안랩 트러스가드 DPX, 지능형 DDoS 공격 대응 최적화

홈 > 뉴스 > 뉴스 > 보안

안랩 트러스가드 DPX, 지능형 DDoS 공격 대응 최적화

운영 환경에 맞는 방어 가이드 제시…시그니처 방식 한계 극복

2017년 05월 13일 09:31:58

데이터넷

webmaster@datanet.co.kr

우리나라를 공격하는 핵티비스트 활동이 점점 극에 달하고 있다. 사드(THAAD) 배치 문제로 갈등을 겪고 있는 중국의 경우, 대표적인 해커그룹인 홍커(Honker)가 우리나라 정부와 기업에 대한 디도스 공격을 예고하면서 전국에 비상 경계령이 내려지기도 했다. 북한, 중국 등의 사이버 범죄자들이 한국 사용자와 기업, 정부를 대상으로 끊임없이 공격을 단행하면서 금전적 이익을 얻고자 하거나 정치적인 메시지를 전하고자 한다.

7·7, 3·4 사고 이후 디도스 공격은 더욱 진화해 신종 공격 툴과 더불어 프로토콜의 취약점을 활용한 정밀한 공격이 대중화되고 있다. 클라우드 기술과 플랫폼의 발달로 디도스 공격은 특정 기술 집단이 행할 수 있는 어려운 영역이 아닌 적은 비용으로 행할 수 있는 서비스화가 가속화되고 있다.

진화하고 대중화되는 디도스 공격에 대응하는 ‘안랩 트러스가드 DPX(AhnLab TrusGuard DDoS Prevention eXpress)’는 특허 받은 독자 보안 기술이 적용된 방어 알고리즘을 구현한 엔진과 안랩의 인프라를 결합한 디도스 방어 전용 제품이다.

운영 환경에 맞는 방어 가이드 제시
일반적으로 사용되고 있는 디도스 전용 제품에서는 방어 성능의 확보를 위해 보호 대상의 허용오차(Tolerance) 정도를 관리자의 운영 능력에 의거해 특정 임계치를 설정, 공격탐지 및 방어의 시발점을 지정하는 방식을 사용하고 있다.

타 제품에서는 임계치 설정을 운영자의 판단에 맡기고 있는 반면, ‘안랩 트러스가드 DPX’는 정상적인 상태에서 자동학습을 통해 임계치로 사용할 수 있는 권고 수치를 제시하고 있다. 자동학습을 통해 제시되는 권고치는 TCP/HTTP/DNS 등의 평면적인 값이 아닌, 각 출발지/목적지와 포트의 조합으로 다양한 서비스를 제공하는 환경에 맞게 상세한 설정이 가능하도록 권고치를 추출해 낸다. 운영자는 이렇게 측정된 학습값과 보호 대상의 성능 정도를 고려해 공격 방어에 사용할 임계치를 설정할 수 있다.

시그니처 방식 한계 극복
디도스 공격자들은 더 이상 정해진 패턴에 의존하는 방식으로는 대응할 수 없을 만큼 진화했으며, 제로데이 공격뿐 아니라 프로토콜 취약점을 활용한 공격 등 복합적인 공격이 대중화되고 있다. ‘안랩 트러스가드 DPX’는 이런 복합적인 공격에 대응하기 위해 사전 정의된 패턴에 의존하지 않고, 다단계 필터 구조를 활용해 평소의 학습 결과를 바탕으로 오탐이 최소화된 탁월한 디도스 공격 방어 기능을 제공한다.

‘안랩 트러스가드 DPX’는 오탐 방지를 위해 다단계 필터에서는 세분화된 정책과 좀비 PC 탐지 기술을 통해 공격 트래픽을 정확히 판단해 정상 트래픽과 고객사 서비스의 지속성을 보장한다. 특히 세분화된 정책별로 최대 200여개의 소스 IP 별 임계치를 별도로 산출해 디도스 공격 방어 시 NAT된 IP 단위의 오탐을 최소화할 수 있는 차별화된 기능을 제공한다.

또한 알려진 공격에 대한 긴급 대응을 위해서 사용자 시그니처를 적용해 방어 정책을 설정할 수 있으며, 전통적인 공격 방어를 위해 시그니처 또한 사용 가능하도록 제공하고 있다.


▲ 안랩 트러스가드 DPX 주요 기능

전통적 공격과 최신 공격을 동시 대응
‘안랩 트러스가드 DPX’는 허위(Spoofed) IP 기반 플러딩과 단편화(Fragmentation)된 패킷에 의한 플러딩 등 전통적인 형태의 디도스 공격은 물론, 최근 빈도가 높아지고 있는 세션 기반의 공격(TCP/HTTP)까지 완벽히 방어할 수 있도록 설계됐다.

공격 탐지와 차단의 정확도를 높이기 위해 성능이 보장된 인증 기능을 제공하고 있으며, TCP/HTTP 뿐 아니라 최신 트렌드 공격인 DNS 증폭 공격에도 인증 기능을 구현해 정상 트래픽을 가장한 DNS 공격도 방어 가능하다.

가상 어플라이언스 기능과 멀티테넌트 환경 지원
‘안랩 트러스가드 DPX’는 인라인 구성 방식뿐만 아니라 안정적인 아웃 오브 패스 구성 방식도 제공해 다양한 네트워크 환경에 적합한 구성 방식을 지원하고 있다. 보호 대상을 그 목적에 따라 Zone으로 분류 구성해 각 보호 대상별 차별화된 탐지 방어 정책을 적용할 수 있으며, 최대 128개의 존을 단일 장비로 구성할 수 있다.

각각의 존은 가상 어플라이언스로 동작하며, 탐지 및 방어뿐 아니라 각 별개의 관리자 생성과 개별 모니터링, 리포트 생성까지 각 존 별로 분리돼 제공된다. 멀티 테넌트 환경을 필요로 하는 곳에서는 단일 장비로 최대 128개의 서비스 테넌트를 제공할 수 있다.


▲ 가상 어플라이언스 기능과 멀티 테넌트 지원 기술

디도스 공격 격전지에서의 토종 제품 경쟁력 입증
중국 해커그룹의 공격 예고와 같은 디도스 공격은 한국에서 더 이상 특별한 사건이 아닌 상시적으로 발생하고 있는 이벤트라고 할 수 있다. 따라서 ‘안랩 트러스가드 DPX’는 전용 제품으로서 공공, 기업, 금융 등 한 분야에 집중되기 보다는 고른 산업군에 구축 및 운용돼 다양한 디도스 공격에 대응할 수 있는 토종 제품으로 노하우를 축적하고 기술 개발과 함께 고객 확대를 이어가고 있다.

2016년 신모델 출시와 더불어 기능 개선과 더욱 강력해진 실망 성능으로 다변하고 있는 공격에 효과적으로 대응하는 제품으로의 명성을 쌓아가고 있는 명실공히 토종 제품의 경쟁력을 글로벌 수준으로 끌어올렸다고 할 수 있다.