보안 스위치 업계의 선두두자인 한드림넷 한 전문가가 이번 DDoS 공격 사태와 관련 ITViewpoint에 기고한 글 전문입니다. 수많은 좀비 PC에 보안SW를 설치하도록 강제하거나, 값비싼 DDoS 장비로 땜질 처방하는 것이 해결책이 아니라 좀비PC와 가장 가까운 곳에 위치한 인터넷서비스제공업체(ISP) 단에서 좀비PC를 실시간 파악 및 차단하고 치료할 수 있어야 한다는 점을 강조하고 있습니다. 이를 위해 자체 개발한 '보안 스위치' 도입 필요성을 강조했습니다.

ITViewpoint 서명덕 기자

아래는 자료 전문입니다.

DDoS 공격, “보안 스위치만 있었어도 사전에 막을 수 있었다”

-      좀비 PC의 트래픽 집결을 사전 차단하면 DDoS 공격 피해는 없어……

이번 피해 규모는 어느 정도일까? 옥션(74억원 피해 추정) 등 공격 대상 업체의 피해액에 더해 3천5백만 인터넷사용자가 겪었던 불편을 시간 당 손실로 환산하면 국민총생산액에 영향을 미칠 수 있는 규모가 될 것이다.  

또한, 이번 공격이 비교적 단순한 패턴이었음을 감안한다면 차후 대단위 공격이 있을 경우 피해 규모는 지금의 수백 배 규모가 될 수 있다. 제2의 ‘7.7대란’을 방지하기 위해 이번 DDoS 공격의 방어에 대한 근본적 문제를 ‘인터넷 네크워크의 처음과 끝’ 전체에 걸쳐 진단해 볼 필요가 있다.

인터넷 네크워크의 처음은 개개인의 PC부터 시작되어 ISP가 제공하는 인터넷서비스를 통해 네트워크에 접속하게 된다. 여기부터는 L2~L7 네트워크 장비가 있어 각각의 트래픽을 목적지에 분산, 배분, 연결해 준다. 최종 목적지로 네이버나 국민은행 등 포털과 웹사이트에 연결, 관련 서비스를 받게 된다.

또한, DDoS 공격의 본질은, 첫째 ‘좀비PC’가 없다면 ‘DDoS공격’도 없다는 것이고 둘째 힘없는 좀비가 네트워크상에 집결해서 엄청난 파괴력을 구사한다는 것이다. 바꿔 말하면, ‘좀비’가 기생할 수 없는 PC환경이거나 ‘좀비’가 집결하는 걸 막는다면 ‘DDoS 공격’을 두려워할 필요가 없다는 것이다.

그런데, 대부분의 전문가들은 네트워크 상의 최종 목적지인 포털과 웹사이트를 운영하고 있는 공공기관과 기업에게 DDoS 장비 도입의 시급성을 거론하고 있다. 그 동안 ‘네크워크의 보안’을 등한 시 해 온 점을 감안한다면 당연한 제안이다. DDoS 장비를 도입하여 외부로부터 들어오는 연결 요청을 먼저 처리하여 해당 서버가 다운되는 것을 방지한다 든 지, 네트워크 대역폭을 늘린다 든 지 하는 처방이다.

의미 있는 안들이지만 이런 안들은 마치 ‘좀비PC가 어디 있는 지 찾기 어려우니 각자 자기집 대문 앞에 왔을 때 들어 오지 못 하게 더 크고 단단한 대문을 달자’는 이야기로 들린다. 지금은 100명의 좀비를 막을 대문이 믿음직스럽지만, 다음에 10,000명의 좀비가 온다면 어떻게 할 것인가?

따라서 근본적 처방은 모든 네티즌들이 좀비PC가 되지 않도록 백신을 설치하고 업데이트하는 것이다. 그렇지만 이 처방은 ‘자발성’에 크게 의존한다는 ‘불완전성’뿐만 아니라 통상 공격 후 24시간 후에 나오는 백신을 이용하게 되어 사후약방문이라는 ‘사후성’이란 한계가 있다.

