CEO 강연 지상 중계 스마트폰 보안과 패러다임의 변화 이 글은 안철수연구소 김홍선 대표님의 스마트폰 보안과 패러다임의 변화 세미나 강연 내용을 지면으로 옮긴 것입니다. 스마트폰 보안과 패러다임의 변화 아이팟, 아이폰, 아이패드로 이어지고 있는 애플의 열

Transcription

1 월간安은안철수연구소에서발행하는보안분석정보매거진입니다 J U N E CEO 강연지상중계 스마트폰보안과패러다임의변화 ASEC Report 2010 년 5 월보안통계및분석정보 Special Report 되돌아보는 7 7 DDoS 대란 7 7 DDoS 대란 1 년후, 지금우리는. 7 7 DDoS 대란기술적분석 DDoS 방지를위한기업보안관리자가이드 DDoS 발생시기업고객행동가이드 DDoS 최신공격기법과방어기법 DDoS 대응장비의효과적인운영 / 관리가이드 DDoS 공격침해및방어사례보안전문가의소회 ( 所懷 ) Hot Issue 트위터에서자라는소셜네트워크플랫폼의보안위협 Product Review TTA IPv6 인증획득한 AhnLab TrusGuard

2 CEO 강연 지상 중계 스마트폰 보안과 패러다임의 변화 이 글은 안철수연구소 김홍선 대표님의 스마트폰 보안과 패러다임의 변화 세미나 강연 내용을 지면으로 옮긴 것입니다. 스마트폰 보안과 패러다임의 변화 아이팟, 아이폰, 아이패드로 이어지고 있는 애플의 열풍이 좀처럼 수 것이 아니다. 그리고 스마트폰에서는 많은 기술을 필요로 하지 않는 그러들지 않고 있다. 다. 왜냐하면 모든 리소스가 이 작은 디바이스에 그대로 들어갈 수가 아이폰 열풍을 보면서 우리가 같이 눈 여겨봐야 하는 것이 커뮤니케 없기 때문이다. 모바일 유저들은 빠른 응답을 원한다. 만약 보안 때문 이션 패러다임이다. 최근 트위터가 무서운 상승세를 보이며 급성장하 에 사용이 불편해진다면 외면을 받을 것이다. 고 있다. 특히 국내에서는 아이폰이 출시된 지난 12월 이후 사용자가 그리고 주목해야 할 점은 모바일 환경의 리소스는 단말기에 있지 않 급증하기 시작했다. 아이폰 출시 이전에는 10만 명 정도의 마니아 층 다는 것이다. 필자도 스마트폰 사용자인데 만약 분실하거나 고장 난 이 형성되었으나 현재는 50만 명 이상이 트위터를 사용하고 있다. 트 다면 아무런 고민 없이 리셋(Reset)해 버릴 것이다. 어떻게 그럴 수 위터는 커뮤니케이션의 메커니즘의 변화를 가져오고 있다. 이제 더 있을까. 대부분의 자원들이 아이튠즈에 있기 때문에 충분히 가능한 이상 정보를 찾아 포털 사이트나 언론사 사이트를 헤맬 필요가 없다. 일이다. 결국 이런 많은 자원들은 결국 클라우드 컴퓨팅 개념으로 갈 트위터의 타임라인에 올라오는 나의 관심 정보들을 실시간으로 쫓아 것이고, 그와 같은 형태로 운영될 것이다. 스마트폰은 기존 피처폰과 가기만 하면 되는 것이다. 는 사상 자체가 다른 것이다. 그럼 본격적으로 얘기에 들어가기 전에, 스마트폰이 주는 충격이 무 엇인가에 대해서 먼저 알아야 보안을 생각할 수 있다. 우리가 스마트 폰을 얘기하면서도 사실 스마트라는 개념에 대해서 별로 귀담아 듣지 입체적인 커뮤니케이션의 시대 않고 있다. 스마트폰은 단어의 의미 그대로 정말 Smart한 것이다. 우리 기존 환경에서의 데이터는 메인 프레임에서 PC로 이동하고, 사람이 가 무언가를 키보드로 입력하는 것이 아니라 원하는 것을 감지할 수 저장하고 관리하는 정적에 요소였다. 하지만 스마트폰 환경에서의 데 있다. 즉, 나의 움직임을 감지하여 인간과 같이 움직여주는 것이다. 이터, 즉 정보는 다르다. 모바일이라는 환경과 소셜 네트워크가 결합 해 새로운 커뮤니케이션 방식을 창조하고 있다. 방대한 정보가 떠돌 아 다니며 타임라인이라는 시간 축과 팔로워라는 소셜 네트워크 축 무엇이 아니라 어떻게 쓰느냐가 관건 을 통해 입체적으로 퍼져간다. 이 정보를 어떻게 잡아내어 자신의 가 스마트폰은 유저 익스피어리언스(User Experience)가 매우 중요하다. 치로 만드느냐가 열쇠다. 끊임없이 고급 정보는 역동적으로 생성되어 사용자가 결국 어떻게 쓰냐가 중요한 것이지 주어진 인프라가 중요한 흘러가며, 이는 실시간(real-time)으로 소통되고 있다. 2

3 CEO 강연지상중계 스마트폰보안과패러다임의변화 비즈니스모델의충격그동안휴대폰은통신사와단말기만이그안에소프트웨어를넣을수있었다. 하지만스마트폰은어플리케이션레이어가개방되어있다. 통신사와단말기회사에의존하지않고누구나어플리케이션을넣을수있으며자신들의업무환경을바꿀수있다. 이는곧스마트폰환경에서의권력의이동을의미한다. 즉, 통신사와단말기회사가주도하던시장지배구조에서양질의콘텐츠와어플리케이션을가진회사가함께윈윈할수있는모델로바뀐것이다. 창의적인아이디어와빠른실행력을가진소프트웨어들이생존할수있는시대가온것이다. 성공의열쇠는 컨버전스 제임스카메룬감독의영화 아바타 로인해 3D 콘텐츠가각광을받고있다. 3D 기술은 1950년대에소개된기술이다. 이미여러형태로사용된이기술이오늘에와서야각광을받은이유는무엇일까. 그것은애니메이션, 그래픽등디지털영상기술과제대로결합했기때문에가능했다. 디지털영상기술의발전으로머리속에서상상한장면을거의그대로 CG로실현할수있게되었다. 이렇게성숙한 CG 환경에 3D 기술이접목되니엄청난상승효과가작용했다. 봇물터지듯나오는 3D 애니메이션의출시는이를입증한다. 아이폰이성공하고스마트폰이돌풍을일으킨배경에도환경적성숙함이한몫했다. 애플은뉴튼이라는 PDA 를만들었지만성공했다고보기어렵다. 모뎀과텍스트중심의개인용기기로는 PDA 가전자수첩의범주를벗어나기힘들었다. 그러나, 상황이바뀌었다. 성숙해진인터넷덕택에이메일과웹검색이보통사람들의생활깊숙이자리잡고있다. RIM사의블랙베리는이메일을손안으로가져다주었다. 또한광범위하게구축된무선랜환경은통화료에대한부담을떨어버렸다. 아이튠스는최대의디지털 음악유통시장이되었고유튜브에서는전세계인들의동영상이소통된다. 이모든것이디지털기술, 인프라, 콘텐츠가결합된컨버전스를통해가능해진것이다. 개방형플랫폼의물결스마트폰이기존의 PC나휴대전화에서진화한것은맞다. 그렇지만그속에는인텔리전스 (Intelligence), 로케이션 (Location), 멀티센스 (Multi-Sense), 멀티채널 (Multi-Chanel) 등새로운네가지기능이포함되어있다. 여기에더해어플리케이션플랫폼과웹 2.0, 소셜네트워크등이결합해상승작용을일으키고있는것이다. 결국 B2B(Business to Business) 분야에서도이러한모바일환경을수용할수밖에없을것이고, API 공개가더욱확대될것으로예상한다. 한예로, 미국의양판점인베스트바이 (bestbuy) 에가보면많은사람들이아이폰으로바코드를찍어그제품을가장싼가격으로인터넷에서살수있는지없는지를찾고있다. 이런고객의행동패턴에따라베스트바이는전국지점의재고를전부오픈했다. API를통해서전국지점에서보유하고있는재고분량을실시간으로확인할수있는것이다. 세일즈맨을통해정보를확인하는것보다훨씬빠르고효율적인방법이다. 앞으로는공공기관이나기업에서이러한부분의모바일어플리케이션은계속개방해나갈것으로보인다. SW 산업활성화와일자리창출필자는스마트폰이우리나라에서굉장히중요하고이어려운시기에새로운돌파구를마련해나갈계기가될것이라고본다. 왜냐하면스마트폰은정보를빠르게공유할필요가있는도시인구에게적합한것이므로도시화가된국가가앞설수밖에없다. 인도가 IT 개발자 3

4 CEO 강연지상중계 스마트폰보안과패러다임의변화 새로운모바일환경에서는통신사업자, 단말기제조사, 서비스사업자간의서비스범위와책임소재를정확하게구분짓기가힘들다. 이것은서로간의비즈니스권력에의한쟁탈전이기때문에앞으로도큰갈등요소가될것이라고생각된다. 이러한고객지원및고객커뮤니케이션을고민하지않고소프트웨어를개발 공급한다면어려움에처할수있다. 소프트웨어를개발한것이끝이아니라그순간부터고객들과의관계가형성되기때문이다. 그비즈니스사이클을이해해야만성공할수있다. 가많지만이러한도시화측면에서는우리나라보다뒤떨어진다고본다. 또우리나라가 IT를도입 발전시켜오면서지난 10여년동안비즈니스마인드가상당히바뀌었다. 새로운 IT 기술과패러다임변화를두렵지않게받아들이고있다. 이러한마인드가우리가가진강점이라고생각한다. 반면소프트웨어배포문제에대해서는우리가약점을보이고있다. 소프트웨어는일단배포되는순간커뮤니케이션이시작된다. 하드웨어를주로공급했던기업이이러한소프트웨어의인프라를이해하는데한계가있기마련이다. 그래서소프트웨어산업은혁신과창의력문화가있는중소기업에더적합하다고할수있다. 우리가가진강점과문화가결합했을때스마트폰을통해서우리나라의소프트웨어산업이다시살아날수있을것이다. 그리고진정한일자리는중소기업에서나오는것이고, 결과적으로양질의일자리를창출하는중요한계기가된다고생각한다. 스마트폰환경에서의보안자, 이제스마트폰에서의보안을짚어보자. 그동안스마트폰의악성코드방어는시그니처기반으로진행되었다. 하지만중요한것은행위 (Behavior) 기반이다. 안철수연구소는 2001년부터모바일백신을개발했고 5년전부터스마트폰용보안제품을개발했다. 사실중간에중단해야하는게아닌가고민한적도있다. 우리나라에워낙스마트폰이들어오지않아테스트환경조차마련되지않았다. 그어려움을겪으면서도연구를지속한결과지금은 3세대쯤간거같다. 그런데그추세를살펴보면행위 (behavior) 기반이중요하다는것을알수있다. 윈도우모바일의경우계속환경이바뀌고여러가지변종들이계속나와서시그니처기반으로보안을하기에는어렵다. 결국, 행위 (behavior) 기반으로진행되어야한다. 한예로, 국내사용자들도아마존을많이이용하고있을것이다. 보통국내사이트에서인터넷쇼핑 을하려면최소 1~2개정도의보안프로그램을설치해야한다. 그런데미국아마존을이용할때는아무것도설치하지않아도보안에별문제가없다. 행위기반으로고객의패턴을분석하고이에맞는프로세스를채택하고있기때문이다. 스마트폰에서도이처럼사용자의행위 (behavior) 를통해서보안을적용하는것이바람직할것으로본다. 또하나, 앱스토어에서의안정된어플리케이션공급에대한검증측면에서도보안이고려되어야한다. 앱스토어에서자유롭게거래되는어플리케이션의안전성이보장되어야한다. 만약누군가앱스토어에악성코드가포함된어플리케이션을올리고이것이검증이되지않는다면모바일생태계는깨지는것이다. 스마트폰은 PC 환경에비해적은리소스를사용하는반면응답속도는굉장히빨라야한다. 또한성능 (Performance) 이매우중요하다. 백신엔진을수시로업데이트해야하는데 PC와달리이런것이발생할때마다고객이데이터요금을지불해야하는이슈가발생한다. 더욱이스마트폰의어플리케이션은 PC와비교할수없을정도로많아서이들간의충돌도문제가될수있다. 결국백신의악성코드진단및치료도중요하지만이런전체적인비즈니스를고려해야하기때문에쉽지않은문제이다. 그리고무엇보다중요한것은사용자편의성이다. 보안은사용하기불편하면더위험하다. 그렇기때문에스마트폰보안은기술적인관점보다는편의성에관점이더많이고려되어야된다고생각한다. 스마트폰이기존 PC나휴대전화에서진화한개념은틀림없다. 하지만환경과기술이발전했으며, 이에발맞춰콘텐츠도엄청나게발전했다. 여기에더해소셜네트워크나클라우드와같은개념들이새롭게정착됐다. 또, 스토리지가격은엄청나게싸졌으며, 통신비도저렴해졌다. 이러한환경변화가현재의스마트폰환경을촉발하고있는것이다. 결론적으로이러한스마트폰사상을이해하고기술적인관점보다는여기에맞는보안이무엇인지진지하게논의할때이다. 4

