아카마이, 클라우드보안(SECaaS) 대세 합류

금융권 봇기반 인증도용-DNS디도스 방어수단 필요성 강조

컴퓨팅입력 :2017/04/14 10:11

세계 인터넷 트래픽 3할(30%)을 처리한다는 콘텐츠딜리버리네트워크(CDN) 강자 아카마이가 '보안'을 강조하고 나서 주목된다. 회사가 보유한 CDN 인프라의 이점을 바탕으로 국내에서 '클라우드보안(SECaaS)'이라 분류되는 클라우드서비스형 보안 시장을 공략하겠다는 메시지다.

아카마이는 한국의 금융권 고객사를 위한 클라우드보안 수요 공략에 초점을 맞춘 분위기다. 그간 국내서 뛰던 구축형 보안솔루션 공급업체들과의 역할분담을 통해 시장확보에 나설 모양새다. 지난 13일 서울 강남 아카마이코리아 사무실 기자간담회의 메시지는 이렇게 요약됐다.

이날 간담회 발표자로 나선 리치 볼스트리지 아카마이 금융서비스 보안담당 수석전략가는 회사측이 파악한 글로벌 금융분야 사이버위협 동향, 최근 발생한 공격 사례와 관련 취약점, 그에 대응할 수 있는 아카마이의 클라우드보안 기술을 설명했다.

리치 볼스트리지 아카마이 금융서비스 보안담당 수석전략가

볼스트리지는 금융서비스정보공유분석센터(FS-ISAC)라는 세계 금융권 사이버위협정보 공유 커뮤니티를 소개했다. 커뮤니티는 1990년말 미국에서 출범해 한국을 여러나라 은행과 금융사 7천곳이 사이버위협정보를 공유하고 있는 곳이다.

리치 볼스트리지 아카마이 금융서비스 보안담당 수석전략가 발표자료 일부. FS-ISAC는 세계 사이버위협 수준에 따른 대응 경보를 4단계로 나눠 제공한다. 통상적인 수준은 녹색의 가디드(Guarded), 주의 수준은 노란색의 엘레베이티드(Elevated), 우려 수준은 주황색의 하이(High), 심각 수준은 빨간색의 시비어(Severe)다.

볼스트리지는 "현재 세계 사이버위협 수준은 직접적인 위협이 없음을 뜻하는 보통 단계지만, 미라이(Mirai)가 만들어낸 사물인터넷(IoT)기기 봇넷을 통한 초당 600기가비트(Gbps)급 분산서비스거부(DDoS) 공격을 비롯, 일부 사례가 상당한 위험을 낳고 있다"며 "여러 기법이 포함되면서 공격의 복잡성이 가중됐고, 금융 분야에서는 인증도용(credential abuse)도 심각한 문제로 대두됐다"고 말했다.

그는 이어 FS-ISAC의 위협 경보 기준이 하한선이 계속 상향조정되고 있음을 지적했다. 그는 "3~4년전 중간 수준의 위협을 방어할 수 있는 보안을 갖춘 은행은 (이후 보안을 강화하지 않았다면) 현재 최저 수준의 위협도 방어할 수 없다"며 "보안분야 투자는 (끝나지 않는) 전투와 같기 때문에, 한국과 다른 나라의 모든 은행은 이런 위협에 대응하는 보안 역량을 지속적으로 재검토해야 한다"고 지적했다.

아카마이는 금융권 보안을 위협하는 주된 유형으로 인증도용과 도메인네임서버(DNS) DDoS 공격, 이 2가지를 꼽았다.

인증도용은 증가 추세인데, 사람이 아니라 '봇(bot)'이 동원되고 있고, 범죄자가 잘 구축된 인증체계를 무너뜨리기 위해 과거 보안사고에서 유출된 인증정보를 사용하는 수법을 쓰고 있기 때문이다.

인증도용 대응기법은 까다로워지고 있다. 아카마이 보안연구자들에 따르면 인증도용 공격에 1번만 사용되는 봇이 전체 25%에 달해, 그 공격출처 IP를 차단하는 블랙리스트 기법만으로는 대응이 충분치 않다. 사용자명과 비밀번호같은 인증정보는 암호화트래픽으로 처리돼 네트워크 장비에서 차단할 수 없다. 공격 방식도 일반 로그인시도가 아니라 인증권한 요청 API를 동원하는 형태로 진화하고 있다.

