최근 DDoS 보안위협사례분석을통한 7.7 DDoS 에따른 ISP 의대응전략 I. 최근 DDoS 침해공격현황 II. III. IV. 7.7 사이버침해공격대응주요보안이슈사항전사 DDoS 침해대응방안 2009. 10. 22 고객지원본부정보보호담당
I. 최근 DDoS 침해공격현황 숙주서버 ( 좀비PC 제어서버 ) 공격대상자 1서버해킹 4 공격명령전송 공격트래픽은수Giga~ 수십 Giga 인근고객도피해 해커 2 메일, P2P 등이용악성코드전파 5 DDoS 공격 Network 3 명령대기 Notpia NAS 기업 PC 방 좀비 PC 좀비 PC 좀비 PC 좀비 PC * 좀비PC의수는수백 ~ 수십만대로좀비PC의수가많을수록피해규모도급증 2
I. 최근 DDoS 침해공격PART 현황I. 최근보안위협동향 2007 년상반기 3322.org 등 2007 년하반기 C&C Changer Attacker C&C Web C&C Changer 2008 년 1 분기 2 중 Changer 2008 년 2 분기 FastFlux Web DDNS, TTL=60 C&C Changer C&C (CMD) DDNS, TTL=60 C&C : DST 3
I. 최근 DDoS 침해공격현황 명령 / 제어프로토콜의진화 - 중앙집중형 (IRC, HTTP) 방식 분산형 (P2P) 명령 / 제어방식으로발전 - 중앙집중형방식에있어서, IRC 방식 탐지가어렵도록 HTTP 방식으로전환 명령 / 제어 IRC 서버 명령 / 제어웹서버 Bot 관리자 Domain Name 이필요하지않아, Domain Name 구입비용절약 명령 명령 / 제어 (IRC 프로토콜 ) 감염 취약호스트 명령 / 제어 (80 웹포트 ) 감염 취약호스트 참여멤버들이모두 C&C 역할을수행하여그룹에명령전파 (ex. Buddy-list) 다수의 Domain Name 확보하여 C&C 서버등록 (Fast-Flux 적용 ) 중앙집중형제어 암호통신 (SSL) 및포트변경 대표적인 IRC 봇넷 : Rbot 서비스중인웹서버를해킹하여 C&C 서버로악용 중앙집중형제어 웹프로토콜 탐지 / 차단어려움 대표적인 HTTP 봇넷 : Robax 분산제어 (Distributed control) 탐지및차단이어려움 대표적인 P2P 봇넷 : Storm 4
I. 최근 DDoS 침해공격현황 1 공격특징 [DDoS 공격트래픽추이 ] [DDoS 공격대상의변화 ] [09 년공격근원지 TOP 10] DDoS 트래픽의급속한증가 (08 년말최대 58G 발생, 국내 일본 ) 주요원인 : 고객 PC 의高사양화, 좀비 PC( 악성코드감염 PC) 의증가, 대역폭 (FTTH) 증가등 공격대상은사회적이슈가되는정부및금융기관등으로다양화추세공격근원지 ( 좀비PC 수 ) 는한국이세계 3위 2 공격변화 03~04 04 년 웜바이러스에의한공격 ( 네트워크를통해불특정서버 /PC 감염 / 전파 ) 04~05년 피싱및스팸 ( 금전목적의금융사이트위조, 대출 / 악성코드전파 ) 05~08년 Bot에의한 DDoS 급증 ( 금전요구및 PC방등경쟁사공격 ) 과 DDoS 공격도구판매 09 년 ~ Bot 에의한 DDoS 공격의지능화 (7.7 DDoS 사이버공격 ) 5
20,000,000 18,000,000 16,000,000 14,000,000 12,000,000 10,000,000 8,000,000 6,000,000 4,000,000 2,000,000 0 (135 패킷수 / 총패킷수 ) 135 포트 00 01 02 03 04 05 06 07 08 09 10 11 12 13 14 15 16 17 18 19 20 21 22 23 00 01 02 03 04 05 06 07 08 09 10 11 12 13 14 15 16 17 18 19 20 21 22 23 00 01 02 03 04 05 06 07 08 09 10 11 12 13 14 15 16 17 18 19 20 21 22 23 00 01 02 03 04 05 06 07 08 09 10 11 12 13 14 15 16 17 18 19 20 21 22 23 00 01 02 03 04 05 06 07 08 09 10 11 12 13 14 15 16 17 18 19 20 21 22 23 00 01 02 03 04 05 06 07 2003/08/11 2003/08/12 2003/08/13 2003/08/14 2003/08/15 2003/08/16 I. 