AKAMAI 백서 Akamai 클라우드 보안 솔루션: 웹 DNS 인프라 보안 방법 비교
목차 소개 1 위협환경의변화 1 DoS 공격규모증가 1 애플리케이션레이어공격 2 데이터를유출시키기위한애플리케이션공격 3 다차원적보안위협 4 사이버범죄증가와경제적손실 5 보안에대한일반적인접근방식 5 온프레미스하드웨어 5 인터넷서비스사업자 7 클라우드보안서비스사업자 8 AKAMAI INTELLIGENT PLATFORM 9 웹보안을위한아키텍처 9 멀티레이어방어 9 글로벌확장성을갖춘인터넷보안 10 상시가동형 (always-on) 보안 10 Protect and Perform 11 위협인텔리전스를통한보안강화 11 KONA SITE DEFENDER 소개 12 네트워크레이어 DDoS 공격방어 12 애플리케이션레이어 DDoS 공격방어 12 데이터유출방어 13 PROLEXIC ROUTED 소개 13 오리진인프라보호 13 우수한보안기술적용 13 DDoS 방어전담인력 13 FAST DNS 소개 14 성능및가용성을고려한설계 14 DNS 기반 DDoS 공격방어 14 보안생태계와통합 15 Open Platform Initiative 15 매니지드보안서비스 16 WHY AKAMAI 16 과감한혁신 16 고객의성장을뒷받침하는보안솔루션 17 웹보안간소화 18 요약 18
Akamai 클라우드보안솔루션 1 서론오늘날의기업들은점점빠른속도로발전하는세상에서비즈니스를운영하고있습니다. 30억명이상의사람들이다양한디바이스를통해인터넷에접속하고온라인으로커뮤니케이션, 쇼핑, 엔터테인먼트, 업무를진행하는비중이점차높아지고있습니다. 이런변화로인해기업과정부기관이고객 내부직원들과업무를진행하는방식역시크게변화하고있습니다. 현재기존의사무실이아닌곳에서이루어지는업무의비중이점차높아지고있습니다. 인터넷으로고객 내부직원들과협력하고금융거래를진행하며민감한비즈니스데이터전송할뿐만아니라퍼블릭네트워크를통해커뮤니케이션하기도합니다. 고객들이 24 시간언제든지쇼핑할수있고직원들은언제어느곳에서나필요한리소스에액세스할수있도록하기위해인터넷연결네트워크로이동하는애플리케이션이점차증가하고있습니다. 결과적으로, 공격자들은기업및정부가소유한고가의자산에쉽게접속할수있게되었고시대의변화에맞춰공격방식역시변경하고있습니다. 서비스를중단시키기위해무차별암호를입력하는공격방식에더이상의존하는것이아니라애플리케이션취약점을이용해데이터를도용하고금전적인이득을노리고있습니다. 보안위협환경은지속적으로변화하고있고기업들은이런새로운공격패턴에대응할수있어야합니다. 하지만지난몇년동안위협환경이상당히큰변화를보였기때문에보다혁신적인보안솔루션이필요해졌습니다. 보안솔루션의장단점을비교할때현재발생하고있는공격뿐만아니라앞으로발생할공격에대해얼마나잘대응할수있는지파악해야합니다. 성능, 확장성과같은기존의지표뿐만아니라아키텍처와적응성같은지표역시장기적으로보안솔루션의성능을판단할때고려해야합니다. 보안플랫폼의아키텍처가아직발견되지않은새로운공격을얼마나효과적으로방어하는지, 또한새로운공격을얼마나신속하게탐지하고확인할수있는지역시중요한고려사항중하나입니다. 온라인비즈니스를운영하는기업에게자사의요구사항에꼭맞는최적의파트너를찾는다는것은 IT 자산을보호하는것이상의의미가있습니다. 보안과성능을모두갖춘보안솔루션을통해기업의온라인전략을뒷받침할수있기때문입니다. 또한온라인비즈니스과정에서발생하는리스크를줄여주고보다매끄러운사용자경험을전달할수있습니다. 위협환경의변화 온라인비즈니스를운영하는기업들은항상공격자들의표적이됩니다. 인터넷환경이변화함에따라공격기법역시취약점을이용하는방식으로달라지고있습니다. 공격자들은변화하는인터넷의특성을집요하게파고들며항상 IT 팀보다한발앞서나갑니다. 또한, 대규모봇넷을통해공격규모를지속적으로늘리거나웹애플리케이션과인프라를무력화시킬수있는새로운방법을찾아냅니다. DoS 공격규모증가 현재가장빈번하게발생하는보안위협은바로 DoS(Denial-of-Service) 공격입니다. DoS 공격은인터넷서비스장애를일으키기위해웹서버, 네트워크장비, 네트워크가용대역폭등의인프라구성요소를공격합니다. 공식적으로기록되어있는최초의 DoS 공격은 1996 년 9 월 6 일 Panix(NYC ISP) 를대상으로발생했습니다. I 신원이확인되지않은공격자들이 SYN Flood 을이용해가용네트워크대역폭을소진시키고정상사용자들이 Panix 서비스에접속하지못하도록차단했습니다. 이당시공격자들은 3 대의컴퓨터로 48Kbps 의네트워크트래픽을발생시켰습니다. 이후공격규모는지속적으로증가해왔습니다. 현재공격자들은대형봇넷이나반사기법을통해최소수십배이상의 DDoS 공격을발생시킵니다. 최근에유럽의한 Akamai 고객사를겨냥한 DDoS 공격은 6 가지공격기법이사용되었고최고공격규모는 363Gbps 및 57Mpps 를기록했습니다.
Akamai 클라우드보안솔루션 2 DDoS 공격규모증가 400 350 Gbps Mpps 300 250 200 150 100 50 0 2005 2006 2007 2008 2009 2010 2011 2012 2013 2014 2015 2016 그림 1: 대역폭및요청횟수모두매년지속적으로증가하는 DDoS 공격의규모 DDoS 공격규모가증가하는배경에는 2 가지이유가있습니다. 인터넷연결디바이스가점차증가하고있고디바이스의처리능력역시높아지면서봇넷이트래픽을발생시키는용량역시증가하고있습니다. 컴퓨터속도가빨라지고대역폭비용이감소하면서봇넷규모가해마다증가할뿐만아니라개별봇역시보다강력해지고있습니다. DNS, NTP, SSDP 반사기법등새로운공격기법이지속적으로등장하고있습니다. 반사기법은인터넷서비스의취약점을이용해공격규모를증폭시킬수있습니다. 예를들어, DNS 반사기법은공격규모를 28~54 배증폭시키고 NTP 반사기법은 556.9 배증폭시킵니다. 이로인해대규모 DDoS 공격을방어하는일이더어려워지고있습니다. 물론고성능네트워크장비에투자하거나네트워크대역폭을추가적으로구매할수도있지만, 지속적으로규모가증가하는 DDoS 공격을방어하기에는역부족입니다. 이런공격들은인터넷의확장성을악용하기때문에개별기업의기술력이나투자로는감당할수없는수준입니다. 애플리케이션레이어공격 네트워크레이어공격이확장성때문에지속적으로큰어려움을가져다주는반면애플리케이션을겨냥한 DDoS 공격역시장기적으로골치아픈문제가될수있습니다. 웹기반애플리케이션이증가하고이런복잡한애플리케이션을보호할수있는 IT 인력이부족한상황에서애플리케이션이쉬운공격표적이되었습니다. 애플리케이션레이어 DDoS 공격은종류가다양한데여러가지기법을사용해웹서버혹은애플리케이션서버의리소스를소진시킵니다. 가장대표적인애플리케이션레이어공격 2 가지는다음과같습니다. HTTP HTTP 는웹애플리케이션의기반으로서대부분의애플리케이션레이어공격은웹서버를공격할때 HTTP 취약점을이용합니다. 예를들어, HTTP flood 는 HTTP 요청을대량으로발생시켜웹서버를공격하는데컴퓨팅리소스를고갈시켜정상사용자의요청에응답하지못하도록하기위해서입니다. DNS DNS 역시공격자들이매우빈번하게공격하는표적입니다. DNS 가 IT 인프라에서중요한역할을하는동시에가장증폭효과가크기때문입니다. 대다수의기업들이소수의 DNS 서버에의존하고있기때문에증폭공격에취약할수밖에없습니다. 애플리케이션레이어 DDoS 공격은정상적인트래픽으로보이기때문에네트워크레이어공격보다탐지하기가더어렵습니다. 예를들어, HTTP flood 는정상적인 HTTP 요청을대량발생시켜웹서버로보내는데이과정에서네트워크레이어공격을탐지하는보안툴을우회할수있습니다. 또한, 웹서버는일반적으로정상트래픽과공격트래픽을구분하지못합니다.