5 asec report 2010 년 5 월보안통계및분석정보 년 5월보안통계및분석정보트위터봇넷악성코드우려 금전적이득과사회적이슈를타깃으로한악성코드가여전히극성을부리고있다. 안철수연구소는최근발표한 ASEC( 시큐리티대응센터 ) 리포트 에서 5월악성코드동향을분석한결과, 악성코드감염보고건수는전월대비 12% 증가한 1,153만여건으로집계됐다. [ 그림 1 참조 ] 또한감염된악성코드대표진단명을조사한결과 Win-Trojan/ Downloader가총 639,702건으로 Top20 중 11.3% 의비율로 1위를차지했다. 2위는 638,457건의 Win-Trojan/Agent, 3위는 476,563건의 Win- Trojan/Onlinegamehack이뒤를이었다. 이들악성코드는자체전파기능은없으나, 특정사이트에서파일을다운받아실행시키거나웜, 바이러스, 트로이목마등다른악성코드를설치하는역할을수행하는것이특징이다. 즉, 하나의악성코드에감염되었을뿐인데, 다른악성코드들을불러모으는매개체역할을하는것이다. [ 그림 2 참조 ] ASEC 리포트에서는 5월악성코드관련주요이슈로최근국내에서도사용자가급증하고있는 트위터 를겨냥한봇넷악성코드공격을다루고있다. 지금까지 SNS 관련악성코드가사용자계정이나버디계정에스팸성메시지를달거나악성코드가업로드된사이트로유도하는것이일반적이었다. 그러나최근나타나고있는트위터봇넷악성코드는미리획득한사용자계정에악성코드제어관련내용을트윗한후악성코드가이를읽어들인후악의적인행동을취하는것이 특징이다. ASEC 관계자는 트위터와같은사용서비스의경우일반적인봇넷의차단방법을사용할수없어공격자가자유롭게명령을내보낼수있으므로각별한주의가필요하다 고당부했다. 트위터를통한악성코드감염을예방하기위해서는접속전가능하면자신의운영체제와웹브라우저의보안패치를모두완료하는것이좋다. 또한가능하면신뢰할수있는컴퓨터보안제품을사용하고최신버전의엔진을유지하고실시간감시를사용하는것이바람직하다. 휴대용기기의경우보안패치가발표되는지살펴보고이를가능한빨리적용하는것이좋다. ASEC 리포트에서는이외에도 시스템파일을패치하는악성코드와 BSOD 제휴마케팅과결탁한애드웨어 문서파일에포함된악성코드주의 허위백신 Digital Protection/Data Protection 주의 온라인게임핵류악성코드로인한한 / 영전환불가사례 구글그룹스와스팸메일이결합된악성코드등다양한악성코드관련분석정보를제공하고있다. 안철수연구소홈페이지 ( center/asec/asecreportview.do?groupcode=vni001) 를방문하시면 ASEC 리포트전문을확인할수있다. [ 그림 1] 악성코드월별감염보고건수 [ 그림 2] 악성코드대표진단명감염보고 Top 20 5

6 Special Report 되돌아보는 7^7 DDos 대란 DDoS 대란 1 년후, 지금우리는. 공포의오후 6시, DDoS 공격이시작된다 나흘간펼쳐진얼굴없는범인과벌인사이버전쟁 2009년 7월 7일화요일오후 6시. 청와대, 국회, 국방부, 외교통상부등국내 12개, 해외 14개사이트가한동안마비되는상황이발생했다. 다음날같은시각, 국가정보원, 행정안전부등국내 16개사이트가또다시접속불가상태에빠졌다. 사이버테러리스트는 8일벌어진 2차공격에서자신을방해하는보안업체를공격타깃대상에포함시킬정도로용의주도했다. 9일공포의오후 6시, 7개사이트가또다시당했다. 마지막으로 10일 0시, 공격에이용된좀비 PC 의하드디스크와데이터를날려버렸다. 그리고사이버테러리스트는 영화의시놉시스와같은이내용은결코영화가아니다. 지난해발생한 7 7 DDoS대란의실제상황을그대로정리한것이다. 영화속에존재하던사이버테러가스크린을벗어나우리의현실속으로들어왔다. 뭔가다르다! 이건실제상황이다! 2009년 7월 7일발생한 7 7 DDoS 대란 은정부기관, 은행, 포털, 언론, 쇼핑몰등 26개주요인터넷사이트를공격, 인터넷서비스불능상태로만들어버린사상초유의사이버테러사건이다. 이사건에서는전형적인 DDoS(Distribute Denial Of Service, 분산서비스거부 ) 수법이공격에이용됐다. 즉, 보안에취약한대량의 PC를악성코드에감염시켜특정사이트를과도한트래픽으로마비시키는것이다. 그러 나 7 7 DDoS 대란은기존 DDoS 공격방식과는확연히다른양상을보여주었다. 기존공격은 C&C(Command & Control) 서버로부터직접명령을받아공격하는방식으로이루어졌다. 하지만 7 7 DDoS 대란에서사용된공격은 PC를감염시키는악성코드자체에타이머와공격명령이탑재되어있었다. 또한좀비 PC로이용된개별 PC의하드디스크손상이라는악성행위까지포함하고있었다. 특히, 악성코드간의협업모델, 기존보안장비를우회할수있는소규모공격, 복합형공격등각종최신보안위협들을정교한메커니즘으로결합한지능적인공격이었다. 숨가빴던안철수연구소의 48시간사건이발생하자안철수연구소는전사긴급대응체계에돌입했다. 사건발생 17시간만에 1차전용백신을무료로제공하기시작했다. 밤샘분석작업을끝에악성코드를해독한결과공격스케줄러의존재를세계최초로알아내, 전세계를놀라게했다. 이스케줄러를통해 9 일 3차공격의대상과시간을정확히알수있었다. 안철수연구소는변종등에의해공격대상과시간이변경될위험성이있었지만만일의사태를대비하기위해 7개의사이트를공개하고추가공격에대비할것을당부했다. 7월 9일오후 6시, 안철수연구소의예측은정확히들어맞았다. 다행히이미예견된상황이라해당사이트들의피해를최소화할수있었다. 그리고 7월 9일상황이종료되기전, 안철수연구소에는다시긴장감 6

7 Special Report 되돌아보는 7^7 DDos 대란 소구축사업, 인터넷망연동구간 DDoS 대응체계구축 3차사업, 좀비 PC 치료체계시범구축사업 등을추진중이다. 금융업계에서도금융감독원의 DDoS 공격대응종합대책, 금융결제원금융정보보호센터 DDoS 대피소구축 등공동대응책을마련하고있다. 7 7 DDoS 대란이 1 주년, 우리가해야할일 7 7 DDoS 공격진행및안철수연구소대응과정이돌기시작했다. 악성코드에좀비 PC의하드디스크와데이터를손상시키는기능이포함되어있었던것이다. 안철수연구소는국가정보원과의공조를통해이자기파괴기능의타이머가 2009년 7월 10일 0시로맞춰져있다는것을밝혀냈다. 이를막지못한다면좀비 PC로이용된수만에서수십만대의 PC가치명적인손상을입게된다. 안철수연구소는긴박하게움직이기시작했다. 긴급공지를통해상황과예방법을알리고, 24시간고객대응체계를유지했다. 10일 0시, 좀비 PC의하드디스크가손상되는일이발생했다. 하지만제한적인 OS에서만피해가발생한다는점과사용자들의사전대비로피해는크지않았다. 7 7 DDoS 대란, 무엇을남겼나나흘간, 숨막히게펼쳐진 DDoS 공격과의전쟁은끝났다. 7 7 DDoS 대란은 IT 강국으로자부해왔던우리나라의현실을그대로보여주는계기됐다. 알려지지않은사이버테러리스트의 DDoS 공격으로국가주요기관의네트워크는마비상태가되었다. 공격을받은쇼핑몰은일정시간동안영업이중지되어수십억원대의경제적인피해를입었다. 쇼핑몰과같이직접적인매출피해는아니지만은행들의경우인터넷뱅킹중지로고객들이큰불편을겪었다. 인터넷강국의허상을적나라게드러난것이다. 특히, 세계최고수준의초고속인터넷인프라, 대용량네트워크, PC 보급률등외적인성장속에서홀대했던정보보안의중요성을일깨워주는일대사건이되었다. 이일을계기로사이버테러에대한경각심이고취되고, 국가차원에서근본적인대책수립이필요하다는인식이확산됐다. 실제로지난해사고발생직후행정안전부는 200억원의예산을긴급편성해 범정부 DDoS 대응체계 를구축했다. 또한방송통신위원회와한국인터넷진흥원은 영세기업을위한 DDoS 사이버긴급대피 7월이다가오면서제 2의 DDoS 공격에대한우려가높아지고있다. 이에앞서연초부터공공기관및금융권에대한 DDoS 공격설이꾸준하게제기되어왔다. 이는정부나기업들의 DDoS에대한공포가여전하다는것을입증하는것이기도하다. 그만큼 DDoS 공격은방어하기힘든보안위협이고, 그파괴력또한대단하기때문이다. 물론 DDoS 공격이위협적인것임은분명하다. 하지만정부, 기업, 개인사용자들이가이드라인대로수칙을지키며유기적으로협조한다면공격이발생하더라도피해를최소화할수있다. 정부는이미언급한대로마련해놓은대응책을견고히하고, 후속사업들이꾸준히진행해야한다. 또한관계기관과는물론해외국가들과의공조체제를통해일원화된사이버테러대응체계를갖춰야한다. 민간기업들은보안시스템구축에대한투자를늘리고, 도입된보안시스템을적극활용하여안전한시스템을구축해야한다. 개인의경우, 자신이 DDoS 공격의피해자가아닌가해자가될수있다는인식하에자기 PC의보안관리를철저히할필요가있다. 특히, DDoS 특성상사전예방이힘든만큼공격에악용되는좀비 PC 수를줄이는것이가장현실적인대책이될수있다. 개인사용자들은보안프로그램설치는물론최신업데이트, 운영체제보안패치적용등기본적인보안수칙을준수하는것이무엇보다중요하다. 7 7 DDoS 대란과매우흡사한영화가있다. 2007년개봉한브루스윌리스주연의영화 다이하드 4 이다. 이영화에서주인공존맥클레인은교통, 통신, 금융, 전기등미국의모든네트워크를장악한사이버테러집단에맞서혼신을다한결과, 위기에서미국을지켜낸다. 우리에게도영화의존맥클레인과같은영웅이있는가? 그리고한사람의영웅이사이버테러로부터우리를지켜줄수있을까? 단언컨대, 사이버테러는결코한사람의영웅또는특수한기관이나기업이지켜줄수있는것이아니다. 우리모두가영웅, 존맥클레인이될필요도없다. 그저보안의식을강화하고기본적인보안수칙을지키는것이필요할뿐이다. 7

8 Special Report 되돌아보는 7^7 DDos 대란 DDoS 대란기술적분석 7 7 DDoS 대란에이용된악성코드분석국내외특정정부기관을대상으로한분산서비스거부 ( 이하 DDoS, Distributed Denial of Service) 정황이포착되었다. 총 3차 (7/7 18:00 ~ 7/10 18:00) 에걸친 DDoS 공격이감행되었고, 공격에활용되었던 DDoS 좀비 PC( 감염 PC) 들은 소프트웨어적하드디스크손상 이라는자기파괴증상을끝으로생을마감하도록설계되었다. 시간대별공격스케줄링기능탑재 : 악성코드 wmiconf.dll (Win- Trojan/Agent DL) 이공격대상, 공격시간대등의정보를담고있는 uregvs.nls(binimage/host) 를참조하여 DDoS 공격을수행하도록설계되어있다. 시간대별 1~3 차 DDoS 공격대상변경흐름 < 그림 > 시간대별 DDoS 공격대상변경흐름 7 7 DDoS 인터넷대란을유발한악성코드의특징은다음과같다. 악성코드간협업모델화 : 최근보안위협은하나의악성코드에모든공격코드를탑재하지않는것이특징이다. 이번 DDoS 공격의어미와도같은역할을하고있는 msiexec1.exe (Win-Trojan/ Downloader ), 그로부터파생되는많은악성코드들의유기적인연결고리를이해하지않고서는악성코드에대한효과적인분석및대응이점차어려워지고있다. 멀티도메인에대한공격방식 : 과거다수좀비PC들이하나의특정웹사이트를공격하는방식이일반적이었으나, 이번 DDoS 공격은하나의 PC에서도수십개의웹사이트를공격하는공격방식이이용되었다. 소프트웨어적하드디스크손상기능 : 악성코드 wversion.exe(2nd) (Win-Trojan/Destroyer.37264) 는하드디스크의물리적인첫시작위치에 Memory of the Independence Day 라는문구를이용해치명적인피해를입힌다. 시스템의 MBR(Master Boot Recorder) 및파티션정보가손상되어정상적인부팅이되지않는증상을유발한다. 추후포렌식관점에서좀비PC를분석할수없도록만들기위한 8

