DDos 공격 차단 시스템 구축 - 정통부

정통부에서 최근 그 빈도가 점점 높아지고 있는 분산서비스거부공격(DDos) 로 인한 피해를 사전에 차단하기 위해서 차단 시스템은 KISA 에 구축을 한다고 합니다.

관련기사:

최근 분산서비스공격(Distributed DOS attack)의 트랜드 : 네트워크 공격
http://www.serverinfo.pe.kr/TipnTech.aspx?Seq=302

DDoS 공격 막을 정화시스템 구축된다
http://www.etnews.co.kr/news/detail.html?id=200709030226

DDoS 공격으로 네트워크 마비시키는 트로이목마 확산
http://www.zdnet.co.kr/news/spotnews/network/security/0,39040090,39161449,00.htm


기사내용을 보면,.

ISP 에서 DDos 공격성 패킷이 검출되면 해당 패킷을 KISA IPS 장비측으로 패킷을 우회시키고, KISA 에서는 그 패킷을 처리후 정상적인 패킷만 다시 ISP 로 리턴을 해주는 방식이라고 합니다.

한가지 우려스러운 것은,. 과연 KISA 가 확보한 네트워크 용량으로 그걸 처리할수가 있느냐 문제인데요.. 본인이 경험한 바로는 보통 DDos 는 1G ~ 최대 15Gbps (순간은 10~15 Tbps) 까지 트래픽을 우겨 넣습니다.

ISP 의 경우, 대부분 충분한 대역폭을 확보하고 있어서 어느정도 처리가 가능할수 있으나 KISA 가 그많큼의 네트워크 용량을 확보하고 있냐는 문제이죠..

만약 KISA 에서 1~2 Gbps를 확보하고 있다면,. 그 용량을 초과해서 트래픽이 들어오면 있으나 마나 한 무용지물이 되버립니다.

또한 이러한 DDos 공격은, 물론 지난 인터넷 대란처럼 웜바이러스에 의한 것일수도 있으나 그것 바이러스 치료를 하면 그만이므로 차단 방법이 있으나, 금전적인 요구나, 기타 악의적인 목적의 DDos 는 매우 심각한 문제이기도 합니다.

이러한 공격은, 최근에 보안시장이 급성장하여 수많은 보안 장비가 있으나 그것을 역시 보통 100M ~ 1Gbps 용량내에서 처리가 되므로 무용지물입니다.

해킹이 아니라, 트래픽 과부하에 의한 네트워크 장애이므로 그와 같은 보안장비가 크게 효과를 보지 못하는 것이기도 합니다.