전용 장비로는 한계, 추가 방안 모색 필요

지난해 7.7 대란 발생 이후 정부, 공공기관, 금융기관, 일반 기업 등 어느 분야에 관계 없이 DDoS(분산서비스거부) 방어 장비를 앞다퉈 도입했다. 그러나 전용 장비를 도입한 사이트들 가운데는 최근 DDoS 공격을 받아 또다시 홈페이지 서비스 접속이 제대로 안 돼 무용지물이 아니냐라는 비난의 목소리가 높다. 아울러 DDoS 전용 장비 외의 추가적인 방안 마련이 필요한 것이 아니냐는 지적도 나오고 있다.

특히, 특정사이트를 대상으로 대량의 트래픽을 발생시켜 서비스를 마비시키는 DDoS 공격 특성상, 고사양 장비에 속하는 10G급 DDoS 전용 장비를 도입한다고 하더라도 10G 이상의 장비 스펙을 넘는 공격이 들어오면 장비 자체에 장애가 발생, 전용 장비는 있으나 마나라는 것. 뿐만 아니라, DDoS 장비를 도입한 일부 사이트에서는 전용 장비가 네트워크단 공격 방어에는 효과적이지만 애플리케이션단의 공격 방어에는 취약한 부분이 많다는 지적이다.

언제, 어떤 공격이 발생할지 모르는 상황에 대비하기 위해서는 장기적이고 또 체계적인 대응 방안을 모색할 필요가 있다는 것이다. 전용 장비로 DDoS 공격 방어에 한계가 있다는 점을 감안해 다른 대응 방안을 마련한 대표적인 예로 국내 주요 정부기관 사이트와 포털사이트를 들 수 있다. 두 사이트 모두 7.7 대란 당시 공격을 받은 사이트이다. 현재 정부기관 사이트의 경우 씨디네트웍스의 CDN 기반 DDoS 방어 서비스인 시큐어드 호스팅 서비스를, 포털 사이트는 DDoS 전용 장비와 함께 시트릭스의 L7스위치를 활용하고 있다.

씨디네트웍스의 시큐어드 호스팅 서비스는 대규모 DDoS 트래픽을 '시큐어드 호스팅 존'으로 우회시켜, 우회된 트래픽을 캐시 서버에서 분산 처리하고 DDoS 차단 모듈을 이용해 공격 트래픽을 필터링한 후 정상 트래픽만을 고객사의 웹서버로 보내는 방식으로 제공된다. 또 시트릭스의 L7스위치는 DDoS 방어 기능을 기본 기능으로 제공한다. 네트워크 앞단에서 공격을 판단할 수 있는 DDoS 전용 장비가 도입된다면, L7스위치는 서비스 앞단에서 비정상 서비스 트래픽을 탐지 차단한다.

씨디네트웍스에 따르면, 시큐어드 호스팅 서비스 이용 고객의 90% 이상이 DDoS 공격을 받았던 사이트로 지난해 3월 서비스가 출시된 이후 인터넷쇼핑몰, 이러닝 사이트 등 30여 곳의 고객을 확보하고 있다. 씨디네트웍스 서비스운영본부 시스템팀 임정우 과장은 "올해 추가 예산을 받아 서비스를 받으려는 공공기관들의 문의가 많다. 호스팅 업체의 DDoS 서비스를 이용하면서 트래픽에 대한 근거(리포팅) 자료 제공 등 서비스 지원에 불만족을 느끼거나, 전용 장비를 도입했는데 장비로는 안 되겠다고 판단한 기업들이 많아 앞으로 시큐어드 호스팅 서비스 이용 고객이 크게 증가할 것으로 예상된다"고 밝혔다.

또한 DDoS 전용 장비와 L7스위치로 함께 공격을 방어하고 있는 포털사의 보안담당자는 "인터넷 기업 특성상 상시로 DDoS 공격이 발생하므로 안티 DDoS 장비 운영은 필수적인 상황이다. 그러나 DDoS라는 공격 특성상 특정 벤더의 제품 하나만으로 커버가 불가능하다"며 "DDoS 전용 장비가 네트워크단의 공격 방어에는 용이하지만, 애플리케이션단 공격은 취약하기에 L7스위치의 보안 기능을 활용하여 복합적으로 방어하고 있다"고 말했다.

또한 그는 "하나의 장비에서 L3~L7 영역을 다 커버하기를 기대하는 것은 관리자의 무지이자 욕심이다. 네트워크단과 애플리케이션단으로 나눠 방어하는 게 좀 더 효율적이다"고 덧붙였다.

저작권자 © 아이티데일리 무단전재 및 재배포 금지