최근 DDoS 침해공격현황 3 주요사례 웜바이러스 03년 1월 Slammer 웜에의한 1.25 인터넷대란 03년 8월 Welchia, Blaster 웜 ( 웜전파포트차단 ) 04년 1월 Mydoom, Bagle 웜 ( 웜전파포트차단 ) 피싱및스팸메일 04년 4월스팸메일급증 (OECD 스팸워크샵개최, 부산 ) 04 년 5 월피싱피해증가 ( 국내피싱전세계 2위 ) DDoS 침해공격 05 년 6 월 BOT 에의한대형 DDoS 발생 (14 회 /1 일공격 ) 07년 DNS 공격및스팸메일에의한인터넷지연 - 스팸대량발송으로 DNS 응답지연 (VOC 163건 ) - 9 월 3.8G DDoS 공격등다수 ( 서비스장비고장등 ) 08 년 DNS 및주요기관 DDoS 공격 - 전국 DNS(2월 ), 청와대 (4월), 미래에셋 (3월), 국민은행 (4월) 등 - 08년 DDoS 대응약 3,000건 ( 고장 216건 ) 09 년 7.7 DDoS 사이버대란발생 패킷수 시간 점유비 RPC 관련 135/TCP Port 시간별트래픽추이 (IDS6, 아시아 ) [1.25 Slammer worm] [Blaster worm 트래픽 ] 한국스팸발송국가 3위 패킷수 전세계 ISP 중 Kornet 2 위 [ 스팸메일급증 ] [ 출처 : www.spamhaus.org, 05년 3월기준 ] [Bot 에의한 DDoS 14 회공격, 보안시스템 : KAPS] [ 스팸메일에의한전국 DNS 트래픽증가 ] 점유비 (%) 14 12 10 8 6 4 2 0 6
II. 7.7 사이버침해공격대응 악성코드유포지 1 전용프로그램설치 웹하드이용자 (11 만 5 천대 ) 3 웹사이트해킹 업데이트프로그램을 악성코드로바꿔치기 서울웹하드사이트부산웹하드사이트 2 프로그램구동시 2 자동업데이트 4 악성코드설치 DoS 공격 피해사이트 ( 총35개 ) ( 국내 : 21, 해외 : 14) 좀비 PC 정보유출 하드디스크파괴 구분공격대상일자 1차 - 국내 (12), 국외 (14) 대상 DDoS 공격 -24시간동안접속장애발생 7.7 2차 - 국내 15개사이트에접속장애발생 7.8 3 차 HDD 파괴 - 국내 7 개사이트대상공격시도 - 알려진피해는없음 7.9 - 감염 PC 의 HDD 및중요문서파괴 7.10 좀비 PC 관리서버 (6 개국 9 대 : 독일 (3), 미국 (2), 캐나다중국, 태국, 오스트리아 ) 좀비 PC 파일목록일부유출 DDoS 공격수행 좀비 PC 파괴서버 (6 대 : 대만, 과테말라, 미국, 파키스타, 터키, 멕시코 ) 재유출서버 (3대: 캐나다, 베네수엘라, 이스라엘 ) 파일정보수집서버 (59개국 416대 ( 한국 : 15대 )) 악성코드공급서버 (1대: 미국 ) 네트워크형 C&C (Command & Control) 서버
II. 7.7 사이버침해공격대응 7.7 DDoS 공격및피해현황 KT 대응 ( 전사침해사고대책상황실 ) 공격개요일시 : 7.7 ~ 7.9 18:00 ~ 24시간 ( 총 3회공격 ) 대상 : 국내외총 34개사이트 ( 국내 23개사이트 ) - 청와대, 국방부, 국정원, 조선일보, 국민은행등피해 - 공격웹사이트접속불가및지연 - PC 정보유출및하드디스크손상 ( 약 1,446건 ) 피해사이트고객Care 청와대, 국정원등피해고객긴급지원 - 고객회선증설및해외발공격트래픽차단조선일보, 한나라당웹서버긴급보호조치 - 유해트래픽차단서비스 (IDC Clean Zone) 수용악성코드분석및대응 1 2 3 4 ( 국내 15 대 ) 신속한 DDoS 악성코드샘플확보및분석 - 공격대상기관리스트및신종악성코드확인악성코드첫입수를통한백신치료지원 - KSIA 및백신업체악성코드제공및공조대응 약 16 만대 ( 국내 7 만 8 천, KT 3 만 7 천 ) 국내외총 34 개 ( 국내 23 개 ) 공격특징하나가아닌다수의악성코드가유기적으로연동계획된시나리오로동시에다수웹사이트공격 PC 정보유출 ( 파일목록등 ) 및하드디스크파괴 감염고객 Care 및홍보 TM 및 PC 팝업공지홍보및백신설치유도 - 감염고객치료 (3만7천), 전체고객 (670만) 국내손상된고객PC 긴급현장복구 -IT 서포터즈, 피해접수고객현장복구 (716 건 ) 8
