CEO COLUMN 3 ㆍ 4 DDoS 공격 日대지진과한국 3 ㆍ 4 DDoS 공격 이글은매일경제에실린김홍선대표의칼럼입니다 일본역사상최대재난이들이닥쳤다. 평화롭고살기좋다던센다이지역은쓰나미와강진으로인해폐허로변했고, 그여파는일본전역에연속된강진으로확대돼나갔다. 마침일본출장을

Transcription

1 안철수연구소보안매거진월간安 A P R I L CEO COLUMN 日대지진과한국 '3 ㆍ 4 DDoS' 공격 STATISTICS 3 ㆍ 4 DDoS 주요통계 SPECIAL REPORT 3 ㆍ 4 DDoS 공격방어분석보고서 3 ㆍ 4 DDoS 공격, 시작과끝에안철수연구소가있었다 3 ㆍ 4 DDoS 공격에관해궁금한 20 문 20 답 3 ㆍ 4 DDoS, 안철수연구소의긴박했던 5 박 6 일 SPOTLIGHT Security Forecase ㆍ 4 DDoS 는예행연습? 차원이다른공격온다! PRODUCT ISSUE 클러스터기반의 TrusGuard DPX CASE STUDY 메모리덤프분석 DDoS 공격에이용되는좀비 PC, 어떻게감염될까프로세스정보추출에유용한 '2 가지 ' 방법은? AHNLAB NEWS AhnLab SW Partner Day 2011 ' 상생 ' 으로 1,000 억원매출달성한다! ASEC STATISTICS 2011 년 2 월악성코드관련주요통계 AHNLAB TWITTER 3 ㆍ 4 DDoS 관련안철수연구소트위터타임라인 월간安은안철수연구소에서발행하는보안매거진입니다

2 CEO COLUMN 3 ㆍ 4 DDoS 공격 日대지진과한국 3 ㆍ 4 DDoS 공격 이글은매일경제에실린김홍선대표의칼럼입니다 일본역사상최대재난이들이닥쳤다. 평화롭고살기좋다던센다이지역은쓰나미와강진으로인해폐허로변했고, 그여파는일본전역에연속된강진으로확대돼나갔다. 마침일본출장을마치고귀국길에들어섰던필자는공항으로가는리무진버스를기다리다이사태를맞았다. 평생처음겪은지진이라적지않게당황스럽기도했지만, 그후통신이두절되고도로가폐쇄되면서암흑속고립이얼마나무서운지를실감했다. 그러나이러한예기치않은 `천재 ( 天災 )`를맞은일본모습은의외로차분하면서도냉정했다. 여진이있을때마다휴대폰메시지와사이렌으로알려주는예보시스템은정확했고, 통신장애로연락이끊긴사람들의안전여부를방송으로신속하게알렸다. 시내를오가던시민들은내진설계가가장잘되었다는고급호텔로대피했으며, 호텔에서도미리준비한듯기민하게조치를취했다. 공중전화를이용하기위해긴줄을이루어묵묵히기다리는질서의식과오랜시간불편하게있으면서도불안감을내색하지않는차분함도인상적이었다. 일본건물이웬만한지진에도끄떡없도록구축됐다고하지만그러한구조물자체보다도 `안전`을최대목표로한프로세스와훈련된자발성이눈에띄었다. 바로그일주일전한국에서는좀비 PC, DDoS, 악성코드와같은용어들이다시한번언론헤드라인에등장했다. 7ㆍ7 DDoS 대란으로온나라가들썩한지 2년도안되어흡사한형태로 3ㆍ4 DDoS 공격사건이발생한것이다. 일부에서는이번 3ㆍ4 DDoS 공격이 7ㆍ7 DDoS 대란과비교해아주미미한사건이라고평가절하한다. 그러나긴박한사이버테러현장에서몸소체험한바로는이번 3ㆍ4 DDoS 공격은결코미미했던게아니다. 7ㆍ7 DDoS 대란에버금가는, 아니악성코드의복잡도나자유자재로공격시간과작전을원격조종하는형태는한층진일보한것이었다. 단지이번에는사전에악성코드배포처를추적해서신속하게차단했고준비대응체제가되어있었기에확산되지않았을뿐이다. 또한분석된정보를미리받아준비한기업이나기관에서는공격형태를미리예측했기에별탈없이방어할수있었다. DDoS 공격이여의치않자좀비 PC들의하드디스크를즉각무력화시키는지령을내려보낼정도로해커는치밀했다. 그럼에도민관협력과국민의자발적참여, 미디어의신속보도로선대응했기에피해를줄일수있었다. 전국민이해커와한바탕치열한전쟁을치른셈이다. 마침이번출장중일본언론과인터뷰를했는데, 한국사이버대응체계에아주높은관심을표명했다. 일본은그런사이버테러를경험한일이적기에어디서통솔할지도정해져있지않은것같다. 또한외국기업에서보안제품을도입하는데만주력했지보안원천기술은약하다. 반면에한국은원천기술과다양한대응경험을보유하고있다. 한국에서많이발생하는사이버테러와위협이해커에의한인재 ( 人災 ) 라면, 일본에서끊임없이발생하는지진은천재 ( 天災 ) 다. 비록성격이나태동은다르지만원천기술과프로세스, 신속한정보공유, 훈련이중요하다는측면에서는유사하다. 가깝고도먼한국과일본이서로배우고협력할만한분야다. 희생자와피해규모가눈덩이처럼불어나고있어안타깝다. 하루속히일본이재난을극복하고정상화되기를진심으로바란다. 2

3 STATISTICS 3 ㆍ 4 DDoS 통계 통계로살펴본 3 ㆍ 4 DDoS 2011년봄을공포로몰아넣었던 3ㆍ4 DDoS 공격이일단락되었다. 이번공격은 3차례의 DDoS 공격과 PC 하드디스크손상으로이어졌다. 하지만다행히도이번 3ㆍ4 DDoS 공격은 7ㆍ7 DDoS 공격과비슷한정도의규모였음에도불구하고심각한서비스장애는나타나지않았다. 3ㆍ4 DDoS 남긴기록들을자세히살펴보자. 3월 4일부터 5일까지이틀동안 3차례에걸쳐발생한 DDoS 공격에서총 40개사이트가공격을받았다. 3월 4일오전 10시에발생한 1차공격에서는 29개의정부 / 공공기관및민간기관이공격대상이되었다. 같은날오후 6시 30분에는정부 / 공공기관 24개, 민간기관 16개총 40개사이트가공격을받았다. 3월 5일오전 8시, 3 차공격에서는단두곳으로공격대상이대폭축소되었다. 이번공격은 4 일부터시작되었으나, [ 그림 2] 와같이 3 일오후 4 시부터안철수연구소의 AhnLab Smart Defense( 이하 ASD) 에서 진단이되기시작했다. 3 일, 오후 7 시가지나자상당히많은건수가 사전진단됐다. 이와같은사전진단은 4 일에있었던오후 6 시 30 분 [ 그림 1] 3 ㆍ 4 DDoS 공격대상사이트 공격피해를최소하는데많은기여를했다. 참고로 ASD 기반에서통 계를낸수치들은안철수연구소의기업용제품들 (V3 IS 7.0, V3 IS 8.0) 의진단건수통계와는다를수있음을밝혀둔다. 또한 [ 그림 3] 과같이 3 월 4 일 DDoS 1 차공격때인 10 시를전 후로진단건수가증가하는것을확인할수있다. 그러나건수자체 는많지않았기때문에 DDoS 공격을받는고객사이트는큰이슈 가없었다. 2 차공격때인오후 6 시 30 분부터진단건수가약간증 가했지만시간이얼마되지않아서다시줄어들기시작했다. 5 일새 3/3 16:00 3/3 17:00 3/3 18:00 3/3 19:00 3/3 20:00 3/3 21:00 3/3 22:00 3/3 23:00 3/4 00:00 벽 5 시부터갑자기 DDoS 공격이증가한것은또다른 DDoS 공격 [ 그림 2] 3 월 3 일 ASD 기반악성코드진단추이 악성코드를 ASD 를통해실시간으로수집 / 반영했기때문이었다. 6 일부터는다행히 DDoS 공격이진정국면으로접어들었다. [ 그림 3] 3 월 4~6 일진단추이 3

4 [ 그림 4] 는 DDoS 기간동안진단됐던악성코드들중에서상위 3개를선정하여통계를뽑아낸것이다. 진단추이를보면 3개의악성코드모두가거의비슷한건수를나타내는것을볼수있다. 이것들은모두메인 DLL 파일에서생성되는파일들로 Win-Trojan/ Ddosagent 로진단되는악성코드는 C&C 서버와통신하는모듈이며, Win-Trojan/Agent D 는 MBR/ 파일파괴모듈이다. 117, , , , , ,000 진단명 Win-Trojan/Agent BOH 는이번에가장핵심이되었 던 DDoS 공격모듈이다. [ 그림 6] 좀비 PC 수비교 진단건수의추이를보면이번공격은 5 일에최고치를나타내는 것을볼수있다. 6 일부터는 ASD 통계와비슷하게진정국면에접 어들었다. 7,000 6,000 Win-Trojan/Ddosagent Win-Trojan/Agent D Win-Trojan/Agent B OH 6,319 6,290 5,000 4,000 3,000 2,000 1, / /4 2,432 2,402 2,826 2,943 2,948 3/ /6 3,693 Total [ 그림 7] 하드디스크손상신고수비교 [ 그림 4] 3 월 3 일부터 3 월 6 일까지진단된 Top3 악성코드 이번 3 ㆍ 4 DDoS 공격은 HTTP Get 플러딩 (Flooding), UDP 플 러딩, ICMP 플러딩등 3 가지공격기법이사용되었다. 이들공격유 형별발생된패킷분포를살펴보면 HTTP Get 플러딩이압도적으로 [ 그림 8] 3 ㆍ 4 DDoS 공격전용백신배포건수 많았으며, ICMP 플러딩과 UDP 플러딩이비슷한수준이었음을알 수있다. 이번 3 ㆍ 4 DDoS 에이용된 C&C(Command & Control) 서버는 72 개국의 748 개인것으로조사됐다. 또한안철수연구소등의백신 업체, ISP, 포털등의협조와네티즌들의자발적ㆍ적극적참여에힘 입어전용백신이총 11,513,951 건배포되었다. [ 그림 5] DDoS 공격유형별분포도 정보통신위원회의발표에따르면 3ㆍ4 DDoS 공격에동원된좀비 PC가총 116,299 대에달하는것으로최종집계되었다. 이는지난 7ㆍ7 DDoS 공격의 115,044 건과비슷한수치이다. 또한 3ㆍ 4 DDoS 공격으로인한하드디스크손상신고건수는총 756건으로 7ㆍ7 DDoS 공격의 1,466건보다는피해가적었다. 4

5 SPECIAL REPORT 1 부 - 3 ㆍ 4 DDoS 공격분석보고서 3 ㆍ 4 DDoS 공격, 시작과끝에안철수연구소가있었다 청와대등주요기관 DDoS 공격... 되살아난 DDoS 공격의악몽좀비 PC 하드디스크즉각파괴등진화된수법이용 3월 3일아침, 안철수연구소의시큐리티대응센터 (ASEC) 에순간긴장감이돌기시작했다. ASEC 연구원들은매일수십만개씩쏟아져나오는악성코드를분석하고대응해온베테랑들이다. 그런그들이이번악성코드에서뭔가위험한냄새를읽어낸것이다. 머릿속에자꾸만떠오르는지난 2009년 7ㆍ7 DDoS 대란의기억을애써떨쳐냈다. ASEC 연구원들은즉각적인협력분석에돌입했다. 악성코드를쪼개어각모듈별로분석을시작한것. 지난 7ㆍ7 DDoS 악성코드나스턱스넷등의분석경험이풍부한그들이기에모듈별분석이효과적이라는것을알고있었다. 각모듈분석을마친후분석가들이한자리에모였다. 퍼즐을맞춰가듯전체그림에다가가기시작했다. 안철수연구소연구원들의뛰어난분석능력이발휘된순간이다. 그리고드디어악성코드의실체가드러났다. 최근 DDoS 공격동향과 3ㆍ4 DDoS 공격 DDoS(Distributed Denial of Service, 분산서비스거부 ) 공격의위험성은어제오늘의일이아니다. 2005년이후금전적이익을노리는사이버범죄가증가하면서 DDoS 공격이빈번하게일어났다. 주요공격대상은포털이나쇼핑몰, 금융권등이었다. 공격자는 DDoS 공격을감행한뒤이를미끼로협박하여금품을갈취하려는목적으로이같은공격을시도해왔다. 하지만 7ㆍ7 DDoS 공격이후 DDoS 공격은기존과는다른양상을띠기시작했다. 7ㆍ7 DDoS 공격의가장큰특징은 ' 명확하지않은목적 ' 과 ' 악성코드기반의 DDoS 공격 ' 이라는두가지점이다. 이번 3ㆍ4 DDoS 공격도이와유사한성격을보였다. 거기다 P2P 사이트를악성코드유포지로활용했다는점, 감염 PC의 MBR(Master Boot Record) 을파괴한다는점이 7ㆍ7 DDoS 공격과닮아있었다. 그러나악성코드자체는지난 7ㆍ7 DDoS 공격보다는훨씬더진화된양상을보여주었다. 3ㆍ4 DDoS 공격진행상황 3월 4일오전 10시, DDoS 공격발생! 네이버, 다음, 한게임, 디시인사이드, 지마켓, 청와대, 외교통상부, 통일부, 국회, 국가대표포털, 방위사업청, 경찰청, 국세청, 국방부, 합동참모본부, 육군본부, 공군본부, 해군본부, 주한미군, 행정안전부, 한국인터넷진흥원, 안철수연구소, 금융위원회, 국민은행, 외환은행, 신한은행, 농협, 키움증권, 대신증권등 29곳이공격대상이되었다. 그러나일부사이트에서잠시접속이원활하지못했을뿐, 접속마비상태는일어나지않았다. 이는이미공격발생하루전날인 3월 3일, DDoS 공격을파악한안철수연구소와정부기관들이 DDoS 공격에대비할것을해당사이트에미리알렸기때문이다. 이어, 안철수연구소는좀비 PC의치료및확산을방지하기위해즉각적으로전용백신을배포하고 2차공격의시간과대상사이트를예고했다. [ 그림 1] 최신 DDoS 공격동향 5

6 1차공격대상 3월 4일오전 10시 2차공격대상 3월 4일오후 6시 30분 해당사이트 URL 고유포지 IP 차단등을단행했다. 공격자는자신의공격이이미노 경찰청공군본부국가대표포털국민은행국방부 경찰청공군본부국가대표포털국민은행국방부 police.go.kr airforce.mil.kr korea.go.kr kbstar.com mnd.mil.kr 출된것을알아차리자, 기습적으로 4일오전 10시로새로운공격명령을추가했다. 하지만 4일새벽변종악성코드분석을통해이미 국세청국회금융위원회네이버농협다음 국세청국회금융위원회네이버농협다음 nts.go.kr assembly.go.kr fsc.go.kr naver.com nonghyup.com daum.net 정황을확보하고모든조치가취해진후였다. 결국공격자의기습작전마저실패로돌아갔다. 대신증권 대신증권 daishin.co.kr 디시인사이드방위사업청신한은행 디시인사이드방위사업청신한은행 dcinside.com dapa.go.kr shinhan.com 이후 3 월 5 일오전 8 시, 국내주요기관 2 곳을타깃으로한세 안철수연구소외교통상부외환은행육군본부주한미군지마켓청와대키움증권 안철수연구소외교통상부외환은행육군본부주한미군지마켓청와대키움증권 ahnlab.com mofat.go.kr keb.co.kr army.mil.kr usfk.mil gmarket.co.kr cwd.go.kr kiwoom.com 번째공격이발생했다. 이또한해당내용에대한분석과조치가사전에이루어졌기때문에피해가거의없었다. 공격자가예상과달리공격효과를보지못하자 3차공격에서공격사이트의수를대폭 통일부한게임한국인터넷진흥원 통일부한게임한국인터넷진흥원 unikorea.go.kr hangame.com kisa.or.kr 줄인것으로추측된다. 합동참모본부 합동참모본부 jcs.mil.kr 해군본부행정안전부총 29개 해군본부행정안전부관세청국가정보원국방홍보원미 8군전투비행단 navy.mil.kr mopas.go.kr customs.go.kr nis.go.kr dema.mil.kr kunsan.af.mil 3월 5일오후 10시, 밤샘대응을하던안철수연구소가또다시술렁이기시작했다. ASD로부터수집된변종을분석하던중, 이미 [ 표 1] 3 ㆍ 4 DDoS 공격대상 방송통신위원회옥션우리은행제일저축은행하나은행한국수력원자력 ( 주 ) 한국철도공사총 40개 kcc.go.kr auction.co.kr wooribank.com jeilbank.co.kr hanabank.com khnp.co.kr koreail.com 감염된악성코드가원격조종지 (C&C서버 ) 로부터새로운명령기능을하달받아좀비 PC의하드디스크파괴를수행하는것을밝혀낸것이다. 이대로라면악성코드에감염된 PC를켜면바로하드디스크가파괴되어부팅이불가능한상태로빠져드는것이다. 3월 4일오후 6시 30분, 안철수연구소의예고대로 2차 DDoS 공격이감행되었다. 2차공격에서는 1차공격대상이었던 29곳에새롭게 11곳이더해져, 공격대상은총 40개였다. 새롭게 2차공격에포함된사이트는관세청, 국가정보원, 국방홍보원, 미 8군전투비행단, 방송통신위원회, 옥션, 우리은행, 제일저축은행, 하나은행, 한국수력원자력, 한국철도공사등이다. 2차공격역시잠깐동안의접속불안상태가발생했을뿐, 큰피해없이마무리되었다. 이 1, 2차공격에는특별한히스토리가포함되어있다. 원래 3 일수집한악성코드분석결과에따르면, 1차공격시점은 4일오후 6시 30분이었다. DDoS 공격자는공격대상기관및기업들이한주의업무를종료하는금요일오후 6시 30분에공격을감행함으로써대응작업의지연과함께엄청난혼란을일으키고자한것으로추측된다. 그러나정부기관과안철수연구소가이사실을인지하 안철수연구소는이로인한국민들의 PC 피해를줄이고자, 긴급하게 ' 전국민 PC 안전수칙 ' 을발표했다. 꺼져있는 PC를다시켤때는반드시안전모드로부팅하여 DDoS 전용백신을다운로드받아야만피해를방지할수있다는것이주요내용이었다. 3ㆍ4 DDoS 공격에이용된악성코드안철수연구소가분석한 4일오후 6시 30분에 DDoS 공격을유발한악성코드들의파일관계도에따르면각기역할이다른 10여개의파일이유기적으로작동한다. SBUpdate.exe 가처음설치된후해외의특정 C&C 서버에접속하는동시에 ntcm63.dll, ntds50.dll 파일을생성한다. 이두파일은다시 7개의파일을생성해실행한다. 이 7개의파일은역할이각기다르다. 3/4 10:00 P2P 사이트를통한악성코드유포 1 차공격 (29 개사이트 ) 3/4 18:30 2 차공격 (40 개사이트 ) 3/5 08:00 3 차공격 3/5 22:00 하드디스크손상공격 3/3 09:00 정황포착 3/3 15:27 유포지확인 3/3 19:44 전용백신제작완료 공격대응 3/4 01:30 1차 /2차공격대상, 공격시간예측 3/4 13:28 하드디스크손상정보공유 공격대응 3/3 19:44 변종대응전용백신배포 공격대응 3/5 20:00 하드디스크손상정황포착 3/6 06:21 하드디스크파괴대비조치가이드배포 [ 그림 2] 3 ㆍ 4 DDoS 공격흐름및안철수연구소대응히스토리 6

