hi.pe.kr 날으는물고기·´″°³о♡

최근 다양한 인터넷 침해사고중 공격이 진행되면 쉽게 막기 어려운 DDoS 공격의 기법과 감염된 좀비 PC들의 형태를 분석하고 가상시나리오를 통해 발생될 수 있는 웹공격과 현재 KISA 에서 서비스중인 DDoS 사이버대피소를 살펴보고 향후 발생할 수 있는 모바일 DDoS 공격에 대비하기 위한 대응방법들을 아래와 같이 진행하오니 적극적인 참여를 부탁 드립니다.

• 1. 교육명 : DDoS 대응교육
• 2. 장 소 : 한국인터넷진흥원 KISA 아카데미 A강의장 <아래 약도를 참조 하세요>
• 3. 대 상 : 일반인
• 4. 일 시 : 2011.09.28(수) 10:00 ~ 18:00
• 5. 인 원 : 40명
• 6. 신청기간 : 2011.09.20(화) ~ 선착순 마감
• 7. 신청방법 : KISA아카데미 홈페이지(http://academy.kisa.or.kr) 가입 후(부가정보 입력) 신청
• 8. 문의처 :
  • - 한국인터넷진흥원 KISA 아카데미팀 백기연 주임연구원 (E-mail : kybaek@kisa.or.kr Tel : 02-405-6365)
  • - (사)한국해킹보안협회 고승욱 교육팀장 (E-mail : security@nahs.or.kr Tel : 02-3406-9225)
• 9. 기 타 :
  • ※ 교육장소로 인해 교육인원이 제한되어 있어, 교육 신청자가 많은 경우 선착순으로 마감 되오니
    빠른 시일 내 신청해 주시기 바랍니다.
  • ※ 교육신청 후 참석여부 확인을 위해 메일과 전화로 연락을 드립니다.
  • ※ KISA 아카데미는 주차가 지원이 안되오니 가급적 대중교통을 이용하여 주시기 바랍니다.
  • ※ 교육비와 교재비는 국비지원(무료)입니다.
  • ※ 중식은 제공하지 않습니다.
  • ※ 교육 수료후 수료증이 발급됩니다.

■ 교육프로그램

■ 오시는 길

• o 주소 : 서울시 서초구 서초로 389 플래티넘타워 12층
  (지하철2호선 강남역 4번출구 교대방향)
• o TEL : 02-3406-9229, 02-405-6365
• o 지하철 : 2호선 강남역 4번 출구 교대역 방향 약 100M 직진
• o 버 스 : 140, 146, 340, 402, 407, 408, 420, 421, 440, 441, 462, 470, 471, 341, 730, 9404, 9408, 9409, 9503, 9711 이용
  강남역 부근 하차

지난 7월에 발생한 DDoS 77대란 이후 Cisco 에서 진행한 웹세미나에서 제공된 자료입니다.

7.7 DDoS Summary
- 시간대별 요약
- 1차 미국 사이트 공격 분석 요약
- 2차 한국/미국 사이트 공격 분석 요약
- 7월 7일 국내/외 2차 공격지 요약
- 3차 한국/미국 사이트 공격 분석 요약
- 4차 한국사이트 공격 분석 요약
- Zombie IP 분석
- Zombie Traffic 분석
- Zombie 분석
  HTTP GET
    일반적인 HTTP GET Flooding.
    HTTP CC 공격 - 일반적인 CC Attack 유형이 포함되어 있음.
  HTTP - TCP 80 으로 Connection Flooding.
  UDP 80 Flooding
  ICMP Flooding
- Zombie 분석에 따른 공격 트래픽 추정

7.7 DDoS 공격 특징
- 대규모 Zombie와 소규모 공격
- C&C Server가 없는 최초의 DDoS
- 정교한 TCP 공격 방식1 - HTTP
- 정교한 TCP 공격 방식2 - HTTP CC Attack

7.7 DDoS 공격 방어 솔루션
- Overview
- Router/Switch
- Cisco Guard/Detector
  UDP/ICMP/Fragment Drop 설정
  TCP Connection 정책 설정
  HTTP Syn 정책 설정
  HTTP Request 정책 설정
  HTTP Zombie 정책 설정
  Flex Filter 설정
  7.7 DDoS 공격방어 실제사례

왜 Cisco Guard & Detector 입니까?
1. HTTP에 가장 정교하게 방어할 수 있는 솔루션
2. 가장 많은 경험과 노하우... 그리고 지원체계
3. Out Of Path 기반의 탁월한 DDoS 방어 디자인
4. 대용량 설계기반을 통한 높은 성능
5. 검증된 솔루션 - 국내 70여개의 대형 레퍼런스

July_DDoS_Webseminar.pdf

이번 DDos 공격 특징은 ?

