보안
보안의 개념과 정의
정보 보안의 정의
IT에서 다루는 정보 보안은 "다양한 위협으로부터 보안을 보호하는 것"을 뜻한다. 다음의 3대 보안 정의를 보안의 필수 요소로 볼 수 있다.
기밀성(Confidentiality) 무결성(Integrity) 가용성(Availability)
기밀성이란 인가되지 않은 사용자가 정보를 보지 못하게 하는 모든 작업이다. 가장 대표적인 기밀성은 암호화 작업이 있다.
무결성은 정확하고 완전한 정보 유지에 필요한 모든 작업을 말한다. 누군가가 정보를 고의로 훼손하거나 중간에 특정 이유로 변경이 가해졌을 때, 그것을 파악해 잘못된 정보가 전달되거나 유지되지 못하게 하는 것이 무결성이다. 대표적인 무결정 기술은 MD5, SHA와 같은 해시(Hash) 함수를 이용해 변경 여부를 파악하는 것이다.
가용성은 정보가 필요할 때, 접근을 허락하는 일련의 작업이다. 가용성이 보안에 포함되는 것이 의아할 수도 있지만 우리가 유지하는 정보에 대해 사고날 염려 없이 온전한 상태를 유지하는 것이 정보 보안이므로 어떤 이유에서라도 그 정보를 사용할 수 없는 상황이라면 정보 보안에 실패한 것이다.
네트워크 정보 보안
네트워크 입장에서의 정보 보안은 수집된 정보를 침해하는 행동을 기술적으로 방어하거나 정보의 송수신 과정에 생기는 사고를 막기 위한 작업이다. 정보를 가진 시스템을 공격해 유출하거나 사용하지 못하게 하거나 시스템이 동작하지 못하게 해 정보 서비스를 정상적으로 구동할 수 없게 만드는 행위를 네트워크에서 적절히 막는 것이 네트워크 보안의 1차 목표이다. 또한, 정보는 여러 가지 서비스를 제공하기 위해 한 자리에만 있는 것이 아니라 네트워크를 복제, 이동되므로 그 유출을 막는 것이 2차 목표이다.
네트워크 보안의 주요 개념
네트워크 보안의 목표는 외부 네트워크로부터 내부 네트워크를 보호하는 것이다. 이때 외부로부터 보호받아야 할 네트워크를 트러스트(Trust) 네트워크, 신뢰할 수 없는 외부 네트워크를 언트러스트(Untrust) 네트워크로 구분한다.
네트워크 보안은 신뢰할 수 없는 네트워크로부터 신뢰할 수 있는 네트워크를 보호하는 것이다.
우리가 운영하는 내부 네트워크이지만 신뢰할 수 없는 외부 사용자에게 개방해야 하는 서비스 네트워크인 경우, DMZ(DeMilitarized Zone) 네트워크라 부르면 일반적으로 인터넷에 공개되는 서비스를 이 네트워크에 배치한다.
네트워크 보안 분야는 트래픽의 방향과 용도에 따라 두 가지로 나눌 수 있다.
- Trust(또는 DMZ) 네트워크에서 Untrust 네트워크의 통신을 통제
- Untrust 네트워크에서 Trust(또는 DMZ)로의 통신을 통제
인터넷 시큐에 게이트웨이는 인터넷으로 나갈 때는 인터넷에 수많은 서비스가 있으므로 그에 대한 정보와 요청 패킷을 적절히 인식하고 필터링하는 기능이 필요하다.
방화벽 SWG(Secure Web Gateway), 웹 필터(Web Filter), 애플리케이션 컨트롤(Application Contol), 샌드박스(Sandbox)와 같은 다양한 서비스나 네트워크 장비가 포함된다.
반면, 데이터 센터 게이트웨이는 상대적으로 고성능이 필요하고 외부의 직접적인 공격을 막아야 하므로 인터넷 관련 정보보다 공격 관련 정보가 더 중요하다.
방화벽, IPS, DCSG(DataCenter Secure Gateway), WAF(Web Application Firewall)등의 장비가 이러한 용도로 사용된다.
네트워크 보안 정책 수립에 따른 분류
네트워크 보안 정책 수립에 따라 네트워크 보안은 두 가지로 나눌 수 있다.