9 Special Report 되돌아보는 7^7 DDos 대란 조치라고도볼수있다. 중요문서및파일들에대한손상기능 : 악성코드 wversion. exe(2nd) (Win-Trojan/Destroyer.37264) 는고정드라이브에서.doc,?.docx,.wpd,.wpx,.wri,.xls,.xlsx,.mdb,.ppt,.pptx,.pdf,.accdb,.db 등의확장자파일을찾아손상시킨다. DDos 공격파일관계도 7.7 DDoS 공격의네트워크특징 TCP, UDP, ICMP 등다양한프로토콜을이용하여, 특정웹사이트들 ( 멀티도메인 ) 을공격하도록설계되었는데, 공격패킷들의주요특징은아래와같다. 감염 PC 에서극도의패킷을유발하지는않음. 초당 300 개이내의패킷으로데이터양이크지않음 HTTP 에임의의데이터를전송하는트래픽이가장많이전송되며, ICMP, UDP 도10-15% 수준에서차지함? HTTP > ICMP > UDP 프로토콜순서로트래픽을많이발생시킴 HTTP 가약 70% 대, ICMP 가 12-20%, UDP는 6-8% 수준에서발생 평균전체발생시키는트래픽은초당약 / 초, 약 50-65K / 초 < 그림 > 7 DDoS 악성코드들의연관성분석도 이번공격에이용된악성코드는공격대상웹사이트목록을담은파일 (BinImage/Host), 네트워크트래픽을유발하는다수의에이전트 (Agent DL, Agent VE) 등이있다. 이들악성코드가설치된 PC는이른바 좀비 PC 가되어일제히특정웹사이트를공격하였다. No. 주요악성코드명 V3 제품군진단명 < 그림 > 7.7 DDoS 인터넷대란의네트워크공격트래픽유형 1. msiexec1.exe Win-Trojan/Downloader msiexec2.exe Win-Trojan/Agent msiexec2.exe Win-Trojan/Agent AVC 4. msiexec3.exe Win-Trojan/Agent AIK 5. msiexec3.exe Win-Trojan/Agent AVD 6. uregvs.nls BinImage/Host 7. wmiconf.dll Win-Trojan/Agent DL 8. perfvwr.dll Win-Trojan/Agent VE 9. mstimeer.dll Win32/Mydoom.worm D 10. wmcfg.exe Win-Trojan/Mydoom wversion.exe(1st) Win32/Mydoom.worm wversion.exe(2nd) Win-Trojan/Destroyer 이중에문제가된것은역시 GET Flooding 공격을하는 HTTP 공격과랜덤데이터를 TCP 80 포트에전송하는공격이해당된다. 여기서 GET 요청을하는 HTTP 공격은초당약 20개, 12K의데이터전송 ( 출발지IP 위조없음 ) 하며, 랜덤데이터를전송하는공격은임의의 4-48byte 데이터를보내는패킷을초당약 43개, 3.6K의데이터전송 ( 출발지IP 위조 ) 하게된다. 이번 DDoS 공격들에서문제가된것은대부분 TCP 80 HTTP 공격이었는데, 트래픽으로인해국내웹사이트들이지연또는마비되는문제가발생을하게되었다. < 표 > V3 제품군에서진단하고있는 7.7 DDoS 주요악성코드들 9

10 Special Report 되돌아보는 7^7 DDos 대란 DDoS 방지를위한기업보안관리자가이드 7.7 DDoS (Distributed Denial of Service, 분산서비스공격 ) 인터넷대란으로온나라가들썩인지벌써 1년이되었다. 국내외특정정부기관을대상으로감행된 DDoS 공격은개인의부주의한 PC 관리가사이버전쟁에무기로사용될수도있다는교훈을주었을뿐아니라우리에게보안경각심을한층높여주기도했다. 지난경험을발판삼아공신력있는기관에서발표하는행동수칙을잘지키는것만으로도보안의첫걸음은성공적으로내딛는것이라할수있다. 보안위협에대한위기대처능력을갖추기위해필요한보안책임자, 보안실무자, 임직원의역할을알아보도록하자. 3) 보안협력업체와의긴밀한협조체계를구축하자여러보안사고를통해 IT환경에포함된모든구성원들이긴밀하게움직일때만이신속하고효과적인위기대처가가능하다는것을깨닫게되었다. 관계기관및보안협력업체와의긴밀한협조체계를통해기업내에서발생하는침해사고의확산을조기에차단하고, 새로운위협에대한사전예방활동을강화시켜나갈수있도록훈련해야한다. 2. 보안실무자 1. 보안담당자 1) 전문보안인력을강화하자. 보호해야할 IT자산에맞는적절한규모의전문보안인력과함께, 그들이전문보안인력으로써충분한전문기술을배양할수있도록하는교육프로그램지원등이함께동반되어야한다. 2) 보안인프라투자를확대하자상당수의고객은방화벽 (Firewall) IPS( 침입방지시스템 ), VPN( 가상사설망 ), 백신등전통적인보안솔루션을오래전부터운영해오고있을것이다. 그러나상황에따라서는추가적인보안솔루션의투자가필요하며현실에맞는보안솔루션으로의교체도지속적으로검토할필요가있다. 현재의보안인프라로충분한대응이어려워침해사고가빈번히발생하고그로인해투입되는손실비용이크다면현재의보안인프라에대한재고가필요할수도있다. 1) 보안정보수집채널을확보하자정보는크게실시간정보모니터링과정기적인동향분석으로나누어볼수있다. 안철수연구소 ASEC(AhnLab Security E-response Center) 에서는실시간보안위협정보에대해보안실무자의니즈를반영하여 AhnLab Threat Research 보안블로그를운영중에있다. 또한 AhnLab Proactive Threat Report를통해침해사고예방활동을지원하고있으며, 정기적인동향정보를담고있는 ASEC Report 제공을통해보안실무자의보안정보수집에도움을주고있다. 이밖에도한국인터넷진흥원 (KISA), 국가사이버안전센터 (NCSC) 에서제공하는보안정보및보안포털보안뉴스웹사이트를꾸준히방문하여보안위협흐름을놓치지않는것이중요하다. 2) 회사의보안위협에대해정확하게이해하자기업보안담당자는회사의중요정보자산을노리는보안위협에대해올바른이해가필요하다. 그래야만위협별대응전략이도출될수있으며, 그에맞는적절한보안솔루션도입을통해위기관리능력을 10

11 Special Report 되돌아보는 7^7 DDos 대란 DDoS 유지할수있는것이다. 보안위협에대한분석방법으로는보안위협이벤트모니터링을강화할것을권고한다. 침입탐지시스템 (IDS) 나통합보안관제 (ESM) 의수많은이벤트들에스스로백기투항하지않고인내와끈기를갖고보안위협을정확히이해하는것이위기대처능력을갖추는유일한방법이다. 3) 위기대처능력을강화시켜나가자기업보안담당자는항시모의훈련및다양한실무경험노하우를바탕으로, 오늘의부족함을개선해나가고임직원누구나손쉽게대처할수있도록대응매뉴얼을작성 / 배포함으로써앞으로다가올새로운위협에는더나은위기대처능력을보여줄수있어야한다. 4) 임직원보안교육에앞장서자실무자몇명이기업의모든 IT인프라를책임질수는없다. 따라서, 모든임직원이기업의보안수준을향상시키는데일조할수있도록참여를독려하고, 보안교육등다양한활동을통해임직원이충분한보안지식을숙지할수있도록노력해야한다. 임직원스스로본인의 PC를악성코드나외부공격으로부터보호해낼수있다면, 그자체만으로도기업의 IT보안수준은충분히향상될수있다. 3. 임직원 1) 회사의보안지침을충실히따르자 2) 보안을생활화하자회사의보안과나를따로떨어트려생각해서는안된다. 나하나로인해기업네트워크가마비되고, 더나아가서는대국가차원의인터넷마비를초래할수있음을잊지말아야한다. 무엇보다도사전예방활동을강화하여 PC가감염되지않도록보안수준을유지해주는것이가장중요하다. 보안은이제더이상어느특정집단의소유물이아니다. 슈퍼맨과같은존재가모든보안위협을해결할수있는시대는끝났다. 각자의위치에서보안에조금만더신경쓴다면나의 PC, 나아가서는기업과국가의 PC를안전하게지키는데일조하게될것이다. 11

12 Special Report 되돌아보는 7^7 DDos 대란 DDoS 발생시기업고객행동가이드 지난해 DDoS 공격으로큰피해를본경험이있는 K씨는얼마전회사의홈페이지가마비되자 DDoS 부터떠올렸다. 우리회사가또 DDoS에공격당한것이면어쩌나하는불안감때문에불편함을느낄사이도없이패닉상태가될정도였다. 그러나이러한막연한공포심은전혀도움이되지않는다. 자신이피해자일수도있지만동시에공격자일수도있음을기억하고문제해결에적극적으로동참하는것이최선의해결책이다. 안철수연구소가제시하는 DDoS 증상발생시사용자들의행동지침 을살펴보고신속하고효과적인결과를얻는최상의방법을알아보도록하자. 설명하면 ISP업체에서도현재네트워크상황에대한해석이가능하므로적극적인지원을제공할것이다. 3. 전문기관을통한의심패킷에대한확인의심스러운패킷에대한차단시점에는분명히관련된패킷을확보할수가있다. 현재증상에대한원인을파악하는데활용할수있는좋은자료이므로, 전문기관에의뢰하여분석을요청하는것이바람직하다. 분석한결과는추후유사사건발생시빠른대처에활용하는데도움이된다. 1. 유해네트워크트래픽접근차단사내로유입되는유해한트래픽에대한확인및차단작업을수행해야한다. 트래픽의유 무해여부에대해서는트래픽분석과관련된전문기업을통해확인받을수있다. 확인을위한네트워크모니터링및차단솔루션을도입하여사용하는기업의경우에는해당솔루션이제공하는리포트내용을확인하면많은도움이될것이다. 2. ISP와연계한서비스상시성유지사내에서수행할수있는작업을수행함과동시에 ISP 업체와연계하여회사서비스상시성유지를위한다양한작업을수행해야한다. 정확한내용을전달하지않더라도이용하는 ISP 업체에현재상황을 4. 이상트래픽유발 PC의네트워크차단 DDoS 공격을받을수도있지만, 반대로회사내부에서외부로의공격을수행할수도있음을반드시명심해야한다. DDoS = 피해 라는공식은버려야한다. 악성코드감염, 유해한프로그램의설치에따른공격PC 역할수행도충분히발생할수있다. 만약이상트래픽을유발하는 PC를발견하면빠른시간내에네트워크에서분리하여추가적인피해를막아야합니다. 네트워크에서분리된 PC에는공격수행과관련된파일이존재할가능성이높으므로, 기존에설치된백신제품을이용한시스템정밀검사를수행하는것이필요하다. 간혹, 백신에서진단하지못하는파일이있을수도있으므로악성코드분석및대응전문업체를통한시스템점검을받는것이좋다. 실제문제가발생했을때빠르게수행할수있는작업들을설명했으 12

13 Special Report 되돌아보는 7^7 DDos 대란 나이상의내용들은충분히대비할수있는문제다. 이상의증상들을대비하여다음의항목들을확인하고수행한다면좀더안전하고원활한네트웍환경유지가가능할것이다. 회사서비스를제공하는서버들에는아래내용이도움이될것이다. 1. 물리적인장비의확충서비스를제공하는물리적인장비를충분히갖추고, 서비스를분산하여처리할수있다면 DDoS 공격과같은유사시에도피해도를분산시킬수있으니도움이될것이다. 2. 네트워크차단솔루션의도입실제적인네트워크관련차단기능을수행할수있는솔루션을이용하는것이좋다. 이러한솔루션도입및이용에있어도입시점에진행되는사전컨설팅과모의공격등을통해현재자사의상태를체크하는것은물론이고, 보안관제서비스를제공받을수있으면금상첨화일것이다. 또한, 네트워크차단솔루션이제공하는기능을 100% 활용할수있도록, 서비스제공자를통한정보전달및관련교육을이용하는것도바람직하다. 회사내부의 PC에는아래내용들을적용해야한다. 1. 백신의최신엔진업데이트및실시간감시적용단순히기업의서비스방해를목적으로했던과거의공격행태와는달리공격범위가국가기관등으로커지고있고, 공격기능을수행하는 PC의댓수도늘어가고있다. 이공격의중심에악성코드가한몫을하고있음은결코무시할수없는현실이다. 악성코드는백신을통해진단 / 치료 ( 삭제 ) 가가능하므로 DDoS 공격을대비해서라도항상감시하고, 발견시치료 ( 삭제 ) 해야한다. 이를위해백신은항상최신버전으로업데이트하시고, 백신에서제공하는실시간감시기능은항상켜두는것이좋다. 또한, 점심시간및여유시간을이용한주기적인시스템전체검사도권장하는바이다. 3. 관리자계정암호의차별화 / 난독화 악성코드에주로많이들어가있는기능중에는 PC 및서버의관리 자권한을획득하는것이있다. 관리자계정의권한을획득하게되면, 악성코드제작자의의도에따라사용자정보유출, 악성코드확산등 의다양한악의적인시도를할수있게된다. 특히, 기업서버의경우 관리자수는적으나관리해야하는대상서버의수가상대적으로많은 관계로관리자계정의암호를동일하거나쉽게설정하는경우가있고 심지어암호를설정하지않는경우도있다. 이런상태에서관리자권 환획득의도를가진악성코드가설치될경우, 모든서버가감염의피 해를입게되므로굉장한주의가요구된다. 따라서, 관리자계정의암 호를설정하되중복되지않도록하고쉽게유추가가능한영어단어나 숫자의나열보다는유추하기어려운자신만의암호를설정하여사용 하는것이바람직하다. 4. 퇴근시 PC 전원 OFF 회사의경우, 퇴근한이후까지 PC 가켜져있는경우가있다. 이 PC 에 악성코드가설치되어동작했을경우, 사용자가자리에없으므로빠른 조치가어렵게된다. 설상가상백신조차설치되어있지않는다면더 큰문제가될것이다. 외부고객서비스를제공하는서버가아닌이 상, PC 전원을끄신후퇴근해야한다. 이는악성코드로인한피해를최소화할수있음은물론이거니와 21 세기의화두인 Co2 최소화를통한녹색환경조성에도큰역할을수 행할것이다 년 7 월 7 일세상은 DDoS 공격에놀랐습니다. 그리고, 안철수연구소의기술력에감탄했습니다. 그노하우로완성한제품을세상에선보였습니다. 2. OS 보안패치설치악성코드가자신의실행및전파등을위해애용하는것은바로 OS 에존재하는보안취약점이다. 백신역시 OS 기반위에서동작하는것이므로, OS가자체적으로가지고있는취약점을백신이대신할수는없다. 따라서, OS 제작사가제공하는보안패치는항상확인하고, 빠짐없이설치하여사용하는것이좋다. DDoS 방어기술, 경험노하우의결합 AhnLab TrusGrard DPX 13

