아이템베이가 당한 정도 공격이라면 대부분 사이트 피해

정부기관·기업, 사이버공격에 대한 대응...여전히 힘들어해

 

DDos 공격은 이제 컴퓨터로 작업을 수행하는 모든 기업, 즉 대부분의 기업이 피해를 입을 수 있는 공격유형이 되고 있다. 특히 한국 특성상 인터넷 속도의 발전으로 그 공격의 파괴력이 더욱 커질 전망이다. 이를 막을 수 있는 방안은 업체들도 노력해야겠지만 ISP와 IDC에서 어느정도 커버가 이루어져야 한다는 의견이 많다.

다음은 DDos 공격으로 피해를 당하고 있는 기업에 도움이 되고자 준비한 인터뷰다. 한국IBM GTS ISS(인터넷 시큐리티 서비스) 팀 이병화 과장의 말을 들어보자.  

Interview   한국IBM GTS ISS팀 이병화 과장

DDos 공격을 한마디로 정의한다면

이미 해킹을 당한 여러 대의 PC 혹은 여러 대의 공격자 PC가 싱글 타깃을 공격하여 결과적으로  타깃이 된 시스템의 사용자들의 네트워크를 마비시키는 공격이다.

DDos 공격의 종류에 대해 자세히 설명해 달라

과거에는 SMURF와 같은 공격으로 라우터를 공격하여 DOS를 야기 시키는 경우가 있었다. 이는 공격자가 라우터를 마비시켜 그 하위의 호스트를 단절시키는 방법을 사용 하였다. 최근에는 많은 DOS 공격이 웹서버, 메일서버나 기타 서버를 공격하는 양상으로 바뀌고 있다. 또한 최근 두드러진 양상으로는 랜섬형(Ransom) DDOS가 기승을 부리고 있다. 즉 과도한 DOS 트래픽으로 업무나 네트웍을 마비시키고 돈을 요구하는 공격 기법이다.

DOS 공격은 아래의 3가지로 분류해 볼 수 있다.

1. Destructive : 환경 파일이나 서비스를 불능 시켜 기능을 못하게 하는 방법

2. Resource Consumption : 웹 서비스에 많은 컨넥션을 요청함으로써 기능 저하를 야기시키는 방법

3. Bandwidth Consumption: 네트워크의 대역폭을 점유시키는 방법

반면 DDOS는 이들 방법을 조합한 방법을 사용한다. 대표적인 DDOS 웜의 종류로는 Mstream, Trinoo, TFN2K (Tribe Flood Network), Stacheldraht, Shaft 등이 있고 이들은 Bandwidth Consumption 공격에 해당하는 경우이다.

아래는 간단한 DOS의 유형으로 1개의 공격자가 1개의 빅팀을 공격하는 예제이다.

 

아래의 그림은  DDOS의 유형으로 마스터에서 좀비를 컨트롤하여 빅팀(Victim)을 마비시키는 유형을 보여준다.

아래의 예제는 DDOS의 유형으로 attacker가 spoof된 SYN을 보내면 1차 타깃에서 스푸프된 소스로 SYN+ACK을 보내는데 이때 실제 공격자가 생성한 스푸프 소스가 실제 희생자가 되는 구조이다.

■Connection Oriented Attack

보통 Connection Flood라고 불리는 이 공격은 정상적인 Three-way Handshake를 완료 한 후 과도한 connection을 요청하는 경우를 말한다. 여러 source에서 정상적인 세션을 연결하여 서버 자원 및 CPU에 부하를 가중 시켜 새로운 정상 세션 요청을 저지하는 공격이다. 요즘 해커들이 SYNFlood 공격을 시도 후 공격이 차단되면 Connection Flood를 시도하는 경향을 보인다. 아래는 정상적인 Three-way Handshake와 Connection Flood 상황을 예제로 보여 주고 있다.

■Connectionless TCP Attack

SYNFlood공격. 즉 Connectionless 공격은 정상적인 Three-way handshake를 완료하지 않고 Half-Open Connection을 시도하는 경우이다.  이런 경우 소스 IP는 스푸핑이 되어서 Server에서 SYN+ACK을 보내도 응답을 하지 않는 경우가 대부분이다. 아래의 그림은 스푸핑된 Client IP에서 Server로 연결 시도 하였을 때 Server의 SYN+ACK이 정해진 시간내에 응답을 받지 못하는 경우를 예제로 보여 준다. Client IP는 존재하지 않는 IP이기 때문에 SYN+ACK의 응답이 올 수가 없다.