7 즉, mopxsvc.dll 파일은 faultrep.dat(c&c 서버주소를저장함 ) 파일을참조해 C&C 서버에접속해명령을받아온다. watcsvc.dll 파일은 tlntwye.dat 파일 (DDoS 공격시각정보를포함 ), tljoqgv.dat 파일 ( 공격대상웹사이트 40개의정보를포함 ) 을참조해 DDoS 공격을수행한다. 또한 soetsvc.dll 파일은 noise03.dat( 최초감염시각을저장 ) 파일을참조해하드디스크및파일을손상시킨다. 4일오전 10시에발생한공격또한이와같은방식으로이루어졌다. 그러나 5일밤에는해외의특정 C&C 서버에서 clijproc.dll 파일이새로다운로드됐다. 이파일이다운로드되는즉시하드디스크및파일이손상됐다. 지금까지분석된악성코드의특징을정리하면다음과같다. 1 악성코드간협업모델화 최근보안위협은하나의악성코드에모든공격코드를탑재하지않은것이특징이다. 이번 DDoS 공격에서는 SBupdate.exe(Win-Trojan/Agent V) 악성코드가어미와도같은역할을하고있다. 그리고그로부터파생되는많은악성코드들이유기적인연결고리를갖고지능적으로움직이고있다. [ 그림 3] 3 ㆍ 4 DDoS 전체개략도 2 스케줄링기능탑재 악성코드 wxxxsvc.dll(win-trojan/agent d) 은 DDoS 공격모듈로서공격시간, 공격대상정보를가지고 DDoS 공격을수행하도록설계되었다. 좀비 PC 수 ( 방통위발표 ) 7. 7 DDoS 공격 3. 4 DDoS 공격 2009년 7월 7일 2011년 3월 4일 115,044 대 116,299 대 3 파일손상 sxxxsvc.dll(win-trojan/agent boh) 은파일손상모듈로, A~Z 의모든드라이브를검색하여다음과같은확장자를가진파일들을손상시키는기능을갖고있다. 특히이동식디스크도파일손상의공격대상이다. zip, c, cpp, java, jsp, aspx, asp, php, rar, gho, alz, past, eml, kwp, gul hna, hwp, pdf, pptx, ppt,mdb, xlsx, xls, wri, wpx, wpd, docm, docx, doc 하드디스크손상 sxxxsvc.dll(win-trojan/agent boh) 은하드디스크손상기능도갖고있어 A~Z 의모든고정드라이브를검색하여시작부터일정크기만큼을 NULL 로채워디스크를손상시킨다. 앞선파일손상공격과는달리하드디스크손상은고정디스크만공격대상으로하고있다. 또한이기능은특정한 3 가지조건하에동작한다. noise03.dat 파일이 존재하지않는경우 ' 파일및디스크손상기능 ' 동작 공격대상 ( 사이트기준 ) 청와대와백악관등한국과미국의주요사이트 23 개 유사점 청와대등정부사이트, 네이버등국내주요사이트및미군등 40 개 손상운영체제닷넷프레임워크기반윈도우 2000/XP/2003 모든윈도우운영체제 공격지속시간 파일구성 하드디스크및파일손상조건 2010 년 7 월 7 일부터약 4 일간공격지속 같은파일구성으로여러차례공격. 마지막 DDoS 공격일자인 10 일자정에서 하드디스크와파일손상. 당시백신을설치하지않은 PC 에서는날짜를이전으로바꿔야했음 시작시간은있으나끝나는시간은공격자의의지 공격때마다파일구성이달라져분석에어려움발생. 날짜를이전으로바꾸거나, 감염시점을기록한 noise03.dat 파일을삭제할경우에도하드디스크와파일이손상. 공격자가임의로손상날짜를바꿀수있음. 2011년 3월 5일오후 10시이후를기점으로명령서버로부터새로운명령파일이다운로드돼즉시손상되는것으로변경 하드디스크손상관련신고수 1,466 건 756 건 Hosts 파일조작 Hosts 파일조작없음안철수연구소도메인을 로강제설정 대응방식 제대로준비되지않은상태에서대대적인혼란야기 7. 7 DDoS 이후기업 / 기관들의준비가있었고유관기관과의협조로피해최소화 4 noise03.dat 에기록된 감염시간보다 PC 시간이 빠른경우 DDoS 공격을방어하기위해 PC 시간을공격시간이전으로돌리려고할때 noise03.dat 에기록된감염시간보다이전으로돌리면 ' 파일및디스크손상기능 ' 이동작 (* noise03.dat: PC 가최초로감염된시간이기록된파일 ) 공격에사용된 PC 주로개인사용자들의 PC 배포지 P2P 사이트 기타 유사한공격형태와대상 / 불분명한공격목적 / 감염 PC의 MBR 파괴 [ 표 2] 7 ㆍ 7 DDoS 공격과 3 ㆍ 4 DDoS 공격의차이점및유사점 일정시간이지난경우 noise03.dat 에기록된감염시간으로부터 일정시간이지난경우해당기능이동작 3 ㆍ 4 DDoS 대란의공격기법 5 6 Hosts 파일변조및백신방해 이들악성코드는인터넷주소의파일을변조해 V3 엔진업데이트를방해하는기능을갖고있었다. 파일구성의복잡성 이악성코드는분석가들의분석을어렵게하기위해공격때마다파일구성을달리하는지능적인모습을보였다. 앞서설명한바와같이 3ㆍ4 DDoS 공격의최전방에있는악성코드는 wxxxsvc.dll(win-trojan/agent d) 이다. 이악성코드는 DDoS 공격모듈로서공격시간, 공격대상정보를가지고 DDoS 공격을수행하도록설계되었다. 이때 DDoS 공격시간은 tlnwye.dat 파일에서, 공격대상사이트의 URL은 tljoqgv.dat 파일에서정보를가져왔다. 공격방식은 HTTP Get Flooding, UDP Flooding, ICMP Flooding 기법이이용됐다. 7

8 Time Source Destination Protocol Info TCP 2388 > 80 [SYN] Seq=0 Win=64240 Len=0 MS=1460 SACK_PERM= TCP 80 > 2388 [SYN, ACK] Seq=0 Ack=1 Win=5840 Len=0 MS S=1460 SACK_PERM= TCP 2388 > 80 [ACK] Seq=1 Ack=1 Win=64240 Len= HTTP GET / HTTP/ TCP 80 > 2388 [ACK] Seq=1 Ack=293 Win=6432 Len= TCP 2388 > 80 [FIN, ACK] Seq=293 Ack=1 Win=64240 Len= HTTP HTTP/ OK (text/html) TCP 80 > 2388 [FIN, ACK] Seq=301 Ack=294 Win=6432 Len= TCP 2388 > 80 [RST, ACK] Seq=294 Ack=301 Win=0 Len= TCP 2388 > 80 [RST] Seq=294 Win=0 Len= TCP 2390 > 80 [SYN] Seq=0 Win=64240 Len=0 MS=1460 SACK_PERM= TCP 80 > 2390 [SYN, ACK] Seq=0 Ack=1 Win=5840 Len=0 MS S=1460 SACK_PERM= TCP 2390 > 80 [ACK] Seq=1 Ack=1 Win=64240 Len= HTTP GEt / HTTP/ TCP 80 > 2390 [ACK] Seq=1 Ack=224 Win=6432 Len= TCP 2390 > 80 [FIN, ACK] Seq=255 Ack=1 Win=64240 Len= HTTP HTTP/ OK (text/html) TCP 80 > 2390 [FIN, ACK] Seq=301 Ack=225 Win=6432 Len= TCP 2390 > 80 [RST, ACK] Seq=255 Ack=301 Win=0 Len= TCP 2390 > 80 [RST] Seq=255 Win=0 Len= UDP Source port: 2391 Destination port: ICMP Echo (ping) request (id=0x6b03, seq(be/ le)=27394/610, ttl=128) ICMP Echo (ping) reply (id=0x6b03, seq(be/le)=27394/610, ttl=64) [ 그림 4] 3 ㆍ 4 DDoS 공격패킷캡처 4) 3ㆍ4 DDoS 트래픽방어를위한필요기술 - 한대의 PC에서 HTTP/UDP/ICMP Flooding 이 IP 변조없이 DDoS 공격트래픽을발송하여, UDP/ICMP 와같은비정상서비스트래픽에대한탐지및좀비 PC IP 추출후차단처리 - UDP/ICMP 의고정패킷사이즈를이용한시그니처패턴생성후차단처리 - HTTP Get Flooding의 "Cache-Control: no-store, mustrevalidat" 는정상적인환경에서는거의사용하지않은 HTTP 요청이므로, 이를이용한시그니처패턴생성후해당좀비 PC IP 차단처리 - HTTP 302 URL Redirect 에도응답하지않는공격유형으로, 이번 3 ㆍ 4 DDoS 공격에서의 DDoS 공격트래픽의특징을살펴보 면다음과같이정리할수있다. 302 Redirect 기능을이용하는 DDoS 보안장비나별도의 URL 우회서버등을통하여차단처리 1) 공격트래픽종류 - TCP 3-Way Handshake 정상연결 + HTTP Get Flooding - ICMP Flooding - UDP Flooding 2) 공격특성및트래픽양분석 공격종류 Packet Type 공격량 SrcIP 변조 비고 TCP Syn TCP A ck 60 PPS 120 PPS X X TCP 3-Way TCP Push- Ack 60 PPS X TCP/HT TP Fl ooding Handshake 정상동작 TCP Fin- Ack TCP Rst-Syn TCP Rst 60 PPS 60 PPS 60 PPS X X X 1 HTTP Request / 1 TC P Session 이번 DDoS 공격은 2009년 7ㆍ7 DDoS 유형과비교하여좀비 PC를제어하는악성코드의기술에있어서는좀더고도화된양상을보이고있다. 하지만, DDoS 트래픽관점에서분석하면, 7ㆍ 7 DDoS와비교해서는양적이나공격기법적으로더뛰어난형태로보기는힘들다. 특히, 이미 2009년도부터국내에구축된 DDoS 공격대응제품에서는국내에서소위 'HTTP CC 공격 ' 으로불리는 'Cache-Control: no-store, must-revalidate' 에대한대응책이이미마련이되어있는상태였다. 아울러 DDoS 대응프로세스의일환으로웹서버의 URL을대리응답하는 URL 우회서버를구축하여운영중이기도하다. 따라서이러한준비된방어태세를뚫지못하는 DDoS 공격유형이발생하여그피해가미미했다고결론지을수있다. UDP Fl ooding UDP (Dst Port 80) (1066 By te) 10 PPS (0.09Mbps) X Fragments 안됨 만약이번 3 ㆍ 4 DDoS 공격이최신의보다고도화된 DDoS 공 ICMP Fl ooding ICMP (246 By te) 10 PPS (0.02Mbps) X Fragments 안됨 격대응기법으로발생되었다면, 이미 DDoS 대응체계를마련한곳 [ 표 3] 3 ㆍ 4 DDoS 공격의트래픽양분석 에서도 DDoS 공격에의한피해가매우커졌을것으로조심스럽게 예측할수있다. 따라서, 이번 3 ㆍ 4 DDoS 공격은 ' 방어했다 ' 에서종 결되어서는안된다. 향후진화하는 DDoS 공격에대해대응하기위 3) 3 ㆍ 4 DDoS 공격 vs. 7 ㆍ 7 DDoS 공격의트래픽유형비교 3 ㆍ 4 DDoS 공격의경우, 7 ㆍ 7 DDoS 공격과비교하여비슷하 한방어기법의고도화가지속적으로대응할수있는범국가적인 DDoS 대응체계고도화가시급하다. 거나오히려더단순한 DDoS 공격트래픽으로파악된다. 3 ㆍ 4 DDoS 공격은... 구분 2009 년 7. 7 DDoS 2011 년 3. 4 DDoS 좀비 PC 수 ( 방통위발표 ) 공격종류 HT TP 공격특징 UDP/ICMP Fl ooding 115,044 대 HT TP Get Fl ooding Non-S poofed UDP Fl ooding Spoofed UDP Fl ooding Non-S poofed ICMP Fl ooding Spoofed ICMP Fl ooding HTTP HT TP Re quest /1 T CP Session URL R edirect 에반응하지않음 Cache-Contr ol 사용 / 사용안함 User-Agent 변경 Sou rce IP를변조하거나변조하지않음가변적인 Packet Sie (4~48 By te) 116,299 대 HT TP Get Fl ooding Non-S poofed UDP Fl ooding Non-S poofed ICMP Fl ooding HTTP HT TP Re quest / 1 T CP Session URL R edirect 에반응하지않음 Cache-Contr ol 사용 / 사용안함 User-Agent 변경 Accept 변경 Sou rce IP를변조하지않음고정 Packet Si ze (UDP 1024 By te, ICMP 204 By te) 세차례에걸쳐최대 40개사이트를대상으로발생했던이번 3ㆍ4 DDoS 공격은별다른피해없이소강상태에접어들었다. 특히 3차공격이후공격자는기존스케줄링을무시한채 5일오후 10시를기점으로좀비 PC의하드디스크를파괴하는명령을내렸다. 이는곧사실상이번 3ㆍ4 DDoS 공격은실패한것으로분석할수있다. 좀비 PC 당공격트래픽양 103 PPS ( 전체 ) 389 PPS ( 전체 ) 3 ㆍ 4 DDoS 공격이 7 ㆍ 7 DDoS 공격과비슷한규모였음에도 [ 표 4] 3 ㆍ 4 DDoS 공격 vs. 7 ㆍ 7 DDoS 공격의트래픽유형비교 불구하고, 심각한서비스장애가일어나지않은것은 DDoS 공격에 대한사전인지및이를기반으로한사전대응에성공했기때문이다. 8

9 이처럼 DDoS 공격조기진압이가능했던것은 7ㆍ7 DDoS 이후정부및민간의대응역량의강화를이유로꼽을수있다. 악성코드가발견되자정부와안철수연구소를비롯한민간기관들이공 악성코드 AhnLab Smart Defense 조하여빠르게분석ㆍ공유하여신속하게대응할수있었다. 또한 DNA 안철수연구소와보호나라를방문하여전용백신을다운로드받는 2,000 만이상 V3 Lite 사용자 악성코드자동분석및악성 DNA Database 화 최다파일 DNA 확보 등개인 PC 사용자들의적극적인대처도큰역할을했다. 200,000,000 개이상 안철수연구소, 조용하지만신속한대처 ' 빛났다 ' 1) DDoS 공격방어성공의비결은 ' 프로세스 ' 악성코드확산조기탐지및알림 수집된정보를바탕으로특정악성코드의확산에대해알림 DNA Map 을통한변종의즉각대응 수집된악성코드의 DNA 를통해 500 여가지의특징을기반으로 변종을자동탐지대응 안철수연구소는 3ㆍ4 DDoS 공격방어에있어서한국인터넷진흥원 (KISA) ㆍ국가정보원ㆍ방송통신위원회와함께뛰어난활약을보여주었다. 안철수연구소가이번 DDoS 공격방어를성공적으로수행함으로써 7ㆍ7 DDoS 공격이후선보인 ACCESS(AhnLab Cloud Computing E-Security Service) 전략이효과적이라는것을입증한셈이다. ACCESS는기존 ASEC( 시큐리티대응센터 ) 의악성코드수집및분석능력과 CERT( 침해사고대응센터 ) 의위협모니터링및대응서비스를지능형기술로받쳐주는플랫폼이다. 이플랫폼을통해 DDoS 공격의근원지부터분석및대응, 배포과정을대응프로세스관점에신속하게제공함으로써종합적인대응체제가가능하게된것이다. 실제로안철수연구소는공격발생전인 3월 3일, ASD에서수집된악성코드샘플을수집한즉시 ASEC에서전달해분석결과를내놓았다. 동시에 CERT에서는고객의네트워크트래픽상황을체크했다. 아울러고객지원부서를통해실제악성코드로인한피해사례가있는지를확인했다. 이모든정보를종합한결과, 해당악성코드로인한 DDoS 공격이발생할것이라는것을정확하게예측했다. [ 그림 6] AhnLab Smart Defense 개념도및주요기능이에따라 ASEC에서는전용백신개발에착수하였고, 트러스가드및트러스가드 DPX와같은네트워크제품군에도시그니처를적용했다. 또한 CERT와보안관제서비스를통해공격대상사이트에대응준비를할수있도록 DDoS 경보와함께관련정보를전달했다. 특히안철수연구소는 ASEC의분석센터와 CERT의관제센터가바로옆에위치하고있기때문에악성코드샘플, 네트워크트래픽상황, 유포지, 감염통계치 ( 피해상황 ) 등관련정보를즉각적으로공유하여보다민감하게대응할수있었다. 한편 3월 4일실제공격이발생한직후에는안철수연구소홈페이지뿐만아니라트위터, 블로그등을통해언론보도보다더욱빠르게 DDoS 공격경보를발령했으며, 일반 PC 이용자들과기업고객들을대상으로무료전용백신을배포했다. 또한 3차공격직후하드디스크손상에관한내용역시트위터, 블로그등을통해신속하게전달하고조치방안을제시했다. 2) 안철수연구소신기술 'ASDㆍDNA 스캔 ' 맹활약 7. 7 DDoS 이후정립및고도화된 ACCESS 기반 DDoS 대응프로세스 1 2,000 만 V3 Lite 사용자 종합위협정보수집모니터링 2 ASD Cloud DDoS 사전탐지 [ 그림 5] 안철수연구소의 DDoS 대응프로세스 3 5 ASEC 시큐리티대응센터 전용백신대응 제품 / 서비스대응 대외공지 좀비 PC 확산방지 위협분석공격예측 추가공격모니터링 CERT 침해사고대응센터 국가기관공조 기술지원, 고객지원 DDoS 공격방어 4 전방위대응조치 안철수연구소는 3ㆍ4 DDoS 공격에대한정보를가장먼저파악하고방어의선봉장으로나섰다. 이처럼안철수연구소가사전대응을할수있었던것은클라우드컴퓨팅개념의악성코드대응시스템인 ASD(AhnLab Smart Defense) 가있었기때문이다. ASD는클라우드환경에서실시간으로위협탐지가가능하기때문에이번 3ㆍ4 DDoS 공격에이용된악성코드의샘플을실시간으로수집하고, 이악성코드를유포한 6 개의 P2P 사이트를밝혀냈다. 특히 DDoS 공격에사용된 C&C 서버의 IP에접속하는프로그램을추적하는시스템을가동해 C&C 서버리스트, 공격자리스트등의정보를빠르게수집할수있었다. 이와더불어악성코드유포자의특징을추출해작성한 DNA 맵 (Map) 기술을이용해 DNA 룰에매치되는샘플을확인, 악성코드 9