화이트리스트(White List) 블랙리스트(Black List)
화이트리스트는 방어에 문제가 없다고 명확히 판단되는 통신만 허용하는 방식이다. 인터넷 전체에 대한 화이트리스트를 만들기 어려우므로 일반적으로 IP와 통신 정보에 대해 명확히 아는 경우에 많이 사용된다.
회사 내부에서 사용하는 방화벽이 명확한 정책에 의해 필요한 서비스만 허용하는 화이트리스트 방식을 주로 사용한다.
블랙리스트 방어는 공격이라고 명확히 판단되거나 문제가 있었던 IP 리스트나 패킷 리스트를 기반으로 데이터베이스를 만들고 그 정보를 이용해 방어하는 형태이다. 각종 패턴으로 공격을 방어하는 네트워크 장비(IPS, 안티바이러스, WAF)들은 일반적으로 블랙리스트 기반의 방어 기법을 제공한다.
인터넷 어디선가 공격을 당할 때 이것을 분석해서 공격 기법을 판단해 탐지하도록 간단히 적어 데이터베이스로 만들며 이런 데이터베이스를 공격 패턴(시그니처:Signature)이라고 한다.
정탐, 오탐, 미탐(탐지 에러 타입)
데이터베이스를 아무리 정교하게 만들더라도 공격으로 탐지하지 못하거나 공격이 아닌데도 공격으로 감지해 패킷을 드롭시킬 때가 있다. 블랙리스트 기반 데이버테이스를 이용한 방어는 이런 문제점이 있으므로 장비 도입시 정교한 튜닝이 필요하다.
공격을 탐지할 때 원래 예상한 내용과 다른 결과가 나올 수 있다. 이런 경우 오탐지, 미탐지(오탐, 미탐)로 구분하고 정상적으로 탐지한 경우를 정상 탐지(정탐)으로 표현한다. 예상했던 상황과 탐지 결과에 따라 4개지 경우가 나타날 수 있다.
| 공격 상황 | 정상 상황 | |
|---|---|---|
| 공격 인지 | True Positive (정상 탐지) | False Positive (오 탐지) |
| 정상 인지 | True Negative (미 탐지) | False Negative (정상 탐지) |
1. Yes라고 추론했는데 정답이 Yes인 경우(공격이라고 추론했는데 실제로 공격인 경우): True Positive(정탐)
2. No라고 추론했는데 정답이 No인 경우(공격이 아니라고 추론했는데 실제로 공격이 아닌 경우): False Negative(정탑)
3. Yes라고 추론했는데 정답이 No인 경우(공격이라고 추론해 드롭했는데 공격이 아닌 경우): False Positive(미탐)
4. No라고 추론했는데 정답이 Yes인 경우(공격이 아니라고 패킷을 허용했는데 실제로 공격일 경우): True Negative(미탐)
보안 솔루션의 종류
보안 장비의 위치와 역할에 따라 다양한 네트워크 보안 장비가 있다. 아래의 그림은 네트워크 전체 구성도(네트워크 보안 솔류션 위치)를 나타낸다.
데이터 센터에서 보안 장비를 디자인할 때 DDoS - 방화벽 - IPS - WAF 형태와 같이 여러 단계로 공격을 막도록 인라인 상에 여러 장비를 배치한다. 모든 공격을 장비 한대로는 방어할 수 없으므로 여러 장비의 기능으로 단계적으로 방어한다.
DDoS 방어 장비
DoS 공격은 'Denial of Service' 공격의 약자로, 다양한 방법으로 공격 목표에 서비스 부하를 가해 정상적인 서비스를 방해하는 공격 기법이다.
DDoS 장비는 DDoS 공격을 방어하는 보안 장비이다. DDoS 장비는 데이터 센터 네트워크 내부와 외부의 경계에서 공격을 방어하는데 이것은 볼류메트릭 공격(Volumetric Attack)을 우선 막기 위함이다.
볼류메트릭 공격은 회선 사용량이나 그 이상의 트래픽을 과도하게 발생시켜 회선 사용을 방해하는 공격이므로 회선을 공급해주는 ISP나 네트워크 ISP와 연결되는 데이터 센터 네트워크의 가장 바깥쪽에 위치서켜 이 공격을 완화해야 한다.
방화벽
방화벽은 4계층에서 동작하는 패킷 필터링 장비이다. 3, 4계층 정보를 기반으로 정책을 세울수 있고 해당 정책과 매치되는 패킷이 방화벽을 통과하면 그 패킷을 허용(Allow, Permit)하거나 거부(Deny)할 수 있다.
