라드웨어 “디도스, 클라우드 앱 위협, 봇 공격 등 사이버공격 다계층 방어”
라드웨어가 최근 이슈가 되고 있는 다양한 환경의 애플리케이션 공격 유형들로부터 기업의 중요 자산과 데이터를 효과적으로 보호할 수 있는 ‘계층적 방어’ 솔루션을 제공한다.
라드웨어코리아 노지선 과장은 최근 개최한 ‘사이버공격의 진화, 더 똑똑해진 보안 솔루션의 해답’ 주제의 바이라인플러스 웨비나에서 “클라우드 자산 위협, 웹 공격과 자동화된 봇 공격, 디도스(DDoS) 공격과 같은 다양한 사이버공격을 방어하려면 웹애플리케이션방화벽(WAF), 봇매니저, 클라우드 네이티브 프로텍터(CNP), 디도스 프로텍션 등과 같은 라드웨어 솔루션으로 계층적보안이 가능하다”고 강조했다.
이 웨비나에서 라드웨어는 최근 많이 발생하고 있는 주요 사이버공격 유형들로 대용량 디도스(DDoS, 분산서비스) 공격, 그 중에서도 UDP를 이용한 대규모 반사증폭 공격과 퍼블릭 클라우드 애플리케이션 취약점 공격을 통한 클라우드 인프라 권한 탈취, 애플리케이션프로그래밍인터페이스(API) 취약점과 봇 공격을 꼽고, 인프라와 애플리케이션, 클라우드 네이티브를 보호할 수 있는 방안이 필요하다고 강조했다.
김태영 라드웨어코리아 부장은 먼저 “국내 게임사, 금융사 대상으로 대규모 DDoS 공격이 지속적으로 발생하고 있다”면서 “최근 디도스 공격은 짧은 시간에 다양하게 공격 형태를 바꾸면서 버스트 한 형태의 공격을 하는 공격 형태로 진화하고 있다. 또 랜섬 DDoS 공격도 대용량으로 지속적으로 발생하고 있다. 과거에는 대규모 DDoS 공격을 한번 받으면 더 이상 공격 하지 않았었는데, 최근 랜섬 DDoS 공격은 공격 대상 리스트를 작성하여 공격 리스트 중 돈을 받지 못한 대상을 다시 공격 하는 끈질긴 공격 형태를 보인다”고 말했다.
김 부장은 “마이크로소프트 애저, 아마존웹서비스(AWS) 퍼블릭 클라우드 서비스 고객을 대상으로 대용량 DDoS 공격도 발생하고 있다”며 “최대치로 기록된 2020년 2월 AWS 고객 대상으로 발생했던 최대 2.3초당테라비트(Tbps)의 대규모 DDoS 공격은 UDP를 이용한 CLDAP 반사·증폭 공격 형태였고, 2021년 8월 애저의 유럽 고객 대상으로 발생한 DDoS 공격 역시 최대 공격량 2.4Tbps로 역대급 대규모 공격이었다. 이 공격 역시 UDP를 이용한 반사·증폭 공격으로 실행됐다”고 설명했다.
DDoS 공격자들이 대규모 공격을 지속적으로 벌이고 있는 이유는 DDoS 공격이 상업화되고 서비스화 되고 있기 때문이다. DDoS 공격 방법을 잘 알고 있지 않아도 일정 금액을 주고 공격을 대행하는 서비스를 이용해 대규모 DDoS 공격을 쉽게 할 수 있다. 또한 공격자들은 자신의 IP를 숨길 수 있고, 적은 리소스로 많은 피해를 줄 수 있는 UDP 프로토콜을 이용한 반사·증폭 공격을 주로 사용하고 있다. 김 부장은 “최근 UDP를 이용한 반사·증폭 공격은 전체 DDoS 공격 중 72.7% 이상이며, 사용 되는 프로토콜도 CLDAP, NTP, DNS 등으로 다양해지고 있다”고 지적했다.
그는 “라드웨어의 DDoS 솔루션은 UDP를 이용한 반사·증폭 공격을 효과적으로 차단 할 수 있는 BDoS(Behavior DoS) 기능으로 쉽게 방어가 가능하다. 평상시 트래픽을 학습해 임계값(Rate)과 분포율(Rate-Invariant)을 생성하며, 공격이 탐지되면 실시간 패킷을 분석해 차단 패턴을 생성한다. 차단 패턴 생성 방식은 라드웨어 고유한 특허 기술로, 주로 10초 이내에서 최대 18초 이내에 차단 패턴인 풋프린트(Footprint)을 만들어 공격 패킷을 자동 차단한다”고 말했다.
이어 “이같은 방식으로 반사·증폭 공격시 사용하는 프로토콜이 변경되더라도 쉽게 공격을 탐지하여 자동으로 방어 할 수 있다”면서 “네트워크 전체를 대상으로 융단폭격을 퍼붓는 카펫 버밍(Carpet Bombing) 공격 같은 TCP 반사·증폭을 비롯해 대규모 DDoS 공격은 회선 대역폭 이상의 트래픽을 발생시켜 회선을 점유하기 때문에 네트워크 내부의 DDoS 장비 만으로는 방어가 불가능하다. 이 때 전세계에 분산 분포돼 있는 클라우드 기반 스크러빙센터로 공격을 우회해 대응할 필요가 있다. 라드웨어는 한국에도 스크러빙센터를 운영하고 있어 국내에서 발생한 대규모 공격을 우회할 수 있다”고 강조했다.
