DDos 그리고 안철수 연구소의 "클라우드 보안 서비스"

linuxpark의 이미지

10여년간 네트워크 분야에 몸담고 있는 개발자입니다.
오늘 아래의 기사를 읽고 기존에 제가 평소 개발 또는 연구하던 .. DDos의 근본적인 해결 방향과
국내의 벤처기업에서 제안한 자칭 "DDoS 원천봉쇄, 세계 최초 상용화"란 내용의 솔루션을 보며
스스로의 딜레마에 빠지게 되더군요. 기술을 무시한 당장의 기회를 호기로 한 상술로 밖에 안보이네요

어떻게 네트워크 단위의 솔루션도 아닌 pc에 설치되는 백신 또는 에이저트가 국제망의 분산공격을
막을 수 있는지 .. 잘 납득이 되지 않기도 하고 .. 한편으론 기존에 안철수 연구소에 대한 좋은
이미지가 상쇄되지 않을까 걱정이 됩니다.

아래의 기사가 .. 현재 한국의 IT의 현실을 보여주는 것 같아 더더욱 씁슬한 생각이 드는 것은 저만의 생각인가요??

비도 오고 .. 쿨룩 -_-;

http://www.fnnews.com/view?ra=Sent0901m_View&corp=fnnews&arcid=00000921709737&cDateYear=2009&cDateMonth=07&cDateDay=13

송효진의 이미지

개인pc 가 뭐 하는지 사생활이고 뭐고 다 뒤져서 실시간 대응하겠다는 거네요.
v3 엄청 설치되어 있어야 효과 좀 있을 듯...

지리즈의 이미지

국내 언론의 한계로 보여 지네요.

적어도 안연구소 쪽에서 제안하는 것은
바이러스 데이터베이스를 "클라우딩"해서..
신규 바이러스 발생시 1초이내에 대응하겠다라는 것이 목적이니까요.

이러한 시스템이라면 존비PC에 해당 백신이 깔려만 있다면,
늦어도 1~2분내에는 대응이 가능하겠죠.

There is no spoon. Neo from the Matrix 1999.

There is no spoon. Neo from the Matrix 1999.

cjh의 이미지

간단히 생각하면 'bot에는 bot으로 대응' 이라는 거군요. DDOS 하는 봇과 DDOS 탐지/막는 봇...
구현 가능성은 둘째치고 아이디어는 나쁘지 않다고 봅니다만. V3 정도의 보급율을 생각하면
이러한 움직임을(신종 바이러스나 봇) 사전에 캐치하는건 가능한 아이디어라고 생각합니다.

--
익스펙토 페트로눔

--
익스펙토 페트로눔

select99의 이미지

왜 씁쓸한가요... 대단한 기술은 아니지만.. 충분히 가능한일이고..
어느정도의 효용성이 있어보입니다.

DDos 공격이 개인PC의 악성코드나 바이러스에의한 공격이 많고 DDos 공격이 발생할때
안연구소에서는 백신에 특정지점의 공격을 차단하도록 명령을 내리면되니까요.

물론 백신에는 미리 일정기준이상 특정지점으로 패킷을 날리면 공격으로 판단하여 차단하는기능을 내포하고 있는거죠.
많은 PC 에 백신이 깔렸고..이에준하는프로그램이 있따면 동일한방식으로 차단한다면..
어느정도 효과를 거둘수도 있습니다.

ddeng72의 이미지

안철수 형님의 정신이 들어 있다고 하면 (지금은 사임하셨지만), 충분히 좋은 생각으로 만든 것이라 생각됩니다.

monovision의 이미지

해당 기술(?)에 대해서는 예전부터 필요성이 대두되고 있었고, 연구도 진행이 되었습니다.
다만, 사회적 인식이 좋지 않아서 제대로 추진을 못했을 뿐이죠.
하지만, 이번 7/7 DDoS 처럼 사회적으로 제대로 이슈가 터져 사람들 인식이 많이 바뀌었죠.
아주 제대로 시기적절하게 터트렸다고 생각합니다.

너무 안 좋게 생각할 필요는 없다고 생각합니다.
우리는 이미 해당 기능과 유사한 기능들을 사용중입니다.

