| 일반유저 PC, 좀비 PC 전락...시간문제 | 2007.11.28 | ||||
보안에 무관심한 일반유저 PC 대부분 보안취약 간단한 공격으로 좀비 PC되는 것 시간문제
Interview 위성표 티핑포인트 기술지원부 차장
Denial of Service (DoS) 공격은 서비스 접속을 방해하는 네트워크 기반 공격이다. 이는 Connections Flooding, 서버 혹은 서버상의 프로그램 크래쉬(Crash), 서버 자원 고갈, 정상적인 사용자의 네트워크 서비스 접속 방해를 통해 이루어진다. DoS 공격은 서버를 크래쉬시키는 싱글패킷공격(Single Packet Attacks)부터 다수의 호스트로부터의 패킷 플러딩(Packet Flooding)에 이르기까지 다양하다. 싱글패킷 공격은 알려진 운영체제 혹은 응용프로그램 취약점을 대상으로 공격패킷을 전송하여 시스템 크래쉬 혹은 시스템 서비스 방해를 유발시킨다. 슬래머 웜( Slammer Worm)이 대표적인 싱글패킷 공격의 예이다. 플러딩 공격(Flooding Attack)은 패킷 플러딩을 통해 서버 혹은 네트워크 자원(Resource)을 마비시킨다. 한 사이트로부터의 플러딩은 쉽게 인식 방어가 가능하나 좀 탐지 방어가 매우 어려운 정교한 플러딩 공격을 분산서비스 거부 공격(Distributed DoS)이라 일컫는다. 공격자는 DDoS 공격을 위해서 다수의 장비를 사용한다. 끊임없는 대량의 데이터 스트림을 전송하여 서버의 네트워크 연결을 플러딩시키는 간단한 디자인의 DDoS 공격이 있는가 하면 SYN Flooding과 같이 매우 정교하게 조작된 패킷을 중요한 서버에 전송하여 서버 자원 고갈을 통해 정상적인 사용자의 서버 접속을 방해하는 지능화된 공격도 있다. 또한 DDoS 공격은 좀비라 불리우는 다수의 장비를 통해 이루어지는 데 이들은 이전에 크래킹을 당해 공격자의 제어를 받는다. 크래커들은 자주 자신이 몇 대의 좀비를 가지고 있는지 자랑하기도 한다. 크래커들은 비밀 통신 채널을 통해 좀비에 명령을 전달하여 DDoS 공격을 수행한다. 이 공격은 네트워크에 흩어져있는 다수의 좀비 즉 PC로부터 시작되므로 이를 인식하고 기술적으로 이를 방어하기란 대부분의 경우 쉽지 않다. 전문가들은 인터넷에 연결된 1/3 가량의 홈 사용자는 이미 크래킹을 당해 좀비로서 활용이 가능하다고 추측하기도 한다.
DDoS 공격의 종류에는 어떤 것들이 있나? 진화를 거듭하고 있는 DoS 및 DDos 공격은 다음과 같이 크게 두가지로 분류가 가능하다. Standard DoS는 취약점(Vulnerability )을 이용한 DoS, 공격 툴을 이용한 DoS 공격 그리고 트래픽 이상(Traffic Anomalies) 공격 등이 있다. -취약점 이용한 DoS (Vulnerability Based DoS): 알려진 취약점을 공격하여 서버 혹은 서비스를 다운시키는 것. -좀비(Zombie)와의 통신: DDoS commander와 Zombie와의 통신 -공격 툴을 이용한 DoS: 잘 알려진 DDoS 공격 툴인 TFN, TFN2K, Trinoo, Loki, Stacheldraht, Jolt, Land, teardrop 등을 사용한 공격 -대역폭(Bandwidth) 점유를 통한 DoS: ICMP, TCP, UDP Flooding에 의해 네트워크 대역폭 점유 및 서버 자원 고갈 유도 Advanced DDoS는 SYN flood, Established connection flood, connections per second flood로 분류가 가능하다. 좀더 구체적으로 말하자면 다음과 같다. -Spoofed Syn Flooding 공격: 스푸핑된 Source IP를 지닌 유해한 다수의 컨넥션 요청 ( TCP Syns)을 통해 서비스 방해 유도, 이를 통해 정상적인 사용자의 서버로의 접속 보장 -Connection Per Second (CPS) Flood: 좀비(Zombie)로 부터의 초당 다수의 컨넥션 플러딩을 통해 정상적인 사용자의 서버로의 접속 실패 유도 -Established Connection Flood: 좀비(Zombie)로 부터의 Established Connection Flooding을 통해 정상적인 서버로의 접속 실패 유도 DDos 공격이 증가하고 있는 이유는 무엇 때문인가? DDos 공격은 복잡할 수도 있지만 상대적으로 매우 간단하고 쉽게 수행할 수 있는 공격이기도 하다. 초보 공격자(Script Kiddie)도 간단한 DDos 공격툴을 인터넷을 통해 쉽게 다운로드 할 수 있고 이를 몇대의 PC에 설치하여 대상 시스템에 상당한 피해를 줄 수 있다. 