Akamai 클라우드보안솔루션 3 데이터를유출시키기위한애플리케이션공격 DDoS 공격 ( 네트워크및애플리케이션레이어 ) 이외에도웹애플리케이션공격도점차빈번하게발생하고있습니다. 단순히비즈니스운영을방해하려는목적이아니라데이터를유출시키기위한공격입니다. 오늘날기업들은파트너사, 고객, 직원들과점차빈번하게커뮤니케이션하고있고웹브라우저를통해쉽게접속할수있도록애플리케이션과가까운곳에비즈니스및고객데이터를저장합니다. 대다수의기업들은애플리케이션포탈을안전하게보호할수있는리소스나전문성이부재한상황이기때문에해커들은 DDoS 공격이외에추가적으로다른공격기법을사용해데이터를유출시키려시도합니다. 애플리케이션보안업체인 Veracode 에따르면기업 4 곳중 3 곳이웹애플리케이션공격의표적이될것이며전체데이터유출의 54% 가웹애플리케이션공격을통해발생할것으로전망합니다. II 대표적인공격기법은다음과같습니다. SQL 인젝션 Veracode 에따르면전체데이터유출의 30% 가 SQL 인젝션으로인해발생한다고합니다. SQL 인젝션은사용자인풋을제대로점검하지않는웹애플리케이션을이용해데이터베이스코드를실행시켜더많은데이터를불러오게만듭니다. 리모트파일인클루전 (RFI) RFI 는 SQL 인젝션과마찬가지로사용자인풋을제대로점검하지않는웹애플리케이션을이용합니다. 하지만 RFI 의가장큰목적은데이터유출이아니라웹서버가멀리떨어진곳에저장되어있는파일콘텐츠를실행시키도록만드는겁니다. 이를통해공격자는악의적인목적으로웹서버를통제할수있게됩니다. 인증정보도용 웹사이트나애플리케이션에접속할때사용자로그인을요구하는경우가있습니다. 사용자들은쉽게예측가능한비밀번호를사용하기도하고여러웹사이트에걸쳐동일한비밀번호를사용하기때문에해커들은유출된사용자로그인인증정보를구매해다른사이트에서반복적으로로그인을시도하기도합니다. 사례연구 : RFI( 리모트파일인클루전 ) 2013 년 12 월, Akamai 의컴퓨터보안사건대응팀 (CSIRT) 은리모트파일인클루전 (RFI) 취약점을찾는웹스캔활동이고객사를대상으로진행되고있다는것을처음탐지했습니다. 2 주후 CSIRT 는보안위협주의보를발령했고 WAF 를통해 RFI 스캔활동을차단할수있는룰을제공했습니다. 한달후 Akamai 는 Kona Rule Set(KRS) 에 RFI 스캔시도를탐지하고차단할수있는새로운룰을추가해모든고객이 RFI 공격에쉽게대응할수있도록했습니다. KRS 는모든고객에게제공되는일반적인 WAF 룰세트입니다. 이공격에대한자세한분석내용은 Akamai 위협연구소디렉터인오리시걸 (Ory Segal) 이작성한블로그게시물 " 최근대형 RFI 스캐닝에대한 2 주간의분석개요 (A Two Week Overview of the Latest Massive Scale RFI Scanning)" 을참고하시기바랍니다. SQL 인젝션 (SQLi), 리모트파일인클루전 (RFI), 인증정보도용공격등의웹애플리케이션공격은정상적인애플리케이션트래픽처럼보이기때문에기존의네트워크레이어보안툴로탐지하기가매우어렵습니다. 이에따라대다수의기업들은대량의데이터의이미유출되고난이후에공격을인지합니다. 최근 Verizon이분석한데이터유출분석자료에따르면 99% 의공격자들은불과며칠만에공격에성공하는반면, 동일한기간에데이터유출을탐지한경우는 10% 에불과했습니다. III
Akamai 클라우드보안솔루션 4 다차원적보안위협 대부분의보안솔루션들이한가지종류의공격만방어할수있는반면, 여러가지기법을결합한공격방식이점차증가하고있습니다. 대부분기업들의 IT 솔루션은한가지종류의보안위협만방어하기때문에멀티공격이성공할가능성이훨씬더높습니다. 또한애플리케이션을안전하게보호하고있다하더라도, 여러 IT 인프라에걸쳐동시다발적공격이발생할경우이를방어할수있는기업의역량에심각한위협을초래할수있습니다. 또한공격자들은대역폭을고갈시키는 DDoS 공격과 SQL 인젝션공격을결합시키는방식을통해기업의한정적인보안리소스를소진시킨후실질적인공격목표인데이터유출혹은금융정보유출등을시도합니다. 한가지공격기법만집중적으로방어했을때초래될수있는위험성을잘보여주고있는사례입니다. 보안위협을둘러싼환경이급격하게변화하고있는상황속에서 IT 인프라를안전하게보호하려면여러종류의공격기법과다수의기법이결합된공격형태에도대응할수있어야만합니다. 사례연구 : Operation Ababil, 3 차공격 2012 년 9 월 QCF 는한개인이제작한선동적인비디오에격분해미국금융기관을대상으로 1 년에걸쳐 DDoS 공격 (Operation Ababil) 을일으켰습니다. 이공격은금융기관의공공웹사이트를겨냥했고 QCF 의자체봇 9,200 개를사용했습니다. 2013 년 3 월 5 일발생한공격은최대 190Gbps 의트래픽을일으켰고 110Gbps 의공격을받은은행도있었습니다. Akamai 고객사중한곳은이틀동안 3 가지공격기법이사용된다차원적인공격을받았다고밝혔습니다. 1. 3 월 5 일에시작된공격은 2,000 개의봇을이용해 HTTP flood 를생성했는데, 최대공격트래픽은 30Gbps( 일반적인수준의 75 배 ) 를기록했고분당 400 만건의 HTTP 요청 ( 일반적인수준의 25 배 ) 이발생했습니다. 이고객사는 Akamai 솔루션을사용하고있었기때문에공격이진행되는중에도정상사용자의트래픽을처리할수있었고사이트성능이나가용성에도아무런지장이발생하지않았습니다. 2. 다음날공격자들은 DNS 기반의증폭공격으로공격기법을변경했습니다. 40 개미만의봇을사용해악성 DNS 요청을발생시켜 DNS 인프라를마비시키려했고최대공격트래픽은 40Gbps 를기록했고초당 180 만건의요청이발생했습니다. 이때에도일반적인수준의 10 배가넘는 DNS 트래픽이발생했음에도불구하고 100% 가용성을유지했고자사사이트에접속하는고객요청을하루종일원활하게처리했습니다. 3. 이날오후공격자들은다시한번공격대상을변경해중요도가낮고보안솔루션이적용되지않은웹사이트를겨냥했습니다. 그결과페이지뷰오류가무려 1327% 증가했습니다. 고객과의관계를구축하기위해웹사이트를사용하고금융기관이점차증가하고있습니다. 많은고객들이모든은행관련업무를온라인으로처리합니다. 고객들은연중무휴 24 시간금융자산에액세스하길원하고금융기관이공격을받고있는지에대해신경쓰지않습니다. 언제든지다른은행으로쉽게이탈할수있기때문에 DDoS 공격으로인해사이트접속이불가능해지고고객만족도가떨어질경우심각한경제적손실로이어질수있습니다.
