안철수연구소(대표 김홍선, 이하 안랩)는 분산서비스거부(DDoS) 등 해킹 방어에 사용되는 보안 기술이 국내 특허와 PCT 국제특허를 출원했다고 2일 밝혔다. 특허 기술은 ‘스푸핑 방지 방법 및 장치’로 DDoS전용 장비 ‘트러스가드 DPX’와 고성능 네트워크 통합보안 솔루션인 ‘트러스가드’에 적용될 예정이다.
스푸핑(Spoofing)이란 DDoS공격 등 해킹을 위해 사용되는 수단이다. 발신자 하드웨어 주소와 인터넷 프로토콜(IP) 주소를 조작하는 주소 결정 프로토콜(ARP) 스푸핑, 공격자 소스IP를 변경해 정체를 감추거나 위장하는 IP스푸핑도 있다.
공격자는 이런 스푸핑 공격으로 특정 컴퓨터를 공격하거나 망 내에서 돌아다니는 개인정보를 쉽게 도용할 수 있다. ARP 스푸핑을 하면 동일한 내부 네트워크에 연결된 다른 컴퓨터의 IP 패킷을 훔쳐볼 수 있어 개인정보를 유출가능하다. 특정 서버 관리자 ID와 패스워드를통해 서버 정보를 마음대로 조작할 수 있다.
IP 스푸핑을 하면 외부 네트워크 상에서 행해지는 온라인 작업을 훔쳐볼 수 있어 더 많은 시스템이 공격에 쉽게 노출된다. 스푸핑 공격을 받아 좀비PC가 된 컴퓨터는 공격자의 명령에 따라 다른 컴퓨터를 DDoS공격한다.
관련기사
- 안랩, 유명 보안 컨퍼런스 잇따라 참가2011.11.02
- 안랩, 위험 사이트 차단 기술 특허2011.11.02
- 안랩, 시가총액 1조 돌파…안철수 효과?2011.11.02
- 안랩, 망분리 솔루션 '트러스존' 기술 특허2011.11.02
이러한 스푸핑 공격을 막는 보안 장비가 나와 있지만 최신 네트워크 환경에서는 스푸핑 탐지가 거의 불가능하다. 탐지해 해당 패킷을 차단하더라도 DDoS공격으로 네트워크 대역폭이 낭비되는 것을 막을 수 없다. 또한 공격자의 실제 IP를 추적하기도 어렵다.
그러나 안랩의 특허 기술은 이러한 문제점을 해결해 각 PC에 에이전트를 설치해 IP주소가 변경됐는지 주기적으로 검사해 변경된 IP주소를 알려준다. IP주소를 조회해 공격자의 실제IP주소도 추적한다. 특허기술을 이용해 네트워크 관리자는 ARP 스푸핑 공격을 차단하고, DDoS 공격에 이용되는 좀비PC를 탐지·치료해 네트워크 접속을 차단할 수 있다.