10 [ 그림 7] 안철수연구소의신기술 DNA 스캔 변종을파악해신속하게대응할수있었다. 실제사회에서범죄가발생했을때범인이변장을하거나외양을바꿀수는있어도 DNA 는변하지않는것과마찬가지로악성코드유포자들또한변하지않는특징을갖고있다. 이러한특징을추출하여다수의규칙으로맵 (Map) 을구축한것이 DNA 맵기술이며, 맵에서일치되는변종을찾아빠른대응이가능하다는장점이있다. 바로이러한기술을이용해이번 3ㆍ4 DDoS 공격에이용된악성코드의샘플이수집된즉시, 500여가지의 DNA 룰을기반으로해당악성코드분석이가능했다. 이를통해 2차, 3차의변종을사전혹은빠른시간내탐지및대응할수있었던것이다. 3) DDoS 공격방어의숨은공신 'V3' 이번 DDoS 공격과방어뒤에는 'V3' 가있었다. 우리나라기업 PC의약 60% 와 2,800만대개인 PC에설치되어있는 V3 클라이언트제품에는 ACCESS 전략하에개발된 ASD 및 DNA 스캔등의최신기술들이기본적으로탑재되어있다. 사용자들을대상으로배포하는것이다. 즉, 악성코드에이미감염되었거나 V3 제품을사용하지못하는환경, 타백신제품사용자들을위해별도제작되는것이다. 지금현재이순간에도각종치명적이고위험한악성코드들이 ACCESS 시스템하의 V3 제품군을통해속속제거ㆍ치료되고있다. 4) 엔드포인트기술과네트워크ㆍ보안관제기술의 ' 환상적인공조 ' 이번 3ㆍ4 DDoS 공격에서의좀비 PC 확산차단의일등공신은 ' 엔드포인트기술과네트워크ㆍ보안관제기술의협력 ' 을꼽을수있다. 안철수연구소는 ASEC의악성코드분석을통해어떠한종류의네트워크공격유형인지미리예측했다. 따라서공격시간은물론공격에관한제반정보를 CERT 및관제인력과공유했다. 또한안철수연구소의네트워크제품군인트러스가드와트러스가드 DPX 에시그니처를반영했다. 이렇게제품의시그니처적용이수초이내에가능해긴급대응의제몫을다해냈다. 실제로긴급 IPS 시그 V3 제품군은실시간으로 ACCESS와연동되어있어이번 DDoS 사태를가장먼저예측하게했다. 또한예방및치료를위한빠른엔진업데이트를제공함으로써 DDoS 공격의핵심주체인좀비 PC 확산최소화에힘을보탰다. 타사제품들이악성코드를분석하고엔진에탑재할무렵, 안철수연구소는이미 V3 제품군을통해기업, 개인 PC에최신엔진을배포한후였다. 뿐만아니라수차례연속적으로발생한변종에대한실시간대응또한 ACCESS 와 V3 제품간의유기적결합구조에서만빛을발할수있는결과물이었다. 이에 V3 제품군사용자들은최신엔진만유지했다면사전대응이가능함은물론, 기타전용백신을사용할필요가없었다. 안철수연구소에서제공하는전용백신은 V3 제품을사용하지않고있는 CERT 안철수연구소보안관제팀 대응과정 성공요인 고객사공격대상인지 1 비상대응시작 사전준비 연 2회모의훈련으로대응방안사전준비 방어성공 >> 3/4 공격트래픽유입 3/5 공격트래픽유입 3/6 ( 최대 1.3G) ( 최대 1.7G) 차단패턴제작 / 배포보안정책적용 연 2 회모의훈련으로시나리오별대응준비 DDoS 공격대응프로세스수립 DDoS 보안장비최적화적용대응노하우및경험축적 ACCESS를통한공격정보사전탐지 [ 그림 8] 3 ㆍ 4 DDoS 공격대응성공사례 트래픽유입량에따른단계별대응 방어성공 >> ASEC + CERT를통한공격정보정밀분석 방어성공 >> 공격트래픽유입 ( 최대 500M) 3 차에걸친공격방식변화를유기적으로대응 탐지 / 모니터링정밀분석 고객및보안관제팀의완벽한협업체계 관제사의정확한분석정보제공대응시나리오에따른팀별협업대응노하우및경험축적 비상상황종료 입체적대응 차단정책실시간배포대응가이드제공 ASEC + 관제팀의신속 / 입체적인대응 조기예경보가능한 ACCESS ASEC을통한신속 / 정확한분석 CERT를통한빠른대응적용 10

11 ASEC 기술지원 홈페이지 분석 / 위협대응 오프라인대응 온라인대응 CERT 고객지원 Twitter Facebook [ 그림 9] DDoS 대응에대한안철수연구소의조직협력체계및대응조치 니처업데이트를통해유입되는 DDoS 공격차단정책적용과함께 내부 PC 의아웃바운드 DDoS 공격탐지및악성코드에감염된내 부 PC 의 C&C 서버통신트래픽탐지ㆍ차단을처리했다. 특히안철 수연구소의 DDoS 대응제품인트러스가드 DPX 는 HTTP 요청패킷 의정상여부에대한실시간검증및비정상 DDoS 공격트래픽에 대한차단, 비정상소스 IP 에서유입되는 UDP/ICMP 트래픽에대해 실시간으로다이나믹하게차단했다. 또한 CERT 및보안관제, 네트워크지원인력은공유된공격 정보를바탕으로운영중인고객사네트워크장비의차단정책을 설정하고네트워크자원을효율적으로활용해고객의사이트를안 전하게지켜냈다. 보안정책배포 전용백신 고객문의 / 지원 @ASEC_TFT 악성코드확산차단 악성코드원인제거 네트워크위협대응 악성코드유포지차단 C&C 차단좀비PC 확산차단 감염 PC 치료 PC 장애예방변종코드모니터링 / 대응 공격샘플및트래픽분석탐지시그니처배포 ( 수초이내 ) 5) 위기에빛나는안철수연구소의 ' 조직력 & 인력 ' 앞서설명했듯이 DDoS 공격방어는하나의제품, 하나의서비스만으로가능한것이아니다. 보안제품과서비스, 그리고전문인력이적절히조화를이뤄야만효과적인결과를가져올수있는것이다. 안철수연구소는 20여년이상의보안노하우를지닌국내최고의보안업체이다. 악성코드및네트워크에대한기반기술과다양한레퍼런스를통한비즈니스노하우, 그리고시장의검증을마친제품과서비스등이결합해강력한시너지효과를냈다. 여기에 10 여년이상악성코드분석에집중해온막강맨파워군단인 ASEC 의분석능력은세계최고임을또다시입증했다. 지난 7ㆍ7 DDoS 당시에도스케줄링기능이탑재되어있다는것을세계최초로밝혀내전세계를깜짝놀라게했다. 그리고오랫동안쌓아온 CERT 및보안관제노하우가이러한위기상황에서든든하게뒷받침해준다. 각기다른네트워크장비와보안장비특성을파악하고이를효과적으로활용할수있는전문인력과서비스체계를갖추고있기때문에안철수연구소는이번 3ㆍ4 DDoS 공격에대해서도가장먼저, 가장효율적으로대응할수있었다. 또한이러한각기다른팀들이하나의목표를향해함께움직일수있는안철수연구소의조직구성도이번 DDoS 공격방어를성공적으로이끌어내는원동력이되었다. 무엇보다국가적위기상황을지켜내야한다는신념으로며칠밤을새어가며 DDoS 공격에대응해온안철수연구소모든구성원의사명감이가장큰힘을발휘했다. 11

12 SPECIAL REPORT 2 부 - 3 ㆍ 4 DDoS Q&A 3 ㆍ 4 DDoS 공격에관해궁금한 20 문 20 답 7ㆍ7 DDoS 공격이발생한지불과 2년도되지않아또다시대규모 DDoS 공격이국내주요기관및기업을위협했다. 다행히지난 2009년이후준비된대응체계와학습된보안의식으로피해를최소화할수있었지만 DDoS 공격에대한경계의목소리는더욱높아졌다. 흔히 ' 지피지기 ' 면 ' 백전불태 '( 知彼知己百戰不殆 ) 라고한다. 벌써두번째발생한대규모 DDoS 공격을계기로 IT 환경을위협하는 ' 공공의적 ' DDoS에관해 20가지문답을통해상세히알아보자. 특히지난 7ㆍ7 DDoS 공격과이번 3ㆍ4 DDoS 공격의유사점과차이점을파악하고, 이를통해추후발생할수있는다양한형태의 DDoS 공격에준비하자. 1 왜 3 ㆍ 4 DDoS 공격이라고표기하나? 일부에서는 3 ㆍ 3 DDoS 공격이라고도하던데? 실제로 3 월 4 일오전 10 시부터좀비 PC 로인한공격이발생했기 때문에공격기점을기준으로 '3 ㆍ 4 DDoS 공격 ' 으로공식표기되 었다. 3 월 3 일소량의 DDoS 공격이있었으나이번 3 ㆍ 4 DDoS 공 격과같은것으로보기에는악성코드샘플상의근거가없다는것이 전문가들의의견이다. DDoS 공격은수시로발생하기때문에 3 월 3 일에발생한극히일부의 DDoS 공격을 3 ㆍ 4 DDoS 공격과연관짓 기는어렵다. 이와마찬가지로지난 2009 년에도한국이공격받은 실제날짜인 7 월 7 일을기준으로 7 ㆍ 7 DDoS 라고명명되었다. 2 DDoS 공격이란무엇인가? DDoS 공격은 ' 분산서비스거부 (Distributed Denial of Service)' 공격 의약자로, 특정서버에다량의트래픽을보내어서버를다운시키 거나네트워크를지연시켜서비스를불가능하게만드는것이다. 공 격자는이른바좀비 PC 라고불리는감염 PC 를조정하여특정시간 에특정사이트를공격한다. 즉, 수만에달하는여러대의컴퓨터를 동작하게하여특정웹사이트에동시에접속함으로써해당사이트 의시스템과부화를유발해정상적인서비스를할수없는상태가 되도록만드는것이다. 이러한 DDoS 공격은인터넷을통해비즈니 스를운영하고있는수많은기관또는기업의영업방해및피해를 야기할뿐만아니라메인컴퓨터기능에까지치명적인피해를입힐 수도있다. 3 DDoS 공격에이용되는좀비 PC는무엇인가? 좀비 PC란악성코드에감염되어악성코드공격자의의도에따라명령을수행하는 PC를지칭한다. 즉, ' 사용자가모르는사이에해커의원격조정을받는 PC' 로, 원격지에있는공격자의명령에의해조정된다는의미에서좀비라는명칭으로불리게된것이다. 악성코드에감염된좀비 PC는사용자도알지못하는사이에 DDoS 공격에이용돼특정사이트로대량의트래픽을전송하는역할을한다. 또한해커가원할경우, PC에담긴개인정보를빼내거나시스템을손상시킬수도있어클라이언트 PC의피해를야기한다. 4 이번 3ㆍ4 DDoS 공격의피해는어느정도였는가? 세차례에걸쳐최대 40개사이트를대상으로발생했던이번 3ㆍ4 DDoS 공격은별다른피해없이종료되었다고볼수있다. 공격대상이었던해당사이트들은현재모두정상적으로서비스되고있다. 지난 3월 4일, 29개사이트를대상으로 1차공격이발생했지만대부분의사이트는곧복구돼정상적으로서비스를제공했다. 또한같은날오후 6시 30분에총 40개사이트를대상으로 2차공격이발생했지만, 역시별다른피해가발생하지않았다. 공격대상이급격히줄어든 3월 5일오전 8시, 3차공격또한효과적인대응으로차단할수있었다. 한편, 방송통신위원회의발표에따르면, 이번 3ㆍ4 DDoS 공격으로인한하드디스크손상관련신고는총 756건으로집계됐다. 12

13 5 지난 7 ㆍ 7 DDoS 공격에비해이번 3 ㆍ 4 DDoS 공격의파괴력이크지않았다는평가가있다. 실제로도그러한가? 정확히표현하자면파괴력은강했지만피해가적었다고할수있 다. 이번 3 ㆍ 4 DDoS 공격은공격대상사이트가 40 개에달해 7 ㆍ 7 DDoS 공격당시 23 개였던것보다공격규모가컸다. 또한공격 에이용된악성코드도 7 ㆍ 7 DDoS 공격당시보다지능적이었다. 그 럼에도불구하고실질적인피해는크지않았다. 이는 DDoS 공격의 실체를파악하고사전에대응했기때문이라할수있다. 특히, 7 ㆍ 7 DDoS 공격의경험을토대로정부와민간기관들의발빠른대응이 있었다. 뿐만아니라개인 PC 사용자들의적극적인대처가이번 3 ㆍ 4 DDoS 공격을무력화하는데큰역할을했다. 6 이번공격에서는공격종료시간이없는것으로알려졌다. 그런데돌연 5 일밤, 공격에이용된좀비 PC 의하드디스크파괴명령을내렸다. 그이유가무엇인가? 현재로서는정확한이유는알수없지만 3 월 4 일오후 6 시 30 분의 2 차공격, 3 월 5 일 3 차공격으로계획했던만큼의피해를입히지 못하자공격자는공격이실패했다고판단한것으로추측된다. 당초 4~7 일후에하드디스크가파괴되도록설정해두었음에도불구하고 3 차공격이후 ' 즉시 ' 파괴되도록명령이전달된점이그증거라할 수있다. 즉, 더이상의공격은무의미하다는판단으로데이터를파 괴함으로써또다른혼란을시도한것으로보인다. 한편, 세차례의 공격에도불구하고공격대상사이트들의피해가적었던이유는신 속한전용백신의개발및배포등으로공격자가원하는수준의피 해를입히지못했기때문으로, 이에공격자는공격방식변화와타 깃축소의방법을택했을가능성이높다. 7 이번 3 ㆍ 4 DDoS 공격의유포지가 P2P 사이트라고발표했다. 안철수연구소에서신속하게유포지를파악할수있었던이유는무엇인가? 실제로이번 3 ㆍ 4 DDoS 공격은사전에유포지를다찾아내었다 는것이 7 ㆍ 7 DDoS 공격과의가장큰차이였다고할수있다. 안철 수연구소에서사전에 DDoS 공격에대한정보를파악하고성공적 인대응이가능했던이유는클라우드컴퓨팅개념의악성코드대응 시스템인 ASD(AhnLab Smart Defense) 가있었기때문이다. ASD 는클라우드환경에서실시간으로위협탐지가가능하기때문에이 번 3 ㆍ 4 DDoS 공격에이용된악성코드의샘플을실시간으로수집 하고, 이악성코드를유포한 6 개의 P2P 사이트를밝혀냈다. 특히 8 안철수연구소에서는어떻게 1 차, 2 차, 3 차공격은물론하드디스크손상까지미리파악할수있었나? 이번 3 ㆍ 4 DDoS 공격에사용되는악성코드는공격때마다파일구 성을달리하는지능적인수법을사용했다. 그러나이러한변칙적인 공격도안철수연구소의 ASD 기술과 DNA 스캔기술을피해갈수 는없었다. 실제사회에서범죄가발생했을때범인이변장을하거 나외양을바꿀수는있어도 DNA 는변하지않는것과마찬가지로 악성코드유포자들또한변하지않는특징을갖고있다. 이러한특 징을추출하여다수의규칙으로맵 (Map) 을구축한것이 DNA 스캔 기술로, 특히맵에서일치되는변종을찾아빠른대응이가능하다는 장점이있다. 이번 3 ㆍ 4 DDoS 공격에서도해당악성코드의샘플이 수집된즉시, 해당악성코드를 500 여가지의 DNA 룰을기반으로 분석하였으며, 2 차, 3 차, 4 차의변종을사전혹은빠른시간내탐 지및대응할수있었다. 9 안철수연구소에서는사전에 1 차, 2 차, 3 차공격을파악하고어떤조치를했나? 안철수연구소는 ASEC( 시큐리티대응센터 ) 의악성코드수집및분석 능력과 CERT( 침해사고대응팀 ) 의위협모니터링및대응서비스의 유기적인협조로신속하게악성코드유포지를찾는것은물론, 선제 적으로이번 3 ㆍ 4 DDoS 공격에대응할수있었다. 우선, 1 차공격이개시되기하루전인 3 월 3 일, 안철수연구소 ASEC 에서해당악성코드샘플을수집해즉각분석에돌입했다. CERT 에서도고객네트워크트래픽을모니터링한결과, 이상징후 를포착해그결과를 ASEC 에전달했다. ASEC 의악성코드분석결 과와 CERT 의네트워크모니터링분석결과를종합한결과, DDoS 공격이라는것을확신할수있었다. 이에 ASEC 에서는전용백신의 개발 / 배포에착수했다. 동시에 CERT 와보안관제, 네트워크지원부 서에서는네트워크단에서신속한대응을할수있도록고객사네트 워크제품에새로운시그니처를적용하고정책을새롭게적용했다. 이처럼안철수연구소는분석센터와관제센터가바로옆에위 치하고있기때문에트래픽을즉각적으로분석, 대응할수있었으 며샘플, 유포지, 감염통계치 ( 피해상황 ), 시간등관련정보를즉각 적으로공유하여보다민감하게대응할수있었다. 특히, 3 월 4 일 실제공격이발생한직후에는안철수연구소홈페이지등을통해일 반 PC 이용자들과기업고객들을대상으로무료전용백신을배포 했다. 또한 3 차공격직후하드디스크손상에관한내용을신속하게 전달하고조치방안을제시하였다. DDoS 공격에사용된 C&C 서버의 IP 에접속하는프로그램을역추 적하여 C&C 서버리스트, 공격자리스트정보를빠르게수집할수 있었다. 13

