티스토리 뷰
2011년 3월 4일. 청와대 등 정부 사이트를 비롯해 네이버 등 국내 주요 사이트 40개의 서버가 다운되는 사고가 발생했습니다. 다행히 별 다른 피해 없이 대부분의 사이트는 곧 복구됐는데요. 이 사고로 주목받은 것이 바로 DDoS입니다. 아마도 다들 한 번씩은 들어 보셨을 텐데요. DDo란 분산 서비스 거부 공격으로, 네트워크상에서 서비스를 제공하는 서버를 공격해 서비스를 제공하지 못하게 되는 상태에 빠지게 만드는 것을 말합니다. 예를 들자면 서버가 처리할 수 있는 한도를 넘어서는 서비스 요청을 보내 시스템을 마비시키는 식이죠. 그런데 혹시, 이런 공격은 나 혹은 우리 회사와는 상관없을 거야라고 생각하시나요? 한번 생각해 보시죠.
많은 분들은 출근해서 가장 먼저 컴퓨터를 켜고, 인터넷을 통해 메일을 확인하고 또 새로운 뉴스가 없는지 검색을 할 겁니다. 또 중요한 자료가 있다면 프린트를 하거나 팩스를 보내기도 하겠죠. 이 모든 활동들은 각기 이뤄지는 것 같지만 모두 네트워크로 연결돼 정보를 주고받고 있죠. 그런데 이런 네트워크가 DDoS와 같은 공격으로 마비가 된다면 어떻겠습니까? 실제로 네트워크로 주고받는 데이터들에 대한 가로채기 시도나 네트워크 통신을 방해하는 공격은 점차 증가하고 있는 추센데요. 콘텐츠 딜리버리 네트워크 전문회사인 Akamai 따르면 DDoS 공격은 2015년 1분기에만 지난해 같은 기간보다 2배 이상 증가했다고 합니다. 그런데, 문제는 이 같은 네트워크를 통해 공격하려는 시도는 더욱 증가할 수 있다는 점입니다. 네트워크가 발달하면 발달할수록 더 많은 보안 위협에 노출될 수밖에 없기 때문이죠. 그렇다면 이 네트워크를 위협하는 시도, 우리는 어떻게 막을 수 있을까요?
가장 기본적인 것이 바로 성벽을 쌓는 겁니다. 과거에는 외적의 침입으로부터 성안의 인명과 재산을 보호하기 위해 도시 둘레에 성벽을 쌓고, 주요 길목에 성문을 만들었습니다. 수많은 사람이 여러 길로 왕래하면 통제할 수가 없고, 만약 적이 쳐들어오면 방어할 수가 없기 때문이죠. 네트워크 보안도 이와 다르지 않습니다. 튼튼한 철옹성을 만들고 출입구를 단일화해서 허가받지 않은 사람의 출입을 통재하는 것이 바로 방화벽이라는 시스템입니다. 즉, 공격자의 불법 침입을 차단해 정보 유출, 시스템 파괴 등의 보안 문제를 사전에 방지하는 역할을 하는 거죠. 방화벽의 목적은 허용 정책에 따라, 허가 받은 사람이 허가된 시스템으로만 접속할 수 있도록 하고 그 이외의 접속을 차단하는 겁니다. 결국 일차적인 네트워크 통신 통제 시스템으로 볼 수 있을 텐데요. 중요한 곳일수록 여러 겹의 성문을 만들어 침입을 막아내는 것처럼, 오늘날 기업에서는 중요한 시스템일수록 각 구간에 여러 겹의 방화벽을 설치해 보호하고 있습니다.
성문에서 일차적으로 확인을 하고 들여보내더라도 내부에 들어와서 이상 행동을 할 수 있습니다. 범죄자들이 관광객으로 위장하여 입국하듯이 성문 통과 시에는 정상적으로 보였지만 통과 후 이상 행동을 할 수도 있는 것처럼 말이죠. 이에 대한 대책으로 검문소를 설치해 범죄 피해를 사전에 예방하기도 합니다. 네트워크 보안에서 이 검문소 역할을 하는 것이 바로 침입탐지 시스템입니다. 침입탐지 시스템은 경험과 지능을 바탕으로 수상자의 행동 패턴을 분석하고 정상적인 패턴을 벗어난 특이한 행동을 하는지를 관찰합니다. 예를 들어 네트워크 상에서 과도한 서비스를 계속해서 반복 요청을 하거나 요청하는 내용이 이상한 형태를 보인다면 침입탐지 시스템은 이를 비정상으로 판단하고 차단하는 식이죠. 결국 범죄 행위가 나타나기 전에 내부 자산을 보호하는 역할을 하는 겁니다. 이 침입탐지시스템은 방화벽과 상호 보완적으로 운영이 될 때 시너지를 발휘할 수 있습니다.
그렇다면, 앞에서 이야기했던 DDoS는 어떻게 막을 수 있을까요? DDoS 대응시스템, 즉 Anti-DDoS를 이용하면 됩니다. Anti-DDoS는 방화벽보다 앞단에 설치하는데요. 수많은 인파(과다 트래픽) 중 공격자(공격트래픽)를 선별해 차단하고 정상 출입자들은 방화벽으로 갈 수 있도록 길을 터주는 역할을 합니다. 그런데 사실 네트워크 보안을 위협하는 공격은 DDoS 외에도 여러 가지가 있습니다. 다른 사람들 간의 통신 패킷을 도청하는 스니핑이나 자신의 IP주소를 속이는 IP 스푸핑도 있죠. 이런 다양한 위협에서 벗어나기 위해 최소한 방화벽, 침입탐지 시스템, Anti-DDoS 장비 등을 설치해 네트워크 보안을 구축하는 것은 물론 이를 바탕으로 네트워크에 어떤 이벤트가 발생하고 있는지 관심을 가지는 것이 중요합니다. 외부에서 내부로, 혹은 내부에서 외부로 어떤 트래픽이 들어오고 나가는지, 또 어떤 행위를 하는지 살펴보고 불필요한 트래픽을 줄여나가는 것부터 시작해보시면 어떨까요? 읽어주셔서 감사합니다.