▒▒▒▒▒ 이소컴 UTM서비스 페이지입니다. ▒▒▒▒▒

관리자 (posted by 2007-11-26)

“중소사이트, DDos공격 방어에 UTM 효과”

DDos공격이란 무엇인가?

DoS(Denial of Service; 서비스 거부) 공격이란 사용자나 기관이 인터넷상에서 평소 잘 이용하던 자원에 대한 서비스를 더 이상 받지 못하게 하는 공격을 가리킨다. 이로 인해 전자우편과 같이 특정 네트워크 서비스가 동작하지 않거나, 네트워크 접속 및 서비스 등이 일시적으로 제 기능을 발휘하지 못하게 되는 것을 가리키며, 최악의 경우 수백만 명이 접속하는 웹사이트가 다운되는 경우도 생길 수 있다. DoS 공격은 컴퓨터 시스템 내의 프로그램이나 파일을 못 쓰게 만들 수도 있다.

DDoS(Distributed Denial of Service; 분산 서비스 거부) 공격은 인터넷 상에서 다수의 시스템이 협력해 하나의 표적 시스템을 공격함으로써 DoS를 일으키는 것을 말한다. 표적 시스템은 범람하는 메시지들로 인해 결국 시스템 가동이 멈추어 사용자들은 그 시스템으로부터 서비스를 받지 못하게 된다.

공격자는 한 컴퓨터 시스템 내의 취약점을 악용해 그 시스템을 DDoS 마스터로 삼은 다음 공격을 개시한다. 침입자는 마스터 시스템을 이용해 함께 야합할 수 있는 다른 시스템들을 인식하고 통신한다. 침입자는 인터넷 상에서 활용 가능한 크래킹 도구들을 다수(때로 수천 대 이상)의 시스템에 적재한다. 침입자는 단 한 개의 명령으로 자신이 제어할 수 있는 모든 시스템들에게 특정 표적에 대하여 수없이 많은 공격 방법 중 하나를 개시하도록 지시한다. 그 결과, 표적 시스템에는 엄청나게 많은 양의 패킷이 홍수처럼 밀려들어옴으로써 DoS가 유발된다.

이러한 측면을 볼 때, DoS·DDoS 공격은 특정 서버나 네트워크에 TCP, UDP, ICMP 등의 대용량의 트래픽을 발생시키거나, IP 주소가 변조되는 SYN Flooding 공격을 수행하여 수십만 건의 PPS(Packet Per Second)를 유발하여 네트워크 장비나 서버의 자원을 과도하게 사용함으로써 서비스를 제공하지 못하도록 하고 있다. 이러한 공격들에 대한 역추적 및 기타 방식을 통하여 완벽한 해결책을 제시하기에는 어려움이 있는 것이 현실이다.

DDos공격의 종류는 어떤 것들이 있나?

기본적으로 DDoS 공격은 서비스 거부 공격을 기반으로 이루어진다. 서비스 거부 공격(Denial of Service Attack)은 간단히 말해 여러 기법을 이용하여 목표 대상 호스트의 마비 및 네트워크 성능 저하를 일으켜 서비스를 하지 못하도록 하는 기법이다. 이러한 서비스 거부 공격은 크게 다음의 유형으로 분류할 수 있다.

대역폭 공격은 ICMP, TCP SYN, UDP flood를 이용하여, 많은 양의 패킷을 보냄으로써 피해자의 네트워크를 마비시키다. 자원고갈공격은 시스템을 침투한 후에 공격하거나, TCP SYN flood등을 이용하여 시스템의 CPU 사용율, 메모리, 파일시스템 등의 자원을 고갈시킨다.

프로그램 오류 공격은 Ping패킷 처리의 오류를 이용한 'Ping of Death' 또는 IP 패킷의 단편화를 이용한 공격 등이 있으며, 시스템의 소프트웨어를 패치 함으로써 해결가능 하다.

라우터와 DNS 공격은 라우터 패킷에 대한 적법한 인증절차가 없는 점을 이용하여 라우팅 엔트리를 조작하거나 또는 DNS 엔트리를 조작하여 피해자의 서비스를 마비시키는 공격이다.

혼합된 공격으로는 Email 폭탄이나 웜, 바이러스 등으로써 대역폭 공격과 자원 고갈 공격의 효과를 동시에 일으키는 공격 등이 있다.