Akamai 클라우드보안솔루션 5 사이버범죄증가와경제적손실 사이버공격의표적이될수있는기업의수가증가하고이를통해얻을수있는금전적이익이커지는동시에공격을감행하는것역시점차용이해지고있습니다. 공격자툴킷이광범위하게보급되고새로발견된취약점이쉽게공유됨에따라사이버범죄는갈수록늘어나고있습니다. 또한이런공격으로인한경제적손실역시크게증가하고있습니다. 인터넷기반애플리케이션을통해매출을발생시키는기업들이지속적으로증가하고있기때문에애플리케이션접속장애가발생할경우고객들은구매를중단하거나경쟁사로이동하기때문에매출손실로이어집니다. 하지만더욱위험한점은대부분의기업들은중앙저장소에민감한정보를저장한다는것입니다. 이저장소는웹브라우저를통해접속가능하고금전적이득을노리는공격자들의쉬운표적이될수있습니다. 데이터유출은과거에는드문일이었지만현재는가장빈번하게발생하는사이버범죄가되었고기업들은경제적손실을감내해야할뿐만아니라장기적으로기업브랜드이미지실추로이어집니다. 사이버범죄로초래되는경제적손실 ( 단위 : 백만달러 ) Ponemon Institute, 2015년 10월 $60.5 $58.1 2013 $65 2014 2015 $0.4 $0.6 $0.3 $5.5 $6 $5.5 그림 2: 2013 년부터 2015 년까지지속적으로증가한사이버범죄로인해발생하는연간경제적손실 (Ponemon Institute 의보고내용 ) IV 보안에대한일반적인접근방식 네트워크에서애플리케이션으로, 장애발생에서데이터유출로, 일차원적공격에서다차원적공격으로보안위협이변화함에따라보안산업역시구조적인변화를맞이하고있습니다. 많은사람들이앞으로도 DDoS 공격을예의주시할것으로보이는데, 가장치명적인공격은탐지하기가어렵고사전경고를받는경우도매우드뭅니다. 따라서상시가동형보안체계가필요하고동시에대형네트워크 애플리케이션레이어공격을방어할수있는충분한확장성과성능역시보장되어야합니다. 온프레미스하드웨어 대부분의기업들은네트워크방화벽, DDoS 방어, 웹애플리케이션방화벽 (WAF) 어플라이언스등하드웨어장비를자체적으로데이터센터에구축 ( 온프레미스 ) 하는경우가많습니다. 이경우자체적으로구축한하드웨어뿐만아니라보안체계를직접관리할수있습니다. 하지만온프레미스하드웨어는일반적으로초기에막대한투자를해야하고수명주기가 2~3년에불과할뿐만아니라이를운영 관리할때도상당한비용이들어갑니다. 또한애플리케이션이있는곳에항상하드웨어가배치되어야하기때문에여러데이터센터에애플리케이션이배포되어있는경우비용은추가적으로증가할수있습니다.
Akamai 클라우드보안솔루션 6 현재공격규모는점차증가하고있기때문에온프레미스하드웨어역시인라인솔루션과마찬가지로대형공격을안정적으로방어할수있는충분한성능과확장성이필요합니다. 특히하드웨어장비의경우전체보안시스템이아닌개별장비의기능에의해제한을받는경우가많습니다. 확장성 하드웨어장비의확장성이지속적으로증가하고있음에도불구하고, 하드웨어에기반한보안시스템은대규모봇넷에서발생하는방대한공격트래픽을감당할수있는여력이크게부족합니다. 2016 년 1 분기에평균 DDoS 공격규모가최고 6.9Gbps 를기록한점을생각하면, 온프레미스하드웨어에서장애가발생할가능성은여전히높습니다. V 성능 애플리케이션레이어공격을방어하는일은리소스소모가큽니다. 예를들어, 웹애플리케이션방화벽은애플리케이션트래픽중에서알려진공격프로파일을구분하는데이과정에서상당히많은연산리소스가필요합니다. 정상적인애플리케이션트래픽도상당한양의처리능력이필요한데, 이는하드웨어기반인 WAF 의성능을떨어뜨리고결과적으로 WAF 통과해애플리케이션에접속하는트래픽역시감소하게됩니다. DDoS 평균공격규모 2016 년 1 분기인터넷현황보안보고서 13.9 Gbps 7.8 Gbps 6.4 Gbps 6.0 Gbps 6.9 Gbps 5.2 Gbps 5.0 Gbps 6.9 Gbps Q2 2014 Q3 2014 Q4 2014 Q1 2015 Q2 2015 Q3 2015 Q4 2015 Q1 2016 그림 3: 온프레미스하드웨어규모보다큰 DDoS 평균공격규모 사례연구 : 온프레미스하드웨어 WAF 이국내유통업체는오프라인매장뿐만아니라이커머스웹사이트를통해소비자에게직접상품을판매합니다. 이유통업체가웹사이트전면에배치된온프레미스하드웨어 WAF 를테스트했을때, 처리되는룰의개수로인해성능이 50% 감소하는결과가도출됐습니다. 반면 Akamai 솔루션을적용했을때에는성능이전혀저하되지않았습니다. 이를통해높은사용자만족도를유지하고이커머스사이트를통해지속적으로매출을증가시킬수있었습니다. 하드웨어에기반한보안시스템을고려할때각각의하드웨어장비가개별적으로운영되지않는다는점을반드시염두에두어야합니다. 개별장비의확장성과성능은상이한데여러종류의장비가순차적으로배치되는경우가많습니다. DDoS 공격을할때이순차적으로배치된장비중가장취약한한곳만공격하면전체시스템의장애로이어질수있습니다. 예를들어, 네트워크방화벽은라우터뒷편에배치되는데라우터는일반적으로증폭공격에매우취약하고이를차단할수없습니다. 따라서, 라우터가증폭공격을받으면라우터뒷단의모든시스템에서서비스거부가일어날수있습니다. 하드웨어접근방식의마지막단점은, DDoS 공격이데이터센터에침투한뒤에나해당공격을차단하려고시도한다는것입니다. 충분한규모의대역폭이없다면공격으로인해대역폭이고갈되기때문에결국전체데이터센터의장애로이어지게됩니다. 또한공격을성공적으로방어했다하더라도공격과정에서대역폭이대량소진되기때문에사용자들이체감하는성능을떨어뜨릴수있습니다. 또한 DDoS 공격규모가지속적으로증가하고있기때문에충분한확장성을확보하기위해대역폭을계속늘려야합니다.
Akamai 클라우드보안솔루션 7 인터넷서비스사업자 인터넷기반애플리케이션을보호하는일반적인방법중하나는인터넷서비스사업자 (ISP) 의서비스를적용하는것입니다. ISP 의주력비즈니스는네트워크대역폭을제공하는것이지만이를보완하기위해 DDoS 방어서비스도함께제공합니다. ISP 는사용자와애플리케이션사이의네트워크트래픽을전송한다는점을적극활용해고객사의인프라를겨냥한 DDoS 공격을방어합니다. 기업들에게 ISP 서비스는여러가지이유로유용합니다. 첫째, DDoS 공격방어업무를써드파티로이관할수있습니다. 네트워크트래픽은 ISP 를통해애플리케이션으로이동하기때문에 ISP 가 DDoS 공격을방어하는것이적합할수있습니다. 둘째, 일반적으로 ISP 가 DDoS 서비스방어에대해매달청구하는비용은저렴합니다. 이런이유로기업입장에서는 ISP 가제공하는 DDoS 방어서비스를구매하는것이타당하게느껴질수도있습니다. 하지만, 몇가지사항들을보다면밀하게들여다봐야합니다. 다수의 ISP 아키텍처측면에서 ISP 는자사네트워크로전송되는 DDoS 트래픽만방어할수있습니다. 일반적으로기업은가용성 성능을개선시키고대역폭비용을절감하기위해다수의 ISP 로부터대역폭을구매합니다. 하지만이런구조로인해 DDoS 공격에대응하는일이훨씬복잡해질수있습니다. DDoS 공격은다수의 ISP 네트워크에걸쳐발생하기때문에이에따라다수의 DDoS 방어솔루션을배치 관리해야하고여러 ISP 와함께 DDoS 공격대응방안에대해협력해야합니다. 확장성 대형 DDoS 공격의최고대역폭이 300Gbps 를초과하고있는상황에서대부분의 ISP 는공격을제대로방어할수있는충분한네트워크용량을가지고있지않은경우가많습니다. 하지만소형공격도네트워크용량을고갈시키고성능을저해하는등리스크를초래할수있습니다. ISP 는이런상황에대처하기위해 10Gbps 가넘는 DDoS 공격이발생한경우자사네트워크의안정성을유지하기위해공격의표적이되고있는고객으로향하는트래픽을 블랙홀 처리하는경우가많습니다. 보안전문지식 대부분의 ISP 는보안서비스를핵심사업으로간주하지않고네트워크대역폭제공이라는주력사업을보완하는수준정도로여기는경우가많습니다. 결과적으로보안관련전문성이떨어지고우수한솔루션이부재하며복잡한대형공격을방어할때어려움을겪게됩니다. DDoS 방어이외에도 SQL 인젝션이나 XSS 같은데이터유출시도로초래되는위협또한고려해야합니다. ISP 가제공하는 DDoS 방어서비스를적용한기업들도자사웹사이트와애플리케이션을데이터유출로부터안전하게보호하기위해 WAF 솔루션을구현해야합니다. 결국 DDoS 방어서비스이외에별도로또다른벤더를통해 WAF( 온프레미스혹은클라우드 ) 를구매해야하는데여러서비스를구매하고관리하는과정에서비용이증가하게됩니다. 또한 DDoS 와데이터유출이결합된형태의공격에대응할때여러벤더들이협력해야하는과정역시매우복잡할수있습니다.
