딜라이트닷넷

디도스

웹호스팅 업체, 해커들의 먹잇감 된 이유는?

홍하나 기자 블로그 19.05.15 23:05

웹호스팅 업체의 사이버 공격 소식은 잊을만하면 들려온다. 안타까운 점은 웹호스팅 업체가 사이버 공격을 받을 경우, 피해는 수천 개에 달하는 웹호스팅 업체들의 고객사에 고스란히 전달…

[4차 산업혁명과 보안③] SK인포섹, ‘디지털 시큐리티’ 시동

최민지 기자의 ICT 엿보기 17.09.17 15:09

  인공지능, 사물인터넷(IoT), 클라우드 등 4차 산업혁명을 대표하는 지능정보기술과 기존 산업의 융합이 빠르게 이뤄지고 있다. 초연결 사회로 인해 디지털 비즈…

“내년 사물인터넷 위협 높아질 것”

이민형 기자의 인터넷 일상다반사 14.11.28 15:17

2013년이 대규모 해킹의 해, 2014년이 하트블리드(Heartbleed), 셸쇼크(Shellshock)와 같은 초대형 취약점들로 보안 위협이 심화된 해였다.내년에는 새로운 보안 위협을 양산하고 취약점을 악용하려는 이들과, 이러한 보안 위협에 맞서는 이들 간의 대결 구도, 이른바 ‘창과 방패’의 싸움이 더욱 심화되는 해가 될 것으로 전망된다.또한 사물인터넷(IoT), 모바일, 클라우드 등 IT 환경의 발전으로 새로운 범주의 보안 위협이 등장할 것으로 예상된다.시만텍이 발표한 ‘2015년 보안시장 전망 Top 10’에 따르면, ▲스마트 홈을 겨냥한…

[딜라이트닷넷 창간기획] 사물인터넷 센서 통신을 보호하라

이민형 기자의 인터넷 일상다반사 14.09.30 07:01

사물인터넷(IoT)은 인터넷으로 연결된 사물들이 정보를 주고받으며 소통하는 지능형 기술·서비스로, 차세대 성장 분야로 급부상하고 있다.미국의 시장조사기관 가트너는 IoT 시장 규모가 2020년에 1조9000억 달러(약 1950조원)에 달할 것으로 전망했다. 기업들을 비롯해 정부에서도 사물인터넷 시장에 대한 투자를 아끼지 않고 있다.사물인터넷은 이미 빠르게 확산되고 있다. 각종 웨어러블 디바이스를 비롯해 자동차, 가전제품 등에도 사물인터넷이 적용되고 있다.하지만 보안이 담보되지 않은 사물인터넷은 재앙이 될 수 있다.각종 센…

‘다크서울’은 북한일까?

이민형 기자의 인터넷 일상다반사 13.06.28 11:14

시만텍은 6.25 사이버 공격을 포함해 지난 4년간 국내에서 발생한 주요 사이버테러의 배후에 ‘다크서울(DarkSeoul)’이라는 해킹그룹이 있다고 발표했습니다.그러나 시만텍은 ‘다크서울’이 ‘북한’일 것이라는 내용은 전혀 언급하지 않았습니다.시만텍 윤광택 이사는 “한국 수사기관에서 사이버공격을 ‘북한’이라고 지목하는 것은 복구한 C&C서버의 이벤트로그에 북한 쪽에 할당된 IP가 있었기 때문으로 판단된다”며 “시만텍은 그러한 시스템이나 정보를 가지고 있지 못하기 때문에 단순히 지금까지 발견된 악성코드 분…

숫자로 보는 국내 보안시장 트렌드

이민형 기자의 인터넷 일상다반사 12.12.11 15:07

올 한해 국내 보안산업의 매출 규모는 약 5조8000억원으로 지난해 대비 10.6% 증가한 것으로 나타났습니다.정보보안산업(방화벽, IPS 등)과 물리보안산업(CCTV, DVR 등)을 따로 분리해서 계산해보면 정보보안산업은 약 1조7000억원(전년 대비 14.2% 성장), 물리보안산업은 약 4조2000억원(전년 대비 9.2% 성장)으로 집계됐습니다.이는 한국인터넷진흥원이 지난 3월부터 9월까지 전국의 정보, 물리보안 사업체 666개를 대상으로 조사한 결과를 토대로 추출해 낸 것입니다. 보고서에는 올해 보안시장의 트렌드를 숫자로 나타내고 있어 매우…