클라우드 보안 위협에 대응하는 방법과 관련해서는 “클라우드 네이티브 환경에서 사용자들이 규정을 준수해 설정과 구성됐는지 확인하고 관리할 수 있는 클라우드 상태관리(CSPM) 기능이 필요하다. 클라우드 자산의 권한 설정과 취약점을 자동으로 분석(CIEM)할 수 있어야 하고, 외부의 공격에 대해 상관관계 분석으로 탐지 및 자동 방어가 가능해야 한다”고 제시했다. 김 부장은 “라드웨어 클라우드 네이티브 프로텍터(CNP)의 특장점은 에이전트가 필요 없고, 퍼블릭 클라우드 환경에서 기본적인 CSPM 기능에 클라우드 자산의 권한과 취약점 분석을 할 수 있는 CIEM 기능이 통합된 클라우드 네이티브 보안 솔루션이라는 것이다. 최대 강점은 개별 이벤트를 상관 분석해 의심스러운 행동을 인공지능(AI) 기반 알고리즘을 사용해 탐지하고, 간소화된 공격 스토리라인을 제공해 클라우드 네이티브 환경의 전체를 보안 관리한다”고 꼽았다.
라드웨어는 악성 봇에 의한 웹스크래핑, 계정 탈취 공격 문제가 커지고 있다고도 지적했다. 먼저 웹스크래핑 공격 관련 사례로 지난 2021년에 페이스북에서 5억3000명의 고객 정보가 유출된 사건을 꼽았다. 이 사고는 범죄자들이 페이스북 사용자 프로필에 있는 정보들을 봇을 사용해 스크랩하는 방식을 사용했다.
봇을 사용해 웹사이트에서 원하는 정보를 긁어오는 방식인 웹스크래핑이 점점 위협이 되고 있는 상황이다. 노지선 과장은 “실제로 87% 담당자들은 웹스크래핑이 중대한 위협이라고 판단하고 있고, 10곳 중 4곳은 매주 스크래핑 공격을 당하고 있는 것으로 보고되고 있다”고 지적했다.
아울러 계정 탈취 공격의 경우, 다른 사이트를 침해해 얻은 사용자 정보를 다른 사이트에 입력하는 크리덴셜 스터핑과 단일 계정에 여러 문자나 숫자를 조합해 무차별 대입하는 크리덴셜 크래킹 또는 브루트포스(Brute Force) 공격이 있다.
노 과장은 “계정 탈취 공격이나 데이터 스크래핑 공격은 동일한 유형의 악성 봇에 의해 발생하는 것이 아니다. 예전에는 단순한 봇이 공격을 했다면 요즘에는 좀 사람처럼 지능화된 봇이 공격하는 경우가 많다. 정교함에 따라 봇을 1세대부터 4세대까지 나눌 수 있다”며 “최근 공격 형태는 3, 4세대 봇에서 많이 발생하고 있다”고 했다.
1세대 봇은 자바스크립트를 실행할 수 있는 간단한 봇이다. 2세대 봇은 그래픽 사용자 인터페이스(GUI)가 없는 브라우저 봇이다. 3세대부터는 달라진다. 사람을 모방하지만 완벽한 사람처럼 보이지 않는다. 마우스를 움직인다고 하더라도 직선 형태로 움직이는 경우다. 나아가 사람처럼 무작위 패턴으로 움직여 실제 사람과 구분이 힘든 4세대 봇까지 나왔다. 악성 봇이 사람을 모방하면서 기존 보안 솔루션은 물론, 전용 봇 탐지 솔루션을 점점 많이 우회하고 있다.
노 과장은 보안 솔루션이 세대별 악성 봇을 어느 정도 걸러내는지 테스트한 결과를 보여줬다. 전체 트래픽 중 22.4%의 악성 봇 트래픽을 보내 테스트한 결과, 방화벽으로 이상 로그를 보고 IP로 차단하는 방식은 2.2%만 차단했다. 1세대 가장 단순한 봇만 차단하는 형태다. 이를 보완하기 위해 WAF에서 핑거프린트와 소스 IP를 이용한 방식으로 테스트해본 결과 절반도 차단하지 못했다. 봇 차단 전용 솔루션도 3세대 봇 위주로 절반 정도만 차단했고, 절반은 오탐지가 발생했다.
노 과장은 “3, 4세대 봇을 차단하기 위해 라드웨어는 머신러닝 기술을 이용하고 있다”라면서 “1단계에서는 핑거프린트를 활용한다. HTTP 헤더 안에서 IP, 접속했던 사이트 URL과 접속 시간 정보 등과 더불어 자바스크립트까지 연동해 마우스 움직임과 키 입력 속도와 같은 정보들을 수집한다. 이를 바탕으로 핑거프린트를 만들어 라드웨어 봇 매니저 클라우드센터로 보낸다. 여기서 테스트와 분석을 거쳐 머신러닝 분석을 진행해 판단한다. 악성 봇이라고 판단되면 차단, 캡차 등 다양한 방식으로 처리할 수 있다”고 강조했다.
활용하는 머신러닝 유형으로 “라드웨어는 ‘세미슈퍼바이저 머신러닝’을 사용해 분석한다”며 “먼저 지도학습이라고 알고 있는 슈퍼바이저 머싱러닝은 과거 데이터 기반으로 학습해 알려진 공격을 학습해 방어한다. 알려지지 않은 공격이 들어왔을 때는 학습 데이터가 없어 미탐률이 발생할 수 있다. 또 공통점을 기반으로 분류하는 언슈퍼바이저 머신러닝, 즉 데이터 없이 스스로 학습하는 비지도학습은 잘못된 분석을 하게 되면 오탐이 발생해 정확도가 떨어질 수 있다. 그래서 라드웨어는 이 두 가지 방식을 혼합한 머신러닝을 이용하고 있다”고 덧붙였다.
글. 바이라인네트워크
<이유지 기자>yjlee@byline.network