IDS, IPS
IDS(Intrusion Detection System: 침입 탐지 시스템)와 IPS(Intrusion Prevention System: 침입 방지 시스템)는 방화벽에서 방어할 수 없는 다양한 애플리케이션 공격을 방어하는 장비이다. 기존에는 IDS 장비와 IPS 장비를 구분했지만 최근에는 애플리케이션 공격을 방어하는 장비를 IPS로 통칭한다.
IDS와 IPS는 사전에 공격 데이터베이스(Signature)를 제조사나 위협 인텔리전스(Threat Intelligence)서비스 업체로부터 받는다. 이후 IDS와 IPS 장비에 인입된 패킷이 보유한 공격 데이터베이스에 해당하는 공격일 때, 처단하거나 모니터링한 후 관리자에게 알람을 보내 공격 시도를 알린다.
WAF
WAF(Web Application Firewall)는 웹 서버를 보호하는 전용 보안 장비로 HTTP, HTTPS처럼 웹 서버에서 동작하는 웹 프로토콜의 공격을 방어한다.
WAF는 IPS에서 방어할 수 없는 IPS 회피 공격을 방어할 수 있다. IPS는 데이터를 조합하지 않고 처리하지만 WAF는 프록시 서버와 같이 패킷을 데이터 형태로 조합해 처리한다.
샌드박스
기존에는 해커가 원하는 목적지에 직접 공격을 수행했다. 자신을 숨기기 위해 경유지를 통한 공격 외에는 직접적인 공격이 가장 쉬운 방법이었다. 이런 공격을 방어할 수단도 많지 않았고 전문적인 보안 장비도 많이 사용되자 않았기 때문이다.
하지만 보안 장비들이 발전하면서 해커들이 방화벽을 직접 뚫고 원하는 목적지로 공격하는 것이 점점 어려워져 해커들은 보안 장비를 우회하기 위해 기존과 다른 방향의 공격을 개발하게 되었다.
직접적인 공격을 원하는 서버에 접근하지 않고 악성 코드를 관리자 PC에 우회적으로 심고 이 악성 코드를 이용해 관리자 PC를 컨트롤하는 방식으로 공격 목표가 변했다.
악성 코드가 든 이메일을 관리자에게 직접 보내거나 관리자가 악성 코드를 내려받도록 다양한 방법으로 유도한다. 영화 파일이나 유틸리티 프로그램을 실행하면 악성 코드가 동작하도록 파일을 변경한 후, 사용자가 직접 내려받도록 유도해 PC를 악성 코드에 감염시킨다.
이후 이 PC들을 외부에서 컨트록하도록 C&C(Command & Control) 서버를 만들어놓고 감염 PC들이 이 C&C 서버로 연결하도록 조작한다. 이때 기존 방화벽에서는 내부 사용자가 외부 서버로 통신을 정상적으로 시도한 것으로 보이므로 이 공격을 검출하거나 방어할 수 없다.
이 공격들이 발전해 현재 APT(Advanced Persistent Threat: 지능형 지속 공격)이 되었고 샌드박스는 APT의 공격을 방어하는 대표적인 장비로 악성 코드를 샌드박스 시스템 안에 직접 실행시켜 파일들의 악성 코드 여부를 판별하는 방법으로 이용한다.
VPN
사용자 기반의 VPN 서비스를 제공해주는 장비를 VPN 장비라고 한다. 가장 많이 사용하는 VPN은 IPSEC과 SSL이며 IPSEC은 주로 네트워크 연결용으로 쓰이고 SSLVPN은 사용자가 내부 네트워크에 연결할 때 주로 쓰인다.
방화벽
네트워크 보안 장비 중 가장 유명하고 대중적인 필수 장비이다. 네트워크 중간에 위치해 해당 장비를 통과하는 트래픽을 사전에 주이진 정책 조건에 맞추어 허용하거나 차단하는 장비이다.
방화벽은 네트워크 3, 4계층에서 동작하며 세션을 인지한느 상태 기반 엔진(Stateful Packet Inspection, SPI)으로 동작한다.
초기 방화벽
초기 방화벽에서는 패킷의 인과 관계를 확인하지 못하고 장비에 등록된 정책만으로 단순히 패킷을 필터링했다. 패킷의 세션 정보나 방향성과 상관없이 순수하게 방화벽에 설정된 정책에 따라 동작하므로 이런 초기 방화벽을 Stateless 또는 패킷 필터(Packet Filter) 방화벽이라고 한다.