또한 공격자의 위치도 숨길 수있는 부분이 공격자에게 가장 매력적인 것으로 판단된다. DDoS 공격에 의한 국내 피해는 어느 정도인가? 집계된 통계는 없으나 2006년 후반부터 DDoS 공격에 의해 다수의 고객 피해 사례가 보고 되었으며 다수의 고객이 TippingPoint 솔루션 도입을 통해 문제를 해결할 수 있었다. DDoS 공격을 막을 수 있는 방안이 있다면? 진화를 거듭하고 있는 DoS 및 DDoS 공격을 방어하기 위해 티핑포인트(TippingPoint)는 다음의 두가지 주된 방어 메커니즘을 제공한다. Standard DoS 방어는 다음과 같이 취약점(Vulnerability )을 이용한 DoS, 공격 툴을 이용한 DoS 공격 그리고 트래픽 이상(Traffic Anomalies) 공격등에 대한 해결책을 제공한다. 알려진 취약점을 공격하여 서버 혹은 서비스가 크래쉬되는 부분 방어하고 DDoS commander와 Zombie와의 통신 방어, 잘 알려진 DDoS 공격 툴인 TFN, TFN2K, Trinoo, Loki, Stacheldraht, Jolt, Land, teardrop 등으로 부터 방어, ICMP, TCP, UDP Flooding에 의해 네트워크 대역폭이 점유되거나 서버 자원이 낭비됨을 방지할 수 있다. Advanced DDoS 방어는 SYN flood, Established connection flood, connections per second flood로 부터 내부자산을 보호한다. 스푸핑된 Source IP를 지닌 유해한 컨넥션 요청(TCP Syns)으로 부터의 방어와 이를 통해 정상적인 사용자의 서버로의 접속을 보장하고, 좀비(Zombie)로 부터의 초당 컨넥션 플러딩 제어가 가능하다. 또 좀비로 부터 Established Connection 제어도 가능하다.
SYN Flood 공격이란 무엇인가? 가장 일반적인 DoS 공격중의 하나가 SYN Flood이다. SYN Floods는 한 장비 혹은 다수의 장비를 통해 이루어질 수 있다. SYN Flood는 TCP Connection 연결을 사용하고 모든 TCP 통신은 TCP Three-way Handshake 완료 후에 데이터를 전송할 수 있다는 원리를 이용한다. 따라서 이에 대한 적절한 방어없이는 SYN Floods는 언제 어디서나 발생할 수 있다. SYN Flood 공격의 경우 Spoofed IP를 지닌 공격자가 Invalid SYN Packet을 공격대상 서버에 전송하고 공격대상서버는 이에 대한 ACK 패킷을 공격자에게 전송하고 이에 대한 응답을 기다리나, Spoofed IP를 지닌 공격자는 이에 대한 ACK 패킷을 전송하지 못하게 되고 공격대상 서버는 ACK 패킷을 기다리는 다수의 Half-Open Connection에 의해 Connection Table이 꽉 차게 되어 정상적인 사용자의 TCP Connection 요청을 수용하지 못하게 되는 현상을 초래하게 된다. SYN Flood에 대한 티핑포인트의 대응 방안은 무엇인가? SYN Flood 탐지·방어를 위해 TippingPoint IPS는 하드웨어 기반 SYN Proxy를 사용한다. IPS Syn Proxy는 다음과 같이 동작한다. 1. 클라이언트 혹은 공격자는 타겟서버에 SYN Packet을 전송한다. TippingPoint IPS SYN Proxy는 SYN 패킷을 가로채어 이를 방어 혹은 허용해야 할 지를 결정한다. 2. IPS는 타겟서버를 대신하여 SYN-ACK를 공격자에게 전송한다. 3. 타겟서버가 이에 대한 ACK를 전송하여 IPS가 이를 수신한 경우 IPS는 이를 정상적인 3-Way Handshake 수행이라 판단하고 자체 알고리즘에 의해 클라이언트와 타겟서버간의 직접적인 연결을 수행한다. 만약 타겟서버가 ACK 패킷을 전송하지 않는 경우 IPS는 이를 비정상적인 패킷이라 간주하고 해당 패킷을 단절시킨다. Established Connection Flood 공격은 무엇인가? Established Connection Flood는 SYN Flood 공격보다 좀 더 진화된 좀비에 의한 DDoS 공격이다. 공격자는 다수의 시스템을 공격하여 이를 좀비화 시키고 이 좀비들은 합법적인 다수의 연결을 타켓시스템에 전송하여 이로 인해 타겟시스템의 과부하를 초래, 정상적인 사용자의 연결시도로 실패하게 하는 공격이다. 예를 들면 수천의 각각의 좀비가 한 타겟시스템에 천개의 연결을 시도한다면 서버는 백만개의 연결시도를 받게 되고 이로 인해 서비스 불능상태에 빠지게 된다. 