III. 주요보안이슈사항 공격의다양화 DDoS 공격의대형화로수백 Giga 트래픽공격가능 ( 일부 / 전국인터넷서비스고립가능 ) 금전요구및정치 / 사회적목적의 DDoS 공격지속 - 정부, 금융, 언론등주요기관 - 일반 (Ntopia) 고객 ( 게임 / 채팅등웹사이트운영 ) 및 IMO( 아이템거래사이트, 웹호스팅사이트등 ) - DDoS 전용공격도구 (Netbot) t) 판매 ( 약 30 만원 ) 및보편화로 DDoS 공격이쉬움 대량스팸발송에따른 DNS 트래픽증가 ( 스팸 +DDoS+ 정보유출 + 전파등복합공격 ) 인터넷서비스시설을향한공격 (DNS, 라우터등 ) 대응문제점 좀비PC 제어서버 ( 숙주 ) 분석어려움 - 좀비 PC 와제어서버간암호화통신등복잡하게변화 - 생존성확보를위한악성코드의은폐, 자기방어기능등지능화 DDoS 트래픽선별차단의한계 - 네트워크망에서공격트래픽만구분하여차단불가 다수의공격발생고객단말에대한실시간차단어려움 고객의보안의식미흡 ( 백신의의미모름 ) 9
IV. 전사 DDoS 침해사고대응방안 1 DDoS 침해대응력향상 3분인지및 10분초동대응의전사침해사고대응체계강화 - KAPS, IPS-ESM, NMS 등을통한 DDoS 공격 3분인지 - KAPS, SinkHole 라우터, 싱크홀 DNS, ACL, DDoS 전용장비등을통한 10 분대응체계유지 DDoS 공격용악성코드확보및분석을통한경로차단대응강화 - 확보된악성코드의동작경로분석을통한숙주서버차단대응강화ㆍ MEPS, HoneyNet, NERAS, 네트워크트래픽분석장비등활용 대내외협력기관간 DDoS 공조체계강화 - 고객 DDoS 공조대응프리미엄서비스강화 ( 보안관제시스템구축및운영고객에한함 ) - 방송통신위원회, KISA, 국정원, 경찰청, NSF( 네트워크시큐리티포럼 ), 백신회사, 보안회사등 2 정보보호인프라고도화 DDoS 전용보안장비구축 - KORNET 백본 ( 추진중 ), IDC구간 DDoS 전용장비구축 ( 추진완료 ) 악성코드감염PC 의인터넷접속차단체계구축 - 비상시, 고객단말배치형식의차단기능개발및구축 4 감염고객 Care 추진 악성코드조치를위한백신반영프로세스강화 - 안철수연구소와이스트소프트와 MOU 및 NDA 계약체결 고객공지를통한백신설치유도및인식강화 - 감염고객자가조치를위한고객공지 ( 온라인 ) 백신설치강제유도및치료안내 긴급시, 고객현장지원체계확립 - IT 서포터즈및현장요원 ( 현장 NSC 및현장기술지원팀 10 등 )
IV. 전사 DDoS 침해사고대응방안 전사대응조직 11
IV. 전사 DDoSPART 침해사고 III. 대응방안서비스망 DDoS 보안대책현황 공격인지 초동대응 정밀분석및대응 보안시스템 & NMS 긴급대응 정밀분석 2차대응 보안시스템 KAPS, IPS-ESM IDS, MEPS 망관리시스템 TTS, IP-NMS 공격방향, 발생량분석 보안시스템로그상세분석 숙주서버 IP 싱크홀차단 공격유형분석 고객PC 원격접속분석 숙주서버 URL 차단 프로토콜, 공격포트분석 MEPS 차단로그분석 전국 ACL 차단 공격자및대상자 IP 분석 악성코드정밀분석 감염고객조치 공격대상자 IP 싱크홀차단 동작원리분석및숙주검출 3 분이내인지 10 분이내대응 인터넷전자침해최초인지후 10분이내신속대응 인터넷서비스중단최소화 12
IV. 전사 DDoSPART 침해사고 III. 대응방안서비스망 DDoS 보안대책현황 13
IV. 전사 DDoSPART 침해사고 III. 대응방안서비스망 DDoS 보안대책현황 1 14
IV. 전사 DDoSPART 침해사고 III. 대응방안서비스망 DDoS 보안대책현황 15
IV. 전사 DDoSPART 침해사고 III. 대응방안서비스망 DDoS 보안대책현황 변수전송, 결과확인 장비인증, 명령어완성, 명령어실행, 결과여부, 로그전송. 중앙 - 싱크홀라우터 해외 - 싱크홀라우터 GUI 제어서버 지역 - 싱크홀라우터 유해트래픽탐지및차단이 10 분이내에해결가능 16
