Cloud Computing On Demand

서비스를 제공하는 사람과 회사는 늘 악의적인 해커의 공격으로부터 서비스 인프라와 사용자들을 지켜야 하는 숙제를 안고 있습니다. 우리 회사의 웹 사이트는 안전한지, 공격이 발생했을 때 어떻게 사용자 정보를 보호할 것인지, 그리고 공격이 지속되는 상황에서 어떻게 서비스를 지속적으로 제공할 수 있도록 할 것인지에 대한 고민을 해야만 합니다. 세계 최대 CDN 공급 사업자인 아카마이(Akamai)는 이런 고민들 중 "지속적인 서비스의 제공" 관점에서 DDoS 공격 발생시 그 여파를 경감시킬 수 있는 보안 사업자를 선택하는 4가지 포인트를 인포그래픽으로 정리하여 공개했습니다.

#1. 위협에 대한 뛰어난 지식을 보유하고 있는가? (Maximal Threat Intelligence)

IT 기술이 발달하는 것과 보조를 맞추어 해커들의 공격 기술도 더욱 정교하게 바뀌고 있습니다. 다양한 계층에서의 공격 (e.g. OSI 7 Layer) 은 물론이고 서비스 인프라의 취약점을 발빠르게 캐치하여 진행하는 공격 등 해커들의 수준이 점점 높아지고 있습니다. 따라서 보안 사업자를 선정함에 있어 이러한 최신의 공격을 잘 이해하고 있는지, 그리고 어떻게 방어해야 할지를 알고 선제적인 조치를 취해줄 수 있는지를 검토해야 한다고 아카마이는 이야기하고 있습니다.

#2. 얼마나 많은 공격을 막아본 경험이 있는가? (Most Front-Line Experience)

음식도 많이 먹어본 사람이 맛집을 잘 찾는 것처럼 해커들의 공격 역시 많이 경험하고 막아본 사업자만이 잘 막을 수 있다는 것은 당연한 사실입니다. 하드웨어 기반의 DDoS 어플라이언스를 도입할때도 늘 중요하게 평가되는 것이 얼마나 많은 기업들이 장비를 도입 했고 사용하고 있는가 입니다. 시대가 클라우드 세상으로 바뀌면서 하드웨어 어플라이언스를 도입하는 것보다는 플랫폼을 이용하면서 플랫폼이 제공하는 방어 도구를 이용하는 경우가 많아지고 있습니다. 아카마이라던가 아마존처럼 글로벌 클라우드 인프라를 운영하는 회사들은 아무래도 이런 부분에서 경험치가 높을 수 밖에 없을 것 같습니다.

#3. 다양한 방법을 이용하여 DDoS 를 경감시킬 수 있는가? (Best Mitigation Capabilities)

해커들의 공격은 매년 규모가 더 커지고 있습니다. 제로데이 취약점을 이용하여 미처 보안 업체들이 패턴 업데이트를 하거나 취약점에 대한 패치가 공급되기 전에 공격이 시작되는 경우도 많습니다. 이런 공격들이 발생했을 때 얼마나 효과적으로 다양한 방법을 이용해서 DDoS 공격을 경감시키고 막을 수 있을 것이냐는 중요한 포인트입니다. 웹 방화벽으로 불리우는 7계층의 WAF 에서부터 IP / TCP 계층에서의 공격 등 다양한 형태의 공격을 대응 하나의 플랫폼으로 대응할 수 있는 기업은 아직 많지 않은 것 같습니다.

#4. DDoS 경감을 위한 인프라의 가용량이 충분한가? (Global Mitigation Capacity)

DDoS 공격이 무서운 것은 서비스 인프라의 자원이 정상적인 서비스를 할 수 없도록 만들기 때문입니다. IT 인프라의 수준이 발달하는 만큼 DDoS 공격의 규모가 커지는 것은 서비스 불가 상태를 만들기 위해 더 많은 공격 자원이 필요하다는 것과 일맥상통하는 부분입니다. 결국 그러한 공격을 받아낼 수 있는 인프라, 플랫폼을 가지고 있지 않은 사업자는 DDoS 에 대한 대비책으로 선택하기는 어려워 보입니다. 순간적으로 수백기가 혹은 테라급의 트레픽이 몰려왔을 때도 문제 없는 플랫폼을 가진 사업자의 선정이 중요한 포인트라 하겠습니다!