해커집단 ‘어나니머스’ 검거한 인터폴의 공조수사 경험담

이유지의 안전한 네트워크 세상 12.07.01 16:28

국제 해커조직으로 이름을 날린 ‘어나니머스(Anonymous)’ 조직원 25명이 지난 2월 인터폴에 의해 검거됐습니다. 인터폴 주도로 유럽과 남미 경찰과 공조해 벌인 성과입니다. 인터폴은 유럽과 남미 15개 도시에서 ‘언마스크(Unmask)’라는 작전명으로 대대적인 검거작전을 벌여, ‘어나니머스’가 벌인 해킹, 디도스(DDoS, 분산서비스거부) 공격 등에 가담한 용의자들을 체포했습니다.  이 작전에는 지난해 4월 콜롬비아에서 어나니머스의 디도스 공격이 발생한 것을 계기로 콜롬비아를 포함해 도미니카 칠레 스페인 아르헨티나 5…

2012년 주시할 7대 사이버위협, 대응방안은

이유지의 안전한 네트워크 세상 12.01.31 08:05

방송통신위원회와 한국인터넷진흥원(KISA)은 최근 발생한 사이버침해사고와 국내외 보안업체들의 전망을 분석해 올해 대두될 7대 사이버위협을 선정해 발표했습니다. 최근의 사이버공격의 특징은 지능화, 복합화입니다. 그 중에서도 올해에는 ▲총선과 대선 등 국가 주요 행사를 겨냥한 사이버공격 증가 ▲웹하드·소셜네트워크서비스(SNS) 악성코드 유포 증가 ▲국가·기업·개인 정보탈취형 지능형지속위협(APT) 공격 지속 ▲모바일 악성코드로 인한 보안위협 현실화 ▲한글 프로그램 등 이용자가 많은 국산 소프트웨어 취약점 공격 ▲…

IT는 과학인가?.... IT인들의 냉소 혹은 침묵

박기록 기자의 IT와 人間 11.12.12 16:16

  아마도 요즘처럼 IT가 정치 사회적 화두가 된 적이 없을 것 같습니다. 물론 좋은 의미는 아닙니다. 투표를 독려한 유명 방송인을 검찰에 고발한 SNS(소셜네트워크서비스)의 과도한 해석, SNS를 심의하겠다는 정부의 과욕, 선관위 디도스 공격 사건의 전개과 경찰의 수사발표, 농협 전산마비 사태의 다양한 해석과 음모론(?) 등. 손으로 꼽자면 많습니다. 의심의 여지없이 IT는 과학이라고 믿어왔던 관점에서 본다면 최근 IT강국(?)에서 일어나고 있는 일들은 묘한 역설입니다.  어떤 물리적 현상도…

10.26 선관위 DDoS 공격, IT로 보기

이유지의 안전한 네트워크 세상 11.12.05 19:25

10.26 서울시장 재보궐선거 당일 발생했던 중앙선거관리위원회 홈페이지를 대상으로 한 분산서비스거부(DDoS) 공격 후폭풍이 갈수록 커지고 있습니다. 선관위 홈페이지에 DDoS 공격을 벌인 주범으로 최구식 한나라당 의원의 수행비서 공씨 등 4명이 지난 2일 경찰에 검거, 구속되면서 한나라당의 조직적 개입 의혹이 커지고 있기 때문인데요.쟁점 중 하나는 공씨가 과연 단독으로 범행을 계획했을 것이냐는 의문입니다. 팟캐스트 ‘나는 꼼수다’에서는 선거 직후부터 이번 공격이 박원순 당시 후보 지지성향이 강했던 20~40대 투표율을…

