DDoS에 대한 근본적인 대처방안은?

2010.03.03_협의하다.

지난달에 병걸린 PC들 관련해서 포스팅 한적이 있습니다.

DDoS에 대해 나름 쉽게 정리한다고 했었는데 참고하시면 좋을듯 합니다.

그때 맨 마지막 문장에

-------------------------------

점점 늘어나는 병결린PC들...

확 밀어버릴까부다.

-------------------------------

라고 썼는데.... 지금 그짓을 하고 있습니다.

말이 씨가 되는군요.

암튼 DDoS를 발생시킬 가능성이 있는 Bot웜이 걸린 PC들은 밀어버리고 있습니다.

영화 마이너리티 리포트가 생각나는군요.

PC들은 아직 DDoS 공격을 하지는 않았지만

미래에 DDoS 공격을 할꺼라는 정황만으로 처벌(?) 당하고 있습니다.

하지만 이것도 미봉책일뿐 근본적인 해결책은 되지 못합니다.

그래서 근본적인 해결방안을 찾고 있습니다.

보안을 구현하기 위해서는 뭘 보호할지를 명확하게 정의해야 합니다.

그게 불명확하면 투자는 투자대로하고 원하는 결과는 얻지 못하기도 합니다.

DDoS라는 공격으로 부터 보호해야 할 것은 네트워크 자원 입니다.

물론 제가 관리하는 인프라를 기준으로 할때 그렇습니다.

대외 서비스를 하는 웹서버가 DDoS 공격을 당할 확률은 매우 낮고

이를 위한 보안 투자는 1억원짜리 보석 보호하는데 10억짜리 자물쇠에

투자하는 꼴이라서 위험은 무시합니다.

DDoS가 발생하면 당장 가장 큰 위험이 발생하는건 네트워크 자원입니다.

네트워크 회선 및 장비는 DDoS 트래픽이 내부에서 발생해 버리면

바로 먹통이 되어버려 가용성이 훼손됩니다.

그래서 가용성을 훼손시킬 가능성이 있는 PC가 네트워크 자원을 사용하지 못하도록

통제하는게 그나마 근본적인 해결책에 가깝습니다.

그래서 네트워크 자원을 보호하기로 하고 솔루션을 찾기로 했습니다.

가장 근접한게 NAC(Network Access Control) 이더군요.

네트워크자원에 대한 접근 통제를 해주는 솔루션이라고 생각하시면 될듯합니다.

몇군데 보안 업체에서 NAC 관련 자료를 받고 설명을 듣고 협의를 하고있습니다.

지금은 솔루션들의 차이점을 분석하는 작업을 하고 있습니다.

제가 운영해보지 못한 솔루션을 머리로만 이해해서 선정하는건 생각보다 어렵군요.

물론 이런거 열심히 분석해 봐야

제일 싼거 선택될 확률이 98.3254234% 정도 되겠지만요.

암튼 실제로 운영하게 된다면 NAC에 대해서도 포스팅을 해보겠습니다.

그건 그렇고 이런 취약점에 대한 가장 근본적이고 이상적인 해결책은 무엇일까요?

생각 보다 간단합니다.

PC를 사용하는 모든 사람들이 보안에 대한 강한 마인드가 있으면 됩니다.

- 업무 사이트 이외에는 방문하지 않기

- P2P 사용안하기

- 백신 업데이트 및 자동검사 항시 켜놓기

- OS 패치 발표 즉시 적용하기

- 의심스런 e-mail은 바로 삭제하기

등등....

직원이 한 서너명이면 가능할것도 같습니다.

계속 지적질 하면 짜증나서라도 하겠죠.

하지만 몇백, 몇천 명이 되면 사실상 불가능하다고 보는게 맞겠죠.

이런 마인드의 문제를 물리력으로 해결하려고 다양한 보안장비들이 있어왔습니다.

방화벽, IDS, IPS, 발신통제, 유해차단 등등.

하지만 늘 근본적인 문제를 해결하지 못하고 보안을 구현했기 때문에

문제는 계속 발생했습니다.

보안교육, 위반자 처벌 등 인사적인 방법으로 밖에는 대응이 안됩니다.

하지만 보안 한답시고 사람이 사람다울 권리에 대한 훼손이 발생해서는 절대로 안됩니다.

음...역시 사람에 대한 보안취약점 제거가 가장어려운것 같습니다.