이는 서버의 리소스를 점유하여 서비스 불능상태로 빠지게 만드는 점에서 SYN Flood와 유사하나 이를 탐지방어하기란 더 어렵다. Established Connection Flood 공격은 스푸핑이 되지 않은 정상적인 IP를 지닌 좀비에서 기인되어 IPS Proxy를 통하여 3-way Handshake가 이루어 진 후 수행된다는 점에서 탐지 방어는 더욱 어렵다. Established Connection Floods에 대한 티핑포인트의 방어전략은? TippingPoint Established Connection Flood 필터는 각각의 Source IP로 부터 보호대상 시스템으로의 Established Connection 수를 추적한다. 하나의 Source가 보호대상시스템으로 旣 정의된 수를 초과하는 Established Connection을 맺고자 한다면 초과하는 신규 Connection은 단절된다. 예를 들면 TippingPoint IPS가 보호대상시스템으로 Established Connection을 10으로 제한한 경우 천명의 좀비는 보호대상시스템으로 만개이상의 Established Connection을 만들 수 없게 된다. Connections Per Second Floods 공격은 무엇인가? Connection Per Second Flood 공격은 정상적인 IP를 지닌 Source가 초당 다수의 Connection 시도에 의해 서버를 무력화시킨다. 다른 현상은 Established Connection Flood 공격과 유사하다. CPS Flood에 대한 대응은 어떤가? TippingPoint Connection Per Second 필터는 클라이언트가 보호대상 시스템으로의 Established Connection을 맺기 위해 시도 시 초당 클라이언트가 오픈할 수 있는 평균 connection 수를 제어할 수 있다. 이 또한 Source IP 기준이며 필터 생성 시 방향성을 가지고 생성이 가능하다. 솔루션 도입이 어려운 기업에서 DDoS 공격에 대해 대비할 수 있는 방법들은 어떤 것들이 있나? DoS 및 DDoS 방어의 기본은 기업내에서 사용하고 있는 모든 장비(네트워크, 서버, PC, 휴대 단말기)의 보안 패치 수행 및 외부에 오픈된 서비스를 제어함에 의해 공격의 피해를 최소화할 수 있다. 이미 언급된 Standard DoS의 경우에는 주로 보안 패치를 수행함에 의해 공격방어 및 좀비로의 전이를 막을 수 있으나 Advanced DDoS 공격에 대해서는 방어 한계가 있다. 대비책으로는 네트워크를 통해 외부에 오픈된 서비스 제어가 기본이 되겠다. 즉 기업 내에서 운영중인 서비스를 정확하게 파악하고 이를 기반으로 라우터 혹은 스위치에 접근제어(Access Control) 정책을 설정함에 의해서 잠재적인 DDoS 공격 방어가 가능하다. 모든 공격은 인터넷 상에, 즉 외부에 인터넷 서비스(HTTP, FTP, SMTP,,,)를 오픈(Open)함에 의해서 발생한다. 따라서 불필요한 서비스의 경우, 예를 들면 UDP, ICMP의 경우 외부에서 내부로의 유입 자체를 막을 경우( Close ) 이에 대한 공격으로 부터 안전할 수 있다. 반드시 인터넷을 통해 서비스가 필요한 기업 서비스의 경우, 예를 들면 TCP 서비스의 경우에는 이에 대한 방어를 위해 DDoS 방어 솔루션 도입은 꼭 필요하다. 티핑포인트 장비로는 어느 정도까지 방어가 가능한가? 요즈음 다수의 TippingPoint IPS 수요가 창출되고 있는 데 그 중 하나가 DoS/DDoS공격방어를 위함이다. 주로 중국발 DoS/DDoS, 즉 TCP/UDP/ICMP를 통한 DDoS 공격이 주를 이루고 있고 이에 대한 공격대상이 주로 인터넷 상에 공개된 서비스 등이다. 흥미로운 점은 공격이 공격대상서버(ex.웹서버)에 도달하기 전 세션 기반의 네트워크 장비, 예를 들면 L4/L7 스위치, 그리고 보안장비인 방화벽 등이 먼저 Session Full이 되어 문제가 발생한다는 점이다. 이에 대한 대안으로서 요즈음 다수의 고객들이 TippingPoint IPS 장비를 서버팜/방화벽/L4,L7 스위치 전(前)에 설치하여 DDoS 공격으로 부터 인터넷에 오픈된 서비스 및 내부 네트워크를 보호하고 있다. 기술적인 방어 범위는 앞서 답변했고 정량적인 수치는 Spoofed Syn Flooding 시TippingPoint 5000E의 경우 초당 invalid syn flooding을 3백만 개까지 하드웨어 레벨에서 처리가 가능하다. [길민권 기자(reporter21@boannews.com)] <저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지> |
|||||
 |