Akamai 클라우드보안솔루션 8 클라우드보안서비스사업자 클라우드기반의보안솔루션은새로운방식으로보안위협을탐지하고방어합니다. 기업들은자사인프라전면에써드파티의클라우드플랫폼을배치하고사용자들이자사웹사이트와애플리케이션에접속하도록합니다. 클라우드보안서비스사업자는네트워크트래픽을분석해알려진공격패턴을탐지하고정상트래픽만애플리케이션으로전달합니다. 이를통해공격이기업의데이터센터나애플리케이션에도달하기훨씬전에클라우드에서해당공격을차단합니다. 클라우드에서공격을차단하는개념은많은기업들에게패러다임의전환을의미합니다. 공격을방어하는지점이데이터센터에서클라우드로이동하고공격방어에대한책임역시기업의 IT 팀이아닌클라우드서비스사업자에게로이동하게됩니다. 이런방식은기존의보안방식대비여러가지측면에서기업들에게혜택을제공합니다. 편의성 데이터센터에서공격을방어하려면많은인프라구성요소를강화하고확장해야합니다. 하지만공격을방어하는지점을데이터센터에서써드파티클라우드플랫폼으로옮기면여러종류의 DDoS 공격으로부터데이터센터를보호하기위해필요한복잡한과정을제거할수있습니다. 확장성 클라우드서비스사업자는여러기업들을동시에보호해야하기때문에개별기업보다훨씬더방대한규모의인프라를구축했고이를통해규모의경제를실현하고있습니다. 하지만모든클라우드보안솔루션이동일하지않고클라우드서비스사업자에따라플랫폼규모가상당한차이를보입니다. 클라우드보안솔루션을선택할때반드시클라우드플랫폼의전체규모가어느정도인지확인해야하고또한매일전송되는트래픽규모와향후발생할수있는잠재적공격을방어할수있는충분한용량을확보하고있는지평가해야합니다. 성능 일부클라우드보안솔루션의경우성능을향상시키면서동시에 DDoS 및웹애플리케이션공격을방어할수있습니다. 일반적으로웹애플리케이션을가속하기위해사용하는콘텐츠전송네트워크 (CDN) 플랫폼을공격을방어하는데도동일하게사용합니다. 성능에민감한대부분의애플리케이션은이미 CDN 을사용하고있기때문에성능저하없이애플리케이션을안전하게보호할수있습니다. 위협인텔리전스 클라우드보안서비스사업자는공격및공격추세에대해개별기업보다훨씬많은정보를보유하고있습니다. 따라서특정고객을대상으로새로운공격이발생했을때이를방어한기술과기법을다른고객들을보호하는데활용할수있습니다. 클라우드보안서비스사업자들은보안위협에관한정보를다른방식으로활용하는데예를들어, WAF 룰을업데이트하고, 새로운공격시그니처를파악하고, 고객들에게보안위협주의보 (threat advisory) 를배포하고공격에대응하는내부프로세스를개선시키기도합니다. 전문지식 DDoS 또는웹애플리케이션공격을효과적으로방어하려면이전에유사한공격을방어했던경험이많아야합니다. 클라우드서비스사업자들은많은기업들을겨냥한공격을오랫동안방어해오면서방대한경험과전문지식을축적해왔습니다. 향후비슷한공격이발생했을때이런경험을활용해공격을방어하는데소요되는시간을단축하고고객들에게미치는영향력을최소화할수있습니다. 규정준수 기업들이운영하는웹사이트와애플리케이션은많은법적규정을준수해야합니다. 예를들어, 신용카드정보를처리하는사이트는 PCI DSS(Payment Card Industry Data Security Standard) 를준수해야합니다. 클라우드보안서비스사업자가해당법적규제를준수하고있는지반드시확인해야합니다. 비용 클라우드보안솔루션을사용하면과도한초기투자비용없이매달저렴한수준의운영비만지출하면됩니다. 대규모공격을방어하는데필요한인프라규모를고려하면클라우드솔루션을사용할경우상당한비용절감이가능합니다.
Akamai 클라우드보안솔루션 9 사례연구 : 클라우드기반 DDoS 방어솔루션 이게임사는자사웹사이트를통해다양한온라인게임을소비자에게제공합니다. 최근이회사의애플리케이션, 네트워크, DNS 인프라를겨냥한 DDoS 공격이 1 달동안 26 회발생했습니다. 26 번의공격중 8 번에서 100Gbps 를초과하는최고대역폭이관측되었으며그중하나는 321Gbps 에육박했습니다. 이게임사는데이터센터전면에 Akamai 의클라우드기반보안솔루션을적용했습니다. 그결과, 300Gbps 가넘는공격트래픽을처리하기위해추가적으로인프라를구축할필요없이 Akamai 의클라우드플랫폼을활용할수있게됐습니다. 동시에, 연중무휴 24 시간운영되는 SOC 보안전문인력의지원도받을수있었습니다. Akamai Intelligent Platform TM Akamai 보안솔루션의근간은 Akamai Intelligent Platform 입니다. CDN 서비스를최초로제공하기시작한이후가속서비스뿐만아니라웹사이트와애플리케이션을보호하는네트워크 애플리케이션레이어보안솔루션을제공하고있습니다. Akamai Intelligent Platform 은현재가장빈번하게발생하는보안위협을방어할때몇가지고유한장점을발휘합니다. 웹보안을위한아키텍처 클라우드기반의보안서비스를제공하는 Akamai Intelligent Platform 은웹사이트와애플리케이션전면에위치해있고사용자와웹사이트 애플리케이션사이에서네트워크및애플리케이션트래픽을전송합니다. 광범위하게분산되어있는이플랫폼은네트워크 애플리케이션레이어공격을방어할때 2 가지장점을발휘합니다. 1. 인라인 인라인아키텍처는모든유형의 DDoS 또는웹애플리케이션공격을방어하기에가장적합합니다. 트래픽이 Akamai Intelligent Platform 을통해애플리케이션으로전달되기때문에될때이플랫폼은공격을탐지 분석할수있을뿐만아니라공격을방어하기위해적절한조치를취할수있습니다. 또한인라인아키텍처는상황에맞게보다유연한 보안모델을적용할수있도록합니다. 2. 분산형 Akamai Intelligent Platform 은전세계 20 만대이상의엣지서버와 7 개의스크러빙센터로구성되어있고사용자들은전세계적으로광범위하게분산되어있는이플랫폼을통해웹사이트와애플리케이션에접속합니다. 이분산형플랫폼은공격활동이발생한해당네트워크에서차단이이루어지기때문에애플리케이션을보다안전하게보호할 수있습니다. 멀티레이어방어 웹사이트와애플리케이션을전송하기위해서는물리적인서버, 네트워크인프라, 클라이언트요청을애플리케이션에연결시키는 DNS 등여러가지인프라구성요소가필요합니다. 애플리케이션다운타임과데이터유출을막기위해이런모든구성요소를제대로보호해야하는데 IT 환경이크게변화하면서점차어려운도전과제로부각되고있습니다. 세계화로인해 IT 자산이전세계적으로분산배치되고클라우드서비스와인프라의도입증가, 비즈니스의인터넷의존도가높아지면서기존 IT 범위가크게확장되었습니다. Akamai Intelligent Platform 은클라우드기반의분산형플랫폼으로 IT 자산이배치되는곳이나데이터가저장되는위치에상관없이모든 IT 관련수요를충족할수있습니다. 또한, 다양한기술과네트워크를적용해애플리케이션둘러싼다양한인프라의요소를보호합니다.
