이성욱 금융보안연구원 해킹대응팀장 강연

[보안뉴스 오병민] 올해 4회째를 맞는 통합정보보호 구축전략 컨퍼런스(ISEC 2010) 첫째 날 트랙 A의 네 번째 강연을 맡은 이성욱 금융보안연구원 해킹대응팀장은 ‘금융기관 DDoS 대응 전략’에 대해 소개했다.

DDoS 공격 시장의 형성은 상업적인 DDoS 공격 서비스의 등장과 맞물린다. 기존 공격 방식은 공격자 개인이 트로이 목마와 같은 악성코드를 유포시킨 후 좀비 PC를 생성시키거나 툴을 사용한 방법이 주를 이루었다. 하지만 2000년 이후 봇넷 컨트롤러에게 일정의 돈을 지불하고 일부 또는 모든 봇넷을 빌려 원하는 사이트를 공격하는 상업적인 서비스가 등장하기 시작했다.

또한 IMDDoS 봇넷은 2010년 3월 20일 상업적인 서비스를 목적으로 DDoS 공격을 수행하는 새로운 봇넷(Bothnet)이 출현했으며, 이 봇넷은 중국에 기반을 두고 있으며, 일정 금액을 지불해야만 공격 수행이 가능하다. IMDDoS 봇넷은 개방되어 있는 결재 서비스 환경으로 공개 웹사이트를 통한 고객센터를 운용하고, 회원 등급에 따라서 사용할 수 있는 DDoS 에이전트의 수가 다르긴 하지만 유료 회원들은 전용 클라이언트를 이용할 수 있다.

IMDDoSS 봇넷은 대상 PC를 봇넷의 구성요소로 만드는 악성 프로그램인 IMDDoSS Malware와 미리 정의된 공격 대상이 포함된 리스트의 Target List Hosting Domain(TLHD), 그리고 좀비 PC를 제어하는 컨트롤 서버 도메인인 C&C Domain 등 세 가지 요소로 구성되어 있다.

IMDDoSS 봇넷 공격 형태는 C&C 서버의 공격 명령 시 Bot에서 발생시키는 트래픽은 다음과 같다. 정상적인 GET 요청 시 유저-에이전트 필드의 경우만 콜론 이후 공백이 없으며, 하드코딩 되어 있는 이 특징을 이용해 정규 표현식이나 간단한 문자열 매치만으로 탐지가 가능해진다. 비정상적인 GET 요청 시에는 GET Flood 공격 중 일부가 완전히 변형된 HTTP 트래픽을 발생시킨다. 이러한 요청은 URI가 끝없이 반복되는 문자열로 구성되며, 이 문자열 또한 하드코딩 되어 있어 쉽게 탐지가 가능하다.

이러한 DDoS 공격에 대응하는 기술로는 전용장비를 통한 대응과 IDC 제공 서비스를 통한 대응 및 ISP 제공 서비스를 통한 대응, 그리고 트래픽 우회를 통한 대응, 마지막으로 CDN 서비스를 이용한 대응 등이 있다.

이에 대한 금융기관의 DDoS 대응 전략은 지난 2009년 9월에 발표된 금융감독원의 금융기관 DDoS 공격대응 종합대책을 중심으로 기술적 대응 역량을 제고하고, 금융부문 정보보호 전문기관을 구성해 DDoS 모의훈련 수행 및 지원을 강화한다. 특히 DDoS 모의훈련을 통한 시사점으로는 전용장비의 정책 설정 일부 미비, 성능 저하 네트워크 장비 및 보안시스템의 보완이 필요하며, 공격 대상 서버의 성능 강화와 대용량 트래픽 공격에 대한 대응방안 마련이 필요하고, DDoS 대응 시스템에 의존하지 않고 방화벽/웹 방화벽/IPS 등 타 보안 장비의 활용과 주기적인 모의훈련을 통한 신규 공격에 대한 대비가 필요하다는 교훈을 얻었다.

결론적으로 DDoS 공격 예방 및 대응방안으로는 DDoS 대응 시스템 구축, 모의훈련 등 예방 및 대응 활동 강화, 대응 매뉴얼, 우회선로 확보 등 대응체계 구축, 정보보호 전문인력 확보, 정보보호 전문기관과의 협조, ISP, 정보보호업체 등과의 협력체계 구축 등이 개별 금융기관의 해결과제로 주어졌다.

[오병민 기자(boan4@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>