대표적으로 윈도우나 기타 게임들에서 이상이 생겼을 경우 자동 오류보고와 같은 기능들을 사용중이지 않나요 ?

그리고, 해당 서비스의 주된 목적은 DDoS 좀비의 차단도 있지만 보고되지 않은 악성코드의 샘플의 수집에도 활용되니...
좋은 현상 같습니다.

다만, 샘플을 수집할 때 유출이 되지 않아야 할 파일까지 유출이 될 수 있기 때문에 이 부분은 조금 더 고민이 되어야 겠지요...

그리고, DDoS 공격을 네트워크단에서 막는다는 것은 눈가리고 아옹식밖에 되지 않습니다.

baboda4u의 이미지

"어떻게 네트워크 단위의 솔루션도 아닌 pc에 설치되는 백신 또는 에이저트가 국제망의 분산공격을
막을 수 있는지 ..." 요즘 DDos공격의 문제점은...일반 사용자의 PC를 좀비 PC로 감염 시킨다음
이 PC를 이용하여 하는 공격임을 감안하면...네트워크 단위 솔루션보다 더 근원적인 접근으로
좀비 PC확산을 막아 보자는 솔루션이기 때문입니다. 물론 언론에서 조금 과장은 있지만...
값싼 상술로 비하될 기술은 아닌거 같습니다. ^^

============================
Stay Hungry, Stay Foolish

============================
Stay Hungry, Stay Foolish

김정균의 이미지

제가 보기에는 글쓴 분의 의견에 동의가 되네요. 이번에 동원된 zombie가 18000-30000 정되 되는 것으로 기사에 나오는데, V3가 설치되지 않은 PC를 이정도 동원하는 것은 문제가 되지 않을 것 같습니다. 또한, DDoS의 공격 특성상, zombie를 전세계로 확장 시키면 V3의 점유율은 형편없이 떨어지겠죠.

이 기술을 개방하여 모든 백신들이 이 시스템에 대응이 가능 하다면 몰라도, 안랩 혼자 하겠다는 것은 충분히 과대하다고 봅니다. TMAX가 100% 호환을 주장하는 것과 "안철수硏 “DDoS 원천봉쇄, 세계 최초 상용화”" (안랩에서 말한 것이 아닐지도 모르겠지만.. 일단 기사 제목이니까..) 은 다를바가 없다는 것이죠. DDoS를 일개 업체에서 원천 봉쇄한다는 것은 무지한 기자가 낸 제목이 아니라 안랩에서 낸 것이라면 더 안습..

powersys의 이미지

아마 원천 이라는말은 "완전히" 라는 의미가 아니라..

"출발지" 라는 의미일수도..

하지만 제목이좀 과하긴합니다..

mach의 이미지

DDoS에서 참으로 어려운 부분중 하나가 적법(오탐)/불법(미탐)여부 판단인데, 이를 말단(PC)에서 탐지할 기술도 기술이려니와, 이에 대한 대응을 지령하는 체제라면, 지령체제가 발생시킬 트래픽/propagation할 방법도 만만치 않겠군요. 탐지가 되었다고 가정하고, 탐지된 결과를 전달했다고 가정했을때, 차단하는 방법중 ... 하나로는 적절해 보이지만....
갈길이 제법 멀어 보입니다. 그렇지만, 안랩 파이팅입니다.

------------------ P.S. --------------
지식은 오픈해서 검증받아야 산지식이된다고 동네 아저씨가 그러더라.

------------------ P.S. --------------
지식은 오픈해서 검증받아야 산지식이된다고 동네 아저씨가 그러더라.

mycluster의 이미지

V3인척해서 중요정보를 받아서 다른곳으로 빼가는 소프트웨어를 합법적으로 전국에 뿌려놓을 수 있는 기반을 제공할 것으로 보이는데요?

--------------------------------
윈도위의 리눅스 윈도위의 윈도우 리눅스위의 익스플로러

--------------------------------
윈도위의 리눅스 윈도위의 윈도우 리눅스위의 익스플로러

sandy의 이미지

.. 글쎄 말은 거창하지만 별로 와닿지 않는군요.