Akamai 클라우드보안솔루션 10 웹사이트및애플리케이션 Akamai Intelligent Platform 은전세계 127 개국가에 21 만 5 천대의서버와 1,500 개의네트워크로구성되어있고전세계인터넷사용자의 90% 는 Akamai 플랫폼을통해한번의네트워크호핑만거치면웹사이트와애플리케이션에접속할수있습니다. 따라서 Akamai 는이런 DDoS 공격과웹애플리케이션공격이발생했을때공격이고객의오리진서버에도달하기훨씬전에, 공격이발생한곳과가장가까운엣지서버에서공격을탐지하고 방어할수있습니다. 오리진인프라및웹이외의애플리케이션 전세계적으로배치되어있는 7 곳의스크러빙센터를기반으로한 Prolexic Routed 는 DDoS 공격으로부터오리진인프라를방어합니다. 스크러빙센터의 20 여명이상의보안기술전문가들은 오리진인프라와애플리케이션을겨냥한모든종류의 DDoS 공격을탐지하고차단합니다. DNS Akamai DNS 플랫폼은성능과가용성을확보하기위해설계되었고전세계 200 여개의네트워크거점 (PoP) 에배치된수천개의네임서버가 DNS 성능을향상시키고 DNS 기반의대규모 DDoS 공격을흡수할수있는충분한용량을제공합니다. 글로벌확장성을갖춘인터넷보안 Akamai Intelligent Platform 은하이퍼커넥티드세상에적합하게설계되었고전세계적인규모의네트워크트래픽을처리할수있는충분한용량을갖추고있습니다. Akamai 는매일글로벌웹트래픽의 15~30% 를처리하며최대트래픽은 35.7Tbps 를초과합니다. Akamai 엣지서버는매일 24Tbps 의웹트래픽을전송하며 10Tbps 가훨씬넘는충분한용량을여분으로확보하고있습니다. 이러한방대한규모는대규모 DDoS 공격을처리할때특히강점으로작용합니다. Prolexic 네트워크는 DDoS 공격을방어하기위해 3.2Tbps 의용량을할당합니다. 이는 Prolexic 네트워크에서방어한공격중가장큰규모 ( 유럽미디어기업을겨냥한 363Gbps 의공격 ) 보다 9 배더큰용량입니다. Akamai DNS 플랫폼에서일반적으로처리되는트래픽규모는플랫폼전체용량의 1% 도되지않기때문에대형 DDoS 공격을방어할수있는충분한용량 ( 미디어기업을겨냥한 90Gbps 의공격포함 ) 을확보하고있습니다. Akamai Intelligent Platform 은대역폭을크게소진시키는 DDoS 공격이외에웹애플리케이션공격을더욱효과적으로방어합니다. 사용자가애플리케이션을요청했을때 WAF 룰을통해이미알려진공격패턴과일치하는지의여부를비교하는데, 이렇게공격을탐지하는과정에서상당한처리용량이필요합니다. Akamai Intelligent Platform 은전세계 21 만 5 천대의서버로구성되어있는클라우드기반의플랫폼으로애플리케이션의전송성능저하없이애플리케이션레이어공격을방어할수있는충분한역량을갖추고있습니다. Akamai Intelligent Platform 을활용하면기업이대형공격을방어하기위해직접온프레미스 ( 자체구축 ) 하드웨어장비나네트워크대역폭을구매할필요가없기때문에투자비용이나운영비를크게절감할수있습니다. 실제로공격이발생했을때, Akamai Intelligent Platform 은공격이애플리케이션에도달하기전에클라우드내의적절한네트워크위치에서공격을방어하기때문에정상사용자들의경험하는애플리케이션성능이나가용성은그대로유지됩니다. 상시가동형 (always-on) 보안 Akamai Intelligent Platform 은처음부터글로벌규모의네트워크트래픽을전송하기위해설계되었기때문에상시가동형이라는큰장점을제공하는데다른보안솔루션은수동적혹은대응적인경우가대부분이기때문에이는큰매력으로작용합니다. 기업이 DDoS 공격을먼저탐지해보안서비스사업자에게연락하게되는경우, 애플리케이션이영향을받을가능성이존재합니다. 또한, 애플리케이션레이어공격이데이터유출을시도하거나탐지되지않는정상트래픽에섞이는경우공격을효과적으로방어할수없습니다. 현재 Akamai Intelligent Platform 은매일전세계웹트래픽의 15~30% 를처리하고있습니다. 애플리케이션에접속하는네트워크트래픽을공격프로필과비교 분석하기때문에성능과보안 2 가지를모두확보할수있습니다. Akamai 의지원을받는 IT 팀은공격을방어하기전에현재공격을받고있는지직접파악할필요가없습니다. Akamai 는애플리케이션을겨냥한공격이발생하면이를자동적으로탐지하는선제적인보안서비스를제공하기때문입니다.
Akamai 클라우드보안솔루션 11 Protect and Perform 대부분의보안솔루션의목적은공격방어입니다. 목적이공격방어에만집중되어있기때문에보안을유지하기위해성능이저하되는경우가많으며결국트래픽감소, 구매전환율감소, 브랜드가치하락등으로이어지게됩니다. 예를들어, 하드웨어기반의 WAF( 위의사례연구참조 ) 는웹애플리케이션의성능을크게약화시킬수있습니다. 따라서, 기존의설계 나인라인솔루션이가져다주는보안상의큰장점에도불구하고아웃오브밴드보안솔루션을선택할수밖에없습니다. 이와달리 Akamai Intelligent Platform 은보안과성능두가지모두를고려해설계되었습니다. Akamai 는성능과보안을상호보완적인목표로인식하고있고웹애플리케이션의성능에영향을끼치지않고보안서비스를제공합니다. Akamai Intelligent Platform 에서제공하는가속기술은애플리케이션성능을개선시켜매출증가와생산성향상으로이어지는 동시에웹애플리케이션인프라를안전하게보호합니다. 사례연구 : 2014 년월드컵 2014 년개최된월드컵기간동안전세계축구팬들은축구경기에많은관심을보이고특히해당국가의경기를중점적으로시청했습니다. Akamai 위협연구팀은실제경기장에서의경기뿐만아니라상대국가의웹사이트를겨냥한공격역시매우치열하게진행되었다는점을파악했습니다. 구체적인 4 가지공격사례는다음과같습니다. 브라질 vs 크로아티아 : 경기가진행되는동안크로아티아에서발생해브라질금융기관을겨냥한 SQL 인젝션공격이급증했습니다. 스페인 vs 네덜란드 : 스페인이네덜란드에패한후스페인의공격자가네덜란드뉴스웹사이트의스포츠지면을대상으로 DDoS 공격을퍼부었습니다. 칠레 vs 호주 : 이경기가열리고이틀후에호주에서발생해칠레의사이트를겨냥한공격트래픽이증가했습니다. 코트디부아르 vs 일본 : 칠레대호주경기와마찬가지로경기이틀후에코트디부아르에서발생해일본의사이트를겨냥한공격트래픽이증가했습니다. 공격에대한자세한분석내용은 Akamai 위협연구소디렉터인오리시걸 (Ory Segal) 이작성한블로그게시물 "Hackers 'Join' World Cup 2014 Matches on the web" 을참고하시기바랍니다. 위협인텔리전스를통한보안강화 해커들이새로운공격툴을개발하고새로운취약점을발견하면서공격은더욱교묘해지고복잡해지고있습니다. 보안서비스기업들은전세계곳곳에서새롭게등장하는보안위협들을면밀하게확인해야만이런새로운공격에대응해나갈수있습니다. 동시에새로운보안위협을차단할수있는룰을신속하게개발해전세계적으로배포되어있는애플리케이션에적용할수있는역량도갖추고있어야합니다. 전세계적으로촘촘하게구축되어있는 Akamai Intelligent Platform 은가장빈번하게대형공격을받는온라인자산과기업들에대한탁월한가시성을확보하고있으며이런가시성을다양한방식으로활용하고있습니다. 새로운공격트렌드혹은처음사용된공격기법식별 새로운보안위협으로인해리스크에노출된고객들에게사전경고를보내거나웹사이트 인터넷기반애플리케이션의보안체계조정 새로발견된공격기법을차단하기위해 WAF 룰을개발하고웹애플리케이션공격에대한방어의정확도를높이기위해기존룰을세밀하게조정 Akamai SOC( 보안관제센터 ) 에서사용하는프로세스와툴을개선시켜향후공격을보다신속하게효과적으로탐지 차단 고객들에게보안위협주의보 (threat advisory) 전달