14 10 공격의배후는누구인가? 안철수연구소는공격의배후에관해답변할위치에있지않다. 현재 정부에서이번 3 ㆍ 4 DDoS 공격에관해수사하고있으므로, 그결 과를지켜보아야할것같다. 한편, 악성코드자체에는공격자를추 정할만한근거는없었다. 11 C&C(Command & Control) 서버는어느나라에있었나? C&C 서버는미국, 호주, 베네수엘라, 대만, 포르투갈, 세르비아, 이 탈리아, 브라질, 이란, 태국, 그리스, 인도등여러국가에흩어져있 는것으로확인되었다. 방송통신위원회는 3 ㆍ 4 DDoS 공격명령을 내린 C&C 서버가 72 개국, 748 개에이른다고발표했다. 12 하드디스크데이터손상과관련해어떤증상들이예측되었나? 이번 3 ㆍ 4 DDoS 공격에서는하드디스크파괴명령이전달되면먼 저 A~Z 의모든드라이브를검색해 zip, c, h, cpp, java, jsp, aspx, asp, php, rar, gho, alz, pst, eml, kwp, gul, hna, hwp, pdf, pptx, ppt, mdb, xlsx, xls, wri, wpx, wpd, docm, docx, doc 파일들을복 구할수없도록손상시킨다. 또한 A~Z 의모든고정드라이브를검 색해시작부터일정크기만큼을 0 으로채워하드디스크를손상시켜 아예컴퓨터작동이되지않게된다. 이경우, PC 를켰을때부팅이 되지않으며, 도스화면에 OS 를찾을수없다 (Operating system not found) 는등의메시지가나타난다. 감염시부팅에필요한 MBR 영역 이훼손되며, 그결과부팅이되지않는것이다. 13 모든좀비 PC 의하드디스크가영향을받는것인가? 이번 3 ㆍ 4 DDoS 공격에이용된악성코드가손상시키는운영체제 는모든윈도우운영체제로확인되었다. 특히 noise03.dat 파일이 존재하지않는경우 ' 파일및디스크손상기능 ' 이동작하게되며, PC 가최초로감염된시간이기록된파일인 noise03.dat 에기록된 감염시간보다 PC 시간이빠른경우, 또는 noise03.dat 에기록된감 염시간으로부터일정시간이지난경우에도하드디스크손상등의 문제가발생할수있다. 그러나 V3 Lite 나전용백신으로치료한경 우에는하드디스크가파괴되지않았다. 14 PC 사용자들이이러한피해를입지않으려면어떻게해야하나? 무엇보다악성코드에감염되지않도록주의하는것이기본이며필 수적이다. 특히악성코드유포지로활용되는파일공유사이트에는 당분간접속을자제하는것이바람직하다. 아울러이후에도백신제 품을최신엔진으로업데이트하고실시간감시를동작시켜재차감 염되는것을방지해야한다. 한편이번하드디스크파괴증상은명령서버로부터명령을받 고일정기간이지난후에동작했던 2009 년 7 ㆍ 7 DDoS 공격때와 는달리, 명령을받는즉시동작하도록설정되어있었다. 따라서사 용자들이 PC 를켤때악성코드가동작하지못하도록반드시안전 모드로부팅하여 DDoS 전용백신을다운로드받아점검한후안전 한상태에서 PC 를사용하도록조언했다. 15 하드디스크데이터손상을입었다면어떻게복구할수있나? 데이터복구프로그램및복구전문업체에별도로문의할필요가 있다. 다만지금까지의사례로보았을때, 완전복구는어려울것으 로보인다. 16 기존에 V3 를설치했어도 3 ㆍ 4 DDoS 전용백신을다운로드해야하나? 그렇지않다. 이번 3 ㆍ 4 DDoS 공격의원인이되었던악성코드및 그변종의발견즉시, V3 에최신엔진업데이트가적용되었기때 문이다. 그러므로 V3 이용자들이최신업데이트를적용했다면 3 ㆍ 4 DDoS 전용백신을설치할필요가없었다. 단, 기존에 V3 를설치 했다하더라도최신업데이트적용을하지않은사용자라면위협에 노출될가능성이있다. 따라서기설치된 V3 에대한최신업데이트 를반드시적용할것을당부했다. 또한기존에 V3 를설치한고객이 전용백신을설치했다하더라도 V3 와충돌이되거나다른문제가생 기지는않는다. 단지앞서설명했듯이 V3 를사용하면별도전용백 신을설치할필요가없을뿐이다. 한편전용백신은이번 3 ㆍ 4 DDoS 에이용된악성코드및그변 종에대한해결책만담고있다. 따라서추후안전한 PC 사용을위 해서는이번에설치한 3 ㆍ 4 DDoS 전용백신을계속사용해서는안 된다. 기업의경우에는 V3 IS 8.0, 개인의경우에는 V3 Lite 나 V3 365 클리닉을사용하는것이바람직하다. 14

15 17 맥 (Mac) 컴퓨터도이번공격에영향을받는가? 맥컴퓨터에도 3 ㆍ 4 DDoS 전용백신을설치해야하는것은아닌가? 이번 3 ㆍ 4 DDoS 공격에사용된악성코드들은윈도우운영체제만 타깃으로했다. 따라서맥 (Mac) 컴퓨터와같이운영체제가다른컴 퓨터는해당사항이없으며, 3 ㆍ 4 DDoS 전용백신을설치할필요 는없다. 그러나맥컴퓨터역시좀비 PC 로활용될수있다. 비록 이번사건에는문제가되지않지만추후악의적인해커에의해악 용될소지는있으므로, 안전한이용을위해평소사용자의보안인 식과노력이필요하다. 18 스마트폰이나태블릿 PC 에도 3 ㆍ 4 DDoS 전용백신을설치해야하나? 이번 3 ㆍ 4 DDoS 공격은윈도우운영체제의 PC 만해당되기때문 에안드로이드등의운영체제를이용하는스마트폰이나태블릿 PC 에는 3 ㆍ 4 DDoS 전용백신을설치할필요가없다. 그러나최근스 마트폰이나태블릿 PC 와같은스마트모바일기기를노리는모바 일악성코드가증가하면서이른바 ' 좀비폰 ' 등모바일기기를이용 한 DDoS 공격의가능성이제기되고있는것은사실이다. 따라서안 전한모바일기기이용을위해모바일전용백신을설치하는것이 바람직하다. 안철수연구소는안전한스마트폰사용을위해모바일 전용백신 V3 Mobile 을제공하고있으며, 국내에서출시된대다수의 스마트폰단말기에기본탑재되어있어편리하게이용할수있다. 모바일백신의경우에도백신의최신업데이트적용이반드시수반 되어야한다. 19 이번 3 ㆍ 4 DDoS 공격이후대책을논의해야할때라고본다. 정부, 기업, 개인등어떤대책이필요할까? 지난 7 ㆍ 7 DDoS 공격이후보안사각지대로지적된 P2P 사이트가 여전히방치되고있음이이번 3 ㆍ 4 DDoS 공격을통해확인되었다. 에도불구하고이를효과적으로운용하지못했던것이문제로지적되고있다. 기존에도입한 DDoS 대응장비들을보다실질적이고효율적으로운용할수있는방법을고민하는한편, 전문성을갖춘보안업체와의긴밀한협조등기업 IT 인프라를안전하게유지할수있는실질적인방법모색이요구된다. 한편이번 3ㆍ4 DDoS 공격에서개인사용자들의전용백신설치등개인들의적극적인노력이피해를최소화하는데큰역할을했다. 앞으로도특히좀비 PC가되어범죄에악용되지않도록개인 PC 이용수칙을인지하고실천하는노력이필요하다. 20 향후안철수연구소의 DDoS 대응전략은무엇인가? DDoS 공격을네트워크트래픽현상으로만바라보는것은매우좁은시각이다. 이번 3ㆍ4 DDoS 공격을비롯해최근 DDoS 공격의양상이고도화, 다양화하고있는만큼네트워크레벨에서클라이언트레벨까지전영역에대한전방위적방어체제가요구된다. 안철수연구소는네트워크트래픽기반의공격은 DDoS 공격대응전용제품인트러스가드 (TrusGuard) DPX가담당하고있다. 또한클라이언트레벨의악성코드탐지및치료는 V3 IS 8.0ㆍV3 365 클리닉ㆍV3 Lite 등 V3 제품군이맡고있다. 더불어웹페이지의안전한관리를위한웹페이지모니터링솔루션, 사용자기반웹보안솔루션으로악성코드유포를차단하고있다. 즉, 네트워크서버측면에서뿐만아니라클라이언트측면에서좀비 PC 해결및 DDoS 대응이가능하다는것이안철수연구소의강점이라할수있다. 또한이모든프로세스는안철수연구소의클라우드보안전략 ACCESS(AhnLab Cloud Computing E-Security Service) 하에전개되고있다. ACCESS는기존 ASEC( 시큐리티대응센터 ) 의악성코드수집및분석능력과 CERT( 침해사고대응팀 ) 의위협모니터링및대응서비스를지능형기술로받쳐주는플랫폼이라할수있다. 바로이러한플랫폼을통해 DDoS 공격의근원지부터분석및대응, 배포과정을대응프로세스관점에신속하게제공함으로써더욱종합적인대응체제를운영, 발전시킬계획이다. 이미취약점을인지하고웹하드업계에무료보안점검을제안되기 도했으나, 강제조항이아니기때문에효과를거두지못했기때문 이다. 기업의경우, 업무용 PC가외부의불특정다수에게 DDoS 공격을할경우에는내부업무네트워크및시스템의영향으로인한업무지장을초래할수있으며, 불특정다수의 DDoS 공격피해자를양산할수있다. 따라서기업의관리자는평상시내부업무용 PC에대한보안수준강화를위한노력을지속적으로기울여야하며, 아울러좀비 PC를유발하는행위에대해사전탐지 / 대응을할수있는시스템또는대응프로세스를적용해야한다. 한편상당수의기업이지난 7ㆍ7 DDoS 공격이후 DDoS 대응장비를대거도입했음 15

16 SPECIAL REPORT 3 부 - 3 ㆍ 4 DDoS 대응현장르뽀 3 ㆍ 4 DDoS, 안철수연구소의긴박했던 5 박 6 일 이번 3ㆍ4 DDoS 공격은지난번과달랐다. 이번공격의피해는지난 7ㆍ7 DDoS 공격때보다적었지만, 훨씬지능화되고치밀해져대응하기가만만치않았다. 공격종료시간도설정되어있지않았던이번공격용악성코드는특히백신의업데이트를방해하는기능뿐만아니라공격때마다파일구성을달리하는등다양한양상을보여보안전문가들의추격을방해했다. 그러나이러한교묘함도안철수연구소의 ASD 기술과 DNA 스캔기술을피해갈수는없었다. 실제적으로는총이틀에걸쳐발생했던 3ㆍ4 DDoS 공격을쫓는안철수연구소전직원의잠들지못한 144시간, 5박 6일의생생한현장을지금부터들여다보자 년 3 월 3 일목요일 2011/03/03/09:00 AhnLab Smart Defense, 악성코드의심파일탐지 안철수연구소의 ASD(AhnLab Smart Defense) 에악성코드로 의심되는파일이탐지됐다. 평소와마찬가지로즉각적인분석에들 어갔다. 그런데두시간뒤, 국가정보원 ( 이하국정원 ) 에서도같은샘 플에대한문의가들어왔다. 의심파일들에대한정밀분석결과, 이 들의정체는 DDoS(Distributed Denial of Service) 공격용악성코드 인것으로드러났다 년 3 월 4 일금요일 2011/03/04/01:30 1 단계비상대응체제돌입 새벽 1 시 30 분. ASEC( 시큐리티대응센터 ), CERT( 침해사고대응 팀 ) 를비롯한안철수연구소비상대응체제의모든구성원들에게긴 급문자가전송됐다. 조시행상무를비롯한연구원들은동도트지않 아더욱차가운새벽바람에맞서며여의도로향했다. 출근이아니 라출동이라고하는것이더적당한광경이다. 그러나 DDoS는공격을사전에막기가어려운위협이다. 따라서최선의방어는공격을사전에파악한만큼최대한신속히, 그리고널리대응하여피해확산을줄이는것뿐이다. 특히분석에서부터보안요령을전달하기까지의일련의과정이군더더기없이최대한빨리진행하는것이관건이다. 이것은지난 7ㆍ7 DDoS를온몸으로겪은안철수연구소에 DNA처럼새겨진교훈이었다. 또다시닥쳐온 DDoS 공격을확신한안철수연구소는국정원, 방송통신위원회 ( 이하방통위 ), KISA등의기관과정보를공유하고대응에나섰다. 비상대응체제발령알림문자 2011/03/04/02:04 악성코드유포지추가확인 2011/03/04/08:50 변종악성코드유포확인 트러스가드 DPX 를이용한당시관제모니터링상황판 분석과대응관련업무를담당하는직원들이악성코드가추가로유포된곳이있는지파악하던중, 오전 10시로공격시간이변경된새로운악성코드와유포지를찾아냈다. 즉시 DDoS 공격이예상되는 29개사이트에대해사전에준비하여대응할수있도록조치했다. 해당홈페이지현장에서직접지원하기위해파견을나가는직원들의모습도보였다. 16

17 2011/03/04/18:30 2 차공격시작 오후가되자좀비 PC 의확산세가줄어드는모습을보였다. 2 차 공격이예고되었던오후 6 시 30 분, 서버는생각보다훨씬안정적인 흐름을보였다. 언론의 DDoS 공격보도 ( 출처 : SBS) DDoS 공격대상에는안철수연구소홈페이지 (ahnlab.com, 이하안랩닷컴 ) 도포함되어있었다. 따라서안랩닷컴은 DDoS의대량트래픽포화를차단하면서백신을배포하기위한트래픽을제공해야하는상황이됐다. 이에안철수연구소서비스운용팀은트러스가드 DPX를포함모든보안장비, 네트워크장비, 서버등을점검하고 CERT, 네트워크지원팀을비롯한협력부서와통로를구축, DDoS와의일전을치르기위한만반의준비를마쳤다. 악성코드변화에주목하고있는 ASEC 분석가들 언론에보도된안철수연구소비상대응현장 안철수연구소비상대응프로세스 2011/03/04/10:00 1 차공격시작 오전 10 시, 예고된공격이시작됐고안철수연구소전체에긴장 감이고조되었다. 김홍선대표는임원들과함께상황실현장에서진 두지휘하며시시각각신속한결정을내렸다. 조금씩공격의여파가 나타나기시작했다. 공격대상에포함되어있던일부사이트는약간 의지연이발생했고일부는잠시서버가마비되기도했다. 그러나 지난 2009 년 DDoS 공격에비하면상당히잘견뎌주고있다. 안철수연구소는전사적비상대응체제로전환해움직이기시작 했다. 바로이순간이안철수연구소특유의조직문화가드러나는순 간이다. CERT 와 ASEC, 보안관제팀이관제센터로서최전방에서움 직이면후방의팀들은각자자신의위치에서바쁘게움직이기시작 한다. 쉬지않고밀려들어오는고객문의에인사총무팀은대표전화 를지키고, 품질보증팀은긴급테스트에투입되고, 소프트웨어개발 실은고객원격지원과콜백지원에투입되고, 온라인사업팀은홈페 이지실시간업데이트에투입되었다. 기술지원팀은개인고객과기 업고객들의대응을위해바쁘게움직였고, 커뮤니케이션팀은국내 외언론, 트위터, 블로그등각종대외커뮤니케이션창구로서소식 을전했다. 마치혈액을순환시키기위해온몸의기관이움직이는 원리와비슷하다. 2011년 3월 5일토요일토요일임에도불구하고상당수의안랩인들은비상근무중이다. 새벽 2시에출근해대표전화창구를지키고있는담당자들은 DDoS 여파로걸려오는문의전화를응대하느라오전부터정신이없다. 솔루션지원팀은백만년 (?) 만에계획한워크숍마저취소하고전원이고객사나사무실로출동했다. 같은시각시큐리티대응팀 (ASEC) 현장. 공격이소강상태에접어든것이아니냐는질문에 ASEC 이호웅센터장은 " 아직긴장을놓지못한다 " 며무겁다못해시린두눈을매만진다. 적어도일주일간은지켜보아야한단다. 지난 7ㆍ7 DDoS 당시에도일주일이지나자잠잠해지나싶더니갑작스럽게감염 PC 의하드디스크가파괴되는경악할만한상황이벌어졌었기때문이다. 아니나다를까. 3월 6일새벽, 공격자의하드디스크손상명령이예정보다일찍떨어졌다. 긴장의끈을놓지못하고자리를지키고있는 ASEC 이호웅센터장 17

18 2011/03/05/01:58 하드디스크즉시파괴내용확인 2011/03/05/06:21 하드디스크파괴대비조치가이드배포 공격자는전날두차례의 DDoS 공격이제대로되지않아조바 심이났는지갑작스럽게좀비 PC 에하드디스크를파괴하라는자폭 명령을하달했다. 고객지원팀으로당황한개인고객들의신고가접 수되기시작했다. 또다시안철수연구소의별헤는밤이계속된다. 오전 11 시. 하드디스크가깨질수있다는언론보도가나가자 안랩닷컴에방문자가폭주하기시작했다. 이제부터는백신플랫폼 인안랩닷컴의가용성을최대한지켜내는것이미션이다. 그러나같 은날저녁 8 시, 미디어의위력을또한번실감하게된다. 오후들어 잠잠했던안랩닷컴의방문자트래픽이 20G 를넘으며급증하기시 작했다. 뉴스를본개인이용자들이전용백신을받기위해안랩닷컴 을찾은것이다. 다행히홈페이지가다소느려지긴했지만전용백신 을원활하게공급할수있었다. 7 ㆍ 7 DDoS 이후보안장비및인프 라강화를수행한것이주효했다. 그리고또다시하루가저물었다. 다소긴장이누그러진탓인지안철수연구소의직원들이움직임에피로감이묻어난다. 상황실을지키던 CERT의연구원은 " 몸은피곤하지만, 2009년보다잘버텨주어안심이된다 " 고말한다. ASEC 의연구원은이틀동안눈도제대로붙이지못했는데피곤하지않냐는질문에 " 사명감으로, 신념을갖고임하고있기때문에괜찮다 " 며충혈된눈을애써부릅뜬다. 이날하루동안전용백신다운로드수는 300만건에이르렀고 DDoS 공격기간동안총 400만건정도의다운로드가이뤄져개인의 PC안전을지키는데이용됐다. KISA의보호나라에서제공한것등을포함하면전용백신다운로드는 1,000만건에이른다. 안철수연구소의입체적인보안대응체계 ACCESS (AhnLab Cloud Computing E-Security Service) 2011 년 3 월 8 일화요일 2011/03/08/18:00 비상대응체제해제 언론의집중보도가이어진 3 ㆍ 4 DDoS 공격 ( 출처 : SBS) 2011년 3월 7일월요일월요일인오늘은주말동안불안해했던직장인들이출근하자마자안랩닷컴을방문할것으로예측되었다. 역시나오전 9시를전후로수많은사람들이안철수연구소홈페이지를방문, 전용백신다운로드, V3 엔진업데이트등으로안랩닷컴은그야말로온몸으로전국민의사랑을느끼게되었다. 과투자한것이아닌가싶었던모든장비를총동원한덕분에안랩닷컴방문자들이 PC를점검할수있도록보안지킴이역할을할수있었다. 전용백신다운로드가폭주하고고객지원문의전화도폭주했다. 한쪽에서는기업및기관등의지원활동에여념이없었다. 이번 3.4 DDoS 방어는 ASEC, CERT, 보안관제팀, 네트워크지원팀과솔루션지원팀의공조체제에의한전방위대응체제를바탕으로클라이언트기술, 네트워크기술을현장에즉시적용하여대응할수있었다. 문득안랩인중누군가가물었다. " 우리가이렇게필사적으로밤을새는이유가뭘까? 무한체력? 의무감?" 그러고보니야근, 아니며칠씩철야를해도직원들에게돌아오는것은딱히없다. 하지만안철수연구소의직원들에게서돌아온대답은하나였다. 안철수연구소가존재하는이유인 ' 끊임없는연구개발로함께사는사회에기여하기위해서 ' 였다. 사이버전쟁터의최전선에서국가정보보안을사수하는안철수연구소와직원들이있다면, 그래도조금더안심하고편안한인터넷생활을영유할수있지않을까, 그렇다면그것이우리에게돌아오는최고의보상이아닐까생각해본다. 안랩닷컴방문자폭주로또다시바빠진안철수연구소내부 18