아카마이의 ‘색다른’ 7.7 DDoS 공격 발생원인 분석

이유지의 안전한 네트워크 세상 10.09.08 18:17

작년에 발생한 7.7 분산서비스거부(DDoS) 공격이 원래는 미국 정부기관을 대상으로 했다가 성공을 거두지 못해 한국으로 공격대상을 바꾼 것이란 분석이 나왔습니다. 이미 공격을 겪은 이후인 지금 시점에선 크게 의미는 없지만, 색다른 분석이어서 포스팅해봅니다. 헤럴드 프로콥 아카마이 수석 엔지니어 부사장은 7일 국내 출시한 아카마이 클라우드 보안 서비스(관심있는 분은 여기로)를 소개하기 위해 가진 기자간담회에서 작년에 미국에서 발생한 7.4 DDoS 공격 분석결과와 대응과정을 소개했습니다. 그 과정에서 프로콥 부사장은 “미국 정부사이트를 대상으로 공격을 벌였지만 아카마이가 철저히 방어해 결국 포기하고, 한국으로 대상을 옮겨 공격한 것”이라고 말했습니다. 개인적으로 스스로 자사의 분산형 네트워크 구조를 기반으로 한 보안 서비스가 DDoS 공격 대응에 탁월하다는 점을 강조하려다보니 과한 분석을 내놓지 않았나 싶은데요.   이미 다들 알고 있다시피, 작년 7월 7일 오후 6시 40분쯤에 우리나라 주요 웹사이트를 대상으로 공격이 일어나기 이전에 미국의 독립기념일인 7월 4일에 미국 정부기관 등의 사이트를 대상으로 공격이 시작된 것은 맞습니다. 아카마이 분석에 따르면, 7월 4일 오후 2시에 아카마이의 네트워크 운영센터에서 경보가 발생했고, 오후 4시에 공격자 근원지를 발견했습니다. 그 이후 급속도로 트래픽이 증가해 평상시의 598배인 124Gbps에 달했다고 하는데요. 아카마이는 앞서 두시간 진행된 공격은 테스트였다고 보고 있습니다.  공격 트래픽은 4시간 만에 100Gbps 이상 올라갈 정도로 빠르고 규모도 컸으며, 3일 동안 방식을 바꿔가면서 공격이 이뤄졌다고 합니다. 이 정도의 공격규모라면 정상 서비스를 유지하기 위해선 2500대의 백업 서버가 필요한 수준이라네요. 제대로 공격이 통하지 않자 7월 5일에는 공격 방식을 바꾸면서 트래픽이 낮아졌다고 합니다. 공격 IP의 90% 이상이 한국의 IP로 들어온 것으로 분석됐답니다. 우리나라의 많은 사용자 PC가 봇에 감염돼 공격에 악용된 좀비PC였기 때문입니다. 아카마이가 공격진원지도 분석하고 있는지를 물어봤는데요. 프로콥 부사장은 “공격근원지(IP)는 한국이지만, 그 배후에 누가 있는지는 모른다”며, “실제 공격근원이 한국에 있을 가능성은 낮은데, 한국은 고대역폭의 광대역망이 잘 갖춰져 있어 한국에 있는 PC를 이용한 것”이라고 설명했습니다. 한국의 7.7 DDoS 공격이 발생한 원인과 관련해 아카마이의 분석이 맞는지 아닌지, 아무도 모릅니다. 그럴 수도 있고, 아닐 수도 있겠죠. 한국 사이트 대상 공격 이전에 백악관 등 미국의 주요기관 사이트를 대상으로 먼저 공격이 있었다는 점에서는 개연성이 아예 없다고 볼 수는 없습니다.  그런데 한국인터넷진흥원(KISA)과 우리 정부는 우리나라 주요사이트 22개를 대상으로 7월 7일부터 3일 간 공격이 발생하던 같은 기간에 14개 미국 사이트를 대상으로 공격이 계속 있었다고 분석하고 있는데요. 이 분석과는 배치됩니다.  아카마이의 분석을 토대로 짧게 생각해보면, 만일 공격자가 미국을 대상으로 한 공격에서 큰 효과를 봤다면 우리나라의 7.7 DDoS 공격은 없었을 수도 있겠습니다만... 사실 이런 가정은 큰 의미는 없습니다. 혹시 그랬다 하더라도 이후 언제라도 DDoS 공격은 발생할 수 있을테니 말입니다.  작년 7.7 DDoS 공격을 누가했는지, 왜 했는지 아직도 오리무중입니다.  국가정보원에서는 공격진원지를 북한을 지목했는데요, 이 때문에 논란도 많았습니다. 많은 분들이 심증을 갖고 있을 지는 모르겠는데요, 우리정부나 미국정부도 아직까진 공격배후에 관해선 ‘공식적으로’ 밝힌 바는 없습니다. 댓글 쓰기