볼스트리지에 따르면 DNS는 DDoS 공격에 취약하다. 한 은행은 DDoS 공격을 받으며 공격자로부터 협박장을 받았는데, 공격을 멈추고 싶으면 비트코인을 보내라는 내용이었다. 그 공격은 실재하지 않는 임의의 하위도메인을 대량으로 요청하는 형태였다. DNS와 함께 사업자의 웹사이트를 다운시켰다.

볼스트리지는 "DNS 디도스는 오래된 수법이지만 지금도 세계 어딘가에서 기업이나 은행을 대상으로 대형 공격 사례가 발생하고 있다"며 "클라우드 서비스를 통해 대응해야 한다"고 주장했다.

아카마이는 금융권 고객사가 인증도용 공격 대응 수단으로 아카마이의 웹애플리케이션방화벽(WAF) '코나'를, DDoS 공격 대응 수단으로 '프롤렉식라우티드' 인프라를 이용하고 있다고 밝혔다. 코나는 아카마이 글로벌 CDN인프라의 분산 엣지 플랫폼 기반으로 설계돼 클라우드보안인텔리전스(CSI) 기반 방화벽 규칙 8천만건을 활용해 공격 트래픽을 걸러낸다. 프롤렉식라우티드인프라는 매일 최대 40건, 분기당 3천건의 DDoS 공격을 처리하고 있는 일종의 공격트래픽 우회수단이다.

안준수 아카마이코리아 제품전략 상무 발표자료 일부.

아카마이는 보안 세계에서 방화벽과 DDoS 대응 인프라를 비롯한 클라우드보안 기술 도입이 더 이상 선택의 문제가 아니라는 입장이다. 기업과 기관에서 운영하는 PC방화벽, 인트라넷 망분리, 데이터센터방화벽, 침입방지시스템(IPS), 인터넷서비스제공자(ISP)의 방화벽 등 자체 구축한 보안 시스템에 더해 클라우드보안 기술을 함께 활용해야 더 나은 보안 수준을 달성할 수 있다는 얘기다.

안준수 아카마이코리아 제품전략담당 상무는 기존 보안 시스템의 역할을 그대로 유지하면서 클라우드보안 솔루션을 활용해야 할 필요가 있다고 주장했다. 앞서 투자한 보안 수단은 그 처리량 한계치만큼 활용하고, 그걸 넘어서는 위협은 클라우드보안으로 대응해야 한다는 얘기였다. 클라우드보안은 자체 인프라 대비 전문인력의 손을 덜 타 관리 부담을 덜 주는 이점도 있는 것으로 묘사됐다.

안준수 아카마이코리아 제품전략 상무

안 상무는 "보안을 뚫으려는 사람이 계속 진화하고 있고 공격 빈도도 늘고 있기 때문에, 보안 비용은 계속 올라가고 있으며 줄어들 가능성은 없다"면서 "그런 빈도와 규모에 맞서 직접 인프라 보안을 갖추려면 과투자 우려가 있고 일정 규모 이상의 기업을 제외하면 자체 보유한 전문인력의 대응에도 한계가 있다"고 말했다.

관련기사

그는 주로 인터넷을 통해 진행되고 처리 규모의 부담이 큰 공격에 클라우드보안이 더 효율적으로 대응할 수 있다고 주장했다. 암호화트래픽 웹보안, DNS 대상 DDoS 공격을 흡수하는 인프라, 봇을 탐지해 차단하는 봇위협관리, 인프라에 진입하기 전에 접근을 제어할 수 있는 위협인텔리전스, 이메일 첨부파일을 거르거나 그걸 통한 악성코드 다운로드를 차단하는 맬웨어 방어 등을 예로 들었다.

안 상무는 "아카마이는 CDN 서비스 업체로 창사이래 계속 인프라를 공격받아왔기 때문에, 우리 인프라 대상 공격을 막는 보안 서비스를 갖고 있다가 이를 상품화했다"며 "국내 사용자들에게 아카마이 보안 서비스의 장점은 클라우드 분산처리를 통한 성능 효율, 한국에 들어오기 전 공격이 시작된 지역에서의 즉각적인 방어, 2가지"라고 강조했다.