정확하게 "ddos공격이 발생할때"와 사용자의 일반적인 재접속 시도를
구분해 내는 일은 쉽지 않을겁니다.
또 일반 사용자가 ddos 공격 방어용으로 백신이 하는
일존의 차단 행위를 "참아 줄것이인가"도 문제 이구요.

기존의 백신조차 원활한 피씨 사용에
방해가 된다고 꺼 두는 경우가 많은데,
무슨수로..

개인 정보 유출에 대한 건 차치 하고라도 별 실효성 없는 시도로 보입니다.

..

oomymy의 이미지

그렇죠. 쉽게 말해 사용자PC가 좀비가 되었는지, 안 되었는지를 판단하는 기준이 모호하다는 점이 있고요.

(이 부분에 대해선 안랩이 검증을 받아야 할 입장인 듯 합니다.)

두번째, 이 솔루션을 그럼 전국의 모든 컴터에 설치해야 효과를 볼 텐데요.

이를 위해 이 기술개발을 자사의 솔루션만을 위한 것이 아닌, 모든 백신 업체들이 공동으로 참여할 수 있는 컨소시엄 형태로 진행해서 공개 표준을 만들고, 모든 백신들이 함께 같은 기능으로 대응하는 식으로 나아갔으면 더 좋았을 듯 합니다.

mentoso의 이미지

전 지금 그거 쓰고 있는 중 입니다.

재미있게 알약에서 탐지 못한 바이러스 하나를 잡아내내요.

바이러스 토탈 등으로 돌려보니 바이러스가 확실해서 치료 했습니다.

모든 바이러스를 감지한다고는 생각하지 않지만...마음은 약간 든든해지네요

pchero의 이미지


사실 5일전 7월 8일에 있었던 Clouds 2009 포럼 행사에서 공개가 됐던 내용의 기술입니다.

클라우드 컴퓨팅 자원을 이용해서 바이러스와 웜을 진단하는 방식이 인상깊어서 주의깊게 들었었습니다.

http://www.myrgst.com/theclouds2009/program/02.asp#s9

에 그날 발표했던 발표자료가 있습니다. 관심있으신분은 한번씩 보세요. :)

---------------------------------
제일 왼쪽이 저입니다 :)

---------------------------------
제일 왼쪽이 저입니다 :)

junilove의 이미지

악성코드나 bot 샘플을 더 빨리 확보하고 이를 기반으로 더 빨리 대응할 수 있겠네요.
다만, 라이센스 정책을 펼쳐서라도 다른 기업과 같이해야겠지요...

linuxpark의 이미지

위에 여러분들의 글을 잘 읽었습니다 ^^

참고로 개인적으로 6년여 전에 미국 정부의 지원을 받아 Ddos 방어 프로젝트를
진행 중인 미국 교수의 세미나를 kisa에서 들은 적이 있습니다.

당시 저는 ddos의 개념을 지금보다 잘 알지 못한 상태에서 듣긴 했지만
아직까지 그 교수의 발표 내용 중의 인상적으로 기억하고 있는 것을 정리하면
---
1. 전제
1.1. 원천적인 방어를 하는데 기술적인 한계가 있는 점을 인정

2. 제안 & 연구 key
2.1. node가 되는 클라이언트에서 거대 백본망까지 비 정상적인 over 트래픽을
*얼마나 빨리 *감지하는가.
2.2. 백본망 간의 이상 징후에 대한 상호 통신 (BGP를 이용한건지는 기억이 잘..)
2.3. 위의 2.2.를 통한 최종 victim이 서비스를 못하는데 걸리는 시간 다시 말해 접속 장애되기까지 delay를 얼마나 늘여서 시간을 벌 수 있는가
---

근래까지 다른 여러 ddos방어를 위한 솔루션을 봐왔었지만
6여년전 세미나에서 .. 위의 "1. 전제"와 같은 기술적 한계를 가정했다는 건
나름 의미가 있다고 생각됩니다.

최근 단일 장비형태(asic기반)의 외산/국산 ddos 장비들이 있고
기본적으로 처리 대역폭이 10G ~ 20Gbps정도로 알고 있습니다.