DDoS 공격 대응능력 평가 제대로 이뤄지고 있나

이유지의 안전한 네트워크 세상 10.07.07 10:03

'씨큐비스타'라는 국내 보안업체가 DDoS 대응능력을 검증하는 전문 솔루션(넷스피어)을 발표했습니다. 전세계 최초로 독자기술로 개발한 DDoS 전용 시험장비랍니다. (관련기사 DDoS 대응능력 검증 전문장비 등장) 이 제품은 실제와 유사한 각종 DDoS 공격 트래픽을 생성해 각 기업이나 기관의 네트워크 및 보안체계가 제대로 작동하는지, 대응능력을 평가할 수 있는 솔루션입니다. DDoS 공격에 특화돼 있는 전문 시험장비입니다.  이 제품을 개발한 씨큐비스타의 전덕조 대표이사는 "7.7 DDoS 공격 이후 안티DDoS(DDoS 전용 탐지·차단) 솔루션이나 라우터 등 네트워크 장비, 방화벽, 침입방지시스템(IPS), L4스위치 등을 이용해 DDoS 대응체계를 구축하고 있지만, 실제 DDoS 공격 방어 능력 등을 검증할 방안과 도구가 부재하다"라고 지적했습니다. "DDoS 공격을 예방하기 위해선 대응능력을 효율적이고 제대로 평가, 검증할 수 있어야" 하기 때문에 DDoS 대응능력 검증 전문 솔루션을 개발하게 됐다는 설명입니다. 개발배경과 취지에 공감이 갑니다. 돈을 내고 보안 제품을 구매해 설치하는 이유는 미래에 발생할 수 있는 보안위협을 막고 혹시 있을 지 모를 손실을 최소화기 위해서입니다. 그래서 보안이 '보험'에 비유되기도 하는 거죠. 정부공공기관과 민간에서도 DDoS 대응체계를 구축한 것은 당연히 향후에 발생할 지 모르는 공격을 최대한 막아 피해를 최소화하기 위한 목적이지요. 백신이 악성코드 감염을 방지하거나 치료하기 위한 것이고, PC에 저장돼 있는 개인정보를 암호화하거나 이동식저장매체 등의 사용을 제어하는 이유는 정보유출을 막기 위한 것처럼요. 실제 공격이 현실화된 상황에서 투자된 보안 제품이 효용가치를 발휘하려면 현재 구축돼 있는 대응체계를 제대로 평가, 검증하는 것이 중요합니다. 계속되는 검증과정을 통해 미비점이 있다면 보완해야 보다 완벽한 대책을 마련할 수 있기 때문입니다. DDoS 방어 장비를 설치하기 전에 제품 성능과 기능을 제대로 평가하는 것도 마찬가지입니다. 정부와 금융권에서 정기적으로 모의훈련을 실시하는 것도 같은 이유라고 생각합니다. 만일 DDoS 모의훈련이 잘못된 평가방식으로, 혹은 형식적으로 치우친다면 실제 상황에 하등 도움이 안될 것입니다. 또한 DDoS 공격 방어 장비를 도입할 때 장비의 성능과 기능에 대한 평가기준·방식이 올바르지 않다면 이 평가도 의미가 없을 것입니다. 그런 점에서 현재 DDoS와 관련한 각종 시험·평가방식은 사실 잘못돼 있습니다. 씨큐비스타도 그 점을 부각했습니다. 현재 국내에서 널리 이용되는 DDoS 대응능력 평가 또는 검증 방식이 잘못돼 있다는 점을 지적했습니다. 