나 손쉽게 DDoS 공격툴을 구할 수 있다는 것도 큰 문제가 되고 있다.

 

 특히 최근에는 스마트폰 등 모바일 디바이스의 수가 급증하고 클라우드 데이터센터가 많아지면서 트래픽 양이 급격히 증가하고 있는 상태다. 이 때문에 네트워크 장비나 서버는 막대한 양의 데이터를 처리하느라 몸살을 앓을 지경이다. 면역력이 약하면 각종 질병에 노출되기 쉬운 것처럼 급증하는 트래픽 처리에 시달리는 기업이라면 DDoS 공격은 그 어느 때보다 위협적인 존재일 수 밖에 없다.

 

 

[그림 1] 모바일 트래픽 증가 추이(출처: Cisco VNI Mobile, 2012)

 

급증하는 트래픽과 DDoS 공격의 진화

트래픽이 급증하는 상황에서는 DDoS 공격을 탐지하고 대응하는 장비들의 성능도 향상되어야 한다. 대용량 트래픽을 처리하는 환경에 적합한 고성능 장비가 필요하다. 즉, 이제 10Gbps를 분석하고 처리하는 것이 아닌, 10Gbps 이상의 트래픽을 분석하여 DDoS 공격을 대응해야 한다
 

 

그러나 단순히 트래픽 분석 및 처리 속도가 향상된 것만으로는 충분치 않다. 2011년 3•4 DDoS 공격 이후 DDoS 공격은 UDP나 TCP, ICMP를 이용한 전통적인 방식에서 벗어나 HTTP를 기반으로 다양한 공격 형태로 변화했기 때문이다. 이에 지능적인 DDoS 공격을 탐지하고 대응할 수 있는 고도화된 DDoS 대응 솔루션에 대한 요구가 증가하고 있다.

 

 

웹 서버를 노리는 지능적인 DDoS 공격

최근의 DDoS 공격은 상대적으로 대응책이 마련되어 있는 네트워크 장비가 아닌 처리 성능이 취약한 웹 서버를 노린다. 대표적인 예로 슬로리스(Slowris), 루디(RUDY) 등이 있다.

 

이들의 특징은 대량의 트래픽을 이용하던 전통적인 DDoS 공격과는 달리 작은 패킷 사이즈의 적은 트래픽으로도 공격이 가능하다는 점이다. 따라서 네트워크 트래픽을 분석하고 임계치를 분석한 뒤 트래픽 양을 기준으로 방어하는 방식으로는 처리 성능이 약한 웹 서버를 보호하기 어렵다.

 

적은 트래픽이라고 우습게 보다가는 큰 코 다칠 수 있다. DDoS 대응 장비가 적은 트래픽의 공격을 미처 공격으로 인식하지 못하고 그대로 통과시킨다면 웹 기반 서비스에는 막대한 영향을 끼치게 된다. 특히 DDoS 공격으로 웹 서버에 장애가 발생할 경우, 웹 서버와 연동되어 있는 DB 서버나 타 서버들과의 연결(Session)이 모두 끊어질 수 있다. 적절한 시간 내에 연결을 복구하지 못하면 서비스 전체가 장기간 동안 서비스 불가 상태로 전락하는 최악의 사태가 발생할 수도 있다.

 

사전에 정해놓은 비율에 따라 샘플링을 하여 분석하는 플로우(Flow)기반의 분석 방식의 대응력이 우려되는 것도 이러한 이유 때문이다.

 

[그림 2] 풀 패킷(Full Packet) 방식 vs. 샘플링(Sampling) 방식

 

 

작은 DDoS 공격에도 취약한 웹 서버는 전체 패킷 분석으로 대응해야

샘플링이란 비율에 따라 트래픽을 추출하는 것이다. 예를 들어 샘플링 비율이 ‘1:10’인 경우에는 10개의 패킷들 중에 1개의 패킷을 선택하는 것을 말한다. 이렇게 10개 단위의 패킷들마다 1개의 패킷을 선택하는 것을 수분 동안 진행하여 샘플링된 패킷들을 수집한 후, 수집된 패킷들을 중심으로 분석하는 방식이 샘플링 기반의 플로우 방식이다. 샘플링 비율에 따라 차이가 있을 수 있지만, 샘플링 시 공격 트래픽을 추출하지 못하는 경우가 발생할 수 있다. 또는 분석을 위해 샘플링한 패킷을 수집하는 시간 동안 웹 서버는 DDoS 공격을 당해 이미 치명적인 상태에 놓일 수도 있다.

 

따라서 웹 기반 서버를 DDoS 공격으로부터 안전하게 보호하기 위해서는 샘플링 방식이 아닌, 실시간으로 전체 패킷을 분석할 수 있는 DDoS 대응 방식이 필요하다. Ahn


*이어지는 자세한 내용은 안랩홈페이지를 참고하세요.