그렇다면, 좀비가 집결하는 것을 미리 막을 순 없을까? 좀비PC와 가장 가까운 곳에 위치한 인터넷서비스제공업체(ISP) 단에서 좀비PC를 실시간 파악 및 차단하고 치료할 수만 있다면, 이것이야말로 현실적 대안이 될 수 있을 것이다. 실제로 이런 사례가 있어 네트워크 관계자들 사이에 화제가 되고 있다.

세종텔레콤의 ISP서비스의 담당자인 장효선 시니어매니저에 따르면, “다른 DDoS 장비들의 경우 공격 후 사이트 다운을 방지하기 위한 방어여서 고객이나 인터넷서비스를 제공하는 업체 쪽에서는 공격이 일어나면 일단 크건 작건 물질적 피해를 당해야 했다. 무사히 방어한 후라도 좀비PC의 파악과 치료에 시간이 많이 들어 제2, 제3의 DDoS 공격의 여지가 있는 게 사실이다.”

“이번에 세종텔레콤은 고객PC와 가장 가까운 지점에 설치한 보안 스위치의 보안기능을 사용하여 좀비PC의 유해 트래픽을 ‘대단위 공격 이전’에 초기 탐지, 차단했다. 심지어, “소스IP 변조 공격”이 시작된 3차 공격에서조차도 성공적으로 좀비PC를 파악, 차단하여 고객에게 좀 더 안전하고 차별화된 인터넷서비스를 제공했으며 우리 고객PC들은 좀비 청정지대가 될 수 있도록 실시간 조치를 취할 수 있었다”고 밝혔다.

현재 세종텔레콤은 국내 토종 기업인 한드림넷의 보안 스위치를 사용하여 고객들에게 프리미엄 인터넷서비스를 제공하고 있다. 이 제품은 세계 최초 보안 스위치로 국내 기술력만으로 특허를 획득하여 일본 등 외국에도 수출되고 있는 제품이다.  

한드림넷의 서현원 대표이사는, “공공의 이익을 위해 개인이나 기업이 할 수 없는 것에 대해 국가가 나서야 한다. 개개의 좀비PC의 공격과 치료를 ‘최전방’의 ISP에서 막는다면 제2, 제3의 7.7 대란은 없을 것이다. ISP에서 공공의 이익을 위해 24시간, 365일 이런 역할을 할 수 있도록 국가적 차원의 지원이 있어야 한다”고 지적했다.   

한드림넷 기술지원팀 팀장인 김 도 부장은, “한드림넷의 L2 보안 스위치를 설치한 ISP 사업자의 탐지 차단 로그를 자체 분석한 결과, 한드림넷의 스위치가 좀비PC의 공격을 ISP단에서 성공적으로 탐지, 차단하였다. 또한, 제3차 공격의 로그 분석에서는 새롭게 나타난 형태의 소스 IP변조 공격까지도 탐지, 차단하였다.”라고 밝혔다.

IP변조가 일어나는 경우 ISP업체에서 좀비PC를 추적하여 치료하는 것이 거의 불가능함은 물론 IP주소가 외국으로 변조된 경우 외국으로의 공격으로 오인할 가능성도 있다.

한드림넷의 L2 보안 스위치의 경우 네트워크 구조 상 좀비PC와 가장 가까운 곳에서 DDoS공격의 세부로그를 파악할 수 있어 공격의 출발지인 좀비PC와 목적지인 피해 예상 사이트 및 공격유형까지도 쉽고 빠르게 파악할 수 있어 실시간 대처가 가능하다.

 [끝]

[한드림넷 회사소개]

한드림넷은 자체 개발한 기술특허를 기반으로 ‘세계 최초 L2 보안 스위치’를 보유한 L2 스위치 및 QoS 장비 전문 제조 업체이다. 현재 국내 시장은 대기업에 ODM (Original Development Manufacturing) 을 통해 납품, 유통하고 있으며, 일본 및 국외에는 자체 브랜드로 수출하고 있다.