패킷이 장비에 인입되면 해당 패킷이 방화벽에 설정된 정책에 일치되는 것인 있는지 확인한다. 이때 참고하는 조건을 5-튜플(5-Tuple)이라고 한다. 5-튜플은 패킷의 3, 4계층 헤더 중 Source IP, Destination IP, Protocol No, Source Port, Destination Port 5가지 주요 필드를 뜻한다.
방화벽에 일치된 정책이 있으면 해당 정책에 따라 그 패킷을 허용하거나 차단한다.
패킷 필터링 방화벽은 지정된 구간에서 간단한 정책을 정의할 때는 큰 문제가 없지만 인터넷 통신과 같이 불특정 다수 기반의 정책을 정의할 때는 룰셋(Ruleset)이 복잡해지고 보안이 약화되는 문제가 있다.
현대적 방화벽의 등장(SPI 엔진)
패킷 필터 방화벽이 패킷의 상태값 없이 순수하게 정책만으로 제어하던 한계를 극복하기 위해 개발된 것이 상태 기반 방화벽이다. 현재 우리가 '방화벽'이라고 부르는 모든 장비는 세션 기반으로 동작하는 상태 기반(SPI) 엔진을 탑재하고 있다.
내부 사용자가 외부의 특적 웹페이지에 접속할 때 3 Way Handshake를 거친 후 HTTP 요청과 응답 과정을 거친다. 패킷 필터 방화벽에서 이런 트래픽을 처리하기 위해 정책을 선언하려면 목적지가 불특정 다수의 웹이 될 수 있으므로 외부로 나가는 목적지에 대해서는 모든 패킷을 허용해야 한다. 이렇게 정책을 설정하면 내부에서 외부 웹사이트로 나갈 수는 있지만 외부에서 내부로 들어오는 응답에 대한 정책이 없으므로 정상적인 통신이 되지 않는다. 응답에 대한 정책을 설정해야 한다면 외부의 웹사이트는 불특정이므로 출발지가 모든 IP여야 하고 목적지 서비스 포트는 내부에서 외부 호출 시 랜덤으로 포트를 지정하므로 마찬가지로 모든 포트가 되어야 한다. 하지만 이런 정책 설정은 보안상 매우 취약하므로 설정하면 안된다. 이런 문제 때문에 패킷 상태를 인지해 패킷의 인과 관계를 파악할 수 있는 상태 기반 SPI 엔진이 나오게 되었다.
SPI 엔진은 패킷의 인과 관계와 방향성을 인지해 정책을 적용할 수 있어 내부 네트워크에서 인터넷으로 통신할 때 유용하게 사용된다. 내부에서 외부 인터넷으로 통신을 시도해 받은 응답과 외부에서 내부로 직접 들어오려는 패킷을 구분할 수 있다.
방화벽 동작 방식
방화벽이 패킷을 처리하는 순서를 간단히 나열하면 다음과 같다.
1. 장비에 패킷이 들어오면 우선 세션 상태 테이블을 확인한다.
2. 조건에 맞는 세션 정보가 세션 테이블에 있을 때, 포워딩 테이블을 확인한다.
3. 조건에 맞는 세션 정보가 세션 테이블에 없을 때, 방화벽 정책을 확인한다.
4. 방화벽 정책은 맨 위의 정책부터 확인해 최종 정책까지 확인한 후 없을 때 암시적인 거부 규칙을 참고해 차단된다.
5. 허용 규칙이 있으면 내용을 세션 테이블에 적어 넣는다.
6. 포워딩 테이블을 확인한다.
7. 조건에 맞는 정보가 포워딩 테이블에 있을 때, 적절한 인터페이스로 패킷을 포워딩한다.
8. 조건에 맞는 정보가 포워딩 테이블에 없을 때, 패킷을 폐기한다.
방화벽의 한계
방화벽을 우회하는 다양한 공격이 개발되고 특히 대규모 웜 공격으로 인터넷 서비스가 마비되면서 방화벽의 한계가 명확히 드러났다. SPI 엔진을 사용하는 방화벽은 적은 리소스로도 다양한 공격을 쉽게 방어할 수 있었기 때문에 네트워크 보안에서 필수 요소가 되었지만 OSI 3, 4계층에서만 동작하므로 많은 한계가 있다.