이 중 대표적인 것으로 SYN flooding attack과 스머프 공격(Smurf attack), UDP flooding 공격을 들 수 있다. SYN flooding 공격은 TCP의 3-way handshaking 기법에 의한 연결과정의 취약성을 이용한다. 공격자는 소스주소를 변조(IP spoofing)하여 SYN패킷을 공격대상에 보내고, 수신자는 SYN/ACK 패킷을 송신한 후 연결 확인을 위해 일정시간 ACK 패킷을 기다리게 된다.

보내진 SYN/ACK은 목적지를 찾지 못하므로 ACK 패킷은 돌아오지 않게 되어 공격 받은 시스템은 대기하게 되거나 패킷 재전송을 하게 된다. 이때 시스템은 자원을 소모하게 되는데 이러한 SYN 패킷을 많이 받게 되면 결국 자원소모가 심하게 되어 서비스가 불가능해진다.

스머프 공격은 브로드캐스트 허용의 취약성을 직접적으로 이용한다. 공격자가 브로드캐스트 주소로 ICMP 핑 메시지를 보내게 되면 그 메시지를 수신한 네트워크에 있는 모든 시스템들은 응답 메시지를 보내게 된다. 이때 핑 메시지의 소스주소가 공격 대상의 주소로 변조되어 있기 때문에 공격 대상의 네트워크는 많은 양의 ICMP 핑 응답 메세지로 넘쳐나게 되고 결국 대역폭이 전부 소모되어 서비스가 불가능해 진다.

UDP flooding 공격은 UDP 프로토콜의 특성을 이용한다. 공격자는 공격대상을 향해 계속적인 UDP패킷을 보냄으로써 공격 대상 네트워크의 대역폭을 소모시켜 서비스를 불가능하게 만든다. 보통 UDP 패킷공격은 자동화된 웜에 의해 발생하는 경우가 많다.

최근에는 위와 같은 일반적인 서비스 거부 공격보다는 좀더 진화한 형태인 분산 서비스 거부공격이 주를 이루고 있으며 더 나아가 분산 리플렉션 서비스 거부 공격도 이루어지고 있다. 분산 서비스 거부 공격이란 공격자에 의해 조정되는 여러 개의 좀비(Zombie)들이 동시에 협력하여 공격하는 형태를 말한다. 이러한 자동화된 웜 등에 의해 자동으로 전파된다. 최근 웜의 특징은 감염 가능한 호스트를 직접 스캐닝하여 알아냄으로써 전파속도가 빠르고 동시에 대역폭을 소모시키는 분산 서비스 거부 공격을 한다는 점이다.

DDos공격이 최근 증가하고 있는 이유는?

2004년에 인터넷 채팅 프로그램의 일종인 IRC(Internet Relay Chat)를 기반으로 한 IRCBot 악성 프로그램이 크게 유행한 것이 최근 DDoS 공격이 증가한 주된 요인이다. IRCBot이나 이와 비슷한 각종 봇(Bot) 악성 프로그램들은 보통 윈도 운영체제나 인터넷 익스플로러의 취약점을 공격하여 다른 PC에 확산되기 때문에 여러 PC에 봇을 훨씬 쉽게 설치할 수 있다.

또한 IRC의 특성상 봇들은 봇 서버에 연결하고 봇 주인(Bot Master)의 지시를 받아 수행하게 되어 있어서, DDoS 공격에 적합하다. 게다가 IRC 프로그램들은 소스가 공개되어 있어서 변종을 제작하기도 쉽다. 2004년 이후 이뤄지는 DDoS 공격들은 대부분 봇 악성 프로그램을 이용하는 것으로 추정된다.

이와 함께 최근 DDoS 공격의 유형은 단순 공격에 그치지 않고 금전적인 목적을 가지고 행해진다는 점이다. 주로 웹 서비스 업체 등에 DDoS 공격으로 협박하여 금전을 요구하는 경우가 증가하고 있는 게 현실이다.

DDos공격에 의해 국내 피해는 어느 정도인가?

지난해 하반기부터 본격적으로 시작된 국내 사이트에 대한 공격에서 일부 공격자들이 돈을 요구했고 올해부터는 그것이 좀더 노골화되었다. 돈을 요구하는 자들이 주로 중국에 거주하고 우리 말로 협박한다는 점도 중요한 특징이다. 국내 사정을 잘 아는 자들이 성인 사이트나 화상채팅 서비스 사이트 등 주로 위법이나 탈법 공간에 있어서 협박을 받더라도 정부 당국에 신고하기 어려운 업체들을 공격하면서 돈을 요구한다고 볼 수 있다.

