2024-03-28 20:15 (목)
[K-ISI 2018] 아카마이 "대용량 디도스 공격과 정교한 웹 공격, 사전 방어 하려면..."
상태바
[K-ISI 2018] 아카마이 "대용량 디도스 공격과 정교한 웹 공격, 사전 방어 하려면..."
  • 길민권 기자
  • 승인 2018.09.18 15:08
이 기사를 공유합니다

백용기 상무 "웹사이트에 유입되는 API와 봇 트래픽에 대한 가시성 확보 필요해"

▲ K-ISI 2018에서 백용기 아카마이 코리아 상무가 '최신 글로벌 사이버 공격 동향과 진화하는 봇의 대응'이란 주제로 강연을 하고 있다.
▲ K-ISI 2018에서 백용기 아카마이 코리아 상무가 '최신 글로벌 사이버 공격 동향과 진화하는 봇의 대응'이란 주제로 강연을 하고 있다.
트래픽의 40%가 봇에서 발생...정교한 봇 탐지 및 대응은 필수
디도스 공격은 L3/L4공격의 비중이 99%이상 차지
한국, 전세계 디도스 발원 국가중 8위 차지
인증정보 스터핑공격의 규모와 빈도, 모두 증가하는 상황
테라급 대용량 디도스 공격에서도 고객 서비스 가능해야
다양한 악성 기법 통한 웹 공격도 사전에 방어

데일리시큐 주최 대한민국 정보보호 인텔리전스 컨퍼런스 K-ISI 2018에서 백용기 아카마이 코리아(손부한 대표) 백용기 상무는 '최신 글로벌 사이버 공격 동향 및 진화하는 봇의 대응'이란 주제로 보안실무자 250여 명이 참석한 가운데 발표를 진행해 큰 호응을 얻었다.

이 자리에서 백용기 상무는 "디지털 트랜스포메이션으로의 진화를 위해 가장 중요한 고려 요소중의 하나는 각 기업이 웹서비스의 가용성을 높여 양질의 정보 제공과 대 고객 서비스를 무중단으로 운영토록 하는 것"이라며 "이를 위해 자사의 웹사이트에 유입되는 다양한 웹 트래픽에 대한 가시성 확보가 중요하다"고 말했다.

일반적으로 웹트래픽은 80(HTTP)/443(HTTPS) 포트를 통해 들어오는 표준 웹트래픽과 API 트래픽으로 크게 구분된다. 또한 공격성향이 있는 웹과 디도스 공격 트래픽과 유/무익성을 동시에 지닌 봇 트랙픽도 상당량을 차지하고 있다.

아카마이는 매 60초당 약 22억 건의 로그와 50TB(HTTP)/10.4TB(HTTPS)데이터를 처리하면서 확보한 유/무해한 웹트래픽을 자체 CSI(Cloud Security Intelligence)플랫폼에서 분석해 가시성을 제공한다.

이어 백 상무는 "국내외에서 발생된 사이버 공격 유형을 분석함으로써 얻을 수 있는 인텔리전트 정보를 바탕으로 향후 예상되는 공격에 대한 방어대책을 고민해 보아야 한다"고 강조했다.

▲ 백용기 상무 발표자료 이미지
▲ 백용기 상무 발표자료 이미지
아카마이에 따르면, 2015년 1분기부터 2018년 1분기까지 3년간 발생한 웹 및 디도스 공격에 대한 통계 자료를 살펴보면, 우선 웹공격은 오래동안 SQL인젝션과 로컬파일 인클루전 공격이 1/2위를 차지해 왔다. 즉 해커들이 가장 많이 사용한 공격유형이며 비중 높은 공격으로 조사됐다.

또 디도스 공격은 L3/L4공격의 비중이 99%이상을 차지하고, 어플리케이션 레이어 L7공격은 1% 비중을 차지하고 있다. 즉 공격자 입장에서는 낮은 비용으로 큰 피해를 입힐 수 있는 공격방법을 선호하게 되며 디도스 멀티 벡터 공격이 주류를 이루고 있다.

