국립대학교 법인 쓰쿠바 대학교
캠퍼스 정보망 갱신과 함께 BIG-IP를 도입하고, 외부 접속 경계 방화벽을 단일 시스템으로 통합했습니다. DDoS 및 DNS 공격에 대한 강력한 방어를 기대할 수 있습니다
국립대학법인 쓰쿠바대학은 인터넷 초창기부터 30년간 캠퍼스 네트워크를 운영해 왔습니다. 2015년 8월 캠퍼스 정보망을 갱신하며 외부 접근 경로에 BIG-IP7200v를 설치했습니다. 이전에는 여러 장치에 부하를 분산하던 경계 방화벽을 단일 방화벽으로 통합해 관리 편의성과 처리 능력을 높였습니다. 최근 급증하는 DDoS 공격에 더 효과적으로 대응하고, DNS 공격에도 신속히 대응할 수 있을 것으로 기대합니다.
비즈니스 챌린지
쓰쿠바대학교는 다양한 학문 분야를 아우르는 종합대학입니다. 인터넷 초창기부터 정보 네트워크를 운영해 왔습니다. 2004년 국립대학 법인으로 전환하며 장비 임대 방식을 도입했고, 이후 약 6년마다 장비를 교체해 왔습니다. 가장 최근 교체는 2015년 8월에 이루어졌으며, 같은 해 9월에 새로운 네트워크 서비스를 시작했습니다.
“교체 과정에서 가장 큰 과제 중 하나는 운영 관리를 중앙 집중화하고 보안을 강화하는 것이었습니다.”라고 쓰쿠바 대학 정보환경기구 컴퓨팅 및 미디어 연구 센터 네트워크 연구 개발 부서의 준교수 사토 사토시는 말씀합니다.
네트워크가 처음 도입된 이래 대학의 관리 구조는 각 학부와 조직 단위가 자체 네트워크 관리자를 임명하는 부서별 자율성에 기반해 운영해 왔습니다. 그러나 30년 가까이 운영하면서, 네트워크 관리 인력의 은퇴로 인해 이제 대학은 지식 이전이 시급한 전환기를 맞았습니다. 사토 박사가 그 위험성을 이렇게 설명합니다:
“이 업무를 이어받는 분들이 네트워크에 대한 충분한 지식이 없으면 예상치 못한 장애가 발생할 수 있습니다. 보안 관점에서도 잠재적인 취약 네트워크 상황이 발생할 가능성이 큽니다.”
사토 박사는 점점 더 빈번해지는 DoS와 DDoS 공격이 또 다른 커다란 문제라는 점을 지적합니다.
또 다른 문제는 대학 내부 네트워크가 여러 도메인으로 나뉘어 있으며, DNS 서버가 전반에 분산되어 있다는 점입니다. 사토 박사는 이런 구조가 보안 위협으로 작용할 수 있다고 경고합니다.
“최근 DNS 서버를 목표로 한 공격이 늘고 있습니다. 네트워크에 오래되었고 제대로 관리되지 않는 DNS 서버가 있으면, 공격 대상이 될 위험이 훨씬 커집니다.”라고 그는 설명합니다.
솔루션
이 문제를 해결하기 위해 2015년 8월 장비 업데이트는 네트워크 구간 재편으로 시작했습니다. 이전에는 각 학부와 학과에서 따로 관리하던 분산 구간을 서버 구간, 클라이언트 구간처럼 기능별로 재구성하는 작업을 진행하고 있습니다. 이 재구성을 통해 학술 컴퓨팅 및 미디어 연구 센터의 제한된 인력도 네트워크를 엔드포인트까지 효과적으로 관리할 수 있게 됐습니다. 이제 관련 기능을 하나의 BIG-IP 장치에 통합했습니다.
또한, 외부 공격에 대비해 인터넷(SINET5) 접속 경로에 고성능 DDoS 보호 기능이 탑재된 BIG-IP를 배포했습니다. 이를 통해 외부 위협을 선제적으로 차단하도록 조치했습니다.
SINET5로의 전환은 2016년 4월에 진행되었습니다.
- 기존의 두 대 방화벽과 로드 밸런서를 하나의 BIG-IP 장치로 통합해 관리가 훨씬 편리해졌습니다.
- BIG-IP ASM(Advanced Security Module)을 통해 애플리케이션 수준에서 DDoS 공격을 효과적으로 방어할 수 있습니다.
- DNS 프록시 기능으로 외부 리졸버를 분리해 DNS 보안을 훨씬 더 간편하게 지킬 수 있습니다.
- 방화벽 관리 기능 향상
- 급격히 증가하는 DDoS 공격을 차단하기 위해 더 강화된 대응책을 도입합니다.
- 캠퍼스 네트워크에 분산된 DNS 서버를 겨냥한 공격을 방어합니다.