[알아봅시다] 사이버공격 근원지 역추적기술

입력: 2008-01-04 16:17 이홍석 기자

폰트

DDoS ㆍ스캐닝 공격 등 사이버위협
공격자 호스트 찾아 필터링으로 걸러내

신속한 패킷찾기 '자동화 패킷 역추적'기법 주목
공공기관 중심 연구결과 도입 상용화 노력 절실

분산서비스거부(DDoS) 및 스캐닝 공격 등 지속적으로 발생하는 사이버위협에 대응하기 위해서는 공격자의 위치 및 호스트를 파악, 필터링해서 제거하는 것이 가장 효과적인 방법입니다. 그러나 공격자들이 활용하는 호스트들은 자신들의 위치를 은폐하기 위해 소스IP 주소를 위장(스푸핑)하기 때문에 공격 경로를 역추적 하는 것은 말처럼 쉬운 일이 아닙니다. 이 때문에 그동안 공격자 호스트를 찾아 필터링을 수행, 제거하는 기술인 사이버공격 근원지 역추적 기술에 대한 연구가 끊임없이 이뤄져 왔습니다. 아직 연구결과물이 연구개발(R&D) 수준에 그치고 있지만 향후 상용화를 위한 많은 노력이 진행 중입니다. 오늘은 그동안의 사이버공격 근원지 역추적기술 관련 연구 내용과 향후 실용화 방안에 대해 알아보도록 하겠습니다.

◇다양한 기술 등장…유연성과 효율성 문제=사이버공격 근원지 역추적기술에 대한 연구는 지난 2003년을 기점으로 전후로 나눌 수 있습니다. 2003년 말까지의 연구결과들을 보면 인터넷에서의 패킷 특성상 TCP 계층을 중심으로 한 서비스 중심의 역추적 기능보다는 패킷 자체의 네트워크 전송 과정을 다루는 IP 계층에서의 역추적 기능을 제공하기 위한 연구가 활발히 진행됐습니다. 이 때까지 제시된 역추적 기술을 분류하면 해킹 대응 방식에 따라 크게 전향적(Proactive) 역추적 기술과 대응적(Reactive) 역추적 기술로 나눌 수 있습니다.

또 세부 기술별로 보면 라우터 중심의 역추적 기술, 패킷 정보에 대한 관리 시스템 구현 기술, 특수 네트워크 중심 기술 및 관리 기술 중심의 역추적 기술로 분류할 수 있습니다. 이에 따라 패킷에 대한 확률적 표시(PPM)기법ㆍiTrace 역추적 기법ㆍ오버레이 네트워크 기반 역추적 기법ㆍ해시 기반 역추적 기법ㆍIPSec 기반 역추적 기법 등이 등장했으나 이들 기법들은 적용의 유연성 및 효율성 면에서도 문제가 제기됐고 별도의 추가 기능을 부여해야 하는 등 편의성도 떨어졌습니다.

◇새로운 역추적 기술도 계속 등장=2003년 말까지 연구된 역추적 기술을 보면 라우터에 별도의 모듈을 심어야 하거나, 네트워크 단위로 서버를 설치해 로깅을 해야만 했습니다. 이에 대한 단점을 극복하고자 등장한 방법이 결정론적 푸시백(Deterministic Pushback) 기법(그림1)입니다. 이 기법은 에지라우터에서 나가는 패킷에 대해서만 표시하고 공격 탐지 시 해당 에지라우터에 메시지를 전송해 근원지 라우터에서 효과적으로 필터링을 실시할 수 있다는 장점이 있습니다. 그러나 이 기술 역시 에지라우터에 기능을 추가해야 하는 단점이 있었습니다.

최근에는 텍사스대학교 내 사우스웨스트 리서치 인스티튜트가 시만텍 리서치 랩과 공동 연구 및 실험을 진행 중인 자동화 패킷 역추적(Automating Packet Traceback) 기법(그림2)이 상용화 측면에서 새롭게 주목을 받고 있습니다. 기존 해시 기반 역추적 기법을 확장한 이 기법은 기존 연구기법들의 실용적 한계를 극복하기 위해서 자체 시스템(Autonomous System) 단위로 추적할 수 있는 AST 서버를 설치하고 라우터에 하드웨어(HW) 기반의 모니터를 설치, 전송 패킷에 대한 정보를 남기는 방식입니다. AS 단위로 서버를 설치한다는 점과 HW기반으로 모니터를 동작시켜 성능을 높인다는 것이 특징으로 공격 패킷에 대한 빠른 추적이 가능한데다 별도의 모듈을 라우터에 추가할 필요가 없다는 것이 기존 기법과의 차별화 되는 요소입니다. 또 라우터의 성능에 전혀 영향을 미치지 않고 기존 호스트시스템이나 IP프로토콜과도 상관없이 동작 가능하다는 것도 장점으로 꼽히고 있습니다. 현재 오버헤드와 추적에 대한 성공확률 등에 대한 시뮬레이션을 마친 상태로 시만텍 및 IDEA 연구소에서 시험 중이며 조만간 인터넷서비스사업자(ISP)에 설치, 시험할 예정입니다.

◇연구결과의 상용화 위한 공공기관 중심 기술 도입 절실=사이버공격 근원지 역추적 기술은 DDoS와 스캐닝 공격 등에 가장 효과적으로 대응할 수 있는 기술로 부각되며 많은 이들의 관심을 받고 있으나 실용화된 사례를 찾아보기 힘들 정도로 상용화 수준은 관심에 비해 크게 못 미치고 있는 것이 사실입니다. 이 기술은 많은 관심만큼 많은 기관에서 필요로 하고 있지만 기술을 연구하고 해당 기술을 상용화하는데는 많은 어려움이 따르는 것도 인정할 수밖에 없는 현실입니다.

이 기술이 보다 실용화되기 위해서는 지속적인 R&D 노력뿐만 아니라 실질적인 기술 적용 사례가 많이 등장해야 합니다. 물론 전 세계 모든 네트워크에 적용하지 않고서는 전체적인 효과를 발휘할 수 없겠지만 정부 및 공공기관의 네트워크부터라도 최신의 역추적 기술을 적용, 단일 해킹공격에 대해 효과적으로 대응하고 향후 보다 많은 네트워크로 적용할 수 있도록 확장해나가는 노력이 필요하다는 것이 절실하다는 게 연구자들의 생각입니다.

이홍석기자 redstone@

서울특별시 중구 새문안로22
☎ 02) 3701-5500
등록번호 : 서울 아01699
등록일자 : 2011.07.15
발행일 : 2000.03.03
발행인/편집인 : 박학용

[알아봅시다] 사이버공격 근원지 역추적기술

이 시간 핫클릭

핫 이슈!