Akamai 클라우드보안솔루션 12 WAF 룰정확도개선 28.9% 4.89% 0.94% 0.09% 0.06% 3.81% KRS(2013 10 ) KRS(2016 2 ) 그림 4: Akamai 는웹애플리케이션보안의정확도와품질을개선시키기위해지속적으로 Kona Rule Set 을조정합니다. Kona Site Defender 소개 Akamai 웹성능향상솔루션과동일한엣지네트워크를기반으로만들어진 Kona Site Defender(KSD) 는웹사이트및애플리케이션을겨냥한 DDoS 및웹애플리케이션공격을탐지 차단하는웹사이트보안제품입니다. 네트워크레이어 DDoS 공격방어 사용자는전세계적으로분산되어있고애플리케이션트래픽을애플리케이션오리진으로전달하는 Akamai Intelligent Platform 의엣지서버를통해웹사이트및애플리케이션에액세스합니다. KSD(Kona Site Defender) 는애플리케이션페이로드없이 SYN 패킷, ICMP 패킷또는 UDP 패킷등의모든비애플리케이션트래픽을엣지서버에서자동적으로차단합니다. KSD 는대역폭을과도하게소비하는가장일반적인형태의네트워크레이어 DDoS 공격을방어합니다. 애플리케이션레이어 DDoS 공격방어 네트워크레이어 DDoS 공격과는달리 KSD 는애플리케이션레이어 DDoS 공격을자동적으로차단하지는못합니다. 애플리케이션레이어공격은정상적인요청을웹사이트와애플리케이션에전송하지만과도하게많은요청건수를보내거나완전하지못한형태의요청을보내서버를마비시키려합니다. KSD 는애플리케이션레이어 DDoS 공격을 2 가지방법을통해방어합니다. 첫째, 전세계적으로광범위하게퍼져있는 Akamai Intelligent Platform 을통해 HTTP, DNS flood 같은대형공격이애플리케이션이도달하기전에차단하는것입니다. 그런다음 KSD 는자동으로공격자를확인하고애플리케이션으로트래픽을보내지못하도록차단합니다. 세부기능은다음과같습니다. 정적및고급캐싱 21 만 5 천대의엣지서버로구성된 Akamai Intelligent Platform 을통해웹콘텐츠를분배함으로써웹사이트와애플리케이션공격을어렵게만듭니다. 적응형전송률제어 (Adaptive Rate Control) 클라이언트의행동을모니터링하면서과도한요청건수혹은다른클라이언트와동일한패턴의요청같은의심스러운행동을자동적으로차단합니다. 또한, 이기능은애플리케이션에도달하기전에자동적으로요청을차단하기때문에 Slowloris, Slow POST, RUDY 와같은불완전한요청을전송하는 DDoS 공격을방어합니다. IP 화이트리스트및블랙리스트 특정 IP 주소에서전달되는요청을허용또는거부함으로써웹애플리케이션에대한액세스를보다유연하게설정할수있습니다. 지역별차단 DDoS 공격을방어하기위해특정지역에서발생하는트래픽을차단할수있습니다. KSD 는공격 IP 주소를확인하고나면곧바로해당 IP 주소에서발생하는트래픽이애플리케이션에도달하기전에모두차단합니다.
Akamai 클라우드보안솔루션 13 데이터유출방어 KSD 가데이터유출을방어하기위해사용하는기능은다음과같습니다. 웹애플리케이션방화벽 SQL 인젝션 (SQLi) 과같은공격시도를확인하고차단합니다. 적응형전송률제어 공격자가애플리케이션에접속하지못하도록차단하거나요청건수허용을제한합니다. WAF 와마찬가지로 KSD 룰을설정해애플리케이션트래픽중에이미알려진공격프로파일과동일한것이있는지비교한후공격트래픽이탐지된경우고객에게통보하거나공격을차단합니다. Akamai 의 WAF 룰세트인 Kona Rule Set(KRS) 는이미알려진공격 (SQL 인젝션, XSS 등 ) 을자동적으로차단할수있는기능을제공합니다. 또한, 고객이직접사내보안요구사항에맞춰맞춤형룰을추가적으로설정할수도있습니다. KSD 는 WAF 를통해엣지서버에서애플리케이션공격을탐지, 분석, 차단하며공격이애플리케이션에도달하기전에이런모든조치가이루어집니다. 또한, 광범위하게확산되어있는 Akamai Intelligent Platform 을기반으로설계되었기때문에글로벌트래픽을통합적으로검사할수있으며성능저하문제도발생하지않습니다. 동시에이플랫폼의높은확장성을 활용할수있기때문에웹사이트와애플리케이션의트래픽이증가해도보안성능을그대로유지할수있습니다. Prolexic Routed 소개 KSD 가웹사이트와애플리케이션을중점적으로보호하는반면, Prolexic Routed 는오리진인프라를 DDoS 공격으로부터집중적으로보호합니다. Prolexic Routed 는 7 곳의스크러빙센터를통해보안서비스를제공하며전용네트워크용량은 3.2Tbps 입니다. SOC( 보안관제센터 ) 직원들은연중무휴 24 시간 DDoS 공격을탐지하고차단합니다. 오리진인프라보호 최신 DDoS 공격은다수의공격기법을사용해오리진인프라의여러부분을공격합니다. Prolexic Routed 는오리진인프라를효율적으로보호하기위해 BGP 를사용해네트워크트래픽을스크러빙센터의서브넷으로라우팅합니다. 그런다음 SOC 직원들은공격트래픽이있는지확인하고의심되는트래픽이발견되면, 이트래픽이오리진에도달하기전에차단합니다. 우수한보안기술적용 스크러빙센터는 DDoS 공격을가장효율적인방법으로탐지하고차단하기위해 20 가지가넘는보안기술을활용합니다. SOC 직원은특정공격기법을가장효과적으로차단할수있는보안기술을적절하게적용하며공격기법이변경되는경우에는다수의보안기술을결합하기도합니다. Akamai 의보안전문가들은특정 DDoS 공격을가장효율적으로방어하기위해어떤기술을적용해야하는지에대한방대한경험을보유하고있으며 Prolexic Routed 를통해이들의전문성을적극활용할수있습니다. DDoS 방어전담인력 SOC 의보안전문가들은전세계모든지역에서발생하는 DDoS 공격을연중무휴 24 시간탐지하고방어하는업무에주력하고있습니다. 이전문가들은현재진행되고있는공격을실시간으로분석하고공격기법이변경되거나복합적인위협에도충분히대응할수있는역량을갖추고있습니다. 또한새로운 DDoS 공격을신속하고효율적으로방어할수전문성을제공하며매일평균 10~15 회의공격을방어합니다.