취약점은 대부분 애플리케이션이나 애플리케이션 프로토콜에서 보유하고 있어 애플리케이션 영역을 검사하지 못하는 방화벽으로서는 대응이 불가능했다. 이러한 웜 공격을 막기 위해 등장한 보안 장치가 IPS이다.
IPS
방화벽은 네트워크 보안을 위해 기본적으로 구축되어야 하는 필수 솔루션이지만 3, 4계층 방어만 가능하므로 애플리케이션 계층에서 이루어지는 공격은 방어할 수 없다. 다음 그림은 방화벽과 IDS, IPS의 검사 영역을 표현한 그림이다.
IPS, IDS의 정의
IDS란 Intrusion Detection System(침입 탐지 시스템)의 약자이다. 공격자가 시스템을 해킹할 때 탐지를 목적으로 개발된 시스템이다. '방어'보다 '탐지'에 초점을 맞추어 개발되어 공격에 직접 개입하거나 방어하는 것이 아니라 트래픽을 복제해 검토하고 침입 여부를 판별한다.
IPS는 Intrustion Prevention System(침입 방지 시스템)의 약자이다. 탐지에 초점을 맞춘 IDS와 달리 공격이 발견되면 직접 차단하는 능력을 갖춘 장비이다. 트래픽을 복제해 검토만 하는 것이 아니라 트래픽이 지나가는 인라인(Inline) 상에 장비를 배치한다.
IPS는 호스트 기반 IPS와 네트워크 기반 IPS가 있고 일반적으로 IPS라고 부르는 시스템은 네트워크 기반 NIPS(Network based IPS)이다.
IPS, ISD의 동작 방식
기본적으로 IPS는 공격 데이터베이스(Signature)를 사용한 패턴 매칭 방식으로 운영되지만 프로토콜 어노말리(Protocol Anomaly), 프로파일 어노말리(Profile Anomaly) 등의 다른 기법으로도 공격을 방어한다.
패턴 매칭 방식
기존 공격이나 취약점을 통해 공격 방식에 대한 데이터베이스를 습득하고 그 최신 내용을 유지하다가 공격을 파악하는 기술을 패턴 방식, 시그니처(Signature) 방식, 데이터베이스 방식 방어라고 한다. 이런 패턴 기반 방어가 IPS 기능의 상당 부분을 차지하므로 IPS는 많은 공격 데이터베이스를 보유해야 하고 최신 공격 방식을 공격 데이터베이스에 최대한 신속히 반영하는 것이 중요하다.
어노말리 공격 방어
패턴 매칭 기반의 방어가 유효하려면 실제로 공격이 들어오기 전에 해당 공격에 대한 패턴 데이터베이스가 확보되어 있어야 한다. 패턴 기반의 방어는 극미한 변화면 생겨도 적절한 대응이 어려웠고 인터넷상으로 빠르게 전파되는 웜 공격 변종을 적절한 타이밍에 막아내기 어려웠다.
기존 블랙리스트 기반의 방어 방식인 패턴 기반 방어의 한계 때문에 IPS에서도 화이트리스트 기반의 방어 기법이 개발되었는데 바로 어노말리이다.
기존 패턴 기반의 공격 방어는 분명히 공격인 것만 찾아내 방어했다면 어노말리 기법은 분명한 공격으로 파악되지 않더라도 특정 기준 이상의 행위를 이상하다고 판단하고 방어한다.
이러한 어노말리 기법은 프로파일 어노말리(Profile Anomaly)와 프로토콜 어노말리(Protocol Anomaly)로 나뉜다.
프로파일 어노말리
프로파일 어노말리는 평소 관리자가 정해놓은 기준이나 IPS 장비가 모니터링해 정해진 기준과 다른 행위가 일어나면 공격으로 판단한다. 평소와 다른 행위에 초점을 맞춘다.
웜이 감염되면 다른 타깃으로 다량의 트래픽을 발생시켜 감염시키는 행위를 반복하므로 이런 형태의 공격을 방어하는 데 효과가 있다.
프로토콜 어노말리
SPI 방화벽과 NAT 기능이 대중화되면서 해커가 직접 일반 사용자의 PC를 쉽게 공격할 수 없게 되었다. 따라서 방화벽을 우회해 내부 사용자의 PC를 공격하기 위해 해커는 사용자가 웹 서버나 이메일에 악성 코드를 올려놓고 내부 사용자가 악성 코드를 내려받아 직접 실행하도록 유도한다.