14 Special Report 되돌아보는 7^7 DDos 대란 DDoS 아는만큼막을수있다 DDoS 최신공격기법과방어기법 2009년발생한 7 7 DDoS 대란으로공공기관뿐만아니라금융, 민간기업등인터넷을이용하는모든기관및기업들이매우큰혼란에빠졌었다. 올해는아직까지 DDoS 공격으로인한국가적인비상사태는없었다. 하지만지속적으로 DDoS 공격이발생되고있는것도사실이다. 지난해 7 7 DDoS 대란과같은일을겪지않기위해서는최신 DDoS 공격기법과방어기법을숙지할필요가있다. 즉, 지피지기백전불태 ( 知彼知己百戰不殆 ) 로명확한 DDoS 공격이해가이루어지면방어할수있는방법을생각할수있다. 이글에서는현재발생되고있는 DDoS 공격을분류해보고각공격유형별로어떠한피해를야기할수있으며, 방어기법은어떠한것이있는지살펴보고자한다. 물론, 이러한봇넷없이악성코드자체가공격을자동으로수행하고공격목표와기법을업데이트하는형태의공격기법도존재한다. 지난해 7 7 DDoS 대란을일으킨악성코드가바로그것이다. 이경우중앙에서공격을제어하는공격자를찾기쉽지않기때문에악성코드자체가치료되기전까지는 DDoS 공격이계속수행될수밖에없다.. 반면자의적인 DDoS 공격의경우, 앞서설명한좀비 PC의획득과정없이공통된특정목적을가진사람들이같은시간에같은목표 (Target) 을향하여동시에공격을수행하는형태로이루어지고있다. 실제로올해 6월초발생한중국발 DDoS 공격이대표적인예이다. 즉, 동일한공격목적을가진사람들이스스로공격에참여하고, 주동자는 DDoS 공격툴을배포하여 DDoS 공격을수행했다. 여기서주목해야할것은자의적인 DDoS 공격에이용되는공격툴과공격기법이다. 최신 DDoS 공격트렌드분석 최근의 DDoS 공격양상을보면전통적인악성코드감염기반의좀비 PC를이용한 DDoS 공격과직접공격툴 (Tool) 을다운로드받아 DDoS 공격을감행하는자의적인 DDoS 공격형태로분류해볼수있다. 좀비 PC 기반의 DDoS 공격은이미우리가경험해온바와같이악성코드를이용하여특정유포지를통하여많은 PC가감염되도록한다. 이러한악성코드에감염되면공격자가중앙에서제어할수있는 봇넷 에등록이된다. 그시점으로부터감염된 PC는공격자의 좀비 PC 가되는것이다. 공격자는이렇게획득한좀비 PC를이용하여다양한형태의 DDoS 공격을수행하게된다. 사용자사전정의기반방어 정상 TCP 세션연결요청검증 정상 Connection 확인 정상 HTTP 세션연결요청검증 임계치기반 DDoS 공격방어 시그니처기반유해패킷차단 [ 그림 1] 안철수연구소 DDoS 전용장비 트러스가드 DPX 의 DDoS 방어기법 14

15 Special Report 되돌아보는 7^7 DDos 대란 자의적인 DDoS 공격은공격수행자에게공격시작전직접배포를할수있으므로새로운 DDoS 공격기법이포함된공격툴을손쉽게배포할수있다. 아울러같은시간에같은목표를공격하므로새로운기법의 DDoS 공격을시도할수있다. 이로인하여기존의 DDoS 공격방어전용제품의기능을무력화또는우회하면서공격을성공시킬수있는새로운형태의 DDoS 공격기법을빠르게확산시킬수있다. DDoS 공격의분류 DDoS 공격의종류를분류할경우다양한기준을통하여분류할수있으나최근발생하는 DDoS공격트렌드에맞추어분류하면 정상적인세션연결 여부에따라아래와같이분류할수있다. 1. 정상적인세션연결을고려하지않은 DDoS 공격전통적인 DoS/DDoS 공격은많은트래픽을유발함으로써서비스를제공하는서버의과부하를일으키는기법을사용한다. 이는일반적인인터넷환경에서생성될수있는여러가지프로토콜 (Protocol) 을기반으로하여네트워크입장에서는정상적으로보이는패킷을과도하게발생함으로써서비스의과부하를일으켜서비스거부공격을수행하게되는것이다. 이러한유형에는인터넷환경에서가장많이사용하는 TCP 프로토콜을이용하는기법과 TCP 프로토콜이아닌 UDP/ICMP 프로토콜기법의 DDoS 공격유형이존재한다. TCP 프로토콜을이용한 Flooding Attack TCP의경우 RFC 규약에의하면 6가지의 TCP Flag 라는옵션값을제공한다. 특히 TCP의경우연결지향성 (Connection-Oriented) 프로토콜로클라이언트와서버의정상적인세션연결상태를상호작용을통하여항상확인하는특성이있다. 특히정상적인세션을연결하기위해서는 TCP 3-Way Handshake 라고명명되는정상적인세션연결요청및응답이선행되어야한다. 이후에는각각클라이언트와서버간의주고받는데이터의정확한전달확인을위한신호가매패킷마다이루어지는과정을거치게된다. 이러한과정에서일어나는신호를 TCP의 Flag 옵션을선택하여이루어지게되며, DDoS 공격시에는이 TCP Flag 값을임의적으로선택하여해당패킷을과도하게보냄으로써서비스의과부하를야기시키게되는공격이다. TCP 프로토콜을이용한상세한 DDoS 공격유형은다음과같다. A. TCP Syn Flooding TCP Flag 중 TCP 세션요청과정중가장먼저발생하는 TCP Syn 패킷을기반으로한 DDoS 공격유형이다. [ 공격증상 ] 가장쉽게발생시킬수있으며서비스의부하의영향도가큰 DDoS 공격유형이다. TCP 3-Way Handshake 과정에서제일처음발생 되는 TCP Syn Flag 패킷을과도하게발송함으로써공격대상지 는 TCP 세션의정상적인연결을위하여세션성립대기를하게된다. 이때과도한 TCP 연결대기에의해서버의과부하를야기하는공격 유형이다. [ 공격방어기법 ] 이러한공격에가장효과적으로방어할수있는기법은해당 TCP Syn 패킷이정상적으로요청하는지에대해서버대신 DDoS 공격대 응장비에서대리응답을통하여검증하는기법이가장효과적이다. 이기법을통하여정상적인 TCP 연결요청만통과시키고비정상적인 TCP 연결요청은차단할수있는방법을제공한다. 아울러정상트래 픽임계치보다과도한 TCP Syn 을요청하는출발지 IP 에대해차단할 수있는임계치기반의 DDoS 공격방어기법도효과적인대응기법 으로사용된다. B. TCP Syn 이외의 Flooding (TCP Syn-Ack/Ack/Push- Ack/Fin/Rst/Urg 등 ) TCP Syn 이외의다른 TCP Flag 를이용하는공격기법이다. [ 공격증상 ] 사용자사전정의기반방어 정상 TCP 세션연결요청검증 [ 그림 2] TCP Syn Flooding 공격방어에이용되는 트러스가드 DPX 방어기법 사용자사전정의기반방어 정상 TCP 세션연결요청검증 정상 Connection 확인 정상 HTTP 세션연결요청검증 정상 Connection 확인 정상 HTTP 세션연결요청검증 임계치기반 DDoS 공격방어 시그니처기반유해패킷차단 임계치기반 DDoS 공격방어 시그니처기반유해패킷차단 [ 그림 3] TCP Syn 이외의 Flooding 공격방어에이용되는 트러스가드 DPX 방어기법 15

16 Special Report 되돌아보는 7^7 DDos 대란 해당 DDoS 공격발생시서버는자신이연결하고있지않은출발지 에서유입되는다양한패킷을처리하고확인하는과정에서과부하를 야기하게된다. [ 공격방어기법 ] 가장쉽게해당공격을방어할수있는기법은 TCP 프로토콜이연결 지향성 (Connection-Oriented) 이라는점을이용한공격방어기법이 있다. 정상적인 TCP 의경우에는 TCP 3-Way Handshake 과정을거 쳐야만한다. 하지만, 이러한 Handshake 과정에위배된 TCP 패킷이 유입될경우비정상적인트래픽으로구분하여차단하는방법이가장 효과적이다. 또한정상적인트래픽의임계치에의거하여비정상적으 로많은트래픽을유발하는출발지 IP 에대해차단하는임계치기반 의 DDoS 방어기법도효과적인대응기법이다. 트러스가드 DPX 의경우각 TCP Flag 별임계치를정의하고탐지할 수있는기능이제공되므로, 네트워크의환경에맞는임계치를설정 할경우해당공격에대해쉽게방어가가능하다. TCP 프로토콜이외의 UDP/ICMP 프로토콜을이용한 Flooding UDP 나 ICMP 프로토콜은 TCP 와다르게연결지향형프로토콜이아 니다. 즉클라이언트와서버간의 UDP/ICMP 의전송은송신에만주력 하며제대로전달되었는지에대한검증이이루어지지않은프로토콜 이다. 따라서 DDoS 공격자입장에서는단순히패킷만발송하면되기 때문에 TCP 보다더쉬운 DDoS 공격을유발할수있다. [ 공격증상 ] UDP/ICMP 의경우패킷의크기를임의적으로조정하여서비스의과 부하를야기하게된다. 만약패킷크기를가장작은단위로사용할 경우서버입장에서는매초당많은패킷을수신해야하므로이과 정에서과부하를일으키게된다. 반대로패킷크기를가장큰단위로 사용할경우서버입장에서는상대적으로매초당처리해야하는패 킷의수는작은반면회선대역폭 (Bandwidth) 의용량초과로인하 여서비스거부현상을일으키게된다. [ 공격방어기법 ] 사용자사전정의기반방어 정상 TCP 세션연결요청검증 정상 Connection 확인 정상 HTTP 세션연결요청검증 임계치기반 DDoS 공격방어 시그니처기반유해패킷차단 [ 그림 4] TCP 프로토콜이외의 UDP/ICMP 프로토콜을이용한 Flooding 공격방어에이용되는 트러스가드 DPX 방어기법 일반적으로서비스의특성상 UDP 나 ICMP 를서비스에이용하는유 형은제한되어있다. 따라서 UDP나 ICMP를서비스에서사용하지않을경우에는미리차단하는것을일반적으로권고하게된다. 이경우불필요한트래픽을사전에차단함에따라서버및회선의과부하를사전에방지할수있다. 또한 TCP 프로토콜기반의 Flooding을방어하는기법과마찬가지로임계치기반에의거한 DDoS 공격탐지및방어기법도사용이가능하다. 잘못된프로토콜헤더를이용한 Flooding 앞서언급한세가지기법의 DDoS 공격의경우정상적인프로토콜의헤더를가지고있는 DDoS 공격유형이다. 그러나공격자에따라이러한프로토콜의헤더규약까지도무시한패킷을 DDoS 공격으로이용할수도있다. [ 공격증상 ] 비정상적인헤더를가진트래픽을수신한서버는잘못된헤더에대한무시등의처리를수행해야하며, 아울러비정상적인트래픽이회선의용량을고갈시킴에따라서비스에이상영향을초래할수있다. [ 공격방어기법 ] 일반적인네트워크보안제품에서는정상적이지않은패킷의헤더는즉시차단하도록내부보안기능을가지고있다. 이를통해비정상적인트래픽을자동으로차단해줌으로써서비스가용성을확보할수있다. 2. 정상적인세션연결기반의 DDoS 공격앞서살펴본여러가지 DDoS 공격유형은정상적인세션연결을고려하지않고과도하게많은트래픽을발송하여서비스의과부하를유발하는공격기법이다. 이와반대로정상적인세션을연결하는기법을이용한 DDoS 공격유형도있다. 특히이러한 DDoS 공격은정상적인세션을정상적으로연결하기때문에전통적으로사용하는보안제품의본연의기능및정상세션검증절차를쉽게회피할수있다. 또한공격이집중되는서버입장에서는정상적인세션처리까지수행해야하기때문에단순한 Flooding 공격보다더많은서비스의부하를일으킨다. 이러한정상적인세션연결기반의 DDoS 공격종류는다음과같다. TCP Connection Flooding TCP Connection Flooding 은 TCP 3-Way Handshake 과정을과도하게유발함으로써서비스의과부하를야기시키는공격유형이다. [ 공격증상 ] 공격트래픽을수신하는서버는정상적인 TCP 세션을지속적으로세션연결을하여서비스를위하여수행하는서버의세션처리자원 16

