좀비 PC 탐지 및 차단 솔루션

최근 좀비PC 탐지 및 차단 또는 알람을 통한 말단PC에 대한 감시가 DDOS 대응의 주요 이슈가 되고 있습니다.
DDOS 장비 도입이 첫번째 였다면 원천적인 좀비PC를 검출 하는것이 더 원론적인 차단 방법이라 생각 하고 있는 것 같습니다.

이에는 여러가지 이유가 있습니다.
좀비PC 가 없다면 공격도 받을일이 물론 없겠습니다. 아니면 이를 최소화 하는 것만으로도 상당한 공격량을 감소 시킬 수 있습니다

이것이 국내에 한정되어 시행 될 수 밖에 없는 것이 현실이기는 하지만, 국외 IP대역이야 차단 하고 다다룰 수 있는 다른 방법들도 조금은 더 있으니 응급상황에서 이의 시행은 상당한 도움이 될것은 자명한 일입니다.

그러면 이에 대한 솔루션들은 어떤 것들이 있을까요
1. 헤제크 : 헤제크는 국내에서 제일 먼저 이 분야의 연구와 개발을 진행하고 있는 제품 브랜드 입니다.
특징 : 가) 네트워크 버젼 : 네트워크내 패킷을 미러링으로 감시, 엔드단의 좀비 IP검출. 연계에 따라서는 MAC레벨까지 검출이 가능
              - 순수 네트워크 버젼 과 소켓을 심는 소겐 네트워크 연동 버젼이 있습니다. 소켓의 역할은 좀비PC화 되었다는 것을 알려주거나, 치료를 목적으로 치료사이트의 유도를 수행 합니다.
             - Agent 버젼 : 차단을 수행, 프로세스레벨의 검출, 키보드 후킹등 해킹과 관련된 일련의 행위까지 검출 하고, 차단 합니다.

2. 파이어 아이 : 국외 산 입니다. 네트워크 버젼만 제공되며, 미러링을 통한 패킷 분석을 수행하여 검출 합니다. 차단은 할 수 없으며, 검출만이 중앙 관리자에게 통보 됩니다. 연동을 위하여는 Agent 시스템과의 연동이 필요합니다.

3. 프리가드 : 국산으로 행위기반의 검출을 수행 합니다. 아웃바운드 트래픽 만을 보고 검출을 수행합니다. Agent방식으로는 가벼운 것이 장점입니다. 일반 PC방 등 소규모, 대단위 공용 PC에 적용하는 데 무리가 없습니다.

그외 시만텍 등 외산이 있으나, 백신 연계, Agent등 무겁고, 다루기 어려운 점이 있습니다. 물론 비용도

모든 제품은 좀비PC검출에 대한 특화된 분야이고 아직은 생소한 분야이기에 인증등에 대한 부분은 아직 검토되고 있지 않습니다. 아직 인증에 대한 룰이 없다고 봐야겠습니다.