조만간 100G까지 나올수도 .. 하지만 이것도 결국은 limit가 100G입니다.
공격에 limit가 과연 얼마나 될까요?

클라우드란 개념은 앞에서의 안랩 인터넷 뉴스를 통해 처음 들었지만
아래와 같은 문제점들이 있을거 같습니다.

1. 외국에서 V3 또는 안랩의 클라우드개념의 소프트웨어를 설치할 이유가 없습니다.
- 저 개인적으로도 2000년도 초반까지 V3를 쓰다가 중간에
오탐이나 탐지 못하는 바이러스가 많아서 바이로봇이나 알약으로 바꾸고
그래도 문제가 생겨서 주위의 추천을 받아 현재는 러시아 모 회사,
이스라엘 백신 제품을 쓰고 있습니다.
참고로 회사에서는 회사에서 구입해준 러시아 백신을 쓰고 있습니다.
달라진건 중간 중간 pc에 문제 (백도어 설치되는 등등의..)가 없어졌습니다.

- v3가 80, 90년대까지 한국에서 안철수씨를 통해 넓리 알려지고 또
사회적으로 큰 업적을 남겼지만 현재는 좀 아닌거 같은 생각이 듭니다.

- 저의 경험상에서도 그렇고 .. 국내에서 완전히 신뢰를 받지 못하는
일개 백신 제품이 어떻게 국제 사회에 넓리 보급되야 한다 ..
그것도 ddos를 막기 위해 설치되야 한다는 건지 저도 그렇고
한국인 외의 외국인들은 납득을 못할겁니다.

2. 안랩에서 말하는 pc에 설치되는 백신이나 에이전트가 어떤 원리로 동작하는 걸까요?
- 중앙 관제센터 (안랩내의..)로 pc의 비정상 패턴을 alarm 하는게
주요한 걸로 보입니다.

- 오탐에 대한 검증 (정상트래픽과 비정상 트래픽을 통해)된 자료등을 토대로
해야 하는데.. 무턱대고 개인 pc에 클라우드 개념의 프로그램을 설치하라는
것은 .. 왠지 제 개인 pc가 안랩의 .. 어떻게 동작하는지도 모르는
프로그램을 통해 이용당하는 기분도 듭니다.
(m$에서도 일전에 window에 개인정보를 빼가는 프로그램이 깔렸듯이 ..
다시말해 m$도 못믿듯이 안랩도 믿지 못합니다)

- 위에서의 탐지 및 처리의 궁극적인 key가 혹시 pc에서 전송되는
단위 packet, byte 량인지 의심됩니다. 때론 어플리케이션에 따라
트래픽이 많은 경우도 있으니 이에 대한 검증된 자료가 있어야 할겁니다.

3. 안랩의 클라우드 개념의 백신이 ddos를 방지할 정도가 되려면 아래의 내용 정도는 만족해야 할겁니다.
a. 백신 회사로서 국제적인 인지도를 높일 것 (그래야 외국인도 v3를 깔겠죠)
b. 현재 ddos를 위한 v3의 이론적 근거를 표준화 수준으로 국제 인증 또는 강제적인 표준안을 받을 것 (그래야 외국인도 v3를 깔겠죠)

위의 a, b를 만족못한다면 .. ddos와는 무관하게 개인 pc의 cpu만 백그라운드로 더 잡아먹는 귀찮은 프로그램으로 전락하겠죠.

결론적으로 이야기 하자면, "안랩에서 이야기 하는 클라우드xx라는 솔루션"이
ddos의 근본적인 해결책이라는 것은 근거도 없지만 현실화하는 것도
불가능에 가깝다라고 생각됩니다. 단지 안타까운것은 대다수 국민이나 기업의 오너들은 위에서 제가 언급한 부분까지는 모르고 있고 단지 뉴스의 내용만
액면 그대로 받아들여 궁극적으로 "거짓말 한 사람=사기치는 사람"만 돈벌게 해주는 꼴이 되지 않을까 해서 안타까울 뿐입니다. 그런 말을 하는 사기꾼도 나쁜놈이지만 검증도 되지 않은 기술을 앵무새처럼 받아 올리는 기자들도 한심하고..