<4D F736F F F696E74202D20B1E8BBF3C3B6202D20372E F53BFA120B5FBB8A C0C720B4EBC0C0C0FCB7AB>

Similar documents

ìœ€íŁ´IP( _0219).xlsx

<BBE7B0EDB3EBC6AE5FC7E3BAEAB0D4C0D32E687770>

Cisco SDN 3.0 DDoS DDoS Cisco DDoS Real Demo 2008 Cisco Systems, Inc. All rights reserved. 2

Microsoft PowerPoint - 원유재.ppt

TGDPX white paper

인도 웹해킹 TCP/80 apache_struts2_remote_exec-4(cve ) 인도 웹해킹 TCP/80 apache_struts2_remote_exec-4(cve ) 183.8

UDP Flooding Attack 공격과 방어

슬라이드 1

< F5320B4EBC0C0C0E5BAF1BFA120B4EBC7D120BAB8BEC8B1E2B4C920B0A1C0CCB5E528C3D6C1BE292E687770>

한국정보보호진흥원

PowerPoint 프레젠테이션

*****

PowerPoint 프레젠테이션

ePapyrus PDF Document

< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지 국가별현황 2 - 대량경유지가탐지된유포지 TOP 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 9 3. 악성코

< FBFF9B0A320BEC7BCBAC4DAB5E520C0BAB4D0BBE7C0CCC6AE20C5BDC1F620B5BFC7E220BAB8B0EDBCAD283131BFF E302028C8A8C6E4C0CCC1F620BEF7B

제20회_해킹방지워크샵_(이재석)

<31305FBEC6C0CCC5DB2E687770>

#WI DNS DDoS 공격악성코드분석

PowerPoint 프레젠테이션

DDoS 방어기술, 경험, 전문가의결합, AhnLab TrusGuard DPX 안철수연구소트러스가드 DPX (DDoS Prevention express) 는 DDoS 공격방어를위한보안기술과안철수연구소의인프라가결함된새로운 DDoS 공격방어전용제품입니다. 이제품은다단계필터

시스템, 네트워크모니터링을통한보안강화 네트워크의미래를제시하는세미나 세미나 NetFocus 2003 : IT 관리자를위한네트워크보안방법론 피지피넷 /

암호내지

PowerPoint 프레젠테이션

슬라이드 1

. PC PC 3 [ ] [ ], [ ] [ ] [ ] 3 [ ] [ ], 4 [ ] [ ], 4 [Internet Protocol Version 4 (TCP/IPv4)] 5 [ ] 6 [ IP (O)], [ DNS (B)] 7 [ ] 한국어 -

국가별 한류현황_표지_세네카포함

Secure Programming Lecture1 : Introduction

PWR PWR HDD HDD USB USB Quick Network Setup Guide xdsl/cable Modem PC DVR 1~3 1.. DVR DVR IP xdsl Cable xdsl Cable PC PC DDNS (

Microsoft PowerPoint - T12_DDOS_AhnLab_김우겸.ppt

< FBBE7B0EDB3EBC6AE5FB5F0C6FAC6AEC6D0BDBABFF6B5E5C3EBBEE0C1A128BCF6C1A4292E687770>

< 목차 > Ⅰ. 개요 3 Ⅱ. 실시간스팸차단리스트 (RBL) ( 간편설정 ) 4 1. 메일서버 (Exchange Server 2007) 설정변경 4 2. 스팸차단테스트 10

<C0CCC8ADC1F82E687770>

*

Microsoft PowerPoint ISS_ ( , , v2.1).ppt

Samsung SDS Enterprise Cloud Networking CDN Load Balancer WAN

게시판 스팸 실시간 차단 시스템

ÀÎÅÍ³Ý ÁøÈï¿ø 5¿ù

Æí¶÷4-¼Ö·ç¼Çc03ÖÁ¾š

Bubbles PowerPoint Template

USB USB DV25 DV25 REC SRN-475S REC SRN-475S LAN POWER LAN POWER Quick Network Setup Guide xdsl/cable Modem PC DVR 1~3 1.. DVR DVR IP xdsl Cable xdsl C

요 약 문 1. 제목 : 개인정보 오남용 유출 2차 피해 최소화 방안 2. 연구의 배경 개인정보란 살아 있는 개인에 관한 정보로서 개인을 알아볼 수 있는 정보로 해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 것을 포함한다.