17 Special Report 되돌아보는 7^7 DDos 대란 (Resource) 를고갈시켜정상적인세션연결을더이상수행하지못하게한다. 결국정상적으로접근하는사용자가더이상서비스에접근할수없게된다. 이공격기법을세분화하면크게세가지로나눠볼수있다. TCP 세션연결을유지하는 DDoS 공격 TCP 세션연결 / 해제를반복하는 DDoS 공격 TCP 세션연결후정상적인트랜잭션 (Transaction) 처럼보이는트래픽을발송하는 DDoS 공격 [ 공격방어기법 ] 위하여수행하는서버는기본적인 TCP 세션처리뿐만아니라 HTTP 요청처리까지수행해야한다. 이경우 HTTP 처리모듈의과부하까 지도야기시킬수있는 DDoS 공격기법이다. [ 공격방어기법 ] 사용자사전정의기반방어 정상 TCP 세션연결요청검증 정상 Connection 확인 정상 HTTP 세션연결요청검증 임계치기반 DDoS 공격방어 시그니처기반유해패킷차단 [ 그림 6] HTTP Get Flooding 공격방어에이용되는 트러스가드 DPX 방어기법 [ 그림 5] TCP Connection Flooding 공격방어에이용되는 트러스가드 DPX 방어기법 이러한 DDoS 공격을방어하기위해서는다음과같은다양한형태의 DDoS 방어기법을사용해야한다. 먼저정상적인 TCP 세션연결이 후정상적인트랜잭션 (Transaction) 이수행되는지에대해검증하여만 약정상적인트랜잭션이이루어질경우서버로전달해야한다. 정상 적인트랜잭션없이 TCP 세션연결만수행할경우에는서버로전달 하지않아야서버에부하증가현상을막을수있다. 또한네트워크 의정상적인환경에서설정된각트래픽유형별임계치를통하여과 도한 TCP 세션연결에대해차단할수있는방법도권고하는 DDoS 방어기법이다. HTTP Get Flooding 앞서설명한 TCP Connection Flooding 의경우 TCP 3-Way Handshake 과정이후정상적인트랜잭션이일어나지않는반면 TCP 3-Way Handshake 과정이후정상적으로보이는트랜잭션이추가적 으로발생되는 DDoS 공격기법도있다. 일반적으로 DDoS 공격은웹 서버 (Web Service) 를대상으로 DDoS 공격이발생되며, TCP 세션연 결이후발생하는일반적인공격형태가바로 HTTP Get Flooding 형 태가그것이다. 다시말하면, HTTP Get Flooding 은정상적인 TCP 연 결과정이후정상적으로보이는 HTTP 트랜잭션과정이수행되는 DDoS 공격기법이다. [ 공격증상 ] 사용자사전정의기반방어 정상 TCP 세션연결요청검증 정상 Connection 확인 정상 HTTP 세션연결요청검증 임계치기반 DDoS 공격방어 시그니처기반유해패킷차단 공격트래픽을수신하는서버는정상적인 TCP 세션과함께정상적으 로보이는 HTTP Get 요청을지속적으로요청하게되므로, 서비스를 전통적인 DDoS 공격대응장비에서이러한 HTTP Get Flooding 공격을방어하기위해서는일반적으로임계치기반의방어기법을적용한다. 즉 HTTP Get Flooding 시수행되는 TCP 연결요청의임계치값과 HTTP Get 요청의임계치값의모니터링을통하여비정상적으로많은트래픽을발생하는출발지 IP에대한선별적인차단적용이가능해진다. 다행히도이러한세션연결기반공격의경우출발지 IP는변조될수가없기때문에출발지 IP 기준의임계치를통하여방어가가능하다. 하지만, 향후이러한세션기반공격의경우다수의사용자를이용한 DDoS 공격이이루어지며하나의출발지 IP 당발생하는 DDoS 공격트래픽양은방어장비에서설정된임계치정책보다도더작게공격할수있는위험을가지고있다. 따라서상세한 DDoS 공격을방어하기위해서는정상적으로 HTTP Get 요청을하는지에대한정밀한검사기법이요구된다. 안철수연구소의트러스가드 DPX 는이러한 TCP/HTTP 연결요청에대한검증기증을가지고있어임계치기반의방어동작뿐만아니라정상적인 HTTP 트랜잭션의검증기능을통하여 HTTP Get Flooding 형태의 DDoS 공격을효과적으로방어할수있다. HTTP CC Attack HTTP CC Attack 은일반적인 HTTP Get Flooding 보다더많은부하를야기하기위하여 HTTP 1.1 RFC 2616 에규정되어있는 Cache- Control 이라는헤더옵션값을사용함으로써웹서버에더많은부하를유발시키는지능화된 DDoS 공격기법이다. 일반적으로 HTTP 1.1 의 Cache-Control 헤더옵션은웹트랜잭션의효율화를이용하여사용하게되는 Cache 기능을사용하지않고자주변경되는데이터에대해새롭게 HTTP 요청및응답을요구하기위하여사용되는옵션이다. 이를 DDoS 공격에응용하게되면웹서버는 Cache를사용하지 17

18 Special Report 되돌아보는 7^7 DDos 대란 않고응답을해야하므로웹서비스의부하가증가하게된다. 이러한 Cache-Control 에사용되는헤더옵션은다음과같다. 이러한 HTTP CC Attack을방어하기위해서는 HTTP Get Flooding 과마찬가지로일반적인방어기법인임계치기반의 DDoS 공격방어가효과적이다. 즉, TCP 세션요청과 HTTP 요청에대한임계치기법으로방어가가능하다. 하지만이공격은 Cache-Control이라는 HTTP 헤더옵션을사용하는공격이므로, HTTP Cache-Control 헤더옵션별임계치정책으로방어해야만더큰효과를얻을수있다. 만약 Cache-Control 헤더옵션을이용하여많은트래픽이유입될필요가없는서비스환경이라면해당정책을엄격하게제한하여과도한트래픽을유발하여임계치정책에위반되는출발지 IP를차단하는것이효과적이다. 아울러, HTTP CC Attack 도 Cache-Control 헤더옵션을사용하는기법만제외하면 HTTP Get Flooding 과동일한형태의공격트래픽이발송이된다. 따라서안철수연구소의트러스가드 DPX 에서제공하는정상적인 TCP/HTTP 세션요청검증기능을이용하여임계치이하의 DDoS 공격트래픽도효과적으로방어해야한다. 일반적으로알려진중국 DDoS 공격툴의 HTTP CC Attack 의 경우 Cache-Control: no-store, must-revalidate 로설정되 어 DDoS 공격에이용되나, 이는 HTTP 1.1 헤더규약인 Cache- Control 헤더옵션에지정되는것이아니라클라이언트의사용브 라우저정보를나타내는 User-Agent 헤더옵션에추가된잘못 기재된사항이다. [ 공격증상 ] Cache-Control 헤더옵션을이용한 HTTP 공격은정적인웹페이지 의연결요청보다게시판과같은동적인웹페이지를공격할때공격 효과가뛰어나다. 특히동적인페이지의경우웹응답시다양한형 태의웹어플리케이션과미들웨어, 데이터베이스의트랜잭션연계가 수행되므로, 이로인하여웹서버부하뿐만아니라웹서버에연관된 모든요소의부하를증가시킬수있다. [ 공격방어기법 ] 사용자사전정의기반방어 정상 TCP 세션연결요청검증 정상 Connection 확인 정상 HTTP 세션연결요청검증 임계치기반 DDoS 공격방어 시그니처기반유해패킷차단 [ 그림 7] HTTP CC Attack 공격방어에이용되는 트러스가드 DPX 방어기법 Dynamic HTTP Request Flooding HTTP Get Flooding 이나 HTTP CC Attack 은일반적으로지정된웹페이지를지속적으로요청하는 DDoS 공격유형이다. 그러나이경우위에서언급한다양한 DDoS 공격방어기법이외에특징적인 HTTP 요청패턴으로방어할수있는기법도적용이가능하다. 물론정상적인요청과비정상적인요청을구분할수는없으나기존의공격대상웹페이지의이름을변경하면서공격트래픽의요청을일괄적으로차단하면방어는가능할수있다. 이러한 DDoS 공격차단기법을회피하기위하여정해진웹페이지를요청하는것이아니라지속적으로요청페이지를변경할수있는 DDoS 공격기법도존재한다. 특히더많은부하를일으킬수있는동적인웹페이지를요청하는공격기법에서발전하여동적인웹페이지요청을수시로변경하며웹페이지를요청할경우부하는더증가할수있다. 또한방어하는입장에서도해당공격을정규화된패턴으로방어할수가없다. 아울러게시판과같은규정화된데이터베이스의호출에서변화하여데이터베이스를검색해서결과를얻을수있는검색질의어 (Query) 를과도하게요청할수도있다. 이를 Dynamic HTTP Request Flooding 이라고이글에서는명명한다. [ 공격증상 ] 공격트래픽을수신하는서버는정상적인 TCP 세션과함께정상적으로보이는 HTTP Get 요청을동적인웹페이지를통하여요청시마다다른웹페이지를지속적으로요청하게된다. 그러므로서비스를위하여수행하는서버는기본적인 TCP 세션처리뿐만아니라매번다른동적인 HTTP 요청처리까지수행해야한다. 이경우 HTTP 처리 18

19 Special Report 되돌아보는 7^7 DDos 대란 모듈및데이터베이스, 미들웨어등의과부하까지도동시에야기시킬 수있는 DDoS 공격기법이다. [ 공격방어기법 ] 사용자사전정의기반방어 정상 TCP 세션연결요청검증 정상 Connection 확인 정상 HTTP 세션연결요청검증 임계치기반 DDoS 공격방어 시그니처기반유해패킷차단 [ 그림 8] Dynamic HTTP Request Flooding 공격방어에이용되는 트러스가드 DPX 방어기법 HTTP 취약점을대상으로한공격의경우이미해당공격에대한위협분석이이루어지고있으므로시그니처기반의유해패킷차단기술이선행되어야한다. 안철수연구소의경우에는각종네트워크취약점에대한시그니처를분석하고실시간으로배포하고있어최신취약점유형공격에대해방어가가능하다. 또한취약점을대상으로한다량의 DDoS 공격트래픽방어를위하여기존의 DDoS 제품에서사용되는임계치기반의방어기법과함께, 트러스가드 DPX 에서제공되는정상 TCP/HTTP 요청검증기능을통하여유해한트래픽을방어할수있는기법을제시할수있다. 위에서언급한바와같이 Dynamic HTTP Request Flooding 은정형 화된패턴이없으므로패턴매칭기법을통한 DDoS 공격방어기법 은사용할수없다. 하지만 DDoS 공격은정상적인형태처럼보이는 TCP/HTTP 트랜잭션트래픽을과도하게유발하게되므로, 평상시네 트워크트래픽의양을각트래픽유형별로설정하는임계치기반의 방어기법으로방어가가능하다. 즉, TCP 연결요청과 HTTP Get 요 청의임계치를통하여 DDoS 공격발생시과도한트래픽을발생하는 출발지 IP 를차단하는 DDoS 방어기법을사용할수있다. 아울러 HTTP 요청을기반으로한공격이므로, 앞서설명한바와같 이 TCP/HTTP 요청의검증기능을통하여효과적으로방어할수있다. HTTP 취약점기반 DDoS Attack HTTP 요청공격의경우정상적으로보이는 HTTP 트랜잭션과정을 과도하게유발함으로써서비스거부현상을야기시키는공격유형이 나, HTTP 취약점기반 DDoS 공격은전통적인웹서버의취약점을 대상으로한 DDoS 공격형태이다. [ 공격증상 ] 이 HTTP 취약점을대상으로한 DDoS 공격은 HTTP 웹데몬의경우 몇가지취약점을가지고있다. 이러한취약점을통하여과도한트래 픽을유발할경우서버의부하또는장애를유발시킴으로써서비스 거부를유발하게된다. [ 공격방어기법 ] 사용자사전정의기반방어 정상 TCP 세션연결요청검증 정상 Connection 확인 정상 HTTP 세션연결요청검증 임계치기반 DDoS 공격방어 시그니처기반유해패킷차단 [ 그림 9] HTTP 취약점기반 DDoS Attack 방어에이용되는 트러스가드 DPX 방어기법 향후 DDoS 공격의변화예측및대응방안제언위에서살펴본바와같이 DDoS 공격은매우다양하다. 공격자입장에서는 DDoS 공격을좀더효과적으로수행하기위하여지속적으로여러가지 DDoS 공격기법들을발전시키고있다. 반면, 방어자입장에서도새로운 DDoS 공격유형을방어하기위한기법들을발전시키고있다. 이러한순환생태계에서지금순간에도공격자와방어자는치열한싸움을하고있다. 이싸움에서이기기위해서는새로운형태의 DDoS 공격대응기법이필요하다. 다시말하면, 기존의 DDoS 공격대응제품의경우단순임계치기반의 DDoS 공격방어에초점을맞추고있지만, 이제는이러한방식으로는 DDoS 공격에효과적으로대응하기에는한계가있다. 안철수연구소는다양한악성코드정보와 DDoS 공격정보의유기적인연동을통하여 DDoS 공격대응전용제품인트러스가드 DPX 의연계를구축하고있다. 이를바탕으로 DDoS 공격근원인좀비 PC를유발하는악성코드정보를분석하고관련정보를네트워크어플라이언스제품인트러스가드및트러스가드 DPX 로정책을신속하게업데이트한다. 또한새로운 DDoS 공격기법분석을통하여신규 DDoS 공격방어를위한기법을트러스가드 DPX 로적용시켜새로운 DDoS 공격유형에대한사전예방기능을제공한다. 아울러, 향후 DDoS 공격은임계치기반의 DDoS 공격전용제품을우회하기위하여소규모트래픽을유발하는좀비 PC가광범위하게이용될것으로판단된다. 따라서안철수연구소의트러스가드 DPX 와같이정상적인 TCP 및 HTTP 트랜잭션의검증과정을수행할수있는제품을통하여새로운 DDoS 공격양상에대응할수있어야한다. 이를통하여정상적인트래픽과비정상적인트래픽을지능적으로판단할수있어야 DDoS 공격방어와함께서비스의연속성을보장할수있다. 19

