[데이터넷] 진화하는 새로운 형태의 사이버 공격 증가로 인해 많은 기업들이 피해를 입고 있다. 특히 동적(Dynamic) DDoS 공격이 증가하는 등 고조되는 사이버 보안 위협에 대처하기 위한 기업의 새로운 보안 대응 전략 마련이 시급하다. 넷스카우트가 제안하는 반응형(Adaptive) DDoS 방어 전략을 중심으로 진화하는 동적 DDoS 공격, 변화하는 공격 벡터, 경험하지 못한 새로운 DDoS 및 사이버 공격 방어 솔루션에 대해 살핀다. <편집자>
최근 진화하는 새로운 형태의 사이버 공격 증가로 인해 많은 기업들이 피해를 입고 있다. 경험하지 못한 DDoS 공격을 비롯한 사이버 위협의 파괴력이 한층 커짐에 따라 기업의 직접적인 경제적 피해도 비례해 늘고 있다.
넷스카우트의 설문 조사에 따르면 응답자의 절반 이상은 올해 전년대비 두 배에 달하는 10억~100억 달러에 달하는 피해를 겪고 있는 것으로 나타났다. 직원 25만 명 규모의 글로벌 금융 서비스 기업의 경우 DDoS 공격을 한 번 받을 때마다 약 50만 달러의 경제적 손실이 발생한다고 답하기도 했다.
사이버 보안 위협 고도화
이처럼 새로운 형태의 동적(Dynamic) DDoS 공격 증가 등 고조되는 사이버 보안 위협에 대처하기 위해서는 기업의 보안 대응 전략도 새판을 짜야한다. 일반적으로 공격과 방어를 창과 방패로 비유하지만 현재의 양상은 공격자는 튼튼하고 날카로운 최신 창을 사용하는 반면 방어자는 여전히 낡고 허술한 방패로 맞서는 상황이라 할 수 있다.
이러한 싸움 구도라면 방어자는 백전백패할 수밖에 없다. 따라서 날카로운 창을 너끈히 막아 낼 수 있는 견고한 방패가 필요하다. 즉 새로운 사이버 보안 대응 전략 마련이 불가피한 상황으로, 다음과 같이 진화를 거듭하고 있는 동적 DDoS 공격의 특징을 살펴보면 이해가 한결 쉬울 것이다.
· 비교적 방어가 용이한 양적인 볼륨/증폭 공격 감소
· TCP, DNS, 애플리케이션에 직접 타격을 가하는 공격 증가
· 공격자의 다양한 공격 벡터(Multi Vector Attack) 변경으로 실시간 대응 어려움
· 단순 임계치 기반으로는 공격 감지 및 대응이 어려운 공격 증가
· 임계치 기반 방어의 한계(임계치 범위 내에서 정상 트래픽과 공격 트래픽 구분 어려움)
반응형 DDoS 방어 솔루션
진화하는 동적 DDoS 공격의 특징에서 볼 수 있듯이 기존 임계치 기반의 DDoS 공격 방어 시에는 임계치를 초과하지 않는 공격이 들어올 시 정상 트래픽과 공격 트래픽을 구분하지 못하고 모두 통과시켜 결국 타깃에 영향을 미치게 된다.
결과적으로 레거시 방식의 방어는 진화하는 동적 DDoS 공격, 변화하는 공격 벡터, 그리고 경험하지 못한 새로운 DDoS 공격 및 사이버 공격 대응에 비효율적이다. 특히 실시간 대응이 어렵고 이로 인한 피해 규모는 계속 증가하고 있다.
그렇기 때문에 네트워크나 인프라의 최상단에 있는 DDoS 방어 솔루션의 중요성을 결코 간과하거나 가볍게 봐서는 안 된다. 넷스카우트는 진화하는 동적 DDoS 공격, 변화하는 공격 벡터, 경험하지 못한 새로운 DDoS 및 사이버 공격에 대한 효과적인 대응 전략으로 ‘반응형(Adaptive)’ DDoS 방어를 제시했다. 넷스카우트의 반응형 DDoS 방어 전략의 핵심은 다음과 같은 4가지 요소로 구성된다.