예를 들어, DDoS 보안 장비를 도입해 DDoS 대응체계를 구축할 때나 모의훈련을 할 때 주로 이용되는 시험장비는 네트워크 성능을 측정하는 계측기입니다. 익시아, 브레이킹포인트라는 네트워크계측장비가 가장 많이 활용되고 있답니다. 씨큐비스타에 따르면, 네트워크 장비의 쓰루풋과 레이턴시 등과 같은 성능 측정을 목적으로 하는 네트워크 계측장비를 DDoS 대응 시험에 쓰고 있으니 제대로 평가하는 것이 아니라는 겁니다. 전 사장은 "네트워크 계측장비를 이용해 생성한 트래픽은 실제 DDoS 공격 트래픽과는 차이가 있다. 때문에 제한적인 테스트만 가능하며, 또 정형화된 트래픽을 생성하기 때문에 예측가능하다는 단점을 갖고 있다"고 강조했습니다. 또 "현재는 DDoS 대응능력 평가나 검증을 제대로 할 수 있는 도구와 방법론이 없다. 특히 7.7 DDoS 공격에 이용됐던 대규모 봇넷 공격에 대한 평가는 할 수 있는 방법이 없다"라며, "DDoS 대응책을 수립하고 있는 지금 심히 우려되는 상황"이라고 진단했습니다. 그동안 각종 DDoS 대응체계 구축 사업 BMT나 DDoS 전용 방어장비 시험 수행에서 평가방식이 종종 도마에 오르며 관련 업계에서 논란이 일곤 했습니다. 대표적인 것이 국가정보원 DDoS 탐지·차단 장비 시험입니다. 작년 하반기 정부가 범정부 DDoS 대응체계 구축 사업을 긴급히 추진하면서 시중 공급되는 DDoS 보안 장비에 대한 보안성 평가 등 시험이 필요했었습니다. 국정원은 '별도지정' 제도를 통해 DDoS 장비의 시험기준과 방법을 정하고 평가를 수행해 목록에 등재했습니다. 그 때 장비의 성능 측정도 브레이킹포인트 등 두가지 네트워크 계측기를 썼던 것으로 기억합니다. 많은 업체들이 당시 평가에 불만을 드러냈었고, 그 과정에서 포기한 업체들도 있었습니다. 올해 진행된 DDoS 관련 사업 BMT 등에서도 이같은 문제는 종종 제기됩니다. 공공기관, 금융기관의 DDoS 모의훈련도 네트워크 계측장비를 이용한다고 합니다. 채문창 씨큐비스타 연구소장은 "네트워크 계측장비를 이용하는 모의훈련 방식은 결국 하나도 효과를 거둘 수 없다"고 설명했습니다. 씨큐비스타는 제대로된 DDoS 공격 및 방어 능력 검증 환경을 구현할 수 있다고 자신감을 드러냈습니다. "수억원대를 호가하는 네트워크 계측장비보다 저렴한 가격으로 이 제품을 공급해 DDoS 공격 방어를 위한 도전과제를 극복하는데 일조하겠다"는 포부도 밝혔습니다. 앞으로 '세계 최초' DDoS 전용 시험도구인 이 제품의 성능과 기능, 품질에 대한 검증도 필요할 것입니다.  이 제품 출현이 우리나라가 DDoS 공격 방어체계를 더욱 견고히 수립할 수 있는 토대를 다지는데 기여할 수 있게 되길 바랍니다. 이번 기회에 현재의 DDoS 대응 관련 평가방식에 대한 국가정보원, 행정안전부, 한국인터넷진흥원, 금융감독원 등 관계부처·기관, 기업의 고찰이 이뤄졌으면 합니다. 댓글 쓰기