Agenda IT Manager Requirements IT 관리 Trend의변화 Proactive Network Enforcement 1.25 대란대응사례 QoS 매커니즘비교표통합보안서비스의구축실시간경보자동화시스템 NMS 와의연동서비스 IDS/Firewall 과의연동

유해트래픽통합관리시스템_MetroWall

Microsoft PowerPoint - RioRey_타사대비자료.ppt

DDoS 공격, 게임계정유출해커, 비트코인등가상화폐노린다 - 13 년 10 월부터 DDoS, 원격제어, 게임계정유출하더니최근암호화폐채굴 - 개요지난 13 년 10 월,Microsoft 社의인터넷익스플로러취약점 (CVE ) 을통해유포되는악성코드가 DDoS

네트워크안정성을지켜줄최고의기술과성능 TrusGuard 는국내최초의네트워크통합보안솔루션으로, 철저한시장검증을통해기술력과성능, 안전성을인정받은제품입니다. TrusGuard 는 Advanced A-TEAM 아키텍처기반의고성능방화벽과 ACCESS 기반의강력한통합보안기능을제공합


ActFax 4.31 Local Privilege Escalation Exploit


index 1. DOS 1.1 Definition of DoS (Denial Of Services) 1.2 DoS attack in Network 1) ICMP Flooding 2) SYN Flooding (SYNF) 3) Land Attack 2. DDOS 2.1 D

최종_백서 표지

*2008년1월호진짜



untitled

Network seminar.key

국가정보보호백서 제1장 정보환경 변화와 정보보호 정보통신기술은 우리에게 보다 나은 미래를 제공해주는 원동력이자 현대사회에서 없어서는 안 될 필수불가결한 사회기반으로 여겨지고 있다. 또한 정보통신기술은 경제 성장의 원천이 되고 있으 며 사회 시스템의 효율성을

Microsoft PowerPoint - thesis_rone.ppt

SOLUTION BRIEF 차세대 빅데이터 기반 통합로그관리시스템으자, SIEM 솔루션으로 데이터를 수집/분석/검색 및 추가하고, 효율적인 보안 운영을 실시합니다. 대용량 데이터를 수집하고 처리하는 능력은 사이버 보안에 있어서 통찰력을 제공하는 가장 중요하고, 기초적인

ÀÎÅÍ³Ý ÁøÈï¿ø 3¿ù ÀúÇØ»ó

슬라이드 0

Vol.06 June CONTENTS 2 page 1. 월간동향요약 월보안이슈 주요보안권고 침해사고통계분석요약 침해사고위협분석요약 4 5 page 2. 침해사고통계분석 2-1. 악성코드피해신고통계분석 5

2006_8_14 (8_17 updated) ms ¿ú(wgareg.exe) ºÐ¼® º¸°í¼�.hwp

Microsoft Word - SKINFOSEC-CHR-026- Mass SQL Injection 탐지 우회분석 보고서.doc

1

목 차 Ⅰ. 사업개요 5 1. 사업배경및목적 5 2. 사업내용 8 Ⅱ. 국내목재산업트렌드분석및미래시장예측 9 1. 국내외산업동향 9 2. 국내목재산업트렌드분석및미래시장예측 목재제품의종류 국내목재산업현황 목재산업트렌드분석및미래시

Today s Challenge 급속도로증가하는트래픽 최근들어, 스마트폰, 태블릿 PC 등모바일단말기의증가와 VoIP, IPTV, 화상회의등 IP 기반애플리케이션의수요증가로인해네트워크상의트래픽은 예년에없던급증세를타고있습니다. 한조사기관에따르면, 2015 년까지 IP 트

<4D F736F F F696E74202D D203120C3D6B1D920C1A4BAB8BAB8C8A320C0A7C7F9B0FA20C4A7C7D8BBE7B0ED20B5BFC7E220B1E8C8ABBCAE202E707

PowerPoint Presentation

Bubbles PowerPoint Template

POSTECH DDoS 대응 매뉴얼

5th-KOR-SANGFOR NGAF(CC)

untitled

DoS 공격의유형분석및탐지방법 (Monitoring and Investigation of DoS Attack) 영산대학교 사이버경찰학과 이성진

슬라이드 1

< IDC 개념도 > - 2 -

네트워크 안정성을 지켜줄 최고의 기술과 성능 TrusGuard는 국내 최초의 통합보안솔루션으로서 지난 5년간 약 4천여 고객 사이트에 구축 운영되면서 기술의 안정성과 성능면에서 철저한 시장 검증을 거쳤습니다. 또한 TrusGuard는 단독 기능 또는 복합 기능 구동 시

개인정보보호의 이해 및 안전한 관리 - 개인PC 및 스마트폰 개인정보보호-

월간 CONTENTS 3 EXPERT COLUMN 영화 점퍼 와 트로이목마 4 SPECIAL REPORT 패치 관리의 한계와 AhnLab Patch Management 핵심은 패치 관리, 왜? 8 HOT ISSUE 2016년에 챙겨봐야 할 개인정보보호