19 SPOTLIGHT Security Forecast ㆍ 4 DDoS 는예행연습? 차원이다른공격온다! 3ㆍ4 DDoS 공격에대한주의경보가지난 3월 15일을기점으로공식해제됐지만보안전문가들은이제부터가시작이라며경계를표하고있다. 3ㆍ4 DDoS 공격주의경보가공식해제된다음날인 16일, 대한상공회의소국제회의장에서한국침해사고대응팀협의회 (CONCERT) 와금융보안연구원이공동개최한기업정보보호이슈전망세미나 ' 시큐리티포캐스트 (Security Forecast) 2011' 이개최됐다. 특히이날행사의첫순서로마련된 3ㆍ4 DDoS 공격분석과향후대응방안을논의하기위한패널토의에는이른시간임에도불구하고약 250여명의참관객들이자리를메워 DDoS 공격에대한관심을확인할수있었다. 패널토의에참여한정부와민간의보안전문가들은변화하는공격에대비하기위한꾸준한보안투자와더불어공격에악용되는악성코드유포방지등사전예방적보안체계를수립해야한다는점을강조했다. 이들은또한민관의좀더긴밀한공조가요구된다는데의견을모았다. 이들이 3ㆍ4 DDoS 공격과관련해한목소리로강조하고있는메시지가무엇인지들어보자. 금융보안연구원과한국침해사고대응협의회 (CONCERT) 가주최하고방송통신위원회등이후원한 ' 기업정보보호이슈전망 (Security Forecast) 2011`에서 '3ㆍ4 DDoS 공격분석과향후대응방안 ' 을주제로패널토의가진행됐다. 성재모금융보안연구원본부장이좌장을맡고, 전문가패널로는박철순방송통신위원회네트워크정보보호팀장, 이호웅안철수연구소시큐리티대응센터실장, 홍석범씨디네트웍스차장, 구자만다음커뮤니케이션보안팀장이초대됐다. 이들은 "3ㆍ4 DDoS 공격대응은상당히성공적이었으나이후더욱교활하고지능화된대규모의 DDoS 공격이반드시나타날것 " 이라며이에대한포괄적이고현실적인대비가필요하다는데의견을모았다. 민관공조등대응체계가효과적으로발휘돼박철순방송통신위원회 ( 이하방통위 ) 네트워크정보보호팀장은이번 3ㆍ4 DDoS 공격의결과에대한브리핑으로시작했다. 이에따르면 3ㆍ4 DDoS 공격으로인한 PC 하드디스크손상신고는총 756건이접수됐는데, 이는지난 2009년 7ㆍ7 DDoS 공격당시 1,466건에비해절반정도에불과한것이다. 이는악성코드유포및명령사이트차단을위해 72개국 748개서버 IP를차단한것과한국인터넷진흥원보호나라 (455만건) 를비롯해안철수연구소등백신업체와 ISP 등을통해전용백신이총 11,513,951 건이다운로드된것이영향을끼친것으로볼수있다고박철순팀장은평가했다. 이어박철순팀장은 3ㆍ4 DDoS 공격대응에관해 "1차공격때일부사이트에일시적으로접속지연이있었지만장애라고할수없는정도 " 라며 " 실제피해는적었다 " 고말했다. 특히 " 지난 7ㆍ7 DDoS에비해특정조건이있었음에도불구하고피해가적었다 " 며 " 이는대응체계가잘작동했기때문 " 이라고평가했다. 7ㆍ7 DDoS 이후범정부적차원의 ' 국가사이버위기종합대책 ' 을수립해각기관별로대응기능을명확하게했고 2009년 108억에이어 2010년 385억을투자해대응장비및체계를정립했던것이효과를발휘했다는것이다. 또한 " 국정원이나 KISA, 안철수연구소등민관이악성코드를조기에탐지하고분석한결과를공유해서신속히전용백신을개발, 배포한것, 주요 ISP, 포털, 신문 / 방송등이적극적으로보도를해주고네티즌들이자발적으로협력했던것이효과가있었다 " 고박팀장은분석했다. 더교활하고지능적인대규모공격나타날것박철순팀장은 "7ㆍ7 DDoS를겪으면서얻은학습효과로 3ㆍ4 DDoS 공격은비교적잘막아냈지만앞으로더지능적이고규모가더큰공격들이예상된다 " 는우려섞인예측을전했다. 즉, 3ㆍ4 DDoS 는공격자의입장에서보면지난 7ㆍ7 DDoS와같은수준의공격을했는데큰효과를보지못했기때문에앞으로는더교활하고지능적이고더큰규모의공격을할수밖에없다는것이다. " 이부분에대해서우리가어떻게대응해야할것인지같이고민을해야할것 " 이라고말한박철순팀장은향후대책으로 DDoS 모니터링 24시간지속 침해사고대응체계강화를위한투자지속 무료 DDoS 보안진단, 기술지원, 자가점검및보안도구의제작배포등추진등을지속적으로수행할것이라고밝혔다. 또한안철수연구소김홍선대표의최근칼럼을언급하며 웹하드업체에주기적인보안강화조치권고를강화하고법 / 제도적인보완이필요할것으로보인다고말했다. 19

20 DDoS 공격대응을위한 Security Forecast 2011 패널토의현장 ( 왼쪽부터 ) 성재모금보원본부장, 홍석범씨디네트웍스차장, 이호웅안철수연구소시큐리티대응센터실장, 구자만다음커뮤니케이션보안팀장, 박철순방통위네트워크정보보호팀장 한편박철순팀장은 " 이번공격까지는유선인터넷의공격이라고볼수있다 " 며 " 이달내로천만대이상보급될것으로예상되는스마트폰으로모바일인터넷이더욱활성화되면모바일공격도충분히예상가능하다 " 고주장했다. 또한 " 이러한부분에대해서도미리대비를하는게필요하다 " 며 " 이러한측면에서방통위는작년말부터 ' 스마트모바일시큐리티종합계획 ' 을수립하여추진중 " 이라고밝혔다. 박철순팀장은끝으로 " 이번 3ㆍ4 DDoS 대응에서도잘이루어졌지만앞으로도민관의공조가더욱잘이루어지기를희망한다 " 는한편, " 무엇보다정보보호산업이경쟁력을갖춰야장비나솔루션, 인력이충분한기능과역할을할수있으며, 이에앞서정보보호산업이커지려면일반기업의투자가선행되어야할것 " 이라고말했다. 악성코드자체는지능적으로진화했다이번 3ㆍ4 DDoS 공격과관련해악성코드분석쪽에서상당한역할을한것으로평가받은이호웅안철수연구소시큐리티대응센터 (ASEC) 실장은 " 공격의정황은 3월 3일에이미어느정도포착이됐다 " 며 "1차공격이 3월 4일오전 10시에있었지만실제로공격자가의도한 1차공격시간은 3월 4일저녁 6시반이었다 " 고밝혔다. 3월 4일은금요일로, 저녁 6시 30분이면공공기관이나금융권등의담당자들이업무를마무리하는시간이었기때문에그시간에공격을하면그만큼대응이늦어지므로여파가늦어질것으로생각하고이시간을공격시간으로잡았다는것. 이호웅실장은 " 그러나이미전날인 3월 3일에안철수연구소와국정원, 방통위, KISA에서공격정확을파악하고대응이이뤄지면서공격자는차선으로오전 10시를택한것으로보인다 " 고말했다. 이호웅실장은 C&C 서버를통한공격자의명령에따라공격을수행하는각파일들의구동과정등 3ㆍ4 DDoS 공격에이용된악성코드의특징위주로설명했다. 특히하드디스크파괴명령과관련해 "MBR 파괴모듈에 4와 7이라는기간이적혀있어 4일, 또는 7일후에 MBR이파괴될것이라고알렸다 " 며 " 그러나해당파일은 C&C 서버를통해언제든지수정이가능하기때문에 (2차공격이실패하자 ) 파일이 0으로수정되면서즉시파괴기능이수행됐다 " 고설명했다. 그러나수정된명령또한안철수연구소등에의해사전감지되어하드디스크손상이발생한 PC의신고는총 756건에불과하였다. 한편이호웅실장은이번 3ㆍ4 DDoS 공격의특이할만한점으로공격시간변경에주목했다. 그는 " 지난 7ㆍ7 DDoS 때는 4일간공격이진행됐고마지막에하드디스크를파괴하는것이하드코딩되어있었다 " 며 " 이에 7ㆍ7 DDoS 때전용백신이설치되지않은 PC 는하드디스크파괴를막기위해컴퓨터의로컬타임을조정하도록가이드했었다 " 고설명했다. " 그런데이번 3ㆍ4 DDoS 공격에서는그것마저도우회하기위해감염시간이전으로 PC의로컬시간을돌리면파괴하도록설정돼있었다 " 며악성코드차원에서는이전에비해교묘해지고지능화되었음을강조했다. 샘플수집확대, 민관공조등적극적인사전대응필요이호웅실장은 3ㆍ4 DDoS 공격의피해가적었던이유에대해 " 안철수연구소를포함해 KISA나국정원, 방통위의악성코드수집이나분석능력이향상됐다 " 며 " 각센서들을통해서실제 DDoS 정황이나변종, 유포지들을사전에파악할수있는능력이향상됐다 " 는점을중점적인이유로꼽았다. 또한 " 무엇보다공조가잘이루어졌다 " 고평가하며 " 악성코드샘플을서로공유하고분석된내용을또다시 20

21 공유했다 " 고말했다. 그의설명에따르면지난 7ㆍ7 DDoS 공격등을비롯해대규모공격이발생하면부정확한정보가나오게된다. 그러나이번 3ㆍ4 DDoS 공격대응에서는 " 부정확한정보를지양하고가능한정확한정보를내보내기위해서로샘플을교환하고분석정보를교환했으며, 특히하드디스크파괴기능과관련해서는서로여러번검토를거쳐정확하게하드디스크가파괴되는케이스에관해서로일치를본후발표했다 " 고이호웅실장은밝혔다. 이어향후대응방안과관련해 "3 ㆍ 4 DDoS 가시사하는바는더 이상제품하나하나만으로는이러한다양한공격을방어하기힘들다는것 " 이라며 " 단일제품기반의대응으로가다가는지금현재들어오는공격들을체계적으로대응하기힘들다 " 고강조했다. 즉, " 전방위적인서비스나대응프로세스가갖춰져야한다 " 는것이다. 또한이를위해서는 " 샘플수집에있어각센서들을확대함으로써적극적인샘플수집이필요하다 " 며 " 특히샘플이수집되면분석단계부터공조할수있는분석인프라가필요하며, 수집된샘플들및각센서들에대한레퓨테이션 (Reputation) 인프라확충이필요하다 " 는의견을피력했다. 아울러 "DDoS는원천적으로막기가상당히어렵지만앞서언급한분석인프라등을통해최대한사전방어할수있는역량을키워야한다 " 고강조한이호웅실장은 " 이번 3ㆍ4 DDoS 대응에서특히공공기관과민간기업의공조가잘이루어졌는데, 이를계기로앞으로는이런부분들이체계화됐으면좋겠다 " 고말했다. 또한 " 투자부분에있어서도공공쪽의투자도중요하지만전체적인보안산업이라는관점에서민간과공공이같이투자할수있는기회가많아졌으면한다 " 는말로마무리했다. 공격자는왜공격패킷임을드러냈는가악성코드의측면에초점을맞춘전문패널의발표다음으로는실제공격을당한입장에서살펴본 3ㆍ4 DDoS 공격의특징과대응방법에대한내용이이어졌다. 홍석범씨디네트웍스차장은 " 이번공격은 7ㆍ7 DDoS 공격과매우유사한방식으로공격이진행이됐다 " 며 "HTTP Get 플러딩 (flooding) 과관련해서는크게두가지패턴이있었다 " 고밝혔다. 홍석범차장의설명에따르면헤더 (Header) 에서평소보이지않던값이보였는데, 프록시커넥션 (Proxy Connection) 값과일반적으로 CC 공격으로알려져있는캐시컨트롤 (Cache- Control) 값이그것이다. 즉, HTTP Get 플러딩공격을받을때평소보이지않던값이보였다는것으로, " 이를근거로정상적인패킷이아니라고판단, 해당헤더에대한필터를적용함으로써 HTTP Get 플러딩에대해실질적으로 100% 차단이가능했다 " 고홍석범차장은전했다. 특히홍석범차장은 "HTTP라는프로토콜자체에대한이해가조금이라도있었다면이번공격은쉽게막을수있었다 " 고전제한뒤, " 이처럼공격을알려주는불필요한헤더를노출했다는점에서 이호웅안철수연구소시큐리티대응센터 (ASEC) 실장은 "DDoS 공격을원천적으로막기는상당히어렵지만최대한사전방어할수있는역량을키워야한다 " 고강조했다. 공격자입장에서는공격패킷임을알려준것으로, 이해할수없는현상이었다 " 고의구심을표했다. 이어 " 차라리이헤더를없애버렸다면일반정상적인패킷과매우유사하기때문에방어하는입장에서상당히어려움을겪었을것 " 이라고지적했다. 이러한이유로홍석범차장은 " 악성코드의측면에서는이번 DDoS 공격이지난 7ㆍ 7 DDoS 공격에비해진화했다는데는동의하지만공격기법면에서는오히려 7ㆍ7 DDoS 공격당시보다못했다고생각한다 " 는분석을내놓았다. 이밖에도 7ㆍ7 DDoS 이후 2년이나지났는데도공격패턴이전혀달라지지않았다는점, 동일한패킷사이즈의공격이계속되었다는점, 그리고 7ㆍ7 DDoS 공격때는스푸핑이있었지만이번공격에는스푸핑기법이이용되지않았다는점등을들어 "2년전인 7ㆍ7 DDoS 공격보다공격기법면에서는다운그레이드 (downgrade) 되었다 " 고평가했다. 다양한시나리오에대한대응고민해야실제로업체에서 DDoS 공격에대해서기술적으로어떻게대응하는가에관해홍석범차장은현재셋쿠키 (Set-cookie), 302 리디렉트 (Redirect), HTTP 헤더의특정스트링이용, 동일 URL 요청에대한 IP차단, 빠른 Get 요청에대한레이트리미트 (rate-limit) 차단등다섯가지방법이가능하다고말했다. 그러나불필요한비정상적 HTTP 헤더가없거나공격 URL이다이나믹하게변경되는등각방법의한계점과관련해발생할수있는시나리오를예로들며 " 그럴경우사실상현재대응체계로는대응이불가능하다 " 고지적했다. 홍석범차장은 " 최근일본의대지진을보며타산지석으로삼아내진설계, 원자로점검을하듯이이번 DDoS 공격에대해서도여러가지시나리오에대한대응을고민할시기 " 라고말했다. " 우리가생각하지못했던, 여태까지경험하지못했던공격방식에대해서도고민을해야한다 " 고말한홍석범차장은 " 이는비단보안장비나서비스업체뿐만아니라보안에투자하는일반기업도마찬가지 " 라며보안에대한꾸준한투자를강조했다. 21

22 악성코드유포근절등사전예방책강구돼야실제기업에서의대응현황에대해서는구자만다음커뮤니케이션보안팀장이발표에나섰다. 구자만팀장은 " 이번공격은사전에알려졌기때문에어떻게보면공격에대해대응하기가수월했다 " 면서도 " 이전부터 DDoS와관련해장비위주의대응뿐만아니라장비이외에서버단이나네트워크단에서의대응등에대해많이준비를하고있었다 " 고말했다. 이어 "7ㆍ7 DDoS와다른점이있다면 7ㆍ7 DDoS 때는메일쪽에서공격이들어왔다면이번공격은톱사이트로공격이들어왔다 " 며 " 주로공격이들어오는사이트에대해서는충분히예방책이준비되어있었기때문에대응이수월했다 " 고말했다. 또한 " 이처럼알려져있는주요 URL에대한공격대응뿐만아니라 DDoS 공격방어를우회하는지능화된하이브리드공격, DNS 공격등에대해더욱우려하고있기때문에이에대한대비를하고있다 " 고덧붙였다. 아울러구자만팀장은 " 카페및블로그등의게시물이나첨부파일을통해악성코드가유포되는것을막기위해전사게시물에대한프로세스를통해악성코드감염여부를확인하고치료하고있다 " 며 "KISA, 그리고 MOU 관계를맺고있는안철수연구소를통해해쉬값을한번더체크하고있다 " 는말과함께 AhnLab SiteGuard 를통한악성코드감지추이자료를제시했다. 또한 " 다음뿐만아니라포털 3사가공동으로대응하여악성코드를유포하는근원지로서의포털은더이상매력이없도록하고있다 " 며악성코드근절을위한포털사의사회적역할을설명한구자만팀장은 " 그때문에이번공격에서처럼최근에는악성코드가 P2P 사이트를통해유포되는것으로변화하고있는것같다 " 고덧붙였다. 사전예방, 대응체계수립에민관한목소리이날토론에참여한보안전문가들은변화하는공격에대비하기위한꾸준한보안투자와함께공격에악용되는악성코드유포를방지해사전예방적보안체계를수립해야한다는것에민관의구분없이한목소리를냈다. 이번 DDoS 공격이지난 2009년발생한 7 ㆍ7 공격과방식이유사했지만공격명령을실시간변경하고전용백신설치를방해하는등변화된형태를보였기때문이다. 패널토의좌장으로서사회를맡은성재모금보원본부장은 " 이번공격은전반적으로민관합동으로잘대응했다는평가를받고있지만, 차후다양한공격, 시시각각으로변화하는공격에어떻게대응할것이냐에대한우려가있는것도사실 " 이라고말했다. 특히 " 이번 3ㆍ4 DDoS 공격은공격자가마치국내대응체계를테스트하는것처럼대응현황에맞춰공격명령을바꿨다 " 는점을다시한번강조하고, " 향후변화하는공격에대응할방안과더불어악성코드감염을방지할수있는사전대응이중요하게제기되었으며, 이와관련해정부및 ISP, 포털사등의노력이계속지속되어야한다 " 는말로패널토의를마무리했다. 22