범정부 DDoS 대응체계 구축 사업 분야별 RFP 분석 시작합니다

이유지의 안전한 네트워크 세상 09.10.21 22:20

현재 보안업계 최고의 관심사는 범정부 차원에서 진행할 DDoS(분산서비스거부) 대응체계 구축 사업입니다. 조만간 정식 발주될 이번 사업은 지난 7월 청와대를 비롯한 국가기관이 줄줄이 DDoS 공격을 받으면서 심각성을 깨달은 정부가 긴급히 200억원의 예산을 편성해 교육·과학기술, 경제, 사회, 경찰, 시·도의 5대 분야 132개 공공기관에 한꺼번에 DDoS 대응체계를 구축하기 위해 긴급히 추진됐습니다. 계획에 없던 대규모 보안 사업이고, DDoS 방어 장비를 주축으로 방화벽, 침입방지시스템 등 유해트래픽 차단 장비 등 다양한 보안 솔루션들이 한꺼번에 도입될 것이기 때문에 많은 SI 및 보안업체들이 열심히 사업을 준비하고 있습니다. 개별 부처에서 발주한 단일 보안 사업으로 40~50억원 이상을 넘은 사례는 거의 전무합니다. 워낙 규모가 커서 그런지 벌써부터 이번 사업을 끝으로 적어도 앞으로 6개월 동안 공공 정보보호 사업은 거의 없을 것이란 이야기도 나오고 있습니다. 교육과학기술부, 지식경제부, 보건복지부, 경찰청, 행정안전부가 각각 주관해 연말까지 완료되는 이번 사업은 지난주 사전규격이 공개됐습니다. 이번주 중 정식 사업공고가 나올 것으로 예상됩니다. 사전규격을 기반으로 각 분야별로 목표로 하고 있는 DDoS 대응체계를 순차적으로 살펴볼 생각입니다. 분야별로 사업범위나 진행방식, 기본적인 도입품목은 유사하지만, 환경이 다른 만큼 초점은 조금씩 다를 것으로 예상됩니다. 순서는 이렇습니다. 1. 교육·과학기술 2. 경제 3. 사회 4. 경찰 5. 시·도의 DDoS 대응체계 구축 사업 제안요청서(RFP) 분석입니다.  다만 모든 부처마다 ▲기관별 네트워크 보안상태 점검과 DDoS 대응체계 설계를 위한 컨설팅을 시작으로 ▲DDoS 대응체계 구축 ▲모의시험 및 검증, 기관별 통합보안관제 체계 구축 ▲DDoS 총괄 체계 마련 ▲좀비PC 탐지·제거 체계 및 선제적 DDoS 방어체계 구축 ▲기관별 DDoS 대응 지침 및 매뉴얼 수립 ▲교육체계 마련까지 총 8단계 순서로 사업이 진행됩니다. 주요하게 도입될 장비는 DDoS 방어 전용장비, 좀비PC 탐지·제거 장비 등과 보안관제와 연계하는 체계가 공통적으로 구축될 예정입니다. 이번 사업은 단순히 DDoS 공격 탐지·차단 전용으로 개발된 보안 장비를 구매하는 것만이 아니라 사전 컨설팅을 거쳐 다른 부족한 보안 제품까지 함께 구성하고, 실시간 통합보안관제, 정책과 교육까지 연계하게 된다는 점에서 체계적인 대응체계 구축 사업계획이 수립됐다는 것이 대체적인 보안업계 전문가들의 분석입니다.  이 사업에서 보안업체들에게 가장 아쉬운 점은 아마 가격 측면이 될 것 같군요. 댓글 쓰기

