• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

[ISEC 2009]DDoS의 새로운 패러다임, ‘DDoS 2.0’ 2009.09.03

퓨쳐시스템 주문돈 소장, “기존의 DDoS공격은 잊어라!”


행정안전부 주최로 9월 8일부터 9일까지 서울 삼성동 코엑스 1층 그랜드볼룸에서 개최되는 보안컨퍼런스 ‘ISEC 2009’에서 첫째날 트랙A 2번째 강연자로 나서는 주문돈 퓨쳐시스템 연구소장은 ‘DDoS 2.0 소개 및 대응’이라는 주제로 강연을 펼친다. 이날 발표될 주된 내용은 다음과 같다.

 

 

몇 년 전부터 금품을 요구하는 DDoS 공격이 기승을 부리고 있다. 특히 지난 7.7 DDoS 공격은 기존 DDoS 공격과는 확연히 다른 특징을 보이고 있는데 이는 기존 Anti-DDoS 장비의 방어원리를 충분히 반영하여 준비한 것으로 앞으로 DDoS 공격 방향을 보여준다고 할 수 있다. 7.7 DDoS 공격의 특징을 살펴보면 아래와 같다.


첫째, 기존 DDoS 공격에서는 참여 Bot의 수가 백여개로 작은 반면 이번 7.7 DDoS에는 20만여 PC가 Bot으로 참여했다.


둘째, 이렇게 많은 PC가 Bot으로 참여했기에 일일이 마스터의 통제를 받는다면 금방 추적 할 수 있다.  따라서 7.7 Bot의 특징은 C&C 통제를 받지 않고 자율적으로 공격하며 대상 서버와 공격 시기는 스크립트로 정해져 있다. 이러한 특징으로 기존 DDoS 침해 대응체계 즉 C&C를 찾아 이를 인터넷에서 분리함으로써 DDoS 공격을 중단 시켰던 종래의 방법론이 무용지물이 되었다.


셋째, 7.7 Bot은 종래의 Bot에서 주로 사용하던 UDP Flooding, Syn Flooding와 같은 Bandwidth 소진형 공격이나 취약성을 이용한 공격 대신 100 PPS 미만의 적은 대역폭으로 웹서비스 요청을 하였다. 하지만 Bot 개수가 10만여대를 넘어 대상 서버에게는 가공할 위력을 발휘하게 된다.


하지만 Bot이 발생시키는 트래픽이 낮고 정상 사용자 트래픽과 차이가 없어 통계적 기법을 적용한 트래픽 분석 방법 또한 무용지물이 되었다.


끝으로 7.7 Bot은 지극히 정상적인 트래픽 만을 발생 시켰다. 즉 모든 규정을 잘 지킨 까닭에 시그니처 기반 DDo나 IPS 제품은 공격을 탐지 할 수 없었다.


실제 7.7 DDoS 공격 패킷에서 일부 시그니처로 공격을 완화 시킨 경우도 있으나 Bot이 좀더 주의깊게 준비 되었더라면 시그니처 방식은 무용지물이 될 것이다.


DDoS와 Anti-DDoS는 정보의 비대칭으로 Anti-DDoS 쪽이 불리하다. 특히나 기존 Anti-DDoS 로직을 숙지한 SmartBot에 대응하기 위해 2세대 Anti-DDoS가 필요하며 다음과 같은 요건을 갖춰야 할 것이다.


첫째, Anti-DDoS 목표를 유해트래픽 차단에서 서비스 가용성 보장을 목적으로 해야 한다.

SmartBot은 모든 프로토콜을 잘 준수하여 트래픽을 보내기 때문에 유해트래픽이라고 판단이 사실상 불가능하다. 따라서 Anti-DDoS는 유입차단에서 서비스 가용성 보장을 목적으로 엔진이 설계되어야 하며 서버 뿐 아니라 내부망 내 다양한 네트워크 자원을 보호하는 기능도 아울러 필요하게 된다.


둘째, SmartBot에 대응하기 위해 NBA를 넘어 ABA로 진화되어야 한다.

NBA 기술은 Zero-day Attack을 막기위한 방편으로 많은 보안장비에서 도입되었다. 하지만 NBA에서 취급하는 정보는 네트워크 헤더, 프로토콜 헤더내에 있는 정보를 파라미터로 취하여 정상/비정상을 판단한다. 하지만 SmartBot이 발생시키는 정상 트래픽에서는 이러한 파라미터로 구분할 수 없다. 따라서 Network이 아닌 Application 행동 분석이 필요하게 된다.


셋째, 대량의 Bot에 대응할 수 있어야 한다.

소수의 Bot이 집중적으로 발생시키는 공격은 쉽게 탐지가 되어 앞으로는 대량의 Bot이 적은 대역폭으로 공격하게 될 것이다. 이렇게 많은 Bot에서 정상적인 방법으로 공격할 시 ASIC을 사용한 시그니쳐 기반은 대응의 한계를 가질 것이다. 멀티코어 기반의 확장형 엔진이 ABA를 제대로 처리할 수 있을 것이다.


■ 참관안내: www.isecconference.org 접속 ->사전참관등록->승인메일 발송->승인메일 출력후 ISEC 2009 현장서 제출->패찰 및 발표자료집 받음.

[김정완 기자(boan3@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>