실시간
뉴스

특집

[기획/ DDoS 방어 대작전 ②] DDoS 공격 대응 국가·기관 나선다

디지털데일리 발행일 2008-08-25 14:13:18
이유지

방통위·KISA, 대응시스템·봇넷 탐지 기술 개발 박차, FSA도 금융권 지원

분산서비스거부(DDoS) 공격은 대규모 유해트래픽을 일시에 유입시켜 서비스를 마비시키는 특성을 갖는다. 따라서 이를 사전에 완벽히 탐지해 방어하기란 현실적으로 쉽지 않다.


현재로선, 가장 효과적인 해결책은 DDoS 공격 근원지로 악용되는 국내 ‘좀비PC(감염된 PC)’ 수를 최소화하는 것이다. 따라서 "PC 사용자의 보안상태 유지가 가장 중요하다"는 것이 전문가들의 분석이다.


그동안 국가 차원에서 DDoS 공격에 직접적으로 대응해온 방식은 한국정보보호진흥원(KISA) 인터넷침해사고대응지원센터에서 DDoS 공격을 유발하는 근원지 PC를 찾아 악성코드 샘플을 채취·분석을 통해 공격명령·제어 서버를 찾아 국내 인터넷서비스 사업자와 공조해 대상 서버 접속을 차단하는 것이었다.


하지만 최근 2년 동안 DDoS 공격 피해가 잇따르며 피해가 가중되고 있지만 뚜렷한 해결책이 보이지 않자, 국가 차원에서 이를 사전에 대응하기 위한 작업에 본격 나섰다.


방송통신위원회는 지난 7월 22일 발표한 ‘인터넷 정보보호 종합대책’에서 침해사고 예방과 대응 능력 제고를 위해 ‘DDoS 탐지·제거시스템’을 구축, 운영한다고 밝혔다.


이와 함께 웹사이트에 숨겨진 악성코드에 의해 이용자 PC가 감염돼 DDoS 공격에 악용되는 ‘좀비PC’가 되는 것을 막기 위해 현재 KISA에서 운영하고 있는 ‘악성코드 탐지시스템’을 확대하고, 웹사이트 접속 시 해당사이트의 보안수준을 자동으로 알 수 있는 ‘웹 보안수준 확인 시스템’도 구축할 계획이다.


◆국가 DDoS 공격 대응체계 구축 박차=DDoS 공격이 사회적인 이슈로 부각되면서 KISA는 지난해부터 본격적으로 정부 예산을 투입해 국가 DDoS 공격 대응체계를 마련하기 위해 주요 인터넷서비스사업자(ISP) 인터넷망 연동구간(IX)에 설치할 ‘DDoS 공격 탐지·제거시스템’ 구축사업을 준비해 왔다.


이번 사업은 1차로 20억원의 예산으로 LG데이콤 등 ISP 3곳의 일부 중요 인터넷망 연동구간에 설치될 DDoS 탐지·차단 장비 선정을 위해 관련 보안업체를 대상으로 제안요청서가 배포된 지난달부터 본격화됐다.


현재 입찰에 참가한 시스코시스템즈, 아버네트웍스 장비를 대상으로 TTA에서 탐지 기능과 성능, 안정성, 관리 항목에 대해 벤치마크테스트(BMT)를 진행 중이며, 9월 중 최종 사업자가 선정될 예정이다.


올해 1차 시범구축·운영한 후에 내년 다른 ISP 서너 곳에 추가 확장도 계획되고 있다.


KISA 관계자는 “ISP 일부 주요 IX에 DDoS 탐지·차단시스템을 구축하면 DDoS 공격에 이용되는 봇넷과 좀비PC를 탐지해 보다 능동적으로 대응할 수 있게 되고, 이 사업을 통해 향후 ISP가 DDoS 대응시스템 투자를 이끌 수 있을 것으로 보인다”고 말했다.


이밖에도 KISA는 악성 봇을 탐지·분석해 차단하고 있고, 웹사이트에 숨겨진 악성코드를 탐지하는 시스템도 확대해 나갈 방침이다.


◆신종 봇넷 능동형 탐지·대응기술도 개발=KISA는 올해부터 3개년 계획으로 스팸과 DDoS 공격에 주로 악용되는 ‘봇넷’을 탐지하기 위한 기술 개발에도 들어갔다.


신종 봇넷 능동형 탐지·대응기술이 개발되면 DDoS 공격이나 대규모 악성코드 감염으로 인한 피해를 줄일 수 있다. 지능화되고 있는 악성 봇 탐지 원천기술도 확보할 수 있는 장점도 갖게 된다.


‘봇넷(BotNet)’은 취약한 불특정 사용자 PC를 악성코드에 감염시켜 특정 타깃 공격에 악용하는 좀비 PC의 네트워크로, 봇넷에 연결된 PC를 중앙제어서버에서 원격 조종해 악성코드를 배포하는 스팸이나 DDoS, 개인정보유출에 이용하는 지능적인 수법을 사용해 심각한 피해를 야기하고 있다.


KISA는 올해까지 중앙집중형 IRC/HTTP 봇넷을 호스트·네트워크 기반으로 탐지할 수 있는 기술을 개발하고, 차단이 쉽지 않은 P2P 봇넷에 대한 그룹행위 기반의 탐지 및 보안관리 기술을 내년까지 개발하기로 했다.


또한 오는 2010년까지 능동형 통합 봇넷 탐지 기술과 정책기반의 통합관제·보안관리 기술을 개발과 함께 고도화된 호스트 기반의 악성코드 탐지 기술과 봇넷 트래픽을 원천 차단할 수 있는 기술을 개발하겠다는 것이 목표다.


◆금융보안연구원 안티DDoS 장비 테스트로 지원=지난 4월 미래에셋 홈페이지가 협박성 DDoS 공격을 받으면서 수 시간 동안 서비스가 중단된 사건이 벌어지면서, 금융권이 초긴장 상태를 지속하고 있다.


금융정보공유분석센터(ISAC) 차원에서 18개 은행을 대상으로 공동의 DDoS 탐지시스템 등 대응시스템을 구축 중인 것 외에, 금융보안연구원(FSA)은 현재 출시돼 있는 DDoS 차단(안티DDoS) 제품을 대상으로 적합성 테스트를 수행하면서 DDoS 공격 방어 대책을 수립하려는 은행과 증권사 등의 솔루션 도입을 위한 가이드를 제공하고 있다.


지난 4월 라드웨어, 시스코시스템즈, 씨큐비스타(인트루가드) 등이 공급하는 안티DDoS 장비 네 개를 대상으로 21가지 항목의 다양한 DDoS 공격 유형별 대응 여부에 대한 적합성테스트를 수행했다. 그리고 그 결과를 제공하고 했다.


금융보안연구원은 DDoS 전용 장비 시험 환경을 구성해 다양한 공격 유형별 대응 기능과 성능 시험, 부하발생시 기능 시험, 바이패스(Bypass) 시험을 실시했고, 그 결과에 주목한 금융기관에서 현재 공급 중인 타 제품을 대상으로 시험해달라는 요구를 받고 있는 상태다.


따라서 8월 중에도 아버네트웍스 등 2개의 안티DDoS 장비를 대상으로 성능과 기능 적합성테스트를 진행한 후, 요청한 기관을 대상으로 결과를 제공한다는 계획이다.


<이유지 기자>yjlee@ddaily.co.kr

Copyright ⓒ 디지털데일리. 무단전재 및 재배포 금지

이 기사와 관련된 기사

디지털데일리 네이버 메인추가

당신이 좋아할 만한 뉴스

DD 마이크로 사이트

오피니언

x