범정부 DDoS 대응체계 구축 사업 RFP 분석-‘교육과학’편

이유지의 안전한 네트워크 세상 09.10.22 16:32

교육과학기술부는 45억원의 예산으로 35개 기관을 대상으로 DDoS 대응체계를 구축할 예정입니다. DDoS 대응체계 구축 사업을 진행하는 5개 부처 중 시·도 다음으로 큰 규모입니다. 지난 7.7 DDoS 공격에서 교육과학기술 분야 주요 서비스에 대한 DDoS 공격은 발생하지 않았습니다. 현재 수준에서는 DDoS 방어 전용장비 도입이 안돼 있어 앞으로 공격이 발생한다면 대응이 어려운 상황으로 평가되고 있습니다. 가장 큰 문제는 액티브X 실행 등 사용자 부주의로 인해 DDoS 공격에 활용되는 좀비PC 감염 수치가 월등히 높은 수준이라는 데 있습니다. 중앙부처 중 1위라는군요.  따라서 교육과학기술부는 이번 사업에서 DDoS 대응 장비 구축을 통한 업무(서비스) 연속성과 안정성 확보, 악성코드 근원지 추적, 좀비PC 감염현황 신속한 탐지·제거를 중심으로 대응체계를 수립하게 될 예정입니다. 대상기관은 16개 시·도 교육청, 10개 대학, 한국과학기술원, 한국원자역연구원 등 7개 기타·공공기관, 교육사이버안전센터(ECSC)·과학기술정보보호센터(S&T-SEC) 두 곳입니다. RFP에 나와 있는 목표시스템 개념도를 보시죠. 시스템이 한눈에 들어옵니다.    DDoS 대응시스템 DDoS 대응 전용장비는 백본 통신경로 선상에 설치하는 방식과 백본 통신경로 외에 설치하는 방식, 즉 인라인과 아웃오브패스 방식의 장비는 모두 사업 참여에 참여할 수 있습니다.  인라인 방식은 로드밸런싱을 담당하는 L4 스위치와 무관하게 충분한 처리용량을 지원해야 하며, 하드웨어와 소프트웨어 장애에 대비한 이중화, 바이패스 기능 등 무중단 방안을 제시해야 합니다. 아웃오브패스도 백본 경로 상 통신흐름에 영향 없이 충분한 처리용량을 지원해야 합니다. 장애에 대비한 무중단 방안 제시는 역시 필수적입니다. 향후 IPTV 활성화나 인터넷 회선 대역폭이 증가할 경우를 위해 안정적으로 비정상 트래픽을 처리할 수 있도록 모듈을 추가하거나 업그레이드 등 확장 방안을 제시해야 한다는 점이 눈길을 끄는군요. 네트워크 및 보안통합관제와도 연계돼야 합니다. 10Gbps 이상의 트래픽 처리성능을 제공하는 DDoS 방어 장비도 많이 요구하고 있군요.(7식) 4Gbps 성능 장비는 3식, 1G 이상은 33식이 설치될 예정이네요. 좀비PC 탐지 및 제로데이 공격 차단 장비 PC에서 발생하는 웜·악성코드 관련 정보를 수집하고 실시간 모니터링·분석, 좀비PC를 발견할 수 있는 일체형 장비는 33식을 설치할 계획입니다. 방식은 오프라인 모드에서 미러(Mirror)된 트래픽을 가상머신을 이용해 악성코드 분석 및 제어기능을 제공해야 합니다. 가상머신을 통해 OS의 취약점 및 악성코드의 활성화 재현을 위한 분석기능과 활동내역을 자동 분석하는 기능을 제공해야 합니다. 일종의 ‘허니팟’ 같은 기능과 형태가 포함될 수 있겠습니다. 제로데이 공격 탐지시스템은 공격 패킷의 시그니처를 자동 생성, 실시간 실행코드 검증을 통한 악성코드 확인, 트래픽 모니터링을 수행하는 기능에 1Gbps 이상의 처리성능을 요구하고 있습니다. 방화벽과 침입방지시스템(IPS) 등과 연동해 적용할 수 있도록 해야 합니다. 세부사항은 표를 참조하세요. 댓글 쓰기