디도스 공격에서 주목할 부분은 멤캐시드 서버를 이용해 공격 트래픽을 50만배 이상 증폭이 가능하게 한 공격 규모의 증가이다. 2018년7월 기준으로 한국 또한 글로벌 디도스 발원국가 통계치에 의하면 전세계 디도스 발원 국가중 8위를 차지한바 있다.

2018년 230억개로 최근 급격히 그 수가 증가되고 있는 IoT 디바이스의 취약성으로 인해 미라이 봇넷과 같은 악성 봇넷이 대규모의 디도스 공격을 발생시키는데 악용되고 있으며, 그 변종으로 인해 사이버 공격의 규모와 위협은 점차 커지고 있는 상황이다.

통계치에 의하면 인터넷 트래픽의 약 25%이상이 API를 통해 이루어진다. 또한 API의 약 38%가 모바일을 통해 발생되며 전체 로긴 트래픽의 약 30%가 악성 로긴 시도로 분류된다. 따라서 큰 비중으로 증가하는 API 트래픽에 대한 보호 및 가시성 확보가 필요하다고 백 상무는 강조했다.

봇 프래픽 또한 심각한 피해를 입히고 있다. 특히 웹을 통해 상거래가 이루어지고 있는 사이트들은 봇으로 인한 직접적인 피해(트래픽비용 증가, 불법 로긴 등)가 발생하고 있다.

전체 트래픽의 약 40%가 봇에서 발생되고 있으며, 특히 악성 봇넷을 통해 불법 로긴을 시도하는 크리덴셜 스터핑 공격으로 인해 인증도용 및 계정탈취가 발생되어 심각한 상황이라고 전했다.

아카마이가 2017년 9월 45개 고객사를 상대로 24시간 모니터링후 분석한 결과 총 3천500만개의 단일 계정과 420여 개의 악성 봇넷이 식별되었고, 전체 6억건의 로긴시도중 약 4억건(약 66%)이 악성 봇넷을 통한 크리델셜 스터핑 공격으로 분류되었다.

Ponemon Institute가 아카마이의 후원을 받아 약 400여 개 고객사를 대상으로 한 인증정보 스터핑으로 인한 비용(아시아태평양 지역)에 대한 연구조사 결과보고서에 의하면, 기업들은 매월 평균12.2회의 공격을 받고 있으며, 공격 한 차례당 954개의 계정이 표적이 되고 있고, 이 공격을 탐지할 능력이 있고 대응할 준비가 되어있다고 답변한 응답자는 41%에 불과했다.

기업들은 이 공격으로 발생하는 비용이 연간 최대 380만 달러이며, 이러한 경제적 손실은 특히 고객의 신뢰 하락, 비지니스 운영에 영향을 미치는 다운타임과 결합되었을 때 기업에 심각한 영향을 미칠 수 있다. 인증정보 스터핑 공격은 발생 빈도가 높고 탐지가 어려우며 기업의 재정 및 평판에 악영향을 끼치게 된다. 하지만 기업 내에서는 단일 부서가 책임지지 않으면 모니터링하고 관리하기 어렵고, IT 및 사업부 책임자들이 방어적인 전략을 채택할 경우 정상 사용자의 웹경험을 저해할 수 있기 때문에 간단한 수정사항도 적용하기 주저하는 상황이다.

봇에 대한 전문적인 이해 통해 봇에 대한 관리가 무엇보다 중요해

인증정보 스터핑공격의 규모와 빈도가 모두 증가하는 상황에서 IT 및 보안책임자가 문제를 사전에 예방하고 증가하는 위협으로부터 기업을 방어할 수 있는 스마트하고 전략적인 방안을 세우는 것이 중요하다. 따라서 봇에 대한 전문적인 이해를 통해 봇에 대한 관리가 무엇보다 우선적으로 이루어져야 한다고 강조했다.