실제 입은 금전적인 피해도 무시할 수 없지만 그 보다는 공격을 당한 업체의 소비자 신뢰성 저하로 인한 피해도 상당히 클 수 있으며 특히 금전적인 거래가 이루어지는 서비스 업체라며 그 타격은 훨씬 클 수 있다. 그리고 더 나아가 이러한 문제점은 해당 서비스 업체 전반적인 문제로 커져 해당 서비스 산업의 발전 장애 요인으로도 작용할 수 있을 것이다.

DDos공격으로 인한 피해를 막을 수 있는 방안이 있다면?

인터넷의 근간을 이루는 TCP/IP, UDP/IP 프로토콜이 미국 국방부의 연구를 위해 만들어진 네트워크 프로토콜이어서 보안 취약점이 존재한다는 것에 문제의 본질이 있다. 따라서 인터넷에서 이뤄지는 DDoS 공격을 방어하거나 공격자를 추적하는 것은 매우 어려운 일이다.

DDoS 공격의 특성과 유형이 다양하기 때문에 한 종류의 장비로 완벽하게 방어하기는 어렵다고 볼 수 있다. 기본적으로는 DDoS 공격에 대해 대응할 수 있는 전용 장비나 IPS, UTM 등과 같은 장비가 필요할 것이며 스위치나 라우터 등과 함께 다각도로 DDoS를 방어할 수 있는 구성도 필요하다.

일차적으로 DDoS 공격을 막기 위해서는 DDoS 전용 대응 장비나 IPS, UTM 등이 필요하다. 이러한 장비들은 기본적으로 DDoS 공격을 탐지하고 방어하기 위한 메커니즘들을 가지고 있다. 이러한 장비들의 DDoS 공격 방어 매커니즘을 사용하여 일정 수준의 DDoS 공격에 대응할 수 있다.

그러나 과도한 트래픽을 이용한 DDoS 공격이 행해질 경우 DDoS 전용 대응 장비나 IPS, UTM 등으로 대응하기 어려운 경우가 종종 발생할 수 있다. 예를 들어 ISP 백본에서도 감당하기 힘든 정도의 트래픽이 집중될 경우 이러한 장비들로는 DDoS에 대응하기 어렵다. 이러한 경우 백본이나 ISP에서 DDoS 공격을 받는 서버로의 트래픽을 미리 차단하는 방법을 택하기도 한다. 이는 최선의 방법은 아니지만 과다한 네트워크 트래픽으로 인해 다른 서버에도 영향을 미치는 것을 방지하기 위해 일시적 효과는 있다.

해외에서 오는 DDoS 공격에 대해서는 ISP들이 할 수 있는 일도 있다. ISP나 일정 규모 이상의 IDC에 DDoS 모니터링 도구를 갖추고 유관 기관과 적절히 협의하는 체계를 통해 일부 DDoS를 방어할 수도 있을 것이다.

DDoS 공격은 일반적으로 해커의 공격 공유지 시스템을 해킹하여 악성코드를 설치하고 필요시 DDoS 공격 트래픽을 발생시키는 경유지로 사용을 한다. 따라서 PC 사용자들도 안티바이러스 제품 등을 이용하여 자신의 PC에 설치된 악성 코드를 제거한다면 DDoS 공격을 경유지로 악용되는 상황을 미리 막을 수 있다. 그리고 웹서버 등과 같이 외부에 공개되어 있는 서버들은 보안 관리자에 의해 항상 보안 취약점을 점검하고 시스템의 이상 여부를 모니터링함으로써 DDoS 공격을 경유지로 악용되는 상황을 방지할 수 있다.

지난 아이템베이 공격사건에 대해 어떻게 생각하나?