23 PRODUCT ISSUE TrusGuard DPX 클러스터기반의 TrusGuard DPX 진화하는 DDoS 공격대응을위한머스트해브아이템 지난 2009년에발생한 7ㆍ7 DDoS 공격에이어또다시올해 3월, 국내주요사이트 40개를대상으로대규모 DDoS 공격이발생했다. 이른바 3ㆍ4 DDoS라고불리는이번공격은다행스럽게도 2년전과는달리큰피해는입지않은채공격을무력화시킬수있었다. 그러나이번사건을통해대규모 DDoS 공격은언제든지다시일어날수있다는것을확인했으며, DDoS 공격에대한전방위적인대응체계마련이시급하다는사실을재확인했다. DDoS 대응을위해서는제품과서비스등전방위적인대응체계가필요하지만, DDoS 대응의첫걸음은무엇보다제대로된장비의도입과실질적인운영이다. 이와관련해이번 3ㆍ4 DDoS 공격대응에서그효과를입증받은안철수연구소의클러스터기반의 DDoS 전용장비 AhnLab TrusGuard DPX가 DDoS 공격대응의머스트해브 (Must-have) 아이템으로관심을끌고있다. 최근에는전통적인플러딩 (Flooding) 공격뿐만아니라새로운공격툴기반의소량정밀타격형공격, 그리고전용장비를우회할수있는전문화된 DDoS 공격이나타나고있다. 이러한변화된 DDoS 공격에대응하기위해서는먼저기존 DDoS 장비에서설정하는정책보다더정밀한정책을설정할수있는기술적인요구사항과함께정상적으로보이는공격트래픽을파악할수있는정밀한공격방어기술을갖춰야만한다. 또한꾸준히문제가되어왔던 DDoS 장비의오탐문제와새롭게나타나는 DDoS 공격툴과최신 DDoS 공격유형에빠르게대응하고서비스인프라 (Service Infra) 자체의 DDoS 공격방어력을높일수있는대응프로세스가같이수반되어야만한다. 이를위해서는 DDoS 공격방어의최전선에있는네트워크기반의 DDoS 공격대응장비의기술적인진화가필요하다. AhnLab TrusGuard DPX( 이하트러스가드 DPX) 는업계최초로라이선스 (License) 변경만으로도동일제품에서인라인 (Inline) 구성방식과아웃오브패스 (Out-of-Path) 구성방식, 그리고클러스터링구성까지지원하는제품이다. 특히, 다단계필터구조를통하여기본적으로제공되는자동학습기반의임계치기준 DDoS 탐지 / 차단방식을지원할뿐만아니라실시간인증기반을통하여 DDoS 공격발생시유입되는트래픽의정상 / 비정상여부를확인할수있는기능을제공한다. 인라인및아웃오브패스클러스터링구성방식지원인라인 (Inline) 방식은라우터, 스위치등과같은네트워크장비및방화벽, IPS와같은보안장비들의구성방식처럼트래픽소통구간에설치되는방식을의미한다. 아웃오브패스 (Out-of-Path) 는글자그대로설치되는장비가트래픽의소통구간에서외부로빠져나와있는구성방식을의미한다. 아웃오브패스방식은인라인방식과는달리네트워크구간외부에설치되어전체트래픽중특정한트래픽만통과하거나, 평상시에는전혀트래픽이통과하지않는구성으로이용이가능하다. 이로인해제품이설치가되더라도기존의네트워크트래픽흐름에는영향을주지않는장점을갖고있다. 즉, 인라인방식의경우네트워크구간내에서항시 DDoS 공격을탐지할수있어 DDoS 탐지를빠르게대응할수있는강점이있고, 아웃오브패스방식은인라인방식의약점인전송지연, 또는장애등의문제로부터좀더자유로울수있다. 특히 DDoS 공격은외부에서내부로유입되는트래픽이대부분이다. 따라서트러스가드 DPX는단방향트래픽만을기준으로인라인및아웃오브패스구성방식에서의 DDoS 공격탐지를할수있으며, 공격차단을공격대상의트래픽만을기준으로하여실시간인증기반과임계치기반의 DDoS 공격방어를처리할수있는독특한기술을제공하고있다. 또한 DDoS 공격차단을수행하는다중장비간의인증정보를실시간으로공유함으로써, 단방향트래픽기준의인라인및아웃오브패스클러스터링구성방식까지지원하고있다. 즉, 여러대의장비가하나의장비처럼동작할수있는클러스 23

24 우회용 Switch Out-of-Path DPX 차단 Cluster Out-of-Path DPX 탐지 [ 그림 1] 클러스터구성방식을통한트러스가드 DPX 의대규모 DDoS 트래픽방어 터 (Cluster) 기법을통해대규모트래픽까지방어가가능한구성방식을제공하는것이다. 이러한클러스터의기술핵심은다중제품을하나의제품과같이운용할수있어야한다는점이다. 트러스가드 DPX는한대의마스터 (Master) 장비에서나머지장비로의정책을자동동기화할수있는기능을제공하여실제운영상황에서도단일제품과같은관리기능을제공하고있다. 이론상으로는 12대까지하나의클러스터세트 (Cluster Set) 로구성이가능하므로, 120Gbps의네트워크회선 (Bandwidth) 고갈형공격까지대응가능하다. 대규모트래픽부터소규모정밀타격형까지트러스가드 DPX는가장문제가되는소규모정밀타격형공격까지도모두방어가가능하다는것이차별점이다. 개발단계에서부터트러스가드 DPX는대규모공격뿐만아니라극단적인소규모정밀타격형 DDoS 공격에대한방어를고려했으며, 이에따라단순한임계치정책기반이아닌 ' 실시간트래픽검증 ' 기반으로개발되었다. 이를통해비정상적인트래픽을실시간상황에서걸러내주고, 정상적인트래픽은최대한보장함으로써, 기존 DDoS 제품들이가지던여러가지신종공격방어의미흡, NAT IP 등이오탐문제유발을극복한새로운대응기법의 DDoS 대응제품이다. 그러나만약이러한실시간트래픽검증내역의정보가여러장비로동기화되지않는다면, 오히려장애를유발할수있는원인이될수있다. 트러스가드 DPX의실시간트래픽검증기능은클러스터로구성된 12대가하나의장비와같이동작하므로, 기존임계치기반의 DDoS 공격차단처리방식과대비하여네트워크회선고갈형공격이나패킷플러딩 (Packet Flooding) 공격및소규모정밀타격형공격까지도방어가가능하다. 새로운대응기법의트러스가드 DPX 트러스가드 DPX는네트워크기반의실제 DDoS 공격을방어하는역할을한다. 안철수연구소는 ACCESS(AhnLab Cloud Computing E-Security Service) 전략하에클라우드기반의 DDoS 공격대응기법을유일하게제공하고있다. 이를통해기존의 DDoS 제품과는달리우선적으로엔드포인트기반의신규 DDoS 공격에대한정보를수집, 분석하여네트워크기반에서신규공격에대한사전예방기능을제공한다. 또한 DDoS 제품의본연의기능인다양한 DDoS 공격에대한방어, 그리고기존임계치기반의제품과는다른오탐회의에대한고도화된기능을제공한다. 특히장비자체로서끝나는것이아닌운영 / 대응의아웃소싱개념인 ' 서비스 ' 를제공함으로써, 새로운 DDoS 공격위협에적극적으로대응할수있도록해준다. DDoS는공격이발생하면즉시서비스장애가발생하기때문에시급을다투는보안사고다. 따라서이러한 DDoS 공격을즉시인지할수있도록 DDoS 방어상태에대한 UI 를슬라이드와같이제공하고있으며, 관리자에게 DDoS 공격상황을즉시알려주기위하여가시 / 가청기능도기본적으로제공한다. 한편최근업무환경은스마트워크 (SmartWork) 형태로변화하고있다. 이에따라스마트폰이나태블릿 PC에서즉시모니터링할수있는모바일 UI도동시에제공하고있다. 특히별도의앱 (App) 을설치하는것이아니라스마트단말에서웹기반으로접속하면즉시모니터링할수있는웹앱 (Web App) 기반으로제공된다. 24

25 CASE STUDY 메모리덤프분석 1 부 DDoS 공격에이용되는좀비 PC, 어떻게감염될까 메모리덤프 (Memory Dump) 분석을통한침해사고대응 2011년 3월, 다시한번악성코드를사용한 DDoS 공격이발생했다. 이번 DDoS 공격에사용한악성코드는공격자가원하는형태로명령을할당받고, 그에따라움직이는등갈수록지능화되어가고있는모습을보여주었다. 지능화와더불어, 최근의악성코드는하드디스크에별도의파일을작성하지않고, 메모리 (Memory) 에직접로드되어실행되는것도존재한다. 이러한경우, 침해조사시하드디스크의물리적인이미지만을조사하여서는어떠한증거도찾을수없는일이발생한다. 이러한문제점을해결하기위한방안으로메모리덤프분석을통한방법이주목받고있다. 메모리덤프분석은해당시스템에서직접분석을수행하는경우 (Live Response), 루트킷등에의해조작된프로세스관련 API에영향을받지않는다는장점이있다. 즉, 침해사고를당한시스템의메모리에있는정보를그대로추출하며, 분석가의컴퓨터에서작업을수행하여침해당한시스템의프로세스관련 API를사용하지않고분석을수행할수있는것이다. 또한, 실행후삭제되었지만메모리에만남아있는정보를얻을가능성도존재한다. CPU로전송되기이전에암호화된코드들은복호화되어메모리에로드되는데, 이러한점도메모리덤프분석시얻을수있는장점이될수있다. 월간 ' 안 ' 2011년 4월호에서는총 2부에걸쳐메모리분석을통한침해사고대응에대해소개하고자한다. 1부에서는침해사고와동일한시나리오로통해악성코드를감염및동작시켜, DDoS 공격에사용되는좀비 (Zombie) PC가어떠한형태로감염되었는지알아보자. 또한메모리분석을통해어떻게악성코드를검출해낼수있는지에대해살펴본다. 이어 2부에서는메모리덤프파일분석중메모리덤프에서프로세스정보를추출하는방법에대해서별도로자세히소개한다. 침해사고분석시나리오우선실제고객사에서발생하였던침해사고를재현하여메모리덤프를어떻게획득할수있는지알아본다. 또한 HBGary Responder 라는상용툴을사용하여침해사고분석을재현해보겠다. 침해시스템은메일로전파된악성코드에감염되어있었다. 이악성코드는 DDoS 공격을유발하는악성코드로 IRC를통해주기적으로 C&C(Command & Control) 서버에접근했다. 침해사고가발생한시스템과동일한상태를재현하기위해악성코드를이메일을통해발송하고, 공격대상서버에서이메일에첨부된악성코드를다운로드받은후실행했다. 이환경에서메모리덤프를수집하여주요증거를획득하고, 어떻게증거가수집되는지확인해보자. 분석은다음순서와같이진행된다. 1 메모리덤프수집 2 메모리덤프파일분석 3 하드디스크이미지분석 Virus 1 Mail Application Server 4 메모리덤프시각화를통한효과적인분석 [ 그림 1] 침해시나리오 25

26 1. 메모리덤프수집증거를수집할때기본적으로 "The order of volatility(oov)" 라는법칙에따라진행하게된다. OOV란휘발성이높은정보를휘발성이낮은정보보다먼저수집해야한다는법칙이다. 우선적으로가장상태변화가많은메모리를먼저수집하며, 기타네트워크연결과같이실시간으로변동되는사항에대해먼저수집을진행한다. [ 그림 3] 에서아래그림에서상자로표시된부분이 DDNA를나타낸결과이다. 이번에침해시나리오는 [ 그림 3] 에표시된두번째 PID(Process identifier) 1452와관계가있으며, 자동분석툴에서도악성으로의심되는것으로판단하고있다. 그럼, 메모리덤프수집방법에대해서알아보자. 공개된메모 리덤프툴은많이있지만, 여기에서는 HBGary 에서상용으로제공 하는 FastDump Pro 를사용하여메모리덤프를수집해보도록한다. 여러메모리덤프툴은지원하는총메모리크기에차이가있 으며, 지원하는윈도우버전에도차이가있다. 따라서분석하고자 하는대상에맞는툴을적절히선택해야한다. 참고로앞서언급한 FastDump Pro는현재대부분의윈도우버전에서사용이가능하다. Fastdump Pro는 [ 그림 2] 의명령어로메모리덤프를수집할수있으며, 결과파일은사용중인메모리의크기와동일하다. [ 그림 2] 의명령어를실행시키는경우현재운영중인시스템의메모리에기록된모든내용이 MemDump.dd 라는파일에저장되게된다. 이과정을통해메모리덤프파일을획득한후, 해당파일을이용하여어떠한정보들을얻을수있는지알아보자. [ 그림 3] HBGary Responder 실행화면 [ 그림 3] 에서왼쪽탭을살펴보면메모리를통해추출할수있는많은정보들이존재함을알수있다. 문자열과심볼, 로드된모듈, 현재열려있는파일들, 네트워크연결, 드라이버그리고인터넷사용기록등침해사고분석시큰도움을줄수있는정보들이기록되어있다. 여기에서살펴볼내용은공격자의행위즉, 컴퓨터의입장에서살펴보면하나의 ' 프로세스 ' 에대한정보다. 프로세스를살펴보면공격자가어떠한행위를하였는지, 어떠한악성코드나악의적인서비스가실행되고있는지등을파악할수있다. [ 그림 2] 메모리덤프 실행방법 : FDPro.exe 메모리를 _ 저장할 _ 파일 _ 이름예 : C:\> FDPro.exe MemDump.dd 2. 메모리덤프파일분석 여기에서는앞서얻은메모리덤프를이용하여어떠한정보들을얻 을수있는지를살펴본다. 여러메모리분석도구가존재하지만대 부분의윈도우버전에서분석이가능한상용소프트웨어 HBGary Responder 2 를사용하여분석을진행하겠다. HBGary Responder 2 는메모리에저장되어있는하드웨어관 련정보 (IDT_ENTRY) 와운영체제에서사용되는정보 ( 프로세스, 네 트워크연결, 레지스트리등 ) 를보여준다. 또한특정프로세스에서 사용되는메모리내역을분석하여해당프로세스에서사용하는 API 를추출해낸다. 특히, 이 API 정보및패턴을사용하여프로세스의 악성여부를판단하는 DDNA(Digital DNA) 라는기능을제공하고있다. 메모리덤프에서어떻게공격자의행위를파악할수있는정보를추출할수있는지이해하기위해서는윈도우커널및메모리구조등에대해많은지식이필요하다. 이내용은복잡하고난해한내용으로, 2부에서자세히다루도록하겠다. 분석도구는수동으로점검하는경우에불편한점을단순히자동화한것에불가하다. 따라서침해사고분석가입장에서해당툴이어떠한원리로정보를추출했는지모른다면, 그결과에대해객관성을부여하기어렵다. 악성프로세스란사용자의의지와상관없이시스템에설치되거나하드디스크에남아있는파일에의해실행중인프로세스라고볼수있다. 프로세스가실행될경우 PID(Process identifier) 를부여받게되며종료가될때까지계속부여받은 PID를사용한다. 침해당한시스템의메모리덤프분석결과 DDNA의점수 ( 주황색 ) 가높은프로세스를확인해보았다. 그결과, 1452라는 PID를사용하고있는 svchost.exe 가악성으로판단되었다. 26

27 한다. PID 1452 와관련된실행파일을조사한결과악의적인프로 세스로동작한 svchost.exe 는 mssrv32.exe 로인해실행된것을확 인할수있다. [ 그림 4] 프로세스확인 svchost.exe 는네트워크를이용한서비스를운영하는데필요한파일이다. 정상적인경우, 이파일의부모프로세스는 Services.exe 이다. 처음부팅할때자동으로실행되며정상적으로 svchost.exe 가실행된경우, svchost.exe 의부모프로세스는 services.exe 이며, 다른 svchost.exe 모두동일한 PPID(Parent Process ID) 값을가진다. [ 그림 7] mssrv32.exe [ 그림 8] 안철수연구소자동분석도구 3. 하드디스크이미지분석 [ 그림 5] 부모 ID가다른 svchost.exe 메모리덤프에서네트워크와관련된오브젝트를추출하여, PID 1452를가진 svchost.exe 는 IP 208.XXX.XXX.XXX 에 TCP Port 80 을사용하여연결요청을시도하는것을확인하였다. 이항목에서는메모리덤프에서발견된정보를바탕으로, 디스크에서증거를찾아보는시간을갖겠다. 우선메모리분석도구를사용하여밝혀낸사실을바탕으로하드디스크이미지로부터해당정보를확인해보자. 이때사용하는분석도구는엔케이스포렌식 (Encase Forensic) 이나 FTK 툴킷 (Toolkit) 과같은포렌식전용소프트웨어를사용한다. 여기에서는엔케이스포렌식을이용하여증거물을확인하는방법에대해서살펴보도록한다. 앞선메모리분석과정에서 mssrv32.exe 파일이악성코드임이밝혀졌으며, 엔케이스에서이파일이름을키워드로등록하여검색할수있다. 검색결과, [ 그림 9] 와같이 mssrv32.exe 파일이검색되었으며동일한파일이 _bot.exe 라는이름으로존재함을확인하였다 ( 동일한해쉬값 ). [ 그림 9] mssrv32.exe 생성시간및해쉬값 [ 그림 6] 악성코드가접근하는 IP 정보대부분 svchost.exe 는실행가능한파일이별도로존재하며, 이파일이 svchost.exe 를이용하여외부와통신한다. 그러므로정확한분석을위해 svchost.exe 를사용하는실행가능한파일을찾아야 [ 그림 9] 를보면 _bot.exe 의생성시간이 2010년 08월 10일오전 10:20:06 이고 mssrv32.exe 의생성시간이 2010년 08월 10일오전 10:20:14 인것을확인할수있다. 따라서 _bot.exe 가생성된후동일한파일인 mssrv32.exe 가생성된것을알수있다. 추가분석을위해서생성시간을기초로 2010년 08월 10일에생성된파일내역을검색했으며, 비슷한시간대에 _bot.zip 가바탕화면에존재했던것을확인했다. 또한 _bot.zip 의내용을살펴보니 _bot.exe 가압축된상태로존재했다. 27