IV. 전사 DDoSPART 침해사고 III. 대응방안서비스망 DDoS 보안대책현황 KT-ICC : Clean Zone DDoS 대응 DDoS 공격발생시, 탐지된공격 Traffic 을우회시켜유해 Traffic 을제거한후정상적인 Traffic 만을통과시켜 KT-ICC 고객이 DDoS 공격에영향을받지않고정상적인서비스를 제공할수있도록구성된 DDoS 공격전용차단영역을 Clean Zone 확대운영강하 Clean Zone 구성 KORNET < 동작절차 > 유해트래픽탐지 유해 Traffic 확인 유해트래픽경로우회 Filtering SMS NMS PMS 통합관제시스템 CRS 가입자스위치 1 5 정상 3 4 2 DDoS 방어 장비 (IPS) 정상 Traffic의고객전송 Traffic 고객사 Servers 17
IV. 전사 DDoSPART 침해사고 III. 대응방안서비스망 DDoS 보안대책현황 고객사와 KT 보안관제센터와의긴밀한협조체계를통하여대규모 DDoS 공격에대한실시간감시및공조대응으로고객주요서버 / 네트워크시설을보호하고피해를최소화하는공조대응서비스 고객 DDoS 공조대응서비스개념도 A 고객사 Network 북미 아시아 KT 보안관제센터 ( 혜화 ) F/W 해외싱크홀 B 고객사 Network IPS ACL KORNET KAPS C 고객사 Network V IPS ACL 중앙싱크홀 대상고객 : 대형고객 ( 금융권, 대형기업, 포털, 공공기관등 ) - 조건 : 자체보안시스템구축, 보안팀구성대형고객 - 최근 DDoS 공격에대한이슈가있는고객 / KT 기업용인터넷전용회선고객 - 협조사항 : 최근다양한형태의 DDoS 공격은고객보안시스템을통한자체관제중요 18
IV. 전사 DDoSPART 침해사고 III. 대응방안서비스망 DDoS 보안대책현황 고객 DDoS 공조대응추진범위 KAPS 보안시스템활용고객 WhiteList 감시 NMS(CORE NMS) 활용고객회선감시 싱크홀, ACL 활용 DDoS 차단 공격악성코드분석및숙주서버차단 고객 <-> 보안관제센터간실시간공조대응 대규모 DDoS 사전인지 고객회선별이상트래픽인지 대규모 DDoS 트래픽차단 고객 DDoS2 차공격재발방지 ISP 공조로신속상황통제가능 트래픽관제및샘플링보안관제로 WEB 세션공격, 공격 IP 등은 KT 미인지가능 ( 고객사보안시스템활용초동공조대응필요 ) 감시방안대응방안고객관리방안 KT 고객사보안관제센터고객 DDoS 공조대응 고객사보안시스템 (IPS, IDS, F/W 등 ) KAPS 모니터링감시 - WhiteList 등록 / 감시 NMS 활용트래픽감시 -Core-NMS 감시 HOTLINE 공조중앙 / 해외싱크홀,ACL차단공격 IP 추적 / 숙주차단숙주서버타 ISP 전파 결과보고서제공 보안동향 Report 제공 HOTLINE 멤버링시행 고객사보안이슈분석보안솔루션등제안 보안관제센터견학보안교육지원 19
IV. 전사 DDoS 침해사고대응방안 좀비 PC 인터넷접속차단절차 차단절차 소요시간및방법단축현행개선시간 1시간 0.5시간 공격PC IP 추출 라우터에서 Netflow 시행 중앙 DDoS 전용장비구축 0.5시간 공격IP 선별추출 공격시스템 IP 추출 IP정보추출 6시간 0.5시간 5.5시간 KAMS ( 대량 IP조회기능부재 ) IP운용센터접속제공플랫폼 DB 추출 3시간 1시간 2시간 해당지역및 L3 검출 IP별조회 (DAIMS) 시스템화 (i-foms) L3 및수용포트확인 - 좀비PC 차단기능개발 (12월) 3시간 1시간 2시간 차단작업 L3 수동접속 시스템화 (i-foms) 수작업에의한 MAC/ 포트차단 - 좀비PC 차단기능개발 (12월) 총소요시간 13시간 3시간 10시간 제어대상 IP 와 신인증서버팜매핑 해당 L2/3, MAC 포트차단 i-foms DAIMS IP Access-NMS L2/3 제어대상 IP 입 ( 원격제어관리시스템 ) ( 신인증접속관리력시스템 )
IV. 전사 DDoS PART 침해사고 IV. KT 서비스망대응방안 DDoS 종합대책 ( 기대효과 ) DDoS 공격의효율적대응을통한유사시서비스망의가용성을확보함으로써안정적인서비스제공을통한고객신뢰제고에기여 DDoS 조기탐지및대응체계 구축 DDoS 분석및조치능력 강화 Always Available Service Network DDoS 사전예방활동 추진 고객밀착 보호활동 전개 21