악성코드를 제작, 유포하거나 해킹을 하는 행위만으로도 범죄인데 이번 사건은 이를 빌미로 돈을 갈취하려 했다는 점에서 더욱 심각한 일이다. 컴퓨터에 대한 공격이 이제는 목적이 아니라 돈벌이를 위한 수단이 되었다는 것을 단적으로 보여준 사건이다. 사실 이런 사례는 2~3년 전부터 심심찮게 벌어진 일이다. 또한 해킹이나 악성코드를 돈벌이에 악용하는 행위는 DDoS 외에도 매우 다양한 양상으로 벌어지고 있다. 심지어 컴퓨터의 파일을 암호화한 후 암호를 풀려면 돈을 지불하라고 요구하는 프로그램도 있다. 악성코드, 해킹으로 인한 피해는 사용자에게 직접적인 금전적 피해를 유발할 수 있다는 점을 인식해야 할 것으로 보인다.

아이템베이가 당했던 규모로 타 사이트가 공격을 받았다면 어떻게 됐다고 보는가?

웹을 통한 비즈니스가 중단된 것이므로 거래의 규모만큼 경제적 손실이 있을 것이다. 또한 그 시간에 서비스를 제공 받지 못한 사용자들이 불안과 불편을 느끼고 해당 기업에 대한 불신을 갖게 되어 기업 신뢰도와 이미지가 실추되면 장기적으로 성장하기가 어려워질 것이다.

금융, 특히 증권사 e트레이딩 시스템에 이와같은 공격이 가해진다면 어떻게 된다고 보는가?

직접 돈이 오가는 거래이므로 피해가 어마어마할 것임은 자명하다.

포털사이트나 대형 인터넷 쇼핑몰 등도 같은 공격이었다면 어떻게 됐을 것이라고 생각하나?

포털 사이트는 정보 제공을 주로 하므로 눈에 보이는 손실보다는 사용자의 불편함과, 그로 인한 기업 이미지 실추 정도에 그치겠지만 쇼핑몰은 금전 거래이므로 산술적 계산이 가능할 것이다.

현재 금융·포털·인터넷쇼핑·게임사 등 국내 DDos공격에 대한 방어준비는 어느 정도라고 생각하나?

요즘 워낙 DDoS 공격에 대한 시도가 빈번히 일어나고 그 피해가 나타나고 있는 상황에서 규모가 큰 금융사나 포털, 쇼핑몰 사이트 등에서는 DDoS 공격에 대응하기 위한 솔루션을 도입해서 운영하고 있다고 보여진다. 문제는 그 정도의 투자를 하지 못하는 중소규모의 쇼핑몰 등에서는 그러한 솔루션이 없으므로 DDoS 공격에 많은 부분 무방비로 노출되어 있다고 보여진다.

DDoS 공격의 대상이 되어 공격을 받고 나면 어느 정도의 금전적인 손실 뿐만 아니라 해당 업체의 이미지 및 신뢰도 손실도 무시하지 못할 수준일 것이다. 따라서 DDoS 대응을 포함한 보안 솔루션을 도입하여 운영하는 것이 선택 사항이 아니라 고객에게 안정적인 서비스를 제공하고 나아가 고객으로부터의 신뢰성을 인정받기 위한 필수 사항으로 인식하는 것이 필요하다고 보여진다.

DDoS 공격으로 판단되는 시점에서 트러스가드 UTM 대응 단계는 다음과 같다.

1)전처리 단계: 이 단계에서는 DDoS 공격 툴로 행해지는 공격 패턴에 따라 미리 사전에 해당 패킷을 필터링한다. 많은 DDoS 공격이 이미 존재하는 DDoS 공격툴을 이용하여 이루어지므로 이 단계에서의 필터링도 많은 효과를 발휘할 수 있다.

2)가용성 보장 단계: 이 단계에서는 DDoS 공격 의심시 가상의 대리 응답을 통해 공격 대상 서버를 보호한다. 이 단계를 통해 정상 트래픽과 비정상 트래픽을 정교하게 판단한다.

3)대역별 차단 단계: 이 단계에서는 DDoS 공격으로 판단된 IP 대역별로 차별화된 트래픽 제한 정책을 적용한다. 이 단계를 통해 공격이 행해지는 대역 이외의 네트워크 대역에 대한 서비스가 지속적으로 보장될 수 있다.

4)네트워크 보호 단계: 공격 대상이 된 서버로 유입되는 트래픽 양을 제한하는 단계이다. 이 단계를 통해 해당 서비스는 제대로 보장되지 않지만, DDoS 공격으로 인해 다른 서버나 네트워크의 서비스에 영향을 미치는 것을 최소화 해 준다.