• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

[기고] DDoS공격, 사용자 주의 중요하지만 기술적 대응도 필요 2009.07.22

봇 이용 경로 원천적으로 차단하는 버추얼 빅팀 등 기술이 그 방안


7월 4일을 기점으로 3차에 걸친 대대적인 DDoS공격이 있었다. 해커들의 실력을 뽐내기라도 하듯, 청와대를 비롯한 주요 국가 기관과 금융권, 나름 국내에서 최고라 자부하는 보안전문업체도 같은 공격을 받았다. 가슴이 답답함을 느낀다.


공격을 주도면밀히 준비한 해커가, 또한 DDoS공격 때문에 이 답답함을 느끼는 것이 아니라 그에 대처하는 방식과 근본적인 원인을 알고도 뒷주머니에 넣어 둔 채 상업적 발상에만 골몰하는 모습 때문에 안타까움을 느낀다. 이를 하나씩 짚어 보도록 하자.


이번 공격은 이미 잘 알려졌다시피 악성코드에 감염된 좀비 PC들의 활동에 기인한 것이다. 일반적으로 봇이라 불리는 좀비PC들은 명령제어서버(C&C)의 명령을 받아 움직이게 되는데 이번의 경우는 스케쥴러에 의해 동작된 좀더 진화된 발상이라 할 수가 있다.


여기서 하나 짚고 넘어가야 할 부분은 “봇에 감염된 PC들이 C&C 명령을 받지 않았다”라고 단정을 하는 부분이다. 물론 공격을 시행 할 때에는 C&C 없이 스케쥴러에 의해 행동을 한 것은 분명하다. 그러나 선량한 PC가 초기에 봇에 감염될 때에는 분명 C&C와 통신을 하였을 것이라는 점이다. 드롭퍼(Dropper)에 의해 여러 개의 정상처럼 보이는 파일들이 다운로드 될 시점을 생각해보면 누구나 동의 할 수 있을 것이다.


결국 초기에 PC가 일부 파일(DLL 등)을 다운로드 하고 연속적으로 다른 파일(실행파일 등)을 다운로드해 공격을 위한 좀비로 완성되기 전 과정에서는 C&C 와 교감이 있었을 것이라 생각된다.


이번 공격은 오래 전, 최소 3개월 이상부터 준비 되었을 것으로 추정 된다. 위에 언급한 과정을 보면 어느 정도의 기간이 소요 되었을 것이다. 문제는 발생했던 문제를 바라보는 시각이다.


결론적으로 이에 대한 대응으로 개인적으로는 시그니처 방식의 봇 대응은 사후조처의 하나 일 것이고, 버추얼 빅팀(Virtual Victim) 기술을 이용한 봇 탐지가 그나마 유일한 대안이 될 것이라 생각한다. 물론 이 기술도 이번 공격의 경우에는 대응이 그리 수월치는 않았을 것으로 본다. 이유는 드로퍼에 의해 여러 개 파일을 하나씩 분리해 시간을 두고 받을 경우 정상적인 파일로 보이기 때문이다.


하지만 통신과정에서 C&C 정보는 획득 할 것이고 이때 C&C와의 접속을 차단 할 수 있으면 좀비PC는 완성되지 못했을 것이라 생각하므로 그나마 대응이 가능한 기술이라 생각하는 것이다.


또 하나는 공격시 대응하는 DDoS 대응장비 이다. 개인적으로 알기로 국가기관 등에서 DDoS 대응시스템으로 M사의 DDoS 전용장비를 이용하고 있는 것으로 파악하고 있다. 그러나 결과는 어떠했는가?


도입 시 까다로운 절차를 거쳐 선정 되었을 것이지만 안타깝게도 이번 DDoS공격에서 적절한 대응을 하지 못했다. 기술적으로 보면 이번의 경우 HTTP GET Flooding 공격이 다수인데 이는 초당 들어오는 트래픽의 수 또는 양을 적절히 조정함으로써 효과적인 대응도 가능 했으리라 짐작된다. 보안을 화두로 비즈니스를 하고 있는 필자 역시 물론 완벽 대응 했을 것이라 단정 할 수는 없지만 아쉬움이 남는다.


여기서 답답한 점은, 거의 99% 같은 장비를 두고 이름을 DDoS장비로 하면 장비 도입이 가능하고 이름이 IPS면 검토 대상에서 제외되는 사실이다. IPS와 DDoS 차단 장비의 차이점이 무엇인가?


해커들의 목적에 따라 들어오는 다양한 패턴의 공격을 효과적으로 막을 수 있느냐 없느냐가 가장 중요한 것인데, 외모와 이름으로 중요한 보안문제를 대처 할 수 있느냐 없느냐를 따지는 현실이 답답할 따름이다.


간단히 결론을 지어 본다면, 향후 발생할 가능성이 있는 봇을 이용한 공격은 그 원천적인 경로를 차단해야 한다.


그 첫째는, 어렵겠지만 사용자가 인가되지 않은 사이트 방문을 줄이는 등 감염 환경에 노출 되지 말아야 하고, 시그니처를 기반으로 한 대응은 사후 대처의 방법이라는 것을 알고 항상 경계심을 가지고 정보의 바다에 뛰어 들어야 한다는 것이다.


둘째는, 보다 대승적인 차원에서 초기에 C&C 정보를 파악 할 수 있는 방안이 마련되어야 한다. 그런 점에서 버추얼 빅팀(Virtual Victim) 기술을 이용한 대응 장비가 가장 적절한 방안이 될 수 있으리라 생각된다.

[글 : 최진영 파로스 네트웍스 기술팀 대리 jychoi@pharosnetworks.co.kr]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>