주니퍼네트웍스가 하이 IQ 네트워크(High-IQ Network) 구축 일환으로 디도스(DDoS: Distributed Denial of Service) 방어를 위한 ‘디도스 시큐어(DDoS Secure)’ 솔루션의 기능을 향상시켰다고 발표했다. 이는 네트워크 내에서 보안 인텔리전스를 보다 효과적으로 이용함으로써 기업들이 복잡한 공격을 차단할 수 있도록 한다는 것이 회사측의 설명이다.

네트워크 공격이 점점 복잡해지고 공격 자체를 파악하기 어려워지면서 오늘날 기업들은 보다 정교한 보안 체계를 요구하고 있다. 안전한 하이 IQ 네트워크를 구축하기 위해서는 네트워크에 내재돼 있는 정보와 인텔리전스를 활용하는 것이 매우 중요하며 주니퍼네트웍스는 이번에 공개된 새로운 기능을 통해 이러한 것들을 가능하게 한다. 이러한 새로운 기법들을 통해 디도스 시큐어 솔루션에서 탐지된 네크워크 및 애플리케이션 단계의 공격들은 주니퍼 MX 시리즈 라우터에서 네트워킹 프로토콜을 통해 차단된다.

이 접근법은 네트워크 마비를 초래하는 대규모 공격을 차단시킬 수 있는 보다 효율적인 방법을 기업과 서비스 제공 업체에 제시한다. 인사이드 아웃 DNS(Domain Name System: 도메인 이름 체계) 반사 및 증폭 공격 같은 디도스 공격에 대한 차단을 비롯해 서비스 제공 업체 고객들이 사용할 수 있는 봇넷 감염 단말로부터의 부정적인 영향에 대한 방어도 가능하다.

인포네틱스리서치에 따르면 증폭 공격의 새로운 변종으로 인해 공격 차단 성능은 한계에 다달아 디도스 방지에 대한 투자는 점점 늘어나고 있다. 2013년 스팸하우스(Spamhaus)를 공격한 300G의 DNS 증폭 디도스 공격과 올해 초 400G를 넘는 NTP 증폭 공격이 그 예다.

채기병 주니퍼네트웍스코리아 지사장은 “세계적으로 기업 및 조직을 대상으로 한 사이버 공격이 최근 몇년간 크게 늘어 이로 인한 직간접적인 경제적인 손실이 발생하고 있다. 2013년 국내 주요 은행 및 방송국의 전산망이 대규모 사이버 공격으로 마비돼 약 8000억원 정도의 경제적 피해를 입은 것으로 알려졌다. ATM 이용이 불가능했으며 방송사 직원들은 컴퓨터를 사용할 수 없었다”며 “최근 몇 년간 일련의 사이버 공격이 발생해 기업과 조직들은 이 문제 해결을 위한 투자에 주력해 국내 사이버 보안 시장은 2018년까지 연평균 21.24% 성장할 것으로 예상된다. 주니퍼네트웍스가 이번 발표한 솔루션은 이 같은 공격을 방어하는데 필요한 인텔리전스 및 차단 툴을 갖추도록 도와주는 최상의 솔루션이 될 것”이라고 밝혔다.

주니퍼네트웍스는 디도스 시큐어 솔루션에 BGP 플로우스펙(Flowspec), GTP(GPRS Tunneling Protocol) 트래픽 탐지 기능을 추가해 기존 라우팅 및 서비스 제공 업체 인프라와 견고한 통합이 가능하도록 했다. 이로써 정상적인 서비스를 제한하거나 중단하지 않으면서도 보다 효율적이고 효과적으로 다양한 디도스 공격을 차단할 수 있는 새로운 기법으로 정보를 보호할 수 있게 됐다.

디도스 시큐어는 고객들에게 내부 네트웍과 자원이 공격 받지 않도록 보호하는 네트워크 경계에서의 분산된 차단 방법을 제공한다. 공격을 관리하는 이 분산 접근법은 볼륨기반의 대규모 공격을 다루는 능력을 증대시킨다.

또한 이 솔루션은 공격 소스에서 가장 근접해 있고 네트워크의 경계에 위치한 주니퍼 MX에서 불필요한 트래픽은 차단하고 안전한 트래픽만을 네트워크로 허용하는 방식으로 DDoS 방어를 수행한다.

디도스 시큐어는 대용량 디도스 공격 진행 여부를 판단하기 위해 인-아웃바운드 트래픽을 지속적으로 추적 관찰함과 동시에 악성 트래픽을 차단하기 위한 플로우스펙 정보를 MX 라우터에 전달한다.

이와 함께 플로우스펙을 통해 악성 트래픽을 차단하고 지정된 곳으로 트래픽을 전송해 걸러내는 소스 기반 블랙홀 필터링이 가능하다.

더불어 디도스 시큐어는 악성 그리고 잘못된 모바일 기기에 대한 가시성을 제공해 모바일 네트워크상에서 사용자 단말기(UE:User Equipment)간의 트래픽을 비롯해 사용자 단말기와 인터넷간의 트래픽까지 모두 확인할 수 있으며 GTP 패킷을 탐지하고 악성 엔드포인트(endpoint)를 확인하는 디도스 시큐어의 기능으로 서비스 업체들은 보안을 강화하고 기존 성능을 유지하는 것을 비롯해 무선 접속망(RAN) 대역폭 보호도 할 수 있다.

뿐만 아니라 새로운 GTP 패킷 탐지 기능을 통해 디도스 시큐어는 모바일 네트워크에서 기인하는 인사이드-아웃 봇 공격을 식별할 수 있으며 가정, 기업 혹은 대형 RAN에서 모바일 기기로 들어온 봇넷 악성코드는 정상적인 사용자들의 서비스 품질 저하 및 모바일 네트웍워크 대역폭을 잠식하는 결과를 초래한다.

탐지가 어렵고 네트워크 가용성에 치명적인 영향을 주는 DNS 증폭 및 반사 공격으로부터 디도스 시큐어는 핵심 DNS 인프라를 보호한다. 이러한 공격으로 인해 DNS 서버는 DNS 공격의 희생양이 되거나 다른 서버에 대한 DNS 증폭 공격의 시발점으로 사용될 수 있다.

디도스 시큐어는 경험 기반의 인텔리전스를 적용해 특정 DNS 트래픽에 대해 대역폭 제한과 블랙 리스트 접근 제한 방식으로 공격을 자동 차단한다. BGP 플로우스펙과 의 연동을 통해 공격 트래픽은 네트워크 최상단에 위치한 MX에서 차단이 된다. <voxpop@cctvnews.co.kr>