사용자의 PC에서 실행된 악성 코드가 외부 C&C 서버와 연결되고 이 연결을 사용해 사용자 정보를 전달하고 해커의 지시에 따라 동작한다. 흔히 이런 악성 코드에 감염된 PC를 좀비 PC라고 한다. 이때 좀비 PC가 정상적으로 서비스를 요청하는 것처럼 동작하므로 일반 방화벽에서는 이런 공격에 대한 탐지와 방어가 불가능하다.
이런 공격을 방어하기 위해 IPS가 필요하면 IPS 기능 중 프로토콜 어노말리 기법이 사용된다.
잘 알려진 포트와 실제로 통신하는 프로토콜이 다를 때. 이것을 파악해 적절히 제어하는 기법을 프로토콜 어노말리라고 한다.
DDoS 방어 장비
방화벽 대중화 이후의 해커 들의 공격은 정상적인 서비스가 불가능하도록 방해하는 데 초점이 맞추어졌다. 이 공격 방식을 DoS(Denial of Service)공격이라고 한다. 하지만 해커 단독으로 하나의 서비스를 불가능하게 만드는 데는 제한이 많다. 그래서 다수의 공격자를 만들어 동시에 DoS 공격을 하는 분산형 DoS인 DDoS 공격 방식으로 발전했고 이런 공격을 방어하기 위해 DDoS 전용장비가 등장했다.
DDoS 방어 장비 동작 방식
DDoS 방어 서비스로는 클라우드 서비스, 회선 사업자의 방어 서비스, DDoS 방어 장비를 사내에 설치하는 방법이 있다. DDoS는 워낙 대규모 공격이므로 DDoS 탐지 장비와 방어 장비를 구분하는 경우가 많다. DDoS 공격을 탐지해 공격을 수행하는 IP 리스트를 넘겨주는 방어 장비나 ISP 내부에서 이 IP를 버리는 것이 가장 흔한 DDoS 방어 기법이다.
아래의 그림은 두 가지 DDoS 방어 기법: 인라인(탐지 및 방어를 하나의 장비에서), 아웃 오브 패스(Out of Path: 탐지 및 방어를 다른 장비에서 수행)을 나타낸 그림이다.
DDoS 방어 장비의 주요 차단 방법인 프로파일링 기법은 평소 데이터 흐름을 습득해 일반적인 대역폭, 세션량, 초기 접속량, 프로토콜별 사용량 등을 저장한다. 이렇게 습득한 데이터와 일치하지 않는 과도한 트래픽이 인입되면 알려주고 차단한다. 습득한 데이터는 다양한 날짜 범위와 다양한 요소를 모니터링한다.
또 하나의 방법은 일반적인 보안 장비처럼 보안 데이터베이스 기반으로 방어하는 것이다. IP 평판 데이터베이스를 공유해 DDoS 공격으로 사용된 IP 기반으로 방어 여부를 결정하거나 특정 공격 패턴을 방어하는 방법이 있다.
DDoS 공격 타입
DDoS 공격은 다양한 기법이 있지만 일반적으로 회선 사용량을 가득 채우는 볼류메트릭 공격(Volumetric Attack)과 3, 4계층의 취약점과 리소스 고갈을 노리는 프로토콜 공격(Protocol Attack), 애플리케이션의 취약점을 주로 노리는 애플리케이션 공격 (Application Attack) 3가지가 있다.