Akamai 클라우드보안솔루션 14 Fast DNS 소개 Fast DNS 는클라우드기반의 DNS 인프라를제공하는제품으로서 DNS 서비스를 DDoS 공격으로부터방어합니다. 기존의인프라를대체하는 1 차솔루션으로사용할수도있고기존의인프라를보완하는 2 차솔루션으로도사용가능합니다. 성능및가용성을고려한설계 Fast DNS 는 Akamai Intelligent Platform 에 DNS 서비스를제공하기위해만들어졌는데성능과가용성 2 가지를모두확보할수있는제품입니다. Fast DNS 는성능클라우드 1 개와가용성클라우드 19 개로구성된 20 개의독립적 DNS 네트워크를결합합니다. 성능클라우드가사용자와보다가까운곳에서서비스를제공하기위해네임서버를규모가작은 PoP( 네트워크거점 ) 에다수배치하는반면, 가용성클라우드는 DDoS 공격을처리할수있는용량을확보하기위해규모가큰 PoP 에소수배치합니다. DNS 기반의 DDoS 공격방어 Fast DNS 는다음과같은방법으로 DNS 기반의 DDoS 공격을방어합니다. 용량 정상트래픽이전체용량의 1% 도차지하지않으며, 대역폭수요와요청건수가급증하는상황에대처할수있는충분한용량을확보하고있습니다. 전송률제어 비정상적으로대량의 DNS 트래픽을생성하는특정 IP 를차단합니다. IP 화이트리스트및블랙리스트 보다정밀하게공격에대응하기위해특정 IP 주소에서발생하는 DNS 요청을거부합니다. 또한, 기존에알려지지않은네임서버에서들어오는 DNS 트래픽을자동적으로차단할수도있습니다. 사례연구 : 미디어기업을겨냥한 DNS 기반 DDoS 공격 2014 년아시아 태평양 일본지역의한미디어기업의 DNS 인프라를겨냥한증폭공격이발생했습니다. 2 주에걸쳐발생한이공격은 3 단계로구성됩니다. 1 단계공격은 18 시간이상지속되었고최고공격트래픽은 68Gbps 및 20Gbps 를기록했습니다. 2 단계공격은 5 일후에발생했는데 30 시간넘게지속되었고최고공격트래픽은 73Gbps 및 40Mpps 를기록했습니다. 3 단계공격은 6 일후에발생했고 3 시간동안지속되었는데최고공격트래픽은 91Gbps 및 53Mpps 를기록했습니다. 이공격은웹운영을마비시키려는공격자들에게 DNS 가아주매력적인공격대상이될수있다는점을잘보여줍니다. 주요웹자산이잘보호가되어있는경우, 사용자가웹사이트에접속하지못하도록하기위해 DNS 인프라를겨냥한공격이발생합니다. 이경우 Akamai 의 Fast DNS 는 DNS 서비스의가용성을유지하면서공격을처리합니다.
Akamai 클라우드보안솔루션 15 보안생태계와통합 대부분의기업은 DDoS 공격과웹애플리케이션공격을방어하는솔루션이외에도인증 권한 과금 (authentication, authorization and accounting) 솔루션, 칩입방지시스템 (IPS), 보안정보및이벤트관리 (SIEM) 솔루션등의다양한솔루션을추가적으로사용합니다. Akamai 솔루션은이런보안솔루션들과간편하게통합되기때문에기업입장에서는웹보안서비스를추가해보안레이어를한층더강화하고중앙집중화된보안인텔리전스를구축할수있습니다. Open Platform Initiative Akamai Intelligent Platform 에서애플리케이션인프라를운영하면 Akamai 의 Open Platform Initiative 를통해솔루션을보다세밀하게관리할수있고애플리케이션에대한보다많은정보를확보할수있습니다. 애플리케이션프로그래밍인터페이스 (API) 의 {OPEN} 프레임워크는 Akamai 솔루션이기존보안인프라혹은보안솔루션과통합되는과정을자동화합니다. 세부내용은다음과같습니다. 다른보안솔루션에서수집된데이터를기반으로 KSD 설정을변경하거나새로운보안룰을생성함으로써웹보안을강화합니다. KSD 와 Fast DNS 에서수집된데이터를 SIEM 툴로전송해다른보안솔루션의데이터와연동시킴으로써보안인프라를중앙집중화된방식으로관리합니다. 고가의하드웨어솔루션에대한투자를최소화하고대신 KSD 와 Fast DNS 를통해정책을실행합니다. 사례연구 : 보험회사 이보험회사는데이터센터를보호하기위해하드웨어기반의 IPS 솔루션을적용했습니다. Akamai 의 Kona Site Defender 는기존의 IPS 솔루션을보완하는역할을하며웹사이트와애플리케이션에대한보안을한층강화했습니다. 이보험회사는 {OPEN} 프레임워크 API 를활용해기존의 IPS 솔루션과 Akamai 솔루션을연결했고보다탄탄하고지능적인보안인프라를구축할수있었습니다. IPS 가의심스런 IP 주소를탐지하면해당 IP 주소는 Kona Site Defender 의블랙리스트에오르게되고해당 IP 의애플리케이션접속이차단됩니다.
Akamai 클라우드보안솔루션 16 칩입방지시스템 웹애플리케이션 매니지드보안서비스 KSD 는매니지드보안서비스사업자 (MSSP) 에게부가가치가높은보안서비스를구축할수있는플랫폼을제공합니다. Akamai Intelligent Platform 을활용하면굳이고가의하드웨어인프라에투자하지않고전문인력을통해글로벌보안서비스를전개해나갈수있기때문입니다. 또한 {OPEN} API 는아래솔루션과손쉽게통합될수있도록지원합니다. 기존관리솔루션 MSSP 는 KSD 에서수집된데이터를통해보안위협에대한가시성을개선할수있고, 연중무휴 24 시간웹사이트와애플리케이션을모니터링할수있습니다. 기존대응프로세스 MSSP 는데이터또는통보 (alert) 를사용해 KSD 를기존대응프로세스와통합하고보안담당자가항상최신보안정보를확보할수있도록합니다. 기타보안솔루션 MSSP 는 KSD 를기타보안솔루션과통합해전체보안서비스포트폴리오의일관성을높일수있습니다. Why Akamai? Akamai Intellignet Platform 은글로벌클라우드플랫폼으로 DDoS 및웹애플리케이션공격을방어하는우수한보안솔루션을제공합니다. 이보안솔루션은웹사이트와애플리케이션공격이오리진인프라에도달하기전에클라우드상에서공격을차단합니다. 또한인터넷기반의애플리케이션인프라를안전하게보호하고사용자들의경험하는애플리케이션성능과가용성역시높게유지합니다. Akamai 솔루션을적극활용하면내부의 IT 역량을한층강화할수있고최신인터넷보안위협에맞춰보안시스템을개선시키며비즈니스요구사항에유연하게대응할수있습니다. 과감한혁신 하이퍼커넥티드세상에서웹사이트와애플리케이션은기업, 공공기관, 비영리조직등모든기관의내부 외부커뮤니케이션채널로사용되고있습니다. 기업과고객사이의관계를구축하는공간이며고객에게우수한브랜드경험을전달하는주된통로입니다. 또한, 웹사이트를통해업무를진행하는직원의수역시전세계적으로증가하고있는데이런전환이원활하게이루어질수있도록뒷받침합니다. 새로운애플리케이션이등장하는등애플리케이션은지속적으로개선되고변경되고있으며기존의애플리케이션역시업데이트되고있습니다.