7일 저녁 청와대와 국회 등 주요 정부기관사이트와 일부 포털 등 국내 11개 사이트를 공격해 접속장애를 일으킨 분산서비스거부(DDoS) 공격에 관심이 모아지고 있다.

DDoS는 엄청난 양의 데이터를 특정 서버에 한꺼번에 보내 부하가 걸리도록 해 서비스를 못하게 하는 일종의 해킹 방식이다.

정보시스템의 데이터나 자원을 정당한 사용자가 적절한 대기 시간 내에 사용하는 것을 방해하는 행위로 주로 시스템에 과도한 부하를 일으켜 정보 시스템의 사용을 방해한다.

DDoS는 표적이 된 사이트에 계속 접속할 수 있는 바이러스성 프로그램을 유포시켜 이 프로그램에 감염된 PC, 이른바 좀비PC는 표적 사이트에 반복적으로 접속하게 된다.이번 DDoS 공격은 25개 사이트를 공격하도록 설계된 악성코드가 각 개인의 PC에심어진 뒤 공격이 시작된 것으로 파악됐다. 공격 리스트가 처음부터 설정됐던 것이다.

25개 사이트중 국내 것은 청와대, 국회, 국방부, 한나라당, 조선일보, 외교통상부, 옥션, 농협, 신한은행, 외환은행, 네이버 등 11개이고 그외 나머지는 백악관 등해외 사이트이다.

중간 명령제어 서버가 좀비PC에 특정 사이트에 대한 공격 명령을 내린 뒤 이뤄지는 일반적인 DDoS 공격 방식과는 다르다.

한국정보보호진흥원(KISA) 관계자는 "애초 특정 사이트에 대한 공격 명령이 악성코드에 심어진 경우는 이번이 처음"이라고 말했다.

정부 주요 기관의 경우 DDoS 공격에 대한 방어 장비를 갖추고 있지만, 이번 공격에서는 효율적으로 대처하지 못한 것으로 보인다.

한 보안 전문가는 "방어장비가 있더라도 공격을 쉽사리 막기는 어렵다"면서 "장비도 중요하지만 운영자가 효율적으로 공격을 분산시켜 방어하는 것도 필요하다"고 말했다.

DDoS 공격으로 인터넷 서비스에 장애가 발생하면 이를 복구하는 것도 쉽지 않다. 각 PC에 심어진 악성코드가 치료되기 전까지는 공격이 계속될 수 있기 때문이다.

특히 이번 공격의 경우 좀비PC가 1만대 정도로 추정되는데, 각 개인이 PC를 치료하기 전까지는 통신사업자가 IP가 파악된 좀비PC의 인터넷접속을 차단하는 방법밖에는 공격을 원천적으로 제거할 수 없다.

한편 DDoS는 2000년 2월 아마존, 이베이, 야후 등 전자상거래 관련 사이트들이 DDoS(Distributed Denial of Service)의 공격을 받아 운영할 수 없는 사건이 발생하면서 일반인들에게 알려지기 시작했다.

2001년 7월에는 윈도2000과 윈도NT 서버를 경유해 미국 백악관의 사이트를 분산서비스거부(DDoS) 공격 방법으로 마비시키는 웜바이러스 `코드레드'의 변종인 `코드레드Ⅱ가 등장해 전 세계를 긴장시키기도 했다.

코드레드 바이러스는 발견된 지 보름 만에 전 세계적으로 30만대의 시스템을 감염시켰으며 원형과 변종 코드레드의 피해를 본 국내 시스템도 최소 3만여대에 이르렀다.

2003년 1월에는 DDoS가 KT 전화국 DNS 서버를 공격해 공격 2시간 만에 일부 전화국 서버 접속 성공률을 10%로 하락시킨 뒤 하나로통신, 두루넷 등 다른 인터넷 서비스 공급자(ISP)들과 SK텔레콤, KTF, LG텔레콤 등 무선인터넷 사업자들의 망에도 트래픽 증가를 유발시켜 사실상 인터넷 대란이 발생했었다.

2007년 2월에는 전 세계 13개 루트 DNS서버가 해커들의 DDoS 공격을 받았는데 국내 PC가 주요 공격 경유지로 파악돼 눈길을 끌기도 했다.

불붙는 글로벌 사이버 전쟁

한국과 미국의 주요 기관 홈페이지가 7일 저녁 해커들로부터 동시에 공격을 받아 한동안 다운되거나 접속장애 사태가 벌어짐에 따라 글로벌 사이버 전쟁에 대한 관심이 높아지고 있다.