28 [ 그림 10] _bot.zip 경로이제공격자가어떠한방식으로 _bot.zip을생성했는지에대해추적해보자. 사실시스템에파일을생성하는방법은많은경우의수가있다. 해당서버가웹서버인경우, 업로드게시판을사용하여업로드했을수도있으며, 기타 FTP나 SCP 등의프로토콜을사용했을수도있다. 또한최근에는공격대상을사전에정한후사회공학적기법을이용한메일전송으로악성코드감염및침해로이어지는사례도존재한다. 따라서, 정확한유입경로조사를위해확인해야할사항이많다. 즉, 웹서버인경우에는웹접근로그, 기타 FTP 서비스관련로그등이존재하며, 레지스트리에서확인할수있는 IE History( 인터넷사용기록 ) 과이메일받은편지함, 각종윈도우로그등에대해서점검을수행해야한다. 공격대상 PC는웹서버등기타외부에서접근가능하지않기때문에내부사용자에의한해킹으로우선가정하고, 조사할수있는증거들에대해분석을진행했다. 내부시스템에서확인할수있는레지스트리를점검한결과특이사항이없었으며, 마지막으로받은메일에대한점검을수행했다. 이를통해 [ 그림 11] 과같이관리자를유혹할만한내용으로악성코드를첨부하여메일을보낸것을확인했으며, 관리자는해당메일을받아악성코드를실행한것으로확인되었다. [ 그림 12] _bot.exe와 _bot.zip의타임라인 (TimeLine) 실행된파일 (_bot.exe) 은 2010년 08월 10일 10:20:07 에삭제되면서 2010년 08월 10일 10:20:14(mssrv32.exe File Created) 에 c:\windows\system32\mssrv32.exe 를생성했다. mssrv32. exe는생성되자마자실행된것을알수있다. [ 그림 13] mssrv32.exe 타임라인하드디스크이미지분석결과, 악성코드는메일을통해유입된것으로조사가마무리되었으며자세한타임라인은아래와같다 :18:28 메일도착 :19:00 _bot.zip 다운로드 :20:06 _bot.zip 압축해제 :20:06 _bot.exe 생성및실행 :20:07 _bot.exe 삭제 :20:14 mssrv32.exe 생성및실행 4. 메모리덤프시각화를통한효과적인분석 [ 그림 11] _bot.zip 이전송된메일 앞선예제에서메모리덤프에서프로세스에대한오브젝트추출을통해, 실행중인프로세스목록을획득할수있음을알아보았다. 이번에는추출과정을거쳐얻어낸프로세스정보를시각화해주는프로그램을사용하여효과적인분석이가능함을보여주고자한다. 엔케이스에서 ' 재미있는게임 ' 이라고수신된메일을발견할수있었다. 이메일은 2010년 08월 10일오전 10:18:28에관리자에게도착했으며, 관리자는해당파일을 2010년 08월 10일 10:19:00(_bot.exe 의 File Created) 에다운로드했다. 이후 2010년 08월 10일 10:20:06(_bot.exe 의 File Created) 에압축을바탕화면에풀고 _bot.exe 를 2010년 08월 10일 10:20:06(_bot.exe 의 Last Accessed) 에실행했다. 앞서다루었던시나리오에서도부모프로세스와자식프로세스와의관계가잘못된것을찾아, 악성여부를판단하였다. 이와같이프로세스간의상호관계를한눈에파악할수있는방법이존재한다. 지금부터 Volatility Framework 이라는또다른메모리분석툴을소개하고 Graphviz 라는툴을이용하여다음페이지의 [ 그림 14] 와같이프로세스목록을시각화하는방법에대해서살펴보자. 28

29 [ 그림 15] 정상파일 vs. 악성파일 [ 그림 15] 와같이시각화하는경우에부모 - 자식프로세스의 관계를한눈에파악할수있고, 프로세스실행시간관계, 현재상태 등을한눈에파악할수있어좀더쉽게메모리분석을수행할수있다. [ 그림 14] Graphviz Volatility Framework에서는 Graphviz( org/) 라는오픈소스그래프시각화소프트웨어를사용하여그래프로표시할수있도록지원하고있다. 이과정에대해서간단하게설명하겠다. 지금까지침해사고를재구성하여메모리덤프를획득하고, 툴을이용하여분석해보았다. 메모리에서는프로세스관련구조체및네트워크관련구조체, 그리고중요한단서가될수있는문자열등많은증거들이존재한다. 앞서설명했듯이메모리덤프분석을통해물리적하드디스크분석시에얻을수없는여러정보를확인할수있으며, 루트킷등의영향을받지않는등의많은장점이존재한다. 현재공개되는메모리분석툴이증가하고있으며, 지원하는 OS도계속업데이트되고있다. 프로세스의시각화를위해서메모리에서 EPROCESS 구조체를추출할수있는 Volatility Plugin을사용하여진행한다. Volatility Framework에포함된 psscan이라는플러그인은메모리에존재하는 EPROCESS 구조체를전부조사하여 DKOM(Direct Kernel Object Manipulation) 등으로숨겨진프로세스도밝혀낼수있는장점이있다. 이플러그인은결과물을 Graphviz 의 DOT 형식으로출력해주며, 실행명령어는다음과같다. 명령어 python volatility psscan d -f.\ evidence_1.dd > evidence_1.dot -d Dot 파일형식으로결과를출력할때사용 -f 분석대상메모리파일지정 앞서분석했던시스템에서획득한메모리를 Volatility Framework 의 Psscan 플러그인으로처리해도역시동일한결과를얻을수있었다. 분석결과, 정상적인 svchost.exe 파일은 sevices. exe의자식프로세스이지만, 실행된악성코드 (PID 1188) 는현재는삭제된 PID 680에의해실행된것을알수있다. 29

30 CASE STUDY 메모리덤프분석 2 부 프로세스정보추출에유용한 '2 가지 ' 방법은? 메모리덤프에서프로세스정보추출방법 1부에서 HBGary Responder와 Volatility Framework라는분석도구를사용하여나타나는결과를바탕으로분석을수행하였다. 툴을이용하여분석하는경우, 툴이어떠한원리로결과를표시했는지이해하지못한다면결과에대해서객관성을보장할수없다. 프로세스목록을추출하는데에는여러방법이존재하지만, 효과적인두가지방법에대해서알아보자. 1. 프로세스카빙 (Process Carving) 윈도우에서프로세스와관련된정보는 EPROCESS 라는구조체 를사용하여관리한다. 메모리덤프에서이 EPROCESS 구조체와 EPROCESS 구조체앞에나오는헤더정보를추출하여, 프로세스에 대한구조체가맞는지여부를판단한다. 프로세스에대한구조체가 맞는경우이구조체는 EPROCESS 구조체로, 자세한내용은아래 예제에서디버거를통해확인해보자. 이작업을통해공격자가수행 했던프로세스에대한자세한정보를알아낼수있다. POOL_HEADER 8 Byte OBJECT_HEADER 24 Byte 메모리덤프에서프로세스관련정보를뽑아내기위해서는 총 3 단계의검증과정을거친다. [ 그림 1] 에서나열한 3 개의항목 (POOL_HEADER, OBJECT_HEADER, EPROCESS 중 KPROCESS) 에서각각값들을확인한다. 이검증과정에대해다루기전에먼저 EPROCESS 구조체에대해서알아보고, EPROCESS 의시작부분인 KPROCESS 에대해다루면서프로세스를나타내는구조체를추출 하기위해서어떤조건을검사하는지알아보겠다. EPROCESS 구조체 Pooltag 값확인 Type 값확인 KProcess의 Type, Size 값확인 [ 그림 1] 프로세스검증확인내역 [ 표 1] 은 WinDBG 를이용하여확인한 Windows XP SP3 에서의 EPROCESS 구조체내용이다. 각각의프로세스는 EPROCESS 구조 체에직접값을저장하거나, 다른객체로의포인터를저장하고있다. 0: kd> dt nt!_eprocess +0x000 Pcb : _KPROCESS +0x06c ProcessLock : _EX_PUSH_LOCK +0x070 CreateTime : _LARGE_INTEGER +0x078 ExitTime : _LARGE_INTEGER +0x080 RundownProtect : _EX_RUNDOWN_REF +0x084 UniqueProcessId : Ptr32 Void +0x088 ActiveProcessLinks : _LIST_ENTRY +0x090 QuotaUsage : [3] Uint4B +0x09c QuotaPeak : [3] Uint4B +0x0a8 CommitCharge : Uint4B +0x0ac PeakVirtualSize : Uint4B +0x0b0 VirtualSize : Uint4B +0x0b4 SessionProcessLinks : _LIST_ENTRY +0x0bc DebugPort : Ptr32 Void +0x0c0 ExceptionPort : Ptr32 Void +0x0c4 ObjectTable : Ptr32 _HANDLE_TABLE +0x0c8 Token : _EX_FAST_REF +0x0cc WorkingSetLock : _FAST_MUTEX +0x0ec WorkingSetPage : Uint4B +0x0f0 AddressCreationLock : _FAST_MUTEX +0x110 HyperSpaceLock : Uint4B +0x114 ForkInProgress : Ptr32 _ETHREAD +0x118 HardwareTrigger : Uint4B +0x11c VadRoot : Ptr32 Void +0x120 VadHint : Ptr32 Void +0x124 CloneRoot : Ptr32 Void +0x128 NumberOfPrivatePages : Uint4B +0x12c NumberOfLockedPages : Uint4B +0x130 Win32Process : Ptr32 Void +0x134 Job : Ptr32 _EJOB +0x138 SectionObject : Ptr32 Void +0x13c SectionBaseAddress : Ptr32 Void +0x140 QuotaBlock : Ptr32 _EPROCESS_QUOTA_BLOCK 30

31 +0x144 WorkingSetWatch : Ptr32 _PAGEFAULT_HISTORY +0x148 Win32WindowStation : Ptr32 Void +0x14c InheritedFromUniqueProcessId : Ptr32 Void +0x150 LdtInformation : Ptr32 Void +0x154 VadFreeHint : Ptr32 Void +0x158 VdmObjects : Ptr32 Void +0x15c DeviceMap : Ptr32 Void +0x160 PhysicalVadList : _LIST_ENTRY +0x168 PageDirectoryPte : _HARDWARE_PTE +0x168 Filler : Uint8B +0x170 Session : Ptr32 Void +0x174 ImageFileName : [16] UChar +0x184 JobLinks : _LIST_ENTRY +0x18c LockedPagesList : Ptr32 Void +0x190 ThreadListHead : _LIST_ENTRY +0x198 SecurityPort : Ptr32 Void +0x19c PaeTop : Ptr32 Void +0x1a0 ActiveThreads : Uint4B +0x1a4 GrantedAccess : Uint4B +0x1a8 DefaultHardErrorProcessing : Uint4B +0x1ac LastThreadExitStatus : Int4B +0x1b0 Peb : Ptr32 _PEB +0x1b4 PrefetchTrace : _EX_FAST_REF +0x1b8 ReadOperationCount : _LARGE_INTEGER +0x1c0 WriteOperationCount : _LARGE_INTEGER +0x1c8 OtherOperationCount : _LARGE_INTEGER +0x1d0 ReadTransferCount : _LARGE_INTEGER +0x1d8 WriteTransferCount : _LARGE_INTEGER +0x1e0 OtherTransferCount : _LARGE_INTEGER +0x1e8 CommitChargeLimit : Uint4B +0x1ec CommitChargePeak : Uint4B +0x1f0 AweInfo : Ptr32 Void +0x1f4 SeAuditProcessCreationInfo : _SE_AUDIT_PROCESS_ CREATION_INFO +0x1f8 Vm : _MMSUPPORT +0x238 LastFaultCount : Uint4B +0x23c ModifiedPageCount : Uint4B +0x240 NumberOfVads : Uint4B +0x244 JobStatus : Uint4B +0x248 Flags : Uint4B +0x248 CreateReported : Pos 0, 1 Bit +0x248 NoDebugInherit : Pos 1, 1 Bit +0x248 ProcessExiting : Pos 2, 1 Bit +0x248 ProcessDelete : Pos 3, 1 Bit +0x248 Wow64SplitPages : Pos 4, 1 Bit +0x248 VmDeleted : Pos 5, 1 Bit +0x248 OutswapEnabled : Pos 6, 1 Bit +0x248 Outswapped : Pos 7, 1 Bit +0x248 ForkFailed : Pos 8, 1 Bit +0x248 HasPhysicalVad : Pos 9, 1 Bit +0x248 AddressSpaceInitialized : Pos 10, 2 Bits +0x248 SetTimerResolution : Pos 12, 1 Bit +0x248 BreakOnTermination : Pos 13, 1 Bit +0x248 SessionCreationUnderway : Pos 14, 1 Bit +0x248 WriteWatch : Pos 15, 1 Bit +0x248 ProcessInSession : Pos 16, 1 Bit +0x248 OverrideAddressSpace : Pos 17, 1 Bit +0x248 HasAddressSpace : Pos 18, 1 Bit +0x248 LaunchPrefetched : Pos 19, 1 Bit +0x248 InjectInpageErrors : Pos 20, 1 Bit +0x248 VmTopDown : Pos 21, 1 Bit +0x248 Unused3 : Pos 22, 1 Bit +0x248 Unused4 : Pos 23, 1 Bit +0x248 VdmAllowed : Pos 24, 1 Bit +0x248 Unused : Pos 25, 5 Bits +0x248 Unused1 : Pos 30, 1 Bit +0x248 Unused2 : Pos 31, 1 Bit +0x24c ExitStatus : Int4B +0x250 NextPageColor : Uint2B +0x252 SubSystemMinorVersion : UChar +0x253 SubSystemMajorVersion : UChar +0x252 SubSystemVersion : Uint2B +0x254 PriorityClass : UChar +0x255 WorkingSetAcquiredUnsafe : UChar +0x258 Cookie : Uint4B [ 표 1] Windows XP SP3 에서의 EPROCESS 구조체내용 [ 표 1] 의항목중에서볼드 (Bold) 체로표시한항목에대해서 자세히살펴보자. 첫번째로나오는 Pcb 는프로세스컨트롤블록 (Process Control Block) 으로스케줄링관련정보를가지고있으며, 메모리덤프에서프로세스정보를추출하는데많이사용된다. 바로 이 PCB 가 KPROCESS 라는구조체로되어있으며, 검증과정에서 KPROCESS 의 Type 값과 Size 값을확인한다. 두번째, 세번째볼드체로표시된 CreateTime 과 ExitTime 은각각프로세스가실행되고, 종료된시간을나타낸다. UniqueProcessId 는프로세스를식별하는고유한 PID 값을저장하 고있다. ActiveProcessLinks 는이중환형링크드리스트로두개의 값이각각이전프로세스와이후프로세스를가리키고있으며, 이 구조체를사용하여메모리덤프에서프로세스내역추출이가능하다. 이어 PEB 는메모리에올라가있는모듈및실행했을때의커 맨드명령어등프로세스와관련된상세한정보를담고있다. 이 PEB(Process Environment Block) 는침해사고조사시필요한내역 들을담고있다. EPROCESS 구조체에서는 PEB 의모든내용을저 장하지않고, 사용자영역에있는 PEB 에대한포인터만저장되어 있다. [ 표 2] 는이 PEB 의내용을출력한것이다. 0: kd>!peb PEB at 7ffde000 InheritedAddressSpace: No ReadImageFileExecOptions: No BeingDebugged: No ImageBaseAddress: Ldr 00191e90 Ldr.Initialized: Yes Ldr.InInitializationOrderModuleList: 00191f Ldr.InLoadOrderModuleList: 00191ec Ldr.InMemoryOrderModuleList: 00191ec Base TimeStamp Module a5f6a7 Feb 26 10:55: C:\program files\debugging Tools for Windows (x86)\windbg.exe 7c c0ce Apr 14 11:26: C:\WINDOWS\system32\ ntdll.dll 77e c07d Apr 14 11:25: C:\WINDOWS\system32\ GDI32.dll ---- < 중략 > f c0cb Apr 14 11:26: C:\WINDOWS\System32\ winrnr.dll 76f c0da Apr 14 11:26: C:\WINDOWS\system32\ WLDAP32.dll SubSystemData: ProcessHeap: ProcessParameters: WindowTitle: 'livekd.exe -w' ImageFile: 'C:\program files\debugging Tools for Windows (x86)\ windbg.exe' CommandLine: 'windbg.exe -z C:\WINDOWS\livekd.dmp' DllPath: 'C:\program files\debugging Tools for Windows (x86);c:\ WINDOWS\system32;C:\WINDOWS\system;C:\WINDOWS;.;C:\WINDOWS\ system32;c:\windows;c:\windows\system32\wbem' Environment: =::=::\ =C:=C:\LiveKd =ExitCode= ALLUSERSPROFILE=C:\Documents and Settings\All Users APPDATA=C:\Documents and Settings\Administrator\Application Data CLIENTNAME=Console CommonProgramFiles=C:\Program Files\Common Files COMPUTERNAME=KARA-FE21EACFF3 31