20 Special Report 되돌아보는 7^7 DDos 대란 DDoS 대응장비의효과적인운영 / 관리가이드 작년 7 7 DDoS 대란이후많은기업및기관에서 DDoS 대응장비를도입하였거나고려하고있다. 하지만 DDoS 공격의특성상실제공격이발생하지않는경우에는 DDoS 대응장비에대한관심은네트워크 / 보안관리자로부터필연적으로멀어질수밖에없고이에대한관리와운영이부실해질수밖에없다. 이글에서는 DDoS 대응장비의한계를인식하고효과적으로운영할수있는가이드를제공하고자한다. DDoS 대응장비의한계작년 7 7 DDoS 대란에서도경험했던바와같이 DDoS 대응장비의도입및운영여부와는별개로많은기업과기관들이 7 7 DDoS 공격에의해많은피해를입었다. 이는 7 7 DDoS 와같은새로운형태의공격이 1차적원인이라고한다면 DDoS 대응장비를도입했던기업 / 기관들의경우장비를효율적으로운영하지못했던것도또하나의이유가될수있다. DDoS 대응장비는기존의많은벤더의네트워크보안제품이추구하던통합보안장비 (ex, UTM) 와는달리오직 DDoS 공격만을탐지 / 차단하기위한장비이다. 하지만제품의특성상하드웨어및소프트웨어적인한계를가질수밖에없는데이는아래와같다. DDoS 대응장비도하나의시스템이기때문에오직자신이가지고있는자원의한계내에서만정상적으로동작한다. 예를들어 1G DDoS 대응장비는오직 1G( 기가바이트 ) DDoS 공격까지만방어가가능하고이를넘어설경우공격을차단한다는것이무의미해지게된다. 따라서이때는더상위의장비를도입하거나 ISP( 인터넷서비스업체 ) 또는안철수연구소와같은전문보안벤더의도움을받아야한다. 현재시장에나와있는 DDoS 대응장비는모두임계치 (Threshold) 기반이다. DDoS 공격의목적은일정시간동안특정공격지로상상이불가능할정도로많은패킷이전송됨으로써시스템및네트워크의자원을고갈시키고결과적으로서비스거부를발생시키는것이다. 많은이들이 DDoS 대응장비에서공격에이용된패킷의내용이나특정패턴을분석하는것이중요하다고생각한다. 하지만이는오해다. 실제로 DDoS 공격에서가장위협적인것은초당패킷개수다. 물론 CC-Attack과같은일부패턴매칭으로대응가능한공격이있으나이는매우예외적인사항이다. 실제로 CC-Attack과같은공격이 10G이상발생한다고했을때는단순한패턴매칭기법만으로는대응이불가능하다. 하지만반대로임계치기반으로공격을탐지 / 차단함으로써발생되는태생적인한계가존재하는데이는임계치이하의공격에대해서는대응이불가능하다는것이다. 이를극복하기위한방안은여러가지가있는데안철수연구소의 ACCESS 전략 ( 참조 brochure/trsuguarddpx_whitepaper_ pdf) 이대표적인사례라할수있다. 20

21 Special Report 되돌아보는 7^7 DDos 대란 [그림 1] 안철수연구소의 Access(AhnLab Cloud Computing E-Security Service) 전략 DDoS 대응 장비의 운영 및 관리 서비스에도 매우 많은 영향을 줄 것이다. 반대로 이 수치가 매우 높 이제 본격적으로 DDoS 대응 장비를 효과적으로 운영 및 관리하는 방 다면 공격이 발생하더라도 탐지가 되지 않아 어떤 문제가 발생하였는 법을 알아보고자 한다. 이를 통해 기업의 네트워크 보안을 한 단계 지 확인하고 대응하기까지 매우 많은 시간이 걸릴 것이다. 따라서 목 더 업그레이드할 수 있는 방안을 모색해 보자. 적지 기반의 임계치뿐만 아니라 출발지 임계치에 대한 정확한 산출도 필요하다. 첫째, DDoS 대응 장비의 한계 인식 앞서 언급했듯이 DDoS 대응 장비의 효율적인 운영/관리를 위해서는 셋째, 엄격한 출발지기준의 정책(=출발지 기반의 임계치) 수립 장비 성능 한계를 명확하게 인지해야 한다. 따라서 장비 성능 이상의 7 7 DDoS 공격 이전에는 학습기반의 정책만으로도 충분히 DDoS 공 공격에 대해서는 별도의 프로세스를 통해 대응할 수 있도록 적절한 격에 대해서 대응이 가능했다. 하지만 이후의 공격들은 학습만으로는 대응체계를 별도로 수립해야 한다. DDoS 공격에 효과적으로 대응이 불가능한 사례들이 발생하고 있다. 7 7 DDoS 공격을 포함하여 이후의 공격들에 대해서 효과적으로 대 둘째, DDoS 대응 장비의 주기적인 학습 및 결과 분석 응하기 위해서는 출발지 기반의 정책 수립이 매우 중요해졌다. 대부분의 DDoS 대응 장비는 학습이라는 기능을 제공하고 있다. 이 학습 기능은 DDoS 대응 장비가 익숙하지 않은 관리자에게 장비의 정 Zombie PC 공격 Traffic PPS 분포분석 책을 쉽게 수립할 수 있도록 도움을 주고 있다. 학습된 결과를 정책 으로 수립하게 될 때 중요한 부분은 출발지 기반의 정책(=출발지 기 준 임계치)이 아닌 목적지 기반의 정책(=목적지 기준 임계치)을 이해 하는 것이 선행되어야 한다. 이 임계치는 DDoS 대응 장비가 보호해야 할 네트워크/시스템이 DDoS 공격 발생 시 지탱할 수 있는 트래픽량이 얼마인지를 관리자에 게 간접적으로나마 알려주는 매우 중요한 데이터이기 때문이다. 만약 임계치 수치가 매우 낮다면 공격은 차단이 되겠지만, 정상사용자의 21

22 Special Report 되돌아보는 7^7 DDos 대란 Zombie PC 공격 Traffic BPS 분포분석 Zombie 10 만대추정시 Traffic 잠깐 7 7 DDoS 공격에대해서설명하자면공격의규모는물론공격의방법도이전과는매우많은차이가존재했다. 특히출발지기준으로의트래픽량을살펴보면 ( 그림 2 참조 ) 실제좀비 (Zombie) PC 1 대에서발생되는공격량은얼마되지않는다. 하지만 Zombie PC의수가많아지면많아질수록어마어마한공격으로증가된다는것을알수있다. 또한공격트래픽자체도특별한트래픽이아닌일반 PC가웹에접속할때와거의동일하게패킷을발생시키기때문에일반적인 DDoS 대응장비의정상사용자를확인하는알고리즘 (ex, TCP Syn-Cookie 방식 ) 으로는공격에대해서효과적으로대응하는것이불가능하다. 이때는출발지기준으로 TCP Flag 패킷별 (ex, TCP/SYN, TCP/Fin, TCP/ACK, TCP/Syn-Ack 등 ) 임계치를매우엄격히제한할때에만대응이가능해질것이다. 물론예외적인경우로국내인터넷환경특성상 PAT 라는이슈도존재하기때문에이를우회하기위한정책설정가능여부도 DDoS 대응장비에서반드시체크하고넘어가야할부분이다. Zombie 20 만대추정시 Traffic 넷째, DDoS 공격탐지및차단용시그니처최근의공격트렌드를살펴보면, 저대역폭 (100MB 이하 ) 수준에서수많은좀비 PC를동원한공격들이나타나고있다. 특히, 슬로우로리스 (Slowloris) 공격이대표적인사례인데이러한공격들은앞서언급한임계치기반의정책만으로는효과적인탐지 / 차단이불가능하다. 이를보완하는대표적인방법으로는시그니처를이용하는것이있다. 현재출시된 DDoS 대응장비들은대부분시그니처또는이와비슷한기능을구현하고있다. 가장대표적인장비가안철수연구소의 TrusGuard DPX 제품이다. 시그니처방식을이용한 DDoS 대응기법은일반 IPS와동일한데만 [ 그림 2] 7 7 DDoS 대란시공격트래픽분석 [ 그림 3] 학습된각타깃 / 서비스별 Source IP 임계치를차등적용하는 AhnLab TrusGuard DPX 22

23 Special Report 되돌아보는 7^7 DDos 대란 약 DDoS 대응장비에서이러한기능을제공하지않는경우에는별도의 IPS / 웹방화벽등의보안장비를통해새로운형태의공격을제거할수있는방안을마련해두어야할것이다. 다섯째, 불필요한트래픽제거우선불필요한트래픽이란자사의네트워크에서서비스하지않거나외부에서자사의네트워크로유입될필요가없는 Garbage 트래픽을의미한다. 일반적으로자사네트워크의백본에적용하거나, ISP에서처음부터제어하는 2가지경우가있다. 물론후자가더효과적인대응방법이다. 예를들어지금관리하고있는네트워크에서는오직웹서버만존재하며이외의다른어떤트래픽도필요가없다고가정할때, UDP와 ICMP / Fragment 패킷들은처음부터자사네트워크로유입되지않도록사전에 ACL기반으로정책을수립해두는것이다. 최근에 7 7 DDoS 공격이재발할가능성에대해서많은언론들이기사화하고있으며, 조그마한보안사고가발생해도많은기관과언론들이매우민감하게반응하고있다. 또한 DDoS 대응장비의무용론도나돌고있다. 하지만지금까지여러보안장비를구축하고운영을해본결과보안의영역에서불필요한장비는없다. 다만우리의시스템및네트워크에취약한영역에대해서적절한보안장비와그에맞는운영정책을확립했을때가장큰효과를볼수있다. DDoS 대응장비도이와마찬가지로앞에서기술한정책들을적용했을때 7 7DDoS 대란과같은공격에서도효과적으로자사의네트워크를보호할수있을것이다. Network 장비기반의 ACL 설정 [ 그림 4] Cisco Switch 기반 Access-list 23

24 Special Report 되돌아보는 7^7 DDos 대란 DDoS 공격침해및방어사례 DDoS 방어의베이스캠프, 안랩닷컴을사수하라 안철수연구소는 2009년발생한 7 7 DDoS 대란에서가장빠르게 DDoS 전용백신을배포하고각종정보를제공하는등피해확산을막기위해최선의노력을다했다. 다른한편으로는, 안철수연구소의웹사이트인안랩닷컴을지키기위해 DDoS 공격과의전투를벌여야만했다. 안철수연구소가 7월 9일발생한 2차공격의대상이었기때문이다. 안랩닷컴은 PC 사용자들이 DDoS 전용백신을다운로드받고관련정보를확인하는중요한웹사이트. 그렇기때문에이번사태해결을위해서는반드시안랩닷컴을지켜내야만했다. 7 7 DDoS 대란의수호자이면서동시에공격대상이었던안철수연구소가자사의웹사이트안랩닷컴 ( 을어떻게지켜낼수있었는지그노하우를다시한번살펴보자. Zombies DDoS AhnLab Internet Control 안철수연구소는 7월 7일 DDoS 공격이발생하자긴급하게 DDoS 방어대책팀을가동했다. 여기에는 CERT(Computer Emergency Response Team) 팀, 네트워크지원팀, 서비스운영팀등의인력들이투입됐다. 곧바로안철수연구소의악성코드분석조직인 ASEC(AhnLab Security E-response Center) 으로부터 1차공격에대한분석결과가전달됐다. 이결과를기반으로 DDoS 공격에대한사전대책수립에나섰다. 대책팀은 DDoS 공격방어를위해서비스인프라강화와네트워크 시스템보안강화, 두가지방안을동시에적용하자는데의견을모았다. 서비스인프라강화측면에서는공격분산을위해 CDN(Content Delivery Network) 네트워크를사용키로결정했다. 웹접속부하를분산시키기위해이네트워크망의서버를이용하는방법 AhnLab TrusGuard Web [ 그림 ] 7 7 DDoS 방어사례구성도 DDoS DDoS + IPS AhnLab Suhoshin Absolute Web 24