6강.hwp

untitled

UTM+ 보안스위치 + 자가진단 XN-Box Series

NETCONF 표준을 따른 XML 기반의 네트워크 구성관리 시스템

<B1DDC0B6C1A4BAB8C8ADC1D6BFE4B5BFC7E C8A3292E687770>

메일서버등록제(SPF) 인증기능적용안내서 (Exchange Windows 2000) OS Mail Server SPF 적용모듈 작성기준 Windows Server 2000 Exchange Server 2003 GFI MailEssentials 14 for

(Microsoft PowerPoint - NRMWFKPIIYBC [\310\243\310\257 \270\360\265\345])

<4D F736F F F696E74202D20C0FCBCBAC7D0202D20B1E2BEF720C1A4BAB820BAB8C8A3B8A620C0A7C7D120BEC7BCBAC4DAB5E520B4EBC0C0205BC8A3C8AF20B8F0B5E55D>

어니스트펀드_HF-1호_투자설명서_151204(3차수정)

침입방지솔루션도입검토보고서

<4D F736F F F696E74202D20322D355FBCD2C7C1C6AEB7B15FBACEBBEABBE7C0CCB9F6BEC8C0FC20C0FCB7AB20BCBCB9CCB3AA5F E707074>

목록 1. DoS/DDoS attack? 2. Dos와 DDoS의차이점 3. DoS공격으로의심할수있는증상 4. DoS 공격유형 5. DDoS 공격유형 6. 주요 DDoS 공격피해사례 7. DoS와 DDoS 공격에대한대응책 8. 알게된사실 9. 참고사이트

슬라이드 1

1

인터넷 비즈니스의 필수 요소, 트랜잭션 시큐리티 서비스 인터넷 비즈니스는 기업 영리 활동에 있어서 부가적인 서비스가 아닌 사업을 영위해 가는데 중요한 역할을 하고 있습니다. 특히, 인터넷 쇼핑몰, 인터 넷 뱅킹, 사이버 트레이딩, 전자정부서비스, 온라인 게임, 인터넷


신종파밍악성코드분석 Bolaven

Transcription:

최근 DDoS 보안위협사례분석을통한 7.7 DDoS 에따른 ISP 의대응전략 I. 최근 DDoS 침해공격현황 II. III. IV. 7.7 사이버침해공격대응주요보안이슈사항전사 DDoS 침해대응방안 2009. 10. 22 고객지원본부정보보호담당

I. 최근 DDoS 침해공격현황 숙주서버 ( 좀비PC 제어서버 ) 공격대상자 1서버해킹 4 공격명령전송 공격트래픽은수Giga~ 수십 Giga 인근고객도피해 해커 2 메일, P2P 등이용악성코드전파 5 DDoS 공격 Network 3 명령대기 Notpia NAS 기업 PC 방 좀비 PC 좀비 PC 좀비 PC 좀비 PC * 좀비PC의수는수백 ~ 수십만대로좀비PC의수가많을수록피해규모도급증 2

I. 최근 DDoS 침해공격PART 현황I. 최근보안위협동향 2007 년상반기 3322.org 등 2007 년하반기 C&C Changer Attacker C&C Web C&C Changer 2008 년 1 분기 2 중 Changer 2008 년 2 분기 FastFlux Web DDNS, TTL=60 C&C Changer C&C (CMD) DDNS, TTL=60 C&C : DST 3

I. 최근 DDoS 침해공격현황 명령 / 제어프로토콜의진화 - 중앙집중형 (IRC, HTTP) 방식 분산형 (P2P) 명령 / 제어방식으로발전 - 중앙집중형방식에있어서, IRC 방식 탐지가어렵도록 HTTP 방식으로전환 명령 / 제어 IRC 서버 명령 / 제어웹서버 Bot 관리자 Domain Name 이필요하지않아, Domain Name 구입비용절약 명령 명령 / 제어 (IRC 프로토콜 ) 감염 취약호스트 명령 / 제어 (80 웹포트 ) 감염 취약호스트 참여멤버들이모두 C&C 역할을수행하여그룹에명령전파 (ex. Buddy-list) 다수의 Domain Name 확보하여 C&C 서버등록 (Fast-Flux 적용 ) 중앙집중형제어 암호통신 (SSL) 및포트변경 대표적인 IRC 봇넷 : Rbot 서비스중인웹서버를해킹하여 C&C 서버로악용 중앙집중형제어 웹프로토콜 탐지 / 차단어려움 대표적인 HTTP 봇넷 : Robax 분산제어 (Distributed control) 탐지및차단이어려움 대표적인 P2P 봇넷 : Storm 4