32 ComSpec=C:\WINDOWS\system32\cmd.exe DBGENG_NO_BUGCHECK_ANALYSIS=1 FP_NO_HOST_CHECK=NO HOMEDRIVE=C: HOMEPATH=\Documents and Settings\Administrator LOGONSERVER=\\KARA-FE21EACFF3 NUMBER_OF_PROCESSORS=2 OS=Windows_NT Path=C:\program files\debugging Tools for Windows (x86)\winext\ arcade;c:\windows\system32;c:\windows;c:\windows\system32\ Wbem PATHEXT=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH PROCESSOR_ARCHITECTURE=x86 PROCESSOR_IDENTIFIER=x86 Family 6 Model 23 Stepping 6, GenuineIntel PROCESSOR_LEVEL=6 PROCESSOR_REVISION=1706 ProgramFiles=C:\Program Files PROMPT=$P$G SESSIONNAME=Console SystemDrive=C: SystemRoot=C:\WINDOWS TEMP=C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp TMP=C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp USERDOMAIN=KARA-FE21EACFF3 USERNAME=Administrator USERPROFILE=C:\Documents and Settings\Administrator WINDBG_DIR=C:\program files\debugging Tools for Windows (x86) windir=c:\windows _NT_SYMBOL_PATH=srv*c:\Symbols* download/symbols [ 표 2] PEB(Process Environment Block) 내용 +0x065 State : UChar +0x066 ThreadSeed : UChar +0x067 DisableBoost : UChar +0x068 PowerState : UChar +0x069 DisableQuantum : UChar +0x06a IdealNode : UChar +0x06b Flags : _KEXECUTE_OPTIONS +0x06b ExecuteOptions : UChar [ 표 3] PCB(KPROCESS) 값 KPROCESS 의시작부분은 DISPATCHER_HEADER 로시작하 는데바로이내용을이용하여프로세스를나타내는구조체가맞 는지검증하게된다. [ 표 4] 는실행중인프로세스의 DISPATCHER_ HEADER 를출력한것으로이중 Type 값이 0x3 이며, Size 값이 0x1b 인경우, 해당객체가프로세스관련구조체가맞다고판단하 게된다. 0: kd> dt _DISPATCHER_HEADER ntdll!_dispatcher_header +0x000 Type : 0x3 '' +0x001 Absolute : 0 '' +0x002 Size : 0x1b '' +0x003 Inserted : 0 '' +0x004 SignalState : 0 +0x008 WaitListHead : _LIST_ENTRY [ 0x x ] [ 표 4] DISPATCHER_HEADER 값 PEB 의내용은직관적으로확인이가능하다. 우선로드된 DLL 파일들의리스트가표시되어악성 DLL 이포함되었는지확인할수 있다. 또한윈도우이름, 이미지파일의경로, 커맨드라인명령어 및사용자환경변수들을확인할수있다. 이내용들을사용하여프 로세스에대한상세정보확인이가능하다. EPROCESS 구조체에서확인가능한정보에대해서살펴보 았고, 이제는실제로어떻게메모리덤프에서특정부분이프로 세스와관련된정보라는것을검증하는지에대해서살펴보겠다. PCB 는앞서다뤘듯이 EPROCESS 에서가장먼저나오는값으로, KPROCESS 라는구조체를사용하여저장되고있으며 [ 표 3] 의값들 로구성된다. 0: kd> dt nt!_kprocess +0x000 Header : _DISPATCHER_HEADER +0x010 ProfileListHead : _LIST_ENTRY +0x018 DirectoryTableBase : [2] Uint4B +0x020 LdtDescriptor : _KGDTENTRY +0x028 Int21Descriptor : _KIDTENTRY +0x030 IopmOffset : Uint2B +0x032 Iopl : UChar +0x033 Unused : UChar +0x034 ActiveProcessors : Uint4B +0x038 KernelTime : Uint4B +0x03c UserTime : Uint4B +0x040 ReadyListHead : _LIST_ENTRY +0x048 SwapListEntry : _SINGLE_LIST_ENTRY +0x04c VdmTrapcHandler : Ptr32 Void +0x050 ThreadListHead : _LIST_ENTRY +0x058 ProcessLock : Uint4B +0x05c Affinity : Uint4B +0x060 StackCount : Uint2B +0x062 BasePriority : Char +0x063 ThreadQuantum : Char +0x064 AutoAlignment : UChar [ 표 4] 의조건이메모리덤프에서 EPROCESS 구조체를찾아낼 때확인하는항목이며, 그외나머지두조건을먼저만족해야한 다. 이내용은 [ 그림 1] 에서 EPROCESS 구조체앞에있는두개의 헤더와관련이있다. 이헤더들은 EPROCESS 구조체앞에나오는 POOL_HEADER 와 OBJECT_HEADER 이며, 각각 8Byte 와 24Byte 값을가지고있다. 현재실행중인메모장 (notepad.exe) 을사용하여이조건을확 인하는방법에대해서살펴보자. [ 표 5] 에서볼수있듯이현재메 모장을나타내는 EPROCESS 구조체는 위치에존재하고 있다. PROCESS SessionId: 0 Cid: 0574 Peb: 7ffde000 ParentCid: 0638 DirBase: 02b403a0 ObjectTable: e HandleCount: 56. Image: notepad.exe [ 표 5] 메모장을이용한 EPROCESS 구조체확인 해당객체의정보를출력한결과는 [ 표 6] 과같다. 즉, Process 인경우 825b7e70 값을가지고있으며, 이값은 PsProcesssType 이라는값과동일하다. 0: kd>!object Object: Type: (825b7e70) Process ObjectHeader: (old version) HandleCount: 2 PointerCount: 17 0: kd> dd PsProcessType L b8 825b7e70 [ 표 6] 객체 (Object) 정보출력결과 32

33 OBJECT_HEADER가 Type 필드를가지고있는경우오브젝트에대한일반적인속성을담고있다. OBJECT_HEADER 뒤에 EPROCESS 구조체가나오는경우이 Type 필드의값은 PsProcessType(825b7e70) 값과같거나 0xbad040 이라는값을갖게된다. 이 OBJECT_HEADER 의 Type 값확인이메모리에서프로세스정보임을검증하는두번째항목이다. 2. ActiveProcessLink 를이용한프로세스리스팅메모리에서프로세스정보를추출하는방법은여러가지가존재한다. 그방법중에가장기본적으로사용되고쉽게찾을수있는방법을소개하고자한다. 이방법은 EPROCESS의값인 ActiveProcessLinks 를사용한방법으로, 이중링크드리스트로구성되어있다. 이제, 마지막조건인 POOL_HEADER 검증과정에대해살펴보자. 앞선예제에서 EPROCESS 구조체가앞서 번지에위치함을확인했다. 또한 POOL_HEADER 는 [ 그림 1] 에서확인할수있듯이, EPROCESS 구조체로부터 32 Byte(0x18 + 0x8) 만큼떨어져있어 [ 표 7] 의명령어를통해해당프로세스의 POOL_ HEADER 정보를확인할수있다. 0: kd> dt _POOL_HEADER x18-0x8 nt!_pool_header +0x000 PreviousSize : 0y (0x1) +0x000 PoolIndex : 0y (0) +0x002 BlockSize : 0y (0x50) +0x002 PoolType : 0y (0x5) +0x000 Ulong1 : 0xa x004 ProcessBilled : 0xe36f7250 _EPROCESS +0x004 PoolTag : 0xe36f x004 AllocatorBackTraceIndex : 0x x006 PoolTagHash : 0xe36f [ 표 7] POOL_HEADER 정보확인 POOL_HEADER 에서는 PoolTag 값을확인하는데, 뒤에따 라오는내용이프로세스와쓰레드인경우각각 0xe36f7250, 0xe 값을가지게된다. PoolTag 값이 0xe36f7250 인지확 인하는것이메모리덤프에서프로세스를추출할때확인하는마지 막조건이다. 위의예제에서는디버거를이용하여각조건을확인하느라, KPROCESS, OBJECT_HEADER, POOL_HEADER 순으로확인하였 다. 실제로메모리덤프파일에서프로세스를추출하기위해서는반 대의순서로확인하게된다. 다시한번정리해보면, 메모리덤프에 서프로세스관련정보를추출할때다음의세가지조건을확인하 게된다. [ 그림 2] ActiveProcessLink 구조 ActiveProcessLink는 FLink라는값과 BLink라는값을가지고있다. ActiveProcesssLink의 Flink값은바로다음프로세스의 ActiveProcessLink를가리키며, Blink 값은이전프로세스의 ActiveProcessLink의시작점을가리킨다. PSActiveProcessHead 라는전역변수가존재하여 FLink, Blink 값을가지고있으며, 이변수로인해환형구조가완성된다. 최초 PSActiveProcessHead 의 FLink가가리키는값을따라가면, 바로첫번째프로세스의 PSActiveProcessLink 의시점에접근할수있다. PSActiveProcessHead 의 FLink는항상첫번째프로세스를가리키고있으며, 모든시스템에서이첫번째프로세스는시스템 (System) 프로세스이다. 그럼이제실제시스템에서어떻게해당링크드리스트를따라가볼수있는지알아보자. 우선시스템에서실행중인모든프로세스목록을보기위해,!process 0 0 명령어를입력한다. 앞서언급했듯이첫번째프로세스가시스템인것을확인할수있다. 이번예제에서는 ActiveProcessLink 의값을이용하여 cmd.exe 이전프로세스가무엇인지찾아보자. POOL_HEADER 의 PoolTag 값이 36f7250 OBJECT_HEADER 의 Type 값이 PsProcessType(825b7e70) 또는 0xbad040 EPROCESS 의 PCB(KPROCESS) 에서 Type 값이 0x3, Size 값이 0x1b 해당내역을메모리에서모두추출하여나열하는경우루트킷이나 DKOM(Direct Kernel Object Manipulation) 등에의해감춰진프로세스정보도모두출력이가능하다. 0: kd>!process 0 0 **** NT ACTIVE PROCESS DUMP **** PROCESS 825b7830 SessionId: none Cid: 0004 Peb: ParentCid: 0000 DirBase: 02b40020 ObjectTable: e1002e40 HandleCount: 264. Image: System PROCESS SessionId: none Cid: 0220 Peb: 7ffd8000 ParentCid: 0004 DirBase: 02b40040 ObjectTable: e14558d8 HandleCount: 19. Image: smss.exe PROCESS 82446da0 SessionId: 0 Cid: 0260 Peb: 7ffd7000 ParentCid: 0220 DirBase: 02b40060 ObjectTable: e15e3858 HandleCount: 378. Image: csrss.exe 33

34 PROCESS SessionId: 0 Cid: 0278 Peb: 7ffd8000 ParentCid: 0220 DirBase: 02b40080 ObjectTable: e14f2590 HandleCount: 460. Image: winlogon.exe PROCESS 81f035d0 SessionId: 0 Cid: 0194 Peb: 7ffde000 ParentCid: 02a4 DirBase: 02b40320 ObjectTable: e HandleCount: 140. Image: AYServiceNT.aye PROCESS 8238ea00 SessionId: 0 Cid: 0640 Peb: 7ffda000 ParentCid: 0638 DirBase: 02b40300 ObjectTable: e16626c0 HandleCount: 33. Image: cmd.exe PROCESS 821dc020 SessionId: 0 Cid: 048c Peb: 7ffde000 ParentCid: 0640 DirBase: 02b40340 ObjectTable: e25c5bb8 HandleCount: 33. Image: livekd.exe PROCESS 820c8120 SessionId: 0 Cid: 0770 Peb: 7ffd6000 ParentCid: 048c DirBase: 02b40240 ObjectTable: e2249ee8 HandleCount: 197. Image: windbg.exe [ 표 8] ActiveProcessLink 의값을이용한프로세스찾기예제 [ 표 8] 에서 cmd.exe 가실행중인프로세스는 8238ea00 번 지에 EPROCESS 정보가저장되어있음을확인할수있다. 해 당 EPROCESS 는 [ 표 9] 의내용을담고있으며, 이전프로세스 를찾기위해확인해야할정보는바로 ActiveProcessLinks 에저 장된값이다. 내용을살펴보면다음프로세스가 0x821dc0a8, 이 전프로세스가 0x81f03658 에저장되어있음을알수있다. 하 지만이값들은각프로세스의 EPROCESS 를가리키고있는것 이아니고, EPROCESS 로부터 0x088 Byte 만큼떨어져있는 ActiveProcessLink 의시작점을가리키고있다. 0: kd> dt _EPROCESS 81f x88 ntdll!_eprocess +0x000 Pcb : _KPROCESS +0x06c ProcessLock : _EX_PUSH_LOCK +0x070 CreateTime : _LARGE_INTEGER 0x1cbdf8b`7ad92d14 +0x078 ExitTime : _LARGE_INTEGER 0x0 +0x080 RundownProtect : _EX_RUNDOWN_REF +0x084 UniqueProcessId : 0x x088 ActiveProcessLinks : _LIST_ENTRY [ 0x8238ea88-0x ] +0x090 QuotaUsage : [3] 0x3a < 중략 > x170 Session : 0xf8bb x174 ImageFileName : [16] "AYServiceNT.aye" +0x184 JobLinks : _LIST_ENTRY [ 0x0-0x0 ] [ 표 10] 0x81f03658 보다 0x88 byte 만큼이전프로세스찾기예제 명령어실행결과, 해당프로세스의이름은 AYServiceNT.aye 이 고, ActiveProcessLink 의 Flink 는앞서예제에서확인한 cmd.exe 의 ActiveProcessLink 의시작점인 0x8238ea88 을가리키고있는것을 확인할수있다. 메모리덤프에서한개의프로세스를찾는다면, 이 ActiveProcessLink 의값을확인하면서연결된모든프로세스의정 보를획득할수있다. 하지만, 이방법으로는 DKOM 으로숨겨진프 로세스는찾지못하는데, 이는숨기고자하는프로세스의앞, 뒤프 로세스의 FLink, Blink 를조작하여 ActiveProcessLink 를사용하여 따라가지못하도록조작하기때문이다. 이러한문제를피하기위 해앞에서알아본 POOL_HEADER 의 pooltag 및검증과정을이용 하여메모리상에존재하는모든프로세스를추출함으로써이러한 문제를피할수있다. 지금까지총 2 부에걸쳐메모리분석을통한침해사고대응에 대해소개했다. 이글이침해사고분석에관심있는분들에게도움 이될수있기를기대해본다. 0: kd> dt _EPROCESS 8238ea00 ntdll!_eprocess +0x000 Pcb : _KPROCESS +0x06c ProcessLock : _EX_PUSH_LOCK +0x070 CreateTime : _LARGE_INTEGER 0x1cbdf8f`90aaef70 +0x078 ExitTime : _LARGE_INTEGER 0x0 +0x080 RundownProtect : _EX_RUNDOWN_REF +0x084 UniqueProcessId : 0x x088 ActiveProcessLinks : _LIST_ENTRY [ 0x821dc0a8-0x81f03658 ] +0x090 QuotaUsage : [3] 0x988 +0x09c QuotaPeak : [3] 0xd 이하생략 ---- [ 표 9] 8238ea00 번지의 EPROCESS 정보 따라서, 이전프로세스의정보를출력하기위해서는 EPROCESS 구조체의시작점을확인해야하므로, 앞의예제에서확 인한 BLink 의값보다 0x88 byte 만큼이전을확인해야한다. 34

35 AHNLAB NEWS AhnLab SW Partner Day 2011 ' 상생 ' 으로 1,000 억원매출달성한다! 안철수연구소, SW 파트너킥오프행사 안철수연구소가지난 3월 3일코엑스인터콘티넨탈호텔에서소프트웨어 (SW) 파트너사를초대하고킥오프 (kick-off) 행사를가졌다. 이날행사는총판및파트너사대표를비롯한관계자 130여명이참석한가운데안철수연구소가올해목표로제시한 1,000억원매출달성의구체적인방향을공유하고도약을다짐하는자리였다. 특히이날행사에서안철수연구소김홍선대표는 "1,000 억원달성은안철수연구소의근본이념인상생을통해가능할것 " 이라고강조했다. 상생으로안철수연구소의모멘텀함께할것안철수연구소김홍선대표는참석해준파트너사관계자들에게감사인사를전한뒤급변하는 IT 패러다임에대한정보를공유하는한편 ' 안철수연구소의목표와비전 ' 이라는주제로안철수연구소의사업본질과역량을되짚어보는시간을가졌다. 특히매출목표 1,000억원과관련해 " 이는단순한, 의미없는숫자가아니다 " 라며 " 그동안다양한 IT 환경변화에맞춰준비해온제품들, 그리고고속성장하고있는사업들에서비스와실행이잘받쳐준다면충분히가능하다고생각한다 " 고말했다. 이어 " 우리의비전에동참해줬으면좋겠다 " 며 " 언젠가안철수연구소가 1,000억원이라는중요한모멘텀 (momentum) 을달성하고 2,000억원, 3,000억원으로갈수있는중요한계기이자그도약의현장에서함께역사를만들어갔으면한다 " 는말로파트너사에대한바램과신뢰를표했다. 아울러 " 우리보다여러분들이더돈을많이버셨으면좋겠다 " 며 " 같이, 서로를격려하면서가는모습으로함께커나가는상생의모델을이루고싶다 " 는말로마무리했다. 2010년성장토대로올해 1,000억원매출자신세일즈마케팅팀의이상국팀장은 " 형식적으로뭔가를전달하기위한행사가아니라편안하게여러분들과대화할수있는시간을갖는것이목적 " 이라며 '2011 안랩 & SW 사업계획및채널정책 ' 에대해이야기하는시간을가졌다. 이상국팀장은 " 지난 2010년에엔드포인트보안시장이성장하겠는가에대한우려가있었다 " 면서 " 지나고나서봤을때스마트폰등으로모바일영역까지엔드포인트보안의영역자체가확대되는현상이나타났다 " 고말했다. 이어 " 안철수연구소는파트너사들의도움으로기업용안티멀웨어 (Anti- 이날행사에서는안철수연구소와함께결실을맺은파트너사소개및공로상시상등활력이넘치는분위기가이어졌다. Malware) 시장점유율의 60% 까지차지할수있게되었다 " 고전했다. 또한 " 소프트웨어분야에서만 12% 성장했으며, 고객수만해도 27% 가까이고공성장했다 " 며 " 이모든것들을지원해주신파트너여러분들께이자리를빌어깊은감사를표하고싶다 " 고말했다. 한편 2011년 SW 시장전략및 1,000억원매출달성과관련해이상국팀장은 " 올해고객기준의시장구조재편과파트너프로그램강화에더욱주력할것 " 이라고밝혔다. 또한 " 안철수연구소는시큐리티플랫폼프로바이더 (Security Platform Provider) 로거듭날것이며, 그과정에서파트너사의역량강화에기여할수있는토털시큐리티어드바이저 (Total Security Advisor) 의역할을해드릴것 " 이라고약속했다. 보안사업본부본부장인조동수전무는안철수연구소의 2011년비전을어떻게실현시킬것인지에관해자세히설명했다. 이어 " 익숙한것만하겠다고하시면우리의방향과는조금떨어진것일수있다 " 며 " 우리의사업방향에좀더관심을가져주시기를부탁한다 " 는말로마무리했다. 한편교육부문에이어올해공공부문까지총판을담당하게된 비츠코리아의임달혁대표는 " 지금까지는안철수연구소와파트너사들의도움으로성장해왔지만올해부터는우리가나서서시장을확대해나갈것 " 이라며 " 곧올해준비한많은것을보여드릴수있을것 " 이라는말로자신감을표했다. 35