25 Special Report 되돌아보는 7^7 DDos 대란 을선택한것. 이서버는안철수연구소가자체개발한보안 OS인 ANOS(AhnLab Network Operating System) 가적용돼보안성이뛰어나다. 또한 V3 업데이트서버등중요서버에대한보안강화조치를취했다. 이는전용백신다운로드및 V3 제품군의엔진업데이트를원활하게진행하기위해서반드시필요했기때문이다. 이와동시에네트워크 시스템보안강화측면에서는 4단계대책이수립됐다. 우선첫단계로네트워크백본스위치에엑세스리스트 (ACL) 를적용하였다. 이는스위치에서 1차공격완화를시키겠다는전략에따른것이다. 두번째는 DDoS 전용장비인시스코가드가실제공격트래픽을차단및완화할수있도록정책을수립했다. 유해트래픽을막아줄세번째주자로는안철수연구소의트러스가드 (AhnLab TrusGuard) 가선택됐다. 트러스가드는 Firewall, IPS, VPN, DDoS 방어, 안티-바이러스 / 스팸기능은총망라된네트워크통합보안시스템이다. 정책에따라각각의기능들을설정할수있게설계되어있으며, 이번방어에서는 DDoS 방어기능과 IPS 기능이작동하도록셋팅되었다. 네번째, 마지막주자도안철수연구소의수호신앱솔루트방화벽이맡았다. 수호신앱솔루트방화벽은내부인프라를보호하는역할이주어진것이다. 안철수연구소는 DDoS 공격방어를위해공격트래픽분신기술, 네 트워크차단기술, DDoS 전용차단기술, 서버시스템부하분산기술등다양한기술을접목해방어진지를구축했다. 8일 18시, 안철수연구소의안랩닷컴을목표로한 DDoS 공격이시작되었다. 잠시사이트접속불가현상이발생했지만빠른복구로정상적인서비스가가능해졌다. DDoS 대책팀이세운사전대응전략이주효했기때문이다. 어떤뛰어난장비라도그장비하나만으로 DDoS 공격을막을수는없다. 보안제품과서비스, 그리고전문인력이적절히조화를이뤄야만효과적인결과를가져올수있는것이다. 안철수연구소는세계적인수준의악성코드분석센터인 ASEC(AhnLab Security E-response Center) 를보유하고있다. ASEC에서는이번 DDoS 공격시가장빠르게 DDoS 전용백신을제공했으며, 밤샘분석끝에스케줄러기능을찾아내전세계를놀라게했다. 이처럼뛰어난악성코드분석능력을지닌연구조직과이를제품화할수있는개발조직을갖추고있었기때문에 DDoS 공격에빠른대응이가능했다. 그리고무엇보다오랫동안쌓아온 CERT 및보안관제노하우가이러한위기상황에가장큰힘을발휘했다. 즉, 각기다른네트워크장비와보안장비를특성을파악하고이를효과적으로활용할수있는전문인력과서비스체계를갖추고있기때문에서비스중단이라는위험을막을수있었던것이다. DDoS 공격방어의일등공신 트러스가드 안철수연구소의 DDoS 공격방어에서는자사의네트워크통합보안시스템인트러스가드 (AhnLab TrusGuard) 가제몫을톡톡히해냈다. 네트워크통합보안장비이지만 DDoS 전용엔진을탑재하고있어 DDoS 공격을효과적으로방어한다. 특히행동기반 DDoS 공격뿐만아니라시그니처기반 DDoS 공격과해킹시도방어에강점을가지고있다. 또한 Syn+payload 형식의비정상트래픽공격과 Flag 조합공격등애플케이션기반 DDoS 공격의방어에도탁월하다. 이번공격의특성이 HTTP Syn Flooding, UDP 80 Flooding, ICMP(ping) Flooding, HTTP Get/POST Flooding 의복합공격이었던만큼트러스가드의효과적인방어가빛을발했다. 트러스가드는안철수연구소이외에 7일공격대상이되었던모사이트에설치되어 DDoS 공격을효과적으로방어했다. 이사이트에서트러스가드는외부에서들어오는 DDoS 공격을차단한것은물론내부좀비 PC 공격차단에도탁월한성능을발휘했다는평가를받았다. 이는트러스가드가내부의좀비 PC가타사이트를공격하지못하도록하는시그니처를제공하기때문이다. 또한트러스가드에는좀비 PC가정보를제공받을수있는의심파일다운로드를원천차단하는기능도포함되어있다. 즉트러스가드가설치되어있는고객사의경우, 긴급업데이트이후로는내부의 PC가더이상좀비역할을할수없게된것이다. 이번사례를통해안철수연구소의트러스가드로 DDoS 공격에대한효과적인방어가가능하다는것을보여주었다. 25

26 Special Report 되돌아보는 7^7 DDos 대란 _ 보안전문가의소회 ( 所懷 ) DDoS 대란으로아찔했던 2009 년 7 월의여름 오후 6시가되면팽팽한긴장감이감돌았다. 1초가 1분아니 1시간처럼길게만느껴지고, 긴장감으로인해숨쉬기조차힘든분위기다. 모니터링화면에그래프가올라가는순간, 세상을삼켜버릴것만같았던정적은깨지고치열한현실만이남았다. 7 7 DDoS 대란이발생한지약 1년여가지난지금, 그때당시를생각하면몇가지단어가떠오른다. 동시다발적, 대량의, 다양한, 난감한, 방어, 체력전, 유기적협력등등. 아마도관련직종의대부분의사람들이비슷하게떠올릴단어일것이다. 그만큼 7 7 DDoS 대란은지금까지경험하지못한엄청난사건이었다. 정체가밝혀지지않은공격자또는공격자집단에의한대규모공격은기업, 공공기관의의서비스망에큰영향을끼쳤다. 대다수의공격자가좀비화된일반 PC들이라는점은공격방어를더욱어렵게만들었다. 그시간안철수연구소의모든직원들은전시상황과같은분석 / 대응작업을숨가쁘게진행했다. 필자가소속된 CERT(Computer Emergency Response Team) 는 400여고객사에 DDoS 공격발생여부에촉각을곤두세웠다. 공격을받은고객사에는 DDoS 공격조기방어를위하여전담 SE(System Engineer) 를투입됐다. 고객사에서의공격방어는그야말로피를말리는모든 DDoS 방어장비 / 방어기술의각축장이었다. 고객사에서는각각다른기술력으로무장한공격방어장비들을교대로투입하거나동시에투입하여서비스를유지하기위해안간힘을쏟았다. 7 7 DDoS 대란에는다양한공격유형이이용되었으며, 무엇보다엄청난수의공격자들은공격방어를어렵게한가장큰원인으로지목할수있다. 공격기법을한가지로정리할수있는상황은아니었으나, HTTP_Get_Flooding, HTTP_Flooding, UDP_Flooding, ICMP_Flooding 등이복합적으로이용되었다. 공격방어에있어가장기술적인어려움이있었던부분은 TCP, HTTP 공격방식중소량의공격으로서버의부하를유발하는공격이었다. CC attack 이라불리는공격방식은리퀘스트 (Request) 에특정한문자열로대표될수있는공격기법이나, 시그니처방식의차단에대해서는정상적인패턴으로과다한요청을보내는방식으로방어를우회하였다. 이러한공격을막을방어기법에대한담당자들간의설전도오고갔다. Syn packet 임계치관련방어는설정하는임계치에따라정상사용자의접근을통제할위험성을내포하고있어명확한대안으로는부적합하다는의견도많았으며, 추가로강구된방법중안티 좀비 (anti-zombie) 메커니즘방식을이용한 URL Redirection 적용이대안으로제시되기도했다 (URL 하드코딩공격방어 ). 또한공격방어당시에특히어려웠던부분중하나는, 한정된 IP 자원의사용의효율화를위한 PAT 구조의네트워크구성을가진기관이다수존재하였다는것에있다. 다수의사설 IP와소수의공인 IP 가매칭되어통신을가능하게하는구성은내부다수의사설 IP들이특정한대표공인 IP를가지고통신을하기때문에대표 IP 차단시내부모든사설 IP가통신이불가한이슈가존재할수있었기때문이다. 적은수의감염 PC를방어하려다가대표 IP에대한접근이차단될수있었으므로공격방어에는어려움과위험성이존재하였다. 7 7 DDoS 대란은 DDoS 방어솔루션으로만공격을막아내기에는역부족이었다. 대부분의고객사들은공격에따른서버부하증가및서비스불가상황에대응하려고갖은방법이동원했다. 일부고객사는 DNS 로드밸런싱과 URL Redirection 을이용하고서버대수를 2~3배추가투입, 서버가받는공격부하를분산한경우도있었다. 공격자들은공격대상과방법을바꾸어가며교묘하게공격을지속하였고, 이때부터는공격방어가체력전의양상으로전개되었다. 그야말로두뇌싸움에서정신력과체력의싸움으로기억될만큼어려운상황이었다. 설상가상으로공격자들은악성코드를분석하여백신을제공하는안철수연구소로까지공격대상을확대하는지능적인모습을보였다. 이시점엔안철수연구소모든팀이그러했듯이 CERT 도이중삼중고에시달렸다. 고객사와자사의 DDoS 공격유입을방어해야했고, 공격을유발하는악성코드에대한제거를위하여모든고객사에조치권고를수차례진행해야만했다. 또, 평시수행하던업무도빈틈없이처리해야만했다. 그러나모든사람들이고생했던만큼상황은수습되었고, 무사히이난관을극복할수있었다. 모든것이고객사와정부기관, 안철수연구소와같은보안업체들의유기적인협력이있었기에가능했다. 7 7 DDoS 대란이발생한지 1년이되었다. 돌이켜보면정말아찔하고힘들었던기억이가득하다. 그런데더중요한것은지금이순간에도 DDoS 공격은끊임없이계속되고있다는것이다. DDoS 공격은과거형이아니라현재진행형이다. 7 7 DDoS 대란과같은혼란을겪지않기위해서다시한번보안의식을확고히해야할시점이다. < 안철수연구소보안서비스본부 CERT 팀최충연구원 > 26

27 Hot Issue 트위터보안위협동향 트위터에서자라는소셜네트워크플랫폼의보안위협 IT 기술의발달은우리의생활전반적으로큰변화로만들어왔었다. 이미여러차례에걸쳐경제적인부분과사회적인부분에서도 IT 기술의효율성은증명되었으며우리의실생활에서도역시밀접하게와닿아있다는것을누구나몸소느끼고있을것이다. 고대그리스의철학자인아리스토텔레스는인간을사회적인동물이라이야기하며인간이가지는사회적인성형과특성들에대해잘묘사한명언을남겼다고한다. 여기서언급한인간의독특한성향은인간은혼자서생활하는것이아니라모여서하나의집단과사회를만들고구성하게된다는것이며이러한일련의성향적특성들은현대산업사회의뼈대가되어있는 IT 기술과도맞물려지게도되었다. 이러한대표적인사례로소셜네트워크서비스 (Social Network Service) 라고알려지며이를대표하는트위터 (Twitter) 와페이스북 (Facebook) 그리고링크드인 (Linkedin) 등을들수가있다. 인간관계를 IT 기술을통해연결해주는소셜네트워크서비스의성공은바쁜현대인들의생활속에서과거와동일한방식으로다른사람들과소통을하기어려운현대사회의한단면을보여주는사례라고도할수있을것이다. 그러나소셜네트워크의등장은 IT 기술을활용한인간의새로운사회적활동이라는점에서는여러가지장점들도존재하지만이미 IT 기술이접목된다른분야에서와유사하게여러새로운보안위협들이만들어지고발생하고있는실정이다. 이중에서도소셜네트워크의대표주자라고할수있는트위터에서발생하였던보안위협의사례들을살펴보게된다면크게다음과같은 5가지형태들이발생한것을알수있다. 스타인브리트니스피어스 (Britney Spears) 의트위터계정이어떤해커에의해해킹을당함으로발생하게되었다. 그리고브리트니스피어스의계정을해킹한해커는장난성목적으로그녀의계정을이용해그녀가불의의사고로세상을떠나게되었다는거짓메시지를작성하여허위사실을트위터로유포하게되었다. 2트위터로위장한악성코드가첨부된메일유포 2009년 6월과 9월에악성코드가첨부된메일이트위터의사용자계정에서발송된것으로위장한사례가있었다. 악성코드가첨부되어유포된해당메일에는트위터를이미사용중인친구에의해발송된트위터초대메일이며첨부된파일을실행해서친한친구들과가 1트위터를이용한허위사실유포 2009년 6월에는트위터의사용자계정을해킹해허위사실을유포한보안사고가발생하였다. 해당보안사고는미국의유명한팝 < 그림 1> 트위터로위장한악성코드유포메일이미지출처 : Websense 27