 

아래의 그림은 TCP/IP  프로토콜의 함수 Lvel에서 SYNFlood 상황을 예시한 것이다. Server는 Client의 SYN에 대한 SYN+ACK을 보내고 그에 대한 ACK가 올 때까지 RTT(Round Trip Time)동안 Connection Queue에서 Socket Pair의 정보를 저장하고 있어야 한다. 이렇기 때문에 스푸핑된 Source IP의 SYN에 대한 정보를 “RTT를 줄여서 서버의 자원을 그만큼 더 확보할 것이냐” 아니면 “부하를 받고 있는 서버에서 정상 SYN 패킷을 처리 하기위해 RTT를 유지 혹은 더 늘리느냐”는 Sever의 Trade-Off라고 할 수 있겠다.

 

TCP/IP의 버퍼에 새로 들어오는 SYN에 대한 테이블을 Backlog Queue에 저장을 하고 SYN+ACK에 대한 ACK가 들어오면 Backlog Queue에서 제거를 하는 게 일반적인 TCP 세션의 처리 방식이다. 하지만 스푸핑된 공격인 SYNFlood를 받는 환경에서는 서버가 보내는 SYN+ACK에 대한 ACK가 절대로 오지 않기 때문에 Backlog Queue가 쉽사리 Full이 나게 마련이다. 이런 상황에서는 정상적인 세션이 연결되기 힘들다. 공격자는 이러한 상황을 유도하기 위해서 SYNFlood 공격을 시도하는 것이다. 요즘 OS에서는 이런 Backlog Queue의 Full이 차는 것을 방지하기 위해서 다이나믹하게 Queue의 크기를 조절하고 있다.

DDos 공격이 계속 증가하고 있다. 이유가 어디에 있다고 보는가

몇 년 전에는 현재와 같이 기업에서 보안에 대한 주의를 많이 기울이지 못했던 것이 실정이다. 또한 기업, 학교, 병원 등에서 PMS(Patch Management System)와 침입방지시스템(IPS-Intrusion Prevention System)으로 점차 보안을 강화해 나가고 있는 현상이다.

마이크로소프트나 다른 애플리케이션에서 취약점이 발견되면 PMS가 패치 유무 확인하여 자동으로 패치를 적용해 줌으로써 공격에 대비를 하고 있다. IPS 또한 정교한 시그니쳐로 웜 및 버퍼 오버플로(Buffer Overflow)가 시도되면 이를 차단하여 다른 피해를 사전에 차단해 주고 있다.

이러한 현상이 해커들에게 다른 형태의 공격 방법을 고안하게 하였다. 과도한 트래픽을 보냄으로써 빅팀(Victim)의 루트 권한을 획득하지 못한다면 빅팀을 마비시켜서 원하는 바를 이루겠다는 움직임이다.

특정 웹호스팅 업체의 보안담당자는 IPS를 설치한 후에 수그러들던 보안 공격들이 DOS 및 DDOS로 전향되는 것을 종종 목격한다고 이야기 한다. 이는 1차 공격이 차단된 것을 확인한 해커가 DOS 및 DDOS로 2차 공격을 시도하는 양상을 증명하는 것이다.

DDos 공격에 의한 국내 피해는 어느 정도로 보고있나

정확한 피해 정도는 알 수 없지만 기존의 웜바이러스(Slammer, CodeRed, Nimda 등)는 점차 줄어드는 추세이고 DDOS는 점점 더 많이 위협으로 대두될 것이라 전망한다.

DDos공격을 막을 수 있는 방안이 있다면

1차 방어방법으로는 1차적으로 기업 및 개인 가입자 PC에 바이러스 백신을 설치하여 DDOS 에이전트의 좀비로 악용되는 사례를 미연에 방지해야 한다.

2차 방어는 네트워크의 에지단에서 IPS, DOS 방어 장비를 설치하여 DOS 트래픽이 내부에서 외부로 전파 되는 것을 또는 외부에서 내부로 유입되는 것을 차단해야 한다.

3차 방어방법으로는 궁극적으로 ISP/IDC level에서 DOS 트래픽 유입에 대한 대책 마련이 이루어 져야 한다. 아무리 PC 및 네트워크에서 보안을 구축해 두었어도 ISP에서 부하가 집중된다면 이는 무용지물이 될 것이다.

