국내 네트워크 보안 시장은 토종 솔루션이 압도적인 우위를 차지하고 있지만, 공격이 고도화·지능화되면서 높은 성능과 방어율을 기록하는 글로벌 솔루션을 채택하는 경우도 많아지고 있다. 국내 디도스 시장에서 경쟁하는 외산 솔루션은 아버네트웍스, F5네트웍스, 라드웨어 등이며, 포티넷은 최근 IoT·블록체인 등 새로운 기술을 채택하는 환경에서 디도스 공격 위협이 높아질 것으로 판단하고 국내 시장 공략을 본격화했다.
F5네트웍스와 라드웨어는 ADC 솔루션을 공급하면서 축적한 애플리케이션 제어 능력을 이용해 진화한 디도스 공격을 막을 수 있다고 강조한다. F5는 ADC 솔루션과 보안 플랫폼 ‘빅IP’와 클라우드 기반 서비스 ‘실버라인’의 매니지드 서비스에서 디도스 완화 기능을 제공한다.
포티넷은 전용 하드웨어 칩을 탑재해 고성능을 보장하는 ‘포티디도스(FortiDDOS)’를 한국 시장에 소개한다. 포티디도스는 시그니처 없이 비정상 트래픽 행위를 분석해 디도스 공격을 차단해 지능형 디도스 공격까지 막을 수 있다.
포티넷 관계자는 “IoT 취약점을 악용한 대규모 디도스 공격과 DNS 서비스 장애를 일으키는 공격, 블록체인 등 신기술에 대한 디도스 공격이 증가할 것으로 예상하고 한국 시장 공략을 본격화했다”고 밝혔다.
정교한 행위기반 분석 기술로 공격 차단
라드웨어의 ‘디펜스프로(DefensePro)’는 특화된 행위기반 공격 방어 기술을 앞세워 국내 디도스 방어 솔루션 시장에서 주목할 만한 성과를 거두고 있다. 디도스 방어 솔루션은 임계치 기반 방어를 기본으로 하고, 임계치를 넘는 트래픽은 IP, 포트 등 기본 정보를 기준으로 위험한 트래픽을 선별한다. 라드웨어는 트래픽의 세부적인 요소를 분석해 공격을 정확하게 인지하고 차단한다.
라드웨어 보안 솔루션의 퍼지엔진(Fuzzy Engine)은 트래픽에서 나타나는 공통분모를 분석하고 자동으로 공격 패턴을 만들어낸다. 포렌식 분석으로 차단 근거값을 상세 제공하며 물리적으로 분리된 전담 코어 분배로 성능을 최적화한다. 더불어 SSL 복호화 전용 칩셋을 탑재해 SSL 트래픽을 인라인 성능에 가깝게 복호화해 보안분석을 할 수 있도록 지원한다.
최은락 라드웨어코리아 이사는 “시그니처와 임계치 기반 디도스 방어는 진화하는 공격을 막을 수 없다. 라드웨어는 특화된 분석 기술을 이용해 시그니처에 없는 공격도 즉시 차단할 수 있다”며 “또한 라드웨어는 지난해 쎄큘러트(seculert)를 인수하고 신종 멀웨어를 차단하는 기술을 획득했으며, 이를 라드웨어 보안 솔루션에 탑재해 더 진화한 공격 차단 기술을 제공하고 있다”고 말했다.
봇넷 차단 기능도 한 차원 높은 수준을 제공한다. 기존 봇넷 차단 기능은 트래픽 요청 시 쿠키를 전송해 올바른 응답이 오면 정상 사용자, 그렇지 않으면 차단하는 방식을 택하는데, 라드웨어는 이에 더해 인증 메소드를 2단계 추가해 지능적인 봇넷을 차단한다. 자동화된 인증 기반 정책으로 학습 없이 차단할 수 있다.