28 Hot Issue 트위터보안위협동향 족을확인하라는내용을담고있었다. 2010년 6월에는트위터운영팀으로위장하여사용하는트위터계정의암호가기억나지않을경우에는이를초기화시킬수있다는메일이유포되었다. 그리고유포된해당메일의본문에는특정웹사이트로연결해주는링크가존재하였으며해당링크를클릭하게될경우에는허위백신을설치하는악성코드를다운로드하도록되어있었다. 4트위터를이용한스팸및피싱그리고악성코드유포 2010년 2월에는트위터사용자들사이에단축 URL(URL Shortening) 이포함된쪽지형태인다이렉트메시지 (Direct Message) 가유포되었다. 유포된다이렉트메시지에포함된단축 URL은트위터사용자계정과암호를외부로유출하기위한목적으로제작된중국에위치한피싱 (Phishing) 웹사이트로재연결하도록되어있다. 3트위터를이용한봇넷구성과조정 2009년 8월에는트위터사용자계정을이용하여악의적인봇넷 (BotNet) 을운영및조정하는사례가발견되었다. 당시에발견된트위터의사용자계정은트위터의메시지가 RSS(Really Simple Syndication) 와웹사이트를통해기록된다는것에착안한것으로분석하고있다. 그리고이미유포된악성봇 (Bot) 들은해당트위터계정에서만들어내는메시지를 RSS를수신하고그메시지에포함된악의적인명령들을수행하는방식으로실행되도록되어있었다. < 그림 3> 피싱웹사이트로연결하는다이렉트메시지이미지출처 : ASEC Threat Research Blog 같은해 2월에는다시자신을메신저친구리스트에등록해달라는다이렉트메시지가유포되었다. 해당다이렉트메시지에포함된메신저계정을친구리스트에등록하게될경우에는성인동영상을제공하는웹사이트주소를메신저채팅을통해알려주며접속을유도하였다. 그러나해당웹사이트에서는메신저사용자의신용카드정보를유출하기위한시도가발생하였다. 다시같은해 3월에는트위터를통해러시아지하철폭파사고와관련된동영상을볼수있다는내용의메시지가유포되었다. 해당트위터메시지에포함된단축 URL은동영상을볼수있다는특정웹사이트로연결되지만해당웹사이트에서는허위백신을설치하는악성코드를유포하고있었다. < 그림 2> 트위터봇넷생성기이미지출처 : ASEC Threat Research Blog 그리고 2010년 5월에는 2009년에발견된형태와다른트위터를이용한악의적인봇넷구성및조정사례가발견되었다. 이때발견된사례는 2009년에발견된형태에서한단계발전한형태로서트위터를통해악의적인봇넷을구성하기위해맞춤형으로제작된특수한프로그램들이발견되었다. 발견된프로그램들은기존에발견된다른형태의악성코드생성기와유사하게트위터사용자계정을생성한후에특수한형태의메시지만남기게되면그메시지를자동으로수신하고악의적인명령을수행할수있게해주는악성봇들을손쉽게제작할수있도록되어있었다. 5트위터로위장한성인약품광고스팸메일유포 2010년 5월에는트위터에서보내지는메시지로위장한전자메일이유포되었다. 해당전자메일은트위터를통해다른사용자로 < 그림 2> 트위터로위장한성인약품광고스팸메일 이미지출처 : ASEC Threat Research Blog 28

29 Hot Issue 트위터보안위협동향 인간관계를 IT 기술을통해연결해주는소셜네트워크서비스의성공은바쁜현대인들의생활속에서과거와동일한방식으로다른사람들과소통을하기어려운현대사회의한단면을보여주는사례라고도할수있을것이다. 그러나소셜네트워크의등장은 IT 기술을활용한인간의새로운사회적활동이라는점에서는여러가지장점들도존재하지만이미 IT 기술이접목된다른분야에서와유사하게여러새로운보안위협들이만들어지고발생하고있는실정이다. 부터보내진다이렉트메시지가수신되었으며이를보기위해서는본문에제공된웹사이트주소를클릭하도록유도하고있었다. 그러나실제해당웹사이트링크를클릭하게되면중국에위치한성인약품광고웹사이트로연결되었다. 앞서살펴본현재까지발견된트위터보안위협사례들은기존수년에걸쳐서 PC에서발생하였던대부분의보안위협들이단기간에트위터를통해발생하였으며발생한보안위협들의그내부적인특성들을종합분석해보면결국 트위터내부시스템적인특성들을악용한사회공학기법과접목된보안위협 이라는압축된문장으로해석볼수가있다. 이미여러매체를통해익히알려진바와같이트위터는자신이사용하는메일주소만있으면누구나어렵지않게가입을할수있으며기존에가지고있던인적네트워크외에도팔로우 (Follower) 와팔로잉 (Following) 이라는독특한연결관계를통해잘알지못하는새로운사람들과도관계를형성할수있는장점들이있다. 그리고트위터웹사이트와 RSS 그리고스마트폰 (SmartPhone) 어플리케이션등을통해자신의메시지를트위터내외부의인적네트워크로전파할수있으며 140자로제한된문장길이와단축 URL을통해부가적인설명이필요없이핵심적인간결한문장만으로전파할수있는특징들이있다. 이러한트위터만의독특한특징들은앞서살펴본트위터보안위협사례들과비교하여살펴본다면악의적목적으로이러한트위터의특징들이악용되고있다는것을알수가있다. 트위터를이용한봇넷구성과조정 사례를통해서는트위터의가입이손쉽게이루어진다는특징과트위터의서비스가메시지의전파와유지를위해 24시간중단되지않는다는가용성을가진다는특성을악용한사례로볼수있다. 그리고 트위터를이용한허위사실유포 와 트위터를이용한스팸및피싱그리고악성코드유포 사례의경우에는트위터의독특한연결관계를통한빠른정보의전파력, 140자의제한된메시지의길이 로인한단축 URL의사용그리고다이렉트메시지를이용한사적인메시지전달과같은특성들을악의적인목적으로악용해제작된보안위협사례들로볼수있다. 그리고 트위터로위장한악성코드가첨부된메일유포 와 트위터로위장한성인약품광고스팸메일유포 의경우에도트위터가가지는시스템적인특성들인팔로우가추가될경우와다이렉트메시지가수신될경우에별도의지정된메일로이를사용자에게알려준다는특성을악용한사례로볼수있다. 그러나무엇보다도더큰문제는트위터를악용하거나사칭하여발생하는여러보안위협사례들의근간에는인간적인신뢰와믿음을악용하는, 인간을공격하는해킹기법이라고도일컬어지는 사회공학기법 (Social Engineering) 이사용되고있다는점이다. 이는트위터가근본적으로가지는사회적인관계를형성하게해줄수있는소셜네트워크서비스라는점자체를악용하는문제이다. 이러한문제점은다른보안위협들의경우에는시스템적으로그예방을고려해볼수있는가능성이있지만사회공학기법은공격을받는대상이시스템이아닌사람이라는점에서더위협적인보안위협의양산과그에따른큰피해를유발할수있게된다는점이다. 그리고앞서언급한트위터에서발생하였던다양한보안위협의사례들은결코트위터에만국한되어발생할수있는문제는아닐것이라고보여진다. 이러한보안위협들은소셜네트워크를서비스하거나소셜네트워크를다른비즈니스모델과결합하여제공하는다른형태의비즈니스플랫폼에서도유사한보안위협들이발생할가능성이높을것으로보여진다. 그러므로결국소셜네트워크서비스를제공하는서비스제공자와이를사용하는서비스사용자입장에서는시스템적인보안요소들에대한고려뿐만이아니라소셜네트워크플랫폼을악용한사회공학기법적인공격에대한대응방안에대해서도동시에고려해야되는보안성검토가이루어져야할것이다. 29

30 Product Review AhnLab TrusGuard TTA IPv6 인증획득한 AhnLab TrusGuard 안철수연구소가 IPv6 네트워크시대에한발앞서대비하게됐다. 안철수연구소의네트워크통합보안장비인 AhnLab TrusGuard ( 안랩트러스가드, 이하트러스가드 ) 가 TTA( 한국정보통신기술협회 ) IPv6 인증을획득했다. 이는트러스가드가 IPv6 네트워크환경에서도통합보안장비로서의역할을안정적으로수행한다는점을입증받은것이다. 실제로트러스가드는올해초서울시청, 영등포구청등 IPv6 시범망을구축해안정성을검증받은바있다. 관련표준기능별분류 Basic Header 처리 Extension Header 구성 IPv6 Extension Headers(Destination Option) Specification Extension Headers(Hop-by-Hop Option) Extension Headers(Fragment Header) Extension Headers(Routing Header) ICMPv6 정보 Message 처리 ICMPv6 ICMPv6 에러 Message 처리 ICMPv6 Message 처리규칙 NS 메시지송신 NS 메시지에대한 NA 응답 NS 메시지에의한 R Flag 변환 Neighbor NS 메시지에의한 NC 의상태변화 Discovery 수신한 NA 메시지에처리 for IPv6 수신한 RA & RS 메시지처리 Redirect 메시지에의한 NC 처리 Invalid Redirect 처리 Link-Local Address 할당성공 Stateless Link-Local Address 할당실패 Address RA 메시지 Prefix Option 처리 Autoconfiguration Prefix Option의 Strange Parameter 처리 [ 표 1] 적합성시험항목구성표 IPv6 표준적합성및상호운용성에대한 TTA 인증시험은 IETF (Internet Engineering) 에서제정한표준에근거하여 IPv6 네트워크환경에서네트워크보안장비로서정상적으로동작하는확인하는것이다. TTA 인증시험은프로토콜적합성시험과상호운용성시험으로구분하여수행한다. 적합성시험은약 270개의세부항목, 상호운용성시험은 9개세부항목에대해테스트를진행됐다 ( 표 1, 2 참조 ). 구분기능별분류 DAD 기능 Address Resolution 기능 Host vs. Router NUD 기능 Communication 자동주소설정기능 Redirect Function 점검 DAD 기능 Host vs. Host Address Resolution 기능 Communication NUD 기능자동주소설정기능 [ 표 2] 상호운용성시험항목구성표트러스가드는이번테스트에서 IPv6 기본 / 확장헤더처리지원, 라우터복구 (Router Discovery), ICMPv6 메시지처리등표준적합성을충족시켰다. 또한대표적라우터 3종과의 IPv6 연동, 각종운영체제 (OS) 기반호스트와의연동등상호운용성도우수하다는평가를받았다. 트러스가드는이번인증을획득한 IPv6 핵심기능외에도다양한네트워크및보안기능을제공한다. 우선 IPv6 와 IPv4가공존하는네트워크환경을완벽히지원할수있도록우수한터널링 (Tunneling; 한네트워크에서다른네트워크의접속을거쳐데이터를보내는기술 ) 및변환 (Translation) 기능을제공한다. 또한 IPv6 기반의각종인터페이스설정및정적 / 동적라우팅, 다양한 IPv6 NAT( 네트워크주소변환 ) 기능을제공한다. 또한아울러 IPv6 기반의개선된방화벽기능 30

31 Product Review AhnLab TrusGuard 과 IPv6 로그관리기능을제공함으로써실제네트워크에적용했을때 IPv4와같은수준의 IPv6 보안서비스를제공한다. 한편, 국제 IP 주소할당감독기관인 IANA(Internet Assigned Numbers Authority) 는 2011년 8월경 IPv4 신규할당주소가고갈될것이라고예상했다. 하지만스마트폰, VoIP, FMC( 유무선통합 ) 기기등인터넷기반의다양한서비스가폭발적으로증가함에따라그시점은더빨리올것으로추정된다. 이에대비해안철수연구소는 3년전부터 IPv6 지원에대해연구개발해왔다. 관련표준 RFC 2460 RFC 2461 세부기능별분류 IPv6 Basic Header 처리기능 IPv6 Extension Header 처리기능 Next-Hop Determination 기능확인 NUD(Neighbor Unreachability Detection) 기능확인 Address Resolution 기능확인 Router Discovery 기능확인 RA(Router Advertisement) Message 송신기능 시험결과 PASS PASS PASS PASS PASS PASS PASS RFC 2462 DAD(Duplicate Address Detection) 기능확인 PASS RFC 4443 ICMPv6 Message 처리확인 PASS [ 표 3] 적합성시험결과요약 관련장비 DAD 과정 Address Resolution Unicast Communication 주요기능 RA 송수신 NUD 기능 Redirect Cisco 7200 Series PASS PASS PASS PASS PASS PASS - MODACOM Router PASS PASS PASS PASS PASS PASS - ibit Router PASS PASS PASS PASS PASS PASS - Window Vista Host PASS PASS PASS PASS PASS PASS - FreeBSD Host PASS PASS PASS PASS PASS PASS - Fedora Host PASS PASS PASS PASS PASS PASS - [ 표 4] 상호운용성시험결과요약 비고 트러스가드 (AhnLab TrusGuard) 는고성능방화벽 /VPN 전용솔루션기반 AhnLab TrusGuard 50 AhnLab TrusGuard 1000P AhnLab TrusGuard 위에통합보안기술력과긴급대응인프라가유기적으로결합된고품질네트워크보안솔루션이다. 즉, 안티-바이러스 / 스파이웨어 / 스팸등의보안콘텐츠기술과방화벽, IPS, VPN 등의네트워크보안기술, 24시간 365일실시간예방 / 대응서비스가화학적으로결합돼동종제품가운데가장빠른속도와효율성을제공한다. 방화벽기준처리용량이 10기가급인 트러스가드 을비롯해 7개의모델을갖추어소기업에서중소기업, 대기업 [ 엔터프라이즈 ], 데이터센터 [IDC] 까지모든기업고객을만족시킬수있다. 용어설명 TTA(Telecommunications Technology Association) 는 IT 분야의새로운표준을발굴하고, 각종 IT 표준의제정, IT 제품의시험및 인증서비스를 One-stop 으로제공하는민간자율의 IT 표준화및시험인증기구이다. IPv6(Internet Protocol version 6) 는 IPv4 의단점을개선하기위해개발된새로운 IP 주소체계. 가장큰장점은 IP 주소의길이가 128 비트로 늘어나폭발적으로늘어나는인터넷사용에대비할수있다는것이다. 네트워크속도의증가, 높은품질의서비스제공, 패킷출처인증과데이터무결성및비밀의보장등도장점이다. 31

32 안철수연구소 트러스가드 DPX는 사전 예방에서부터 운영 프로세스까지 입체적인 DDoS 공격 프로세스를 제공하는 DDoS 공격 방어 전용 제품입니다.