8일 방송통신위와 인터넷업계 등에 따르면 제2차 세계대전 이후 현실세계에서 대규모 물리적 충돌이 발생하지 않은 지 60년이 넘었지만, 눈에 보이지 않는 사이버세계에서는 `사이버 세작(細作.스파이)'들과 이를 막으려는 주요국 정부가 발달된 정보기술(IT)을 무기로 치열한 전쟁을 벌이고 있다.

이때문에 전 세계 어디에서든 해킹이란 사이버 공격에 안전지대는 더 이상 없다는 것이 중론이다. 최첨단 보안시스템의 대명사인 미 펜타곤은 이미 '해커들의 놀이터'가 됐다는 평이 나올 정도다. 워싱턴포스트(WP)에 따르면 2008년 미 정부 컴퓨터망에 대한 해킹 등 사이버 공격은 5천488건으로 2007년에 비해 40%나 증가했다.

요즘은 개별 해커가 아니라 세계 패권을 놓고 미국과 경쟁 중인 중국이 해킹의 배후로 등장하는 일도 잦아졌다.
파이낸셜타임스(FT) 등에 따르면 지난해 대선을 앞두고 버락 오바마와 존 매케인 선거캠프의 컴퓨터가 유세 기간에 중국인으로 추정되는 해커들에 의해 뚫렸다. 최근에는 백악관 이메일 시스템도 해킹을 당했는데 배후로 중국이 의심되고 있다.

그러나 중국 역시 해킹 안전지대는 아니다. 홍콩의 사우스차이나 모닝포스트는 최근 "대만 출신으로 추정되는 해커들이 원자바오 중국 총리가 작성한 '2009년도 정부 업무 보고서' 초안을 복제해 갔다"고 보도했다. 물밑에서 서방세계의 중국에 대한 역공도 거세게 이뤄지는 것이다.

실생활과 밀접한 사이버 해킹도 곳곳에서 발견되고 있다. 중국의 한 해킹 사이트에는 "한국 계좌 빌려드립니다","주민번호 대량 판매" 등의 제목을 단 글에 개인정보에 대한 구체적인 판매금액이 명시돼 있을 뿐만 아니라 "해킹 가능한 분 고수익보장합니다"며 청부해커를 고용한다는 게시물까지 올라와 있을 지경이다.

인터넷 보안 전문가들은 몇 해 전부터 개인정보를 빼내기 위한 악성코드(바이러스, 웜, 트로이목마 등 컴퓨터에 잠입하는 불법 프로그램) 유포가 급증하고 있다고 입을 모으고 있다.

은행계좌, 신용카드 정보 등 개인정보를 사이버 블랙마켓(암시장)에서 팔면 돈이 되기 때문이다. 이코노미스트지는 최근 "서비스로서의 크라임 웨어(범죄 소프트웨어)가 늘어나고 있다"며 사이버 블랙마켓에 대해 보도했다. 원하기만 하면 해킹 서비스를 언제나 인터넷에서 돈을 주고 살 수 있다는 내용이다.

이처럼 신종 해킹이 갈수록 지능화되면서 대응방법에도 비상이 걸리고 있다.

특히 계속되는 해킹으로 인한 웹사이트 변조와 악성코드 유포 위협에 대한 지적에도 불구하고 `SQL 인젝션(injection)' 등 각종 해킹 공격으로 인한 피해가 여전히심각한 수준이다. 더욱이 각종 해킹 공격 프로그램들이 해외에서 판매되고 있어 정부도 뚜렷한 해결책을 찾지 못하고 있는 상태다.

한국정보보호진흥원(KISA, 원장 황중연)은 최근 중국 해커들이 약 10만 건의 SQL 인젝션 공격을 시도했으며, 공격대상 중 한국 내 사이트가 5%를 차지했다고 밝혔다. SQL 인젝션 공격은 웹페이지의 로그인 창 등에 SQL(DB를 관리하기 위한 질의어)구문을 넣어 정당한 사용자로 속여 DB(데이터베이스)의 정보를 빼내는 해킹 수법이다.

이와 관련, 전문가들은 보안 프로세스를 빠르고 효율적으로 전환해 웹사이트들의 전반적인 보안수준을 높여야 한다고 지적했다.

업계 관계자는 "현재의 인터넷 트래픽 모니터링 방식은 한계가 있으며, 정보보호도 소방점검을 하듯이 점검기준을 만들어 점검해야 한다"며 "해킹과 악성코드를 적발, 판정해 해당 사이트 관리자에게 통보하고 조치를 취하는 절차가 더 빠르게 처리되게 해야 한다"고 말했다.

(서울=연합뉴스) 조성흠 기자  윤종석 기자 이광빈 김세영 기자