한편 라드웨어는 경기도 성남에 스크러빙센터를 구축하고 한국에서 발생하는 공격을 완화할 수 있도록 지원한다. 디도스 방어, 웹방화벽, ADC 기술을 집약시켰으며, 99.999%의 가용성을 보장하고, 클라우드와 보안 서비스 제공에 필요한 인증을 모두 획득해 컴플라이언스를 해결할 수 있다. 센터에서 제공하는 디도스 방어 서비스는 3.5Tbps 이상의 글로벌 위협을 완화할 수 있으며, 전 세계 21개 보안 클라우드 펍과 연결돼 있어 세계 어느 나라에서 공격이 발생하든 막을 수 있다. 더불어 클라우드 기반 디도스 방어 서비스를 제공하고, 관제, 대응 역량까지 제공하면서 고객의 서비스 연속성을 보장한다.
클라우드로 공격 트래픽 흡수해 비즈니스 보호
디도스는 트래픽을 지속적으로 보내 서비스 장애를 일으키거나 중단시키는 공격이기 때문에 서비스가 감당할 수 있는 트래픽 규모가 크면 클수록 공격하기가 어렵다. 이 점을 들어 클라우드 기반 디도스 방어 서비스가 최근 각광받고 있다. 클라우드 디도스 방어 서비스는 전 세계에 분산된 클라우드 데이터센터에서 디도스 공격을 흡수해 공격이 발생하지 않도록 하는 것이다. 공격이 시작되는 지점에서 차단하기 때문에 트래픽 사용량을 크게 줄일 수도 있다.
모든 트래픽이 디도스 방어 클라우드를 통과하도록 하는 방식과 공격이 발생했을 때 클라우드로 우회해 정상 트래픽만 허용하는 방식, 자체 데이터센터에서 디도스 공격을 모니터링하다가 공격이 발생하면 클라우드로 우회시키는 방식 등 다양한 형태로 사용 가능하다.
CDN 기업들은 완전히 클라우드 기반 보안을 제공하는 디도스 방어 서비스가 대안이 될 것이라고 주장한다. CDN 서비스를 제공하면서 전 세계에서 발생하는 네트워크 트래픽에 대한 전문 지식이 축적돼 있다는 점을 강점으로 든다. CDN 서비스를 안전하게 제공하기 위해 자체적으로 쌓아놓은 위협 인텔리전스를 이용해 가장 최신의 지능형 공격까지 차단할 수 있다고 주장한다.
아카마이 클라우드 보안 솔루션은 전 세계 6개 분산형 스크러빙 센터와 20만대에 이르는 보안 장비로 이뤄져 있으며, 2PB에 이르는 전 세계 공격 데이터를 상시 분석하며 상시 방어나 온디맨드 방어 중 선택할 수 있다.
파리말 판디야 아카마이 APJ 부사장은 “아카마이 클라우드 보안 솔루션은 무한에 가까운 클라우드 플랫폼을 통해 대규모 공격방어가 가능하다. 공격 및 방어에 따른 서비스 성능 저하가 없고 빅데이터 기반의 업계 최저 수준 오탐률을 자랑한다. 또한 공격을 발원지에서 방어하기 때문에 인프라/서비스 영향을 최소화할 수 있다”며 “공격 및 방어에 따른 서비스 성능 저하가 없고 빅데이터 기반의 업계 최저 수준 오탐률을 자랑한다. 또한 공격을 발원지에서 방어하기 때문에 인프라/서비스 영향을 최소화할 수 있다”고 강조했다.
라임라이트네트웍스도 클라우드 기반 디도스 차단 서비스의 국내 영업을 본격화하고 나섰다. 이 서비스는 대용량 네트워크 스크러빙 기능을 제공하며, DNS 타깃 공격을 차단해 디도스 공격 위협을 낮춘다.
웹방화벽 전문기업 임퍼바도 클라우드 기반 디도스 방어 솔루션을 국내에 소개하면서 지상을 공략하고 있다. ‘인캡슐라(INCAPSULA)’는 3.5Tbps, 30Gpps 처리용량이 가능한 스크러빙 센터를 제공하고 있으며, L3~L7까지 모든 디도스 공격을 방어한다. 복잡한 디도스 방어 옵션을 추가해야 하는 CDN 서비스와 달리 명료한 SLA를 통해 서비스 연속성을 보장하며, 웹, DNS, 인프라에 이르는 디도스 공격을 차단한다.