| Volumetric Attack | Protocol Attack | Application Attack | |
|---|---|---|---|
| 무엇인가 | 대용량의 트래픽을 사용해 공격 대상의대역폭을 포화시키는 공격. 간단한 증폭기술을 사용해 생성하기 쉬움 | 3, 4계층 프로토콜 스택의 취약점을 악용해 대상을 액세스 할 수 있게 만드는 공격 | 7계층 프로토콜 스택의 약점을 악용하는 공격. 가장 정교한 공격 및 식별, 완화에 가장 까다로운 공격 |
| 장애를 어떻게 일으키는가 | 공격에 의해 생성된 트래픽 양은 최종 자원(웹 사이트 또는 서비스)에 대한 액세스를 완전히 차단할 수 있음. 쓸모없는 패킷이 회선을 모두 차지해 정상적인 서비스 트래픽이 통과할 수 없음. | 공격 대상이나 중간 위험 리소스의 처리 용량을 모두 사용해서 서비스 중단을 유발함. 일반적인 네트워크 장비나 네트워크 보안 장비를 대상으로 하는 경우가 많음. 공격 대상 장비의 CPU, 메모리 자원을 고갈시켜 정상적인 서비스가 불가능하게 함. | 대상과의 연결을 설정한 후 프로세스와 트랜잭션을 독점해 서버 자원을 소모시킴. 애플리케이션 프로토콜 자체의 취약점이나 서비스를 제공하는 플랫폼의 취약점을 악용하는 경우가 많음. |
| 예제 | NTP 증폭, DNS 증폭, UDP 플러드(UDP Flood), TCP 플러드 | Syn 플러드, Ping of Death | HTTP 플러드, DNS 서비스 공격, Slowloris 등 |
Volumetric Attack
Volumetric Attack은 회선 사용량이나 그 이상의 트래픽을 과도하게 발생시켜 회선을 사용하지 못하도록 방해하는 공격이므로 회선을 공급해주는 ISP 내부나 사용자 네트워크 최상단에 위치시켜 이 공격을 완화해야 한다.
좀비 PC를 이용한 Volumetric Attack
Volumetric Attack은 특정 시간에 특정 타식을 공격하는 형태로 발생한다. 이런 공격을 하려면 미리 악성 코드에 감염되어 해커가 컬트롤할 수 있는 좀비 PC를 많이 확보해두어야 한다.
좀비 PC를 미리 충빈히 확보하지 못하거나 더 강력한 DDoS 공격을 위한 증폭 공격(Amplification Attack)이 증가하고 있다. 공격자가 상대적으로 적은 대역폭으로 중간 리플렉터에 패킷을 보내면 이 트래픽이 증폭되어 피해자 네트워크에 수십~수백 배의 공격 트래픽이 발생하느 공격법을 증폭 공격이라 한다.
이런 Volumetric Attack을 방어할 수 있는 DDoS 장비를 보유하는 것도 중요하지만 혼자서는 대부분 방어가 불가능하므로 ISP를 통한 방어나 Cloud DDoS 솔루션을 통해 서비스 네트워크로 트래픽이 직접 도달하지 못하도록 조치해야 한다.
VPN
VPN은 Virtual Private Network의 약자이다. 물리적으로 전용선이 아닌 공중망을 이용해 논리적으로 직접 연결한 것처럼 망을 구성하는 기술이다. 이렇게 논리적으로 직접 연결된 것처럼 만들어주는 통로를 터널(Tunnel)이라고 하며 VPN을 이용하면 터널을 이용해 직접 연결한 것처럼 동작한다.
VPN은 주로 인터넷과 같은 공중망을 전용선과 같은 사설망처럼 사용하기 위해 도입하므로 강력한 보안을 주록 제공해야 한다. 그래서 IPSEC, SSL과 같은 암호화 기법을 제공하는 프로토콜이 VPN에 주로 사용된다.
아래의 그림은 본사 - 지사 간 네트워크 대 네트워크 연결 구성도이다.
네트워크 간 연결은 보안이 강력한 IPSEC 기반의 VPN 기술을 사용한다. 이 경우, VPN이 연결되는 본사와 지사에 모두 IPSEC VPN 기능을 지원하는 네트워크 장비가 필요하다.
이번 그림은 개인 사용자가 본사 네트워크로 접속하는 SSLVPN 기술 구성도이다.
SSLVPN 기술을 네트워크 대 네트워크 연결이 아닌 PC 대 네트워크, 모바일 단말 대 네트워크 접속에 사용된다. 이 경우, PC나 모바일 단말과 같은 원격지는 별도의 네트워크 장비 없이 VPN 연결을 사용할 수 있다.
VPN 동작 방식
VPN은 가상 네트워크를 만들어주는 장비로 터널링 기법을 사용한다. 패킷을 터널링 프로토콜로 감싸 통신하는 기법이 터널링 기법이다. 현자 가장 많이 사용되는 보안 VPN 프로토콜은 IPSEC과 SSL이다.
VPN은 터널링과 더불어 보안 기능을 이용해 데이터를 보호한다.
일반적으로 VPN은 3가지 형태로 구현된다.
1. Host to Host 통신 보호
2. Network to Network 통신 보호
3. Host가 Network로 접근할 때 보호