서비스를 기획하고 준비하는 단계에서부터 바야흐로 글로벌을 생각해야만 하는 시기입니다. 이는 언제든 대규모의 공격이 발생할 수 있고 이에 대한 대비도 같이 해야한다는 것을 의미합니다. 아카마이, 엣지캐스트, 아마존, 애져 등 많은 클라우드 사업자들은 근래에 보안에 대한 많은 상품과 전략을 발표하고 있습니다. 이는 고객들의 니즈가 보안에 많다는 것을 의미하고 이를 잘 처리할 수 있는 기업이 또 한번의 플랫폼 전쟁의 승자가 될 수 있다는 것을 암시합니다. 여러분의 선택은 어떤 플랫폼인가요...?

최근 보안의 화두로 다시 DNS 가 떠오르고 있습니다. DNS 는 쉽게 생각하면 인터넷 상의 자원 주소를 모두 외울 수 없기 때문에 사용되는 일종의 데이터베이스입니다. 따라서 이 DNS 가 망가지거나 악용되었을 경우 인터넷 서비스에 큰 영향을 줄 수 밖에 없겠지요! DNS 가 악용되는 대표적인 사례중 하나가 DNS 를 통해 잦은 질의를 던져 서비스 도메인의 정보를 소유한 DNS 서버가 더이상 응답할 수 없는 상황이 되어, 사용자의 접속이 차단되는 케이스 일겁니다. 

이런 케이스를 막기 위해서는 인터넷 망 사업자가 아닌이상 사설 DNS, 기업 DNS 운영시 순환질의(Recursive Query)에 대한 옵션을 조정해 둘 필요가 있습니다. 순환질의가 활성화 되어 있는지 손쉽게 확인해 볼 수 있는 웹사이트가 있으니 혹시 불필요하게 순환질의 옵션이 켜져있는지 확인해 보시고 필요 없는 경우 설정을 꺼두는게 좋을 것 같습니다!

순환질의 활성화 여부를 테스트 하기 위해서 웹 사이트에 접근 후 DNS 서버의 주소를 입력하기만 하면 됩니다. 제출 버튼을 누르면 입력한 DNS 서버의 설정이 순환질의를 활성화 해두었는지를 리턴해 주게 됩니다. ISP 인 KT 의 DNS 는 당연히 순환질의가 켜져 있을거라 예상이 됩니다. KT 의 DNS 를 넣고 제출을 눌렀더니...

네 역시나 예상대로 켜져 있다는 응답이 왔습니다. DNS 서버를 운영중이시라면 꼭 한번씩 테스트 해보시기 바랍니다

어제 낮에 간만에 마이크로소프트 애져(Azure)에 관한 웨비나(Webinar)를 시청했습니다. 강사로는 마이크로소프트 클라우드 솔루션 아키텍트(Cloud Solution Architect)로 활약중이신 이정훈 님이 나오셨습니다. 애져에 대한 깊은 내용 보다는 전반적인 최근의 업데이트, 변화를 훑어보고 다른 아마존 웹 서비스(AWS, Amazon Web Services)와 같은 다른 서비스와 비교하는 내용들이 많이 나왔던 것 같습니다 (질문 시간에...)

마이크로소프트가 제공하는 링크를 통해서 발표자료를 받으셔도 되구요(https://azureinfo.microsoft.com/rs/microsoftdemandcenter/images/AP-Azure-WBNR-FY15-11Nov-KO-IaaS-Part1.pdf) 본 포스팅에 참조로 추가된 발표자료를 받으셔도 됩니다. 애져에 대한 전반적인 내용을 머릿속에 담고자 하시는 분들에게 도움이 많이 될 자료인 것 같습니다