I. 최근 DDoS 침해공격현황 1 공격특징 [DDoS 공격트래픽추이 ] [DDoS 공격대상의변화 ] [09 년공격근원지 TOP 10] DDoS 트래픽의급속한증가 (08 년말최대 58G 발생, 국내 일본 ) 주요원인 : 고객 PC 의高사양화, 좀비 PC( 악성코드감염 PC) 의증가, 대역폭 (FTTH) 증가등 공격대상은사회적이슈가되는정부및금융기관등으로다양화추세공격근원지 ( 좀비PC 수 ) 는한국이세계 3위 2 공격변화 03~04 04 년 웜바이러스에의한공격 ( 네트워크를통해불특정서버 /PC 감염 / 전파 ) 04~05년 피싱및스팸 ( 금전목적의금융사이트위조, 대출 / 악성코드전파 ) 05~08년 Bot에의한 DDoS 급증 ( 금전요구및 PC방등경쟁사공격 ) 과 DDoS 공격도구판매 09 년 ~ Bot 에의한 DDoS 공격의지능화 (7.7 DDoS 사이버공격 ) 5

20,000,000 18,000,000 16,000,000 14,000,000 12,000,000 10,000,000 8,000,000 6,000,000 4,000,000 2,000,000 0 (135 패킷수 / 총패킷수 ) 135 포트 00 01 02 03 04 05 06 07 08 09 10 11 12 13 14 15 16 17 18 19 20 21 22 23 00 01 02 03 04 05 06 07 08 09 10 11 12 13 14 15 16 17 18 19 20 21 22 23 00 01 02 03 04 05 06 07 08 09 10 11 12 13 14 15 16 17 18 19 20 21 22 23 00 01 02 03 04 05 06 07 08 09 10 11 12 13 14 15 16 17 18 19 20 21 22 23 00 01 02 03 04 05 06 07 08 09 10 11 12 13 14 15 16 17 18 19 20 21 22 23 00 01 02 03 04 05 06 07 2003/08/11 2003/08/12 2003/08/13 2003/08/14 2003/08/15 2003/08/16 I. 최근 DDoS 침해공격현황 3 주요사례 웜바이러스 03년 1월 Slammer 웜에의한 1.25 인터넷대란 03년 8월 Welchia, Blaster 웜 ( 웜전파포트차단 ) 04년 1월 Mydoom, Bagle 웜 ( 웜전파포트차단 ) 피싱및스팸메일 04년 4월스팸메일급증 (OECD 스팸워크샵개최, 부산 ) 04 년 5 월피싱피해증가 ( 국내피싱전세계 2위 ) DDoS 침해공격 05 년 6 월 BOT 에의한대형 DDoS 발생 (14 회 /1 일공격 ) 07년 DNS 공격및스팸메일에의한인터넷지연 - 스팸대량발송으로 DNS 응답지연 (VOC 163건 ) - 9 월 3.8G DDoS 공격등다수 ( 서비스장비고장등 ) 08 년 DNS 및주요기관 DDoS 공격 - 전국 DNS(2월 ), 청와대 (4월), 미래에셋 (3월), 국민은행 (4월) 등 - 08년 DDoS 대응약 3,000건 ( 고장 216건 ) 09 년 7.7 DDoS 사이버대란발생 패킷수 시간 점유비 RPC 관련 135/TCP Port 시간별트래픽추이 (IDS6, 아시아 ) [1.25 Slammer worm] [Blaster worm 트래픽 ] 한국스팸발송국가 3위 패킷수 전세계 ISP 중 Kornet 2 위 [ 스팸메일급증 ] [ 출처 : www.spamhaus.org, 05년 3월기준 ] [Bot 에의한 DDoS 14 회공격, 보안시스템 : KAPS] [ 스팸메일에의한전국 DNS 트래픽증가 ] 점유비 (%) 14 12 10 8 6 4 2 0 6