IBM에 DDos 공격을 방어할 수 있는 장비가 있나

IBM에서는 Proventia IPS GX6116제품에 NPU를 탑재하여 6G까지 DOS 및 SYNFlood, UDP Flooding, ICMP Flooding과 같은 DOS 공격을 방어 하고 있다.

기본적으로 Proventia IPS는 모든 패킷(Packet)에 대해 RFC 규정에 부합하는지 프로토콜에 대한 무결성 체크를 하고 Invalid한 정보를 갖고 있는 모든 패킷은 차단하며 RFC 규정에 부합한 Packet의 경우에만 Proventia PAM 엔진을 통해 분석함으로 효과적인 DoS/DDoS 방어를 제공하고 있다.

일반적인 DoS/DDoS 공격이 Invalid한 패킷을 랜덤하게 생성하여 발생시키는 경향이 있는데 이런 공격은 Proventia IPS PAM 엔진을 거치기 전에 모두 차단됨으로 성능과 방어의 효율을 높일 수 있도록 기본 설계되어 있다. Proventia PAM 엔진은 SYN Flooding 공격을 분석/차단하기 위해 클라이언트와 서버의 2가지 측면을 고려하고 있다.

 

어떤 기업들이 이 솔루션을 사용해야 하나

학교, 일반 기업, 웹 서비스를 하지만 환경상 방화벽을 설치할 수 없는 네트워크에 효율적이다. 학교와 같은 환경은 오픈 환경이어서 각 단과대 PC에 IRC 웜이 많이 설치가 되어 있고 종종 좀비로 악용되는 경우가 많이 존재한다. IBM의 Proventia는 기본적으로 프로토콜을 분석하고 이에 근거하여 공격을 차단하기 때문에 PC가 좀비로 악용되는 채널을 사전에 차단할 수 있다.

솔루션 도입이 어려운 기업에서 DDos 공격에 대해 대비할 수 있는 방법들은 어떤 것들이 있을까

1차 방법은 웹서비스나 웹서버의 취약점을 사전에 제거하여 공격자의 직접적인 공격 목표가 되지 않도록 하여야 한다. 그리고 L4 등을 이용한 네트워크 이중화 계획하여 만일의 공격에도 네트워크가 부하는 감당할수 있을만큼 대비를 해야 한다. 라우터단에서 ACL을 잘 활용해서 불필요한 포트는 반듯이 차단하는 인식이 고조 되어야 한다.

이번 아이템베이 사고에 대해 어떻게 생각하나

이번 사태는 정부 기관 및 기업들이 사이버 공격대응에 얼마나 허술한지에 대한  목격이며 증거라고 할 수 있다.  이번과 같은 사태가 앞으로는 증가하게 될 것이라는게 전반적인 관측이다. 이제는 국가적으로나 사회적으로 이러한 공격에 대한 방어 체계를 강화해야 할 때이다.

금융사 특히 증권사 e트레이딩 시스템 등에 대량의 DDos 공격이 가해진다면 어떻게 될까

흔히 영화에서 나오는 사회 전반 인프라스트럭처의 마비 등이 실제로 일어나는 사이버 테러도 가능하다고 본다. 특정 국가의 네트워크가 마비된 적이 있었던 경우를 생각하면서 우리 사회도 이에 대한 대응책을 마련해야 한다고 본다.

포털사이트나 대형 인터넷 쇼핑몰 등도 같은 공격이었다면 어떻게 됐을 것이라고 생각하나

포털사이트나 대형 쇼핑몰에 내부 보안팀이 조직되어 있고 이에 대한 준비를 철저히 했다면 피해는 많이 줄일 수 있다고 본다. 하지만 ISP/IDC에서 궁극적인 대응책이 마련되지 않는다면 완벽에 가까운 해결책은 없다고 본다.

현재 금융·포털·인터넷쇼핑·게임사 등 국내 DDos 공격에 대한 방어준비는 어느 정도라고 생각하나

네트워크의 가용성을 위해서 상당수준 이중화를 구축해 놓고 있다. 하지만 이는 네트웍의 물리적인 장애에 초점이 맞춰져 있을 뿐 아이템베이와 같은 DDos 공격이 시도 된다면 분명 영향이 있다고 본다. 때문에 네트워크의 가용성 및 보안장비에 대한 투자로 공격에 대응을 해야 한다.

[길민권 기자(reporter21@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>