“손바닥으로 하늘을 가리려는” 시스코

이유지의 안전한 네트워크 세상 09.11.09 16:34

“손바닥으로 하늘을 가리려는 심보.” “대기업이 어찌 이리 부도덕할 수 있나?” “지사가 있지만 국내 고객은 안중에도 없나보다.” “이래서야 외산 보안제품 쓰겠습니까?” 시스코시스템즈를 두고 최근 나오는 이야기입니다. 많은 분들이 분노하고 있는 것 같습니다. 시스코 본사에서 사업성이 없다는 판단으로 국내에 5년 이상 공급해온 분산서비스거부(DDoS) 공격 탐지·차단 시스템인 ‘시스코 가드앤디텍터’를 조만간 단종한다는 계획이 이미 알려질대로 알려진 상태에서도 아직까지 한국지사가 묵묵부답으로 일관하고 있는 탓입니다. 이러다간 자칫 시스코시스템즈 때문에 국내 진출해 있는 외산 보안 솔루션 공급업체들까지 난감한 입장이 될 듯하네요.  기사로 나가기 전까지 시스코는 이같은 사실을 숨겼습니다. 이제 비공식적으로 인정은 하고 있습니다. 내년 초 발표가 유력시되고 있네요. 난감해하던 협력사들도 대책 강구에 적극 나섰습니다. 국내에 가장 많이 ‘시스코 가드앤디텍터’를 판매했던 안철수연구소는 분산서비스거부(DDoS) 방어 전용 장비 개발에 나섰습니다. 가능한 빨리 출시한다는 계획입니다. 발빠른 대처입니다. 국민기업 안철수연구소가 외산 제품을 팔다가 국내 고객들에게 피해를 주는데 앞장섰다는 비난을 면케 됐습니다. 직접 고객을 대하는 안철수연구소같은 국내 협력사들은 얼마나 난감할까요.  물론 국내지사인 시스코코리아도 마찬가지로 어려운 입장일 것입니다.  무엇보다 당장 수요가 많은데 본사의 제품 단종 방침이 아주 아쉽겠지요. 어쩌면 본사 입장에서도 크게 문제될 것이 없다고 생각할 지 모릅니다. 고객의 네트워크를 보호하기 위한 시스코 DDoS 공격 방어 솔루션인 ‘클린파이프’는 그대로 유지하는 것이고, 여기에 아버네트웍스와 협력하는 그림이기 때문입니다.  DDoS 방어 장비 ‘단품’ 차원으로만 보면 전세계적으로 큰 수요가 없는데 굳이 자체 개발·지원할 필요가 없다고 판단했을 겁니다. 사업성이 없다고 판단되면 사업을 중단하고 충분히 다른 대안을 모색할 수 있습니다. 문제는 DDoS 방어 장비를 도입한 국내 고객이 많다는 것입니다. 그럼에도 사실을 숨기면서 계속 판매하려 했던 괘씸죄는 아주 큽니다.  시스코의 한국시장 매출 비중이 전세계 매출의 1% 수준이면, DDoS 방어 장비 시장 비중만은 전세계 20% 정도일 정도라는 이야기도 들립니다.  그만큼 최근 국내의 DDoS 방어 장비 수요는 전세계 이례적으로 큽니다.  지사 입장에서는 특히나 7.7 DDoS 공격 이후 대규모 사업들이 잇달아 생겨난 상황에서 매출을 올려야 하는 지사의 입장에서는 당연히 ‘가능한 팔 수 있을 때까지’ 팔고 싶었겠지요. 일단은 본사에서 발표도 안했고, 또 발표하지 말라는데 원칙적으로 할 수도 없고, 재고도 있는데 굳이 할 필요도 없겠지요.   그렇지만 단종계획을 모르던 고객들이 이 제품을 산 직후에 알게 된다면 얼마나 황당하겠습니까. 완전 뒤통수맞는 격일 수밖에요. 공공기관의 경우엔 예산낭비 문제가 불거져 나올 수도 있습니다. 부도덕하다거나 고객은 안중에 없나보다라는 이야기가 당연히 나올만도 합니다. 그런데도 시스코코리아는 아직까지도 아무 입장이나 대안을 내놓지 않고 있습니다. 그래서인지 소문도 점점 커지고 있습니다. “제품을 단종하더라도 5년 간 유지보수 서비스는 그대로 지원되는 것이 원칙”이라는 것이 시스코의 이야기이지만, 그 중 하나가 기존까지와는 달리 단종 이후 모든 제품 업데이트까지 중단될 것이라는 이야기입니다. 마이그레이션 혜택도 제시하지는 않을 것이란 소문까지 있습니다. 만일 이게 사실이라면 어떻게 될까요? 보안제품은 업데이트가 안되면 무용지물이 됩니다. 공격형태가 계속 바뀌고, 수준은 점점 높아지기 때문입니다. 이 장비에 만일 취약점이라도 발견됐는데, 패치를 안해주면 더 큰일입니다.  본사의 입장이 어떻든 지사가 국내에서 계속 사업을 하려면 한국고객에게 최선을 다해야 합니다. 국내 고객을 위해 본사도 설득해야 한다는 것이 제 생각입니다. 이러다가 우리나라에서 큰 재미를 보지 못한다고 판단되면 고객이야 어떻든 철수해버렸던 외국 기업들의 사례가 시스코의 이번 일에서 다시 떠오르지 않도록 했으면 좋겠네요.  시스코까지 이러는데, 만일 국가 주요 정보통신망을 보호하는 보안 제품에 외산 도입을 더 막아야 한다는 과격한 주장이 나온다면 외국계 업체들이 까다로운 공공 시장 납품제도를 두고 더이상 “억울하다”거나 “너무하다”고 할 말도 없게 될 겁니다. U-City(유시티)와 같이 유망하고 향후 크게 얻고자 하는 사업에는 회장이 직접 와서 대통령까지 만나 한국에 수십억 달러를 투자하겠다고 발표하던 와중에, 한쪽으로는 이렇게 고객을 기만하려 한 행위를 어떻게 해석해야 할까요? 더 큰 오해를 불러오기 전에 시스코는 빨리 공식 입장과 고객을 위한 대책을 내놔야 할 것이라 생각됩니다. 댓글 쓰기