Akamai 클라우드보안솔루션 17 이런과정에서새로운취약점이발생할수도있기때문에 Akamai 는위험을최소화하면서웹경험을더욱빠르게혁신할수있도록최선의노력을기울이고있습니다. KSD 는다른 WAF 솔루션과마찬가지로데이터유출을시도하는일반적인공격기법 (SQL 인젝션, XSS 등 ) 으로부터웹사이트와애플리케이션을보호합니다. 하지만한가지중요한차이점은 KSD 는다른 WAF 솔루션이제공하지못하는확장성, 성능, 정확도를인라인방식으로제공한다는점입니다. 상시가동형보안솔루션을적용하면지속적으로웹경험을개선시킬수있고새로운취약점에노출될우려도없습니다. 또한, Prolexic Routed 는인터넷기반애플리케이션을안전하게보호하는과정에서발생하는여러가지복잡한문제들을해소함으로써애플리케이션이보다신속하게배포될수있도록합니다. Akamai 스크러빙센터는 BGP 를이용해네트워크트래픽을전체서브넷으로라우팅시키기때문에수백개의애플리케이션을 DDoS 공격으로부터동시에보호할수있습니다. 이제더이상애플리케이션을개별적으로보호할필요없이기존의애플리케이션이업데이트되거나새로운애플리 케이션이도입될때에도 DDoS 공격을쉽게방어할수있습니다. 고객의성장을뒷받침하는보안솔루션 Global 500 대기업중 1/3, 상위 30 대미디어및엔터테인먼트회사, 상위 20 대글로벌이커머스사이트를비롯한대표적인글로벌브랜드의상당수가 Akamai 솔루션을사용하고있습니다. VI Akamai Intelligent Platform 은전세계고객의요구사항에부합하기위해확장성과성능을지속적으로개선하고있습니다. 2016 년 4 월 Akamai Intelligent Platform 은트래픽수요급증으로인해 35.7Tbps 라는기록적인네트워크트래픽을처리했습니다. 이는 3 년전보다 2 배, 2010 년수준의거의 8 배에달하는엄청난수치입니다. Akamai 는인터넷의성장과함께성장해온기업입니다. Akamai 솔루션을사용하는것은인터넷기반의애플리케이션인프라를지원하는글로벌플랫폼을사용한다는걸의미합니다. Akamai Intelligent Platform 은지금발생하고있는대형네트워크및애플리케이션공격뿐만아니라향후발생할더큰공격을방어하는데필요한충분한확장성과성능을제공합니다. 또한, Luna Control Center 나 {OPEN} API 를통해글로벌웹사이트와애플리케이션의보안서비스를손쉽게관리할수있고글로벌보안인프라에투자할필요역시없습니다. Akamai 플랫폼의기록적트래픽증가 33.6 Tbps 35.7 Tbps 26.0 Tbps 13.0 Tbps 15.4 Tbps 8.7 Tbps 4.6 Tbps 2010 2011 2012 2013 2014 2015 2016 그림 5: 2016 년 35.7Tbps 의기록적트래픽을처리한 Akamai
Akamai 클라우드보안솔루션 18 사례연구 : Motorcycle Superstore Motorcycle Superstore 는 200 대인터넷유통업체중한곳으로온라인보안에대해많은관심을기울여왔습니다. 이회사는원래아웃오브밴드하드웨어 WAF 를배치했습니다. 하지만, WAF 솔루션이인라인으로운영되어야한다는 PCI 규제로인해솔루션에대해다시고려해야만했습니다. 동적콘텐츠가많은상황에서하드웨어 WAF 를관리하기가매우까다로웠고가속솔루션을활용할수있는역량또한제한적이었기때문에매출을늘리기힘들었습니다. Motorcycle Superstore 는보다유연하고확장성있는 Akamai 제품으로 WAF 솔루션을업그레이드했습니다. 이후, 보안하드웨어와네트워크대역폭을정기적으로업그레이드할필요가없었기때문에네트워크비용을 10% 절감, 자본지출 (CapEx) 을 15% 절약할수있었습니다. 또한자사웹인프라를미래성장을뒷받침할수있도록혁신할수있었습니다. 웹보안간소화 Akamai 같은글로벌보안인프라를갖춘기업의솔루션을사용하면보안시스템을간소화할수있습니다. KSD, Prolexic Routed, Fast DNS 등의보안솔루션은악성공격이애플리케이션이도달하기전에클라우드에서차단함으로써기업의내부 IT 인프라에대한부담을경감시켜줍니다. 또한, 물리적인보안인프라를전세계적으로배포하는과정에서필요한리소스부담을완화하고기업이비즈니스요구사항에집중할수있도록합니다. Akamai 보안전문가팀은새로운보안위협에대응하기위해새로운보안룰을지속적으로개발하고배포합니다. Akamai 는 OWASP, FS-ISAC, FIRST, NANOG, 사법기관등의보안커뮤니티내에서관계를구축하기위해많은투자를해왔습니다. Akamai Intelligent Platform 을통해수집한보안위협관련데이터와외부에서취합한정보를결합해고객의보안시스템을 보다간소화합니다. 요약 1996 년에일어난 Panix 공격은온라인에서발생한최초의보안위협으로서주목을받았습니다. 그후, 보안위협은네트워크레이어에서시작해애플리케이션레이어로이동하고공격기법의범위로그끝을가늠할수없는만큼계속확장되는등급격한변화가이어지고있습니다. 이런변화속에서전통적인방식의보안솔루션은더이상효과를발휘하지못하고있고온프레미스 ( 자체구축 ) 하드웨어역시인터넷기반의애플리케이션인프라를보호할수있는수준의충분한확장성과성능을제공하지못합니다. 온라인비즈니스의비중은점차증가하고있는현재기업의요구사항에부합하기위해서는웹사이트와인터넷기반애플리케이션을안전하게방어하고, 비즈니스와고객데이터를보호하며브랜드이미지를지킬수있는클라우드기반의보안솔루션이필요합니다. Akamai Intelligent Platform 은기업의온라인비즈니스를보호할수있는충분한확장성과성능을제공할뿐만아니라향후발생할새로운공격에대응할수있는우수한유연성을갖추고있습니다. 출처 : I. 샤랄람포스파트리카키스 (Charalampos Patrikakis), 미할리스마시코스 (Michalis Masikos), 올가주라라키 (Olga Zouraraki), 2004 년 12 월. DDoS 공격. 인터넷프로토콜저널 7 권, 4 호. 출처 : http://www.cisco.com/web/about/ac123/ac147/archived_issues/ipj_7-4/dos_attacks.html II. 닐두폴 (Neil DuPaul)(2013 년 7 월 ). 데이터유출로인해실제로발생하는비용인포그래픽. 출처 : http://blog.veracode.com/2013/07/the-real-cost-of-a-databreach-infographic/ III. 2016 년데이터유출조사보고서. Verizon. 출처 : http://www.verizonenterprise.com/verizon-insights-lab/dbir/2016/ IV. 2015 년사이버범죄비용연구 (2015 년 10 월 ). Ponemon Institute. 출처 : http://www.ponemon.org/blog/2015-cost-of-cyber-crime-united-states V. Akamai 인터넷현황보안보고서 (2016 년 1 분기 ). Akamai. 출처 : https://www.akamai.com/kr/ko/our-thinking/state-of-the-internet-report/ VI. 팩트및수치. Akamai. 출처 : https://www.akamai.com/kr/ko/about/facts-figures.jsp
Akamai 클라우드보안솔루션 19 전세계콘텐츠전송네트워크 (CDN) 분야를이끌고있는 Akamai 는빠르고안전하며신뢰할수있는인터넷환경을제공합니다. Akamai 는웹성능, 모바일성능, 클라우드보안, 미디어전송과관련된우수한솔루션을공급하고있으며이과정에서사용디바이스나장소에상관없이소비자, 기업, 엔터테인먼트경험을최적화하는방법을크게바꿔놓고있습니다. Akamai 의인터넷전문가들과솔루션이어떻게기업의성장을뒷받침하고있는지자세히알아보려면 Akamai 홈페이지 (www.akamai.co.kr) 혹은블로그 (blogs.akamai.com) 를방문하거나트위터에서 Akamai(@akamai) 를팔로우하십시오. Akamai 는미국매사추세츠주케임브리지에본사를두고있으며전세계 57 여개의지사를운영하고있습니다. Akamai 의우수한솔루션과고객서비스는기업들이사용자들에게쾌적한인터넷경험을제공할수있도록도와줍니다. Akamai 코리아는서울시강남구강남대로 382 메리츠타워 21 층에위치해있으며대표전화는 02-2193-7200 입니다. 2016 Akamai Technologies, Inc. All Rights Reserved. 명시적서면허가없이어떠한형태또는매체로든본문서의전부또는일부를복제하는행위는금지됩니다. Akamai 와 Akamai 물결로고는상표로 등록되어있습니다. 본문서에표시된기타상표는해당소유자의재산입니다. Akamai 는본간행물에포함된정보가발행일기준으로정확하다고간주하며, 해당정보는통보없이변경될수있습니다. 2016 년 07 월발행.