이 특허 기술은 2단계 대응으로 DDoS 공격(분산서비스거부 공격)을 방어하는 방법에 관한 것으로 안철수연구소의 UTM(통합위협관리) 장비인 ‘트러스가드 UTM(AhnLab TrusGuard UTM)’에 탑재돼 있다. 이 기술은 국내 특허 출원 중이며, 이번에 PCT 국제 특허를 출원함으로써 국내는 물론 해외에서도 ‘트러스가드 UTM’의 기술력을 인정받게 됐다.
이 특허 기술이 방어하는 DDoS 공격은 네트워크 자원이나 내부 시스템의 자원을 고갈시켜 사용자가 원하는 정상적인 서비스를 제공받지 못하게 하는 공격이다. 현재 다양한 공격 도구가 공개되어 있기 때문에 누구라도 해당 공격 도구를 이용하여 손쉽게 DDoS 공격을 할 수 있는 실정이다.
이에 반해 현재 DDoS 공격의 방어 기술은 단순히 유입되는 트래픽을 제한하는 수준이고, 정상적인 트래픽과 공격 트래픽을 분류해 처리하는 기술은 미비한 상황이다. DDoS 공격의 방어는 공격을 탐지하는 단계와 탐지한 공격을 분석/방어하는 단계로 나누어진다. 그런데 종전의 일반적인 방법으로는 탐지 단계에서 정상 트래픽과 공격용 트래픽을 구분하기 어렵고 방어 단계에서 정상 트래픽까지 차단하는 문제점이 있다.
안철수연구소의 이번 특허 기술은 DDoS 공격에 대해 2단계에 걸쳐 대응함으로써 이와 같은 문제점을 해결했다는 점에서 획기적이다. 즉, DDoS 공격이 발생한 경우 첫 단계로 비정상 트래픽과 정상 트래픽을 구분해 필터링함으로써 서버의 가용성을 보장해준다.
둘째 단계에서는 공격자가 있는 대역을 선별해 트래픽을 제한함으로써 정상적인 사용자의 접속을 보장한다. 이때 현재의 트래픽뿐 아니라 과거의 정상적인 트래픽 데이터까지 분석해 판단하기 때문에, 정상적인 시스템에서 많은 트래픽이 발생하더라도 공격 트래픽으로 분류돼 잘못 차단되는 일이 없다.
안철수연구소의 ‘트러스가드 UTM’ 제품군은 국내 최초의 UTM 장비로서 각종 보안 위협 및 악성코드에 24시간 365일 긴급대응 서비스와 함께 최적의 통합 네트워크 보안 기능을 제공한다. 또한 가장 정교한 DDoS 공격 방어 전용 엔진을 탑재해 동종 제품 중 가장 많은 DDoS 공격을 방어할 수 있다.
현재 TCP 취약점을 악용한 각종 플루딩(Flooding) 공격, ICMP/UDP 플루딩 공격, HTTP 봇넷 공격, 캐쉬 제어(Cache-Control) 공격 등을 방어할 수 있으며, 향후 신종 DDoS 공격에 신속히 대응하고 성능도 꾸준히 업그레이드될 예정이다.
1. PCT 국제 특허
특허협력조약(Patent Cooperation Treaty; PCT)에 의한 국제 출원은 이 조약에 가입한 나라 간에 특허를 좀더 쉽게 획득하기 위해 출원인이 자국 특허청에 특허를 받고자 하는 국가를 지정하여 PCT 국제 출원서를 제출하면 바로 그날을 각 지정국에서 출원서를 제출한 것으로 인정받을 수 있는 제도이다. 2008년 1월 1일 현재 138개국이 가입해 있다.
2. DDoS 공격의 일반적인 방어 방법
DDoS 공격의 방어는 공격을 탐지하는 단계와 탐지한 공격을 분석/방어하는 단계로 나누어진다. 공격 탐지 단계에서는 보통 통신 트래픽이 정해진 임계치를 초과하고 유입되는 트래픽의 출발지 주소가 여러 곳으로 분산되어 있을 경우 DDoS 공격으로 판단한다. DDoS 공격으로 판단이 되면 유입되는 트래픽의 양을 조절하거나, 특정 서비스에 대한 트래픽의 양을 조절하는 것이 일반적인 대응 방법이다.
하지만 DDoS 공격은 많은 클라이언트가 특정 서버에 집중적으로 트래픽을 보내는 공격이기 때문에 정상 클라이언트와 공격 클라이언트를 구분하기 어렵다. 또한 최대 허용 대역폭을 정하더라도 대부분의 정상 클라이언트의 트래픽까지 차단되는 문제점이 있다. 따라서 단순히 트래픽을 제한하는 방법으로는 효과적으로 차단할 수 없으며, 정상적인 서비스까지 제한하는 문제점이 발생할 수 있다.