백용기 상무는 마지막으로 "웹서비스의 100% 가용성을 보장받기 위해서는 대용량(1 테라급 이상) 디도스의 양적인 공격 상황하에서도 정상적인 사용자의 웹 경험을 보장하면서 서비스가 가능해야 한다. 또 다양한 악성 기법을 통한 웹 공격도 사전에 방어하는 것이 중요하다"며 "또한 자사 웹사이트에 유입되는 API와 봇 트래픽에 대한 가시성 확보를 통해 유연하게 탐지 및 방어가 가능토록 해야 한다. 특히 봇은 변종발생이 가능하기 때문에 단발성 차단은 최선의 대책이 아니다. 최신의 정교한 봇 탐지 및 식별 기법을 확보해 지속적으로 봇에 대한 이해와 관리가 이루어져야 한다"고 강조했다.

▲ 백용기 상무 K-ISI 2018 발표현장
▲ 백용기 상무 K-ISI 2018 발표현장
백용기 아카마이 코리아 상무의 K-ISI 2018 발표자료는 데일리시큐 자료실에서 다운로드 가능하다.

아카마이, 올해 8월 ‘가트너 매직쿼드런트 웹애플리케이션 방화벽 부문 리더’로 선정

한편 '아카마이(Akamai)'는 1998년 창업이래, 미국 메사추세츠주 케임브리지에 본사를 두고 있으며, 콘텐츠전송네트워크(CDN) 분야를 이끌면서 웹성능, 모바일 성능, 클라우드 보안, 미디어 전송과 관련된 솔루션을 공급하고 있다. 인터넷을 통해 쇼핑, 음악감상, 웹비디오 시청, 원거리 근무 등을 해본 사람이라면 누구나 자신도 모르는 사이 아카마이의 클라우드플랫폼을 이용한 경험이 있을 것이다. 전세계 130개국 900여 도시 1700여 네트워크에 설치된 약 24만대 서버를 통해 인터넷상의 주요 네트워크를 서로 연결해주며, 전세계인터넷 사용자의 85%는 단 한번의 네트워크홉(network hop)만 거치면 아카마이 플랫폼에 접근할 수 있다. 아카마이는 해킹공격 등 정교한 공격에 맞서 보안을 제공하고 있다.

또 새로운 공격유형을 탐지하는 역량과 낮은 오탐률로 고객에게 우수한 평가를 받아 2018년 2분기에 시장조사 기관 포레스터웨이브 ‘웹애플리케이션 방화벽 부문 최상위 리더’로 선정됐고, 2018년 8월 ‘가트너 매직쿼드런트 웹애플리케이션 방화벽 부문 리더’로 최근 선정된 바 있다.

아카마이의 주력 솔루션인 'KSD(Kona Site Defender)'는 전세계적으로 분산된 아카마이 인텔리전스 플랫폼을 활용해 대규모 DDoS 및 웹 애플리케이션 공격이 발생해도 공격 규모에 맞게 자동으로 확장되기에 안전하게 방어한다. 데이터 센터가 아닌 네트워크의 엣지에 배포되므로 공격을 받는 중에도 오리진 서버의 성능이나 가용성 저하 없이 의심스러운 트래픽을 파악하고 방어할 수 있다.

WAF 보안 룰은 아카마이의 위협 인텔리전스 팀(Threat Intelligence Team)이 주기적으로 세부 설정하므로 알려진 공격을 방어하고 새로 등장하는 제로데이 공격에 대처할 수 있어 값비싼 온프레미스 하드웨어에 투자할 필요가 없어 클라우드 보안 비용을 최소화할 수 있다.

또 BM(봇 매니저/Bot Manager)는 다양한 온라인 개체와의 상호작용을 더욱 효과적으로 관리하는 데 도움을 주는 유연한 프레임워크를 제공한다. 다양한 유형의 봇을 식별하고 구분하고 비즈니스 및 IT 영향을 고려해 적절한 조치를 취할 수 있다. 또한 개별 봇 또는 각각의 봇 카테고리의 동작을 보고하고 분석할 수 있다. 봇 매니저는 웹사이트로부터 최대한 많은 가치를 창출하고 온라인 매출을 높이고 경쟁 판도를 뒤집고 사기 행위 발생 건수를 줄이며 고객의 몰입도를 높이는 데 도움을 주고 있다.

★정보보안 대표 미디어 데일리시큐!★


■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★