· 실시간성 최신 글로벌 DDoS 침해지표(IoC)/위협 DB 업데이트
· 실시간 분석을 통한 변화하는 공격 벡터 감지, 적합한 방어 정책 권고, 자동 방어 체계
· 실시간 가시성을 통해 직접 눈으로 보면서 방어하고, 방어하면서 확인
· 공격 트래픽만 선별해 차단할 수 있는 공격 형태별 맞춤형 방어 정책
새로운 DDoS 공격 실시간 대응
특히 넷스카우트의 AIF(ATLAS Intelligence Feed)는 전 세계 인터넷 트래픽의 50% 정도를 상시 모니터링하고 있다. 이를 기반으로 자체 인공지능/머신러닝(AI/ML)을 적용한 DDoS 정보(공격자/소스 IP, 봇넷 IP, 잘못된 도메인/URL, 시그니처 등의 정보) 및 사이버 위협(멀웨어, 랜섬웨어, APT, C2 커뮤니케이션 등의 정보) DB를 생성한 후 DDoS 장비에 최신 DB를 실시간성의 주기적인 업데이트한다.
이에 진화하는 동적 DDoS 공격, 변화하는 공격 벡터, 그리고 경험하지 못한 새로운 DDoS 공격 및 사이버 공격 방어에 대해 실시간으로 방어할 수 있다.
뿐만 아니라 DDoS 장비 자체에서 머신러닝 기반의 실시간 트래픽 분석을 통해 통과되는 새로운 공격과 변화하는 공격 벡터를 감지해 적합한 방어 정책을 권고해 보안운영센터(SOC)나 운영자들은 별도 분석 없이도 즉시 자동 또는 수동으로 변화하는 공격 벡터, 경험하지 못한 새로운 DDoS 공격에 신속한 대응 및 자동 방어 체계 수립이 가능해진다. 더불어 실시간 라이브 트래픽을 통해 공격 및 차단 결과를 즉각 확인할 수 있다.
나아가 진화하는 동적 DDoS 공격에 대한 트래픽만 선별해 차단할 수 있는 공격 형태별 맞춤형 방어 정책 제공을 통해 정상 트래픽과 공격 트래픽을 구분하기 어려운 임계치 기반의 DDoS 공격 방어 한계를 극복할 수 있다.
한층 진보된 DDoS 방어 솔루션
넷스카우트의 반응형 DDoS 방어는 진화하는 동적 DDoS 공격, 변화하는 공격 벡터, 경험하지 못한 새로운 DDoS 및 사이버 공격 방어에 대한 최선의 대응 전략이라 할 수 있다. 진화하는 사이버 공격에 맞서 DDoS 대응 솔루션 도입을 고려한다면 다음과 같은 사항을 점검함으로써 한층 최적화된 방어 체계를 구축할 수 있다.
· 진화하는 동적 DDoS 공격, 경험하지 못한 사이버 공격에 효과적으로 대응할 수 있는가?
· 최신 공격 및 위협 DB의 주기적인 업데이트를 제공하는가?
· 공격 형태별 맞춤형 방어 정책을 제공하는가?
· 인바운드 DDoS/위협과 아웃바운드 위협(C&C 통신, 멀웨어 등) 차단 및 방어가 가능한가?
· 암호화된 공격에 대한 차단 방안을 제공하는가?
· 기존 보안 스택(SIEM 및 SOAR)과 연동이 가능한가?
반응형 DDoS 방어 기술이 내장된 넷스카우트의 인라인 DDoS 솔루션인 ‘AED(Arbor Edge Defense)’는 동적 DDoS 공격, 변화하는 공격 벡터, 경험하지 못한 새로운 DDoS 및 사이버 공격 방어에 최적화됐다. 특히 DDoS 공격 방어뿐 아니라 인바운드/아웃바운드의 사이버 위협(멀웨어, 랜섬웨어, 로그4j, 인바운드 스캐닝, 내부에 감염된 호스트로부터의 C&C 통신 등)까지 차단이 가능한 한층 진보된 DDoS 방어 솔루션이다.
한편 AED에서 아웃바운드 위협이 차단됐다면 내부 네트워크를 면밀히 분석할 필요가 있다. 이때 필요한 솔루션이 바로 NDR (Network Detection and Response)이다. 다음 글에서는 넷스카우트의 네트워크 가시성 기반의 위협 탐지 및 분석을 중심으로 NDR에 대해 살핀다.