II. 7.7 사이버침해공격대응 악성코드유포지 1 전용프로그램설치 웹하드이용자 (11 만 5 천대 ) 3 웹사이트해킹 업데이트프로그램을 악성코드로바꿔치기 서울웹하드사이트부산웹하드사이트 2 프로그램구동시 2 자동업데이트 4 악성코드설치 DoS 공격 피해사이트 ( 총35개 ) ( 국내 : 21, 해외 : 14) 좀비 PC 정보유출 하드디스크파괴 구분공격대상일자 1차 - 국내 (12), 국외 (14) 대상 DDoS 공격 -24시간동안접속장애발생 7.7 2차 - 국내 15개사이트에접속장애발생 7.8 3 차 HDD 파괴 - 국내 7 개사이트대상공격시도 - 알려진피해는없음 7.9 - 감염 PC 의 HDD 및중요문서파괴 7.10 좀비 PC 관리서버 (6 개국 9 대 : 독일 (3), 미국 (2), 캐나다중국, 태국, 오스트리아 ) 좀비 PC 파일목록일부유출 DDoS 공격수행 좀비 PC 파괴서버 (6 대 : 대만, 과테말라, 미국, 파키스타, 터키, 멕시코 ) 재유출서버 (3대: 캐나다, 베네수엘라, 이스라엘 ) 파일정보수집서버 (59개국 416대 ( 한국 : 15대 )) 악성코드공급서버 (1대: 미국 ) 네트워크형 C&C (Command & Control) 서버

II. 7.7 사이버침해공격대응 7.7 DDoS 공격및피해현황 KT 대응 ( 전사침해사고대책상황실 ) 공격개요일시 : 7.7 ~ 7.9 18:00 ~ 24시간 ( 총 3회공격 ) 대상 : 국내외총 34개사이트 ( 국내 23개사이트 ) - 청와대, 국방부, 국정원, 조선일보, 국민은행등피해 - 공격웹사이트접속불가및지연 - PC 정보유출및하드디스크손상 ( 약 1,446건 ) 피해사이트고객Care 청와대, 국정원등피해고객긴급지원 - 고객회선증설및해외발공격트래픽차단조선일보, 한나라당웹서버긴급보호조치 - 유해트래픽차단서비스 (IDC Clean Zone) 수용악성코드분석및대응 1 2 3 4 ( 국내 15 대 ) 신속한 DDoS 악성코드샘플확보및분석 - 공격대상기관리스트및신종악성코드확인악성코드첫입수를통한백신치료지원 - KSIA 및백신업체악성코드제공및공조대응 약 16 만대 ( 국내 7 만 8 천, KT 3 만 7 천 ) 국내외총 34 개 ( 국내 23 개 ) 공격특징하나가아닌다수의악성코드가유기적으로연동계획된시나리오로동시에다수웹사이트공격 PC 정보유출 ( 파일목록등 ) 및하드디스크파괴 감염고객 Care 및홍보 TM 및 PC 팝업공지홍보및백신설치유도 - 감염고객치료 (3만7천), 전체고객 (670만) 국내손상된고객PC 긴급현장복구 -IT 서포터즈, 피해접수고객현장복구 (716 건 ) 8

III. 주요보안이슈사항 공격의다양화 DDoS 공격의대형화로수백 Giga 트래픽공격가능 ( 일부 / 전국인터넷서비스고립가능 ) 금전요구및정치 / 사회적목적의 DDoS 공격지속 - 정부, 금융, 언론등주요기관 - 일반 (Ntopia) 고객 ( 게임 / 채팅등웹사이트운영 ) 및 IMO( 아이템거래사이트, 웹호스팅사이트등 ) - DDoS 전용공격도구 (Netbot) t) 판매 ( 약 30 만원 ) 및보편화로 DDoS 공격이쉬움 대량스팸발송에따른 DNS 트래픽증가 ( 스팸 +DDoS+ 정보유출 + 전파등복합공격 ) 인터넷서비스시설을향한공격 (DNS, 라우터등 ) 대응문제점 좀비PC 제어서버 ( 숙주 ) 분석어려움 - 좀비 PC 와제어서버간암호화통신등복잡하게변화 - 생존성확보를위한악성코드의은폐, 자기방어기능등지능화 DDoS 트래픽선별차단의한계 - 네트워크망에서공격트래픽만구분하여차단불가 다수의공격발생고객단말에대한실시간차단어려움 고객의보안의식미흡 ( 백신의의미모름 ) 9

IV. 전사 DDoS 침해사고대응방안 1 DDoS 침해대응력향상 3분인지및 10분초동대응의전사침해사고대응체계강화 - KAPS, IPS-ESM, NMS 등을통한 DDoS 공격 3분인지 - KAPS, SinkHole 라우터, 싱크홀 DNS, ACL, DDoS 전용장비등을통한 10 분대응체계유지 DDoS 공격용악성코드확보및분석을통한경로차단대응강화 - 확보된악성코드의동작경로분석을통한숙주서버차단대응강화ㆍ MEPS, HoneyNet, NERAS, 네트워크트래픽분석장비등활용 대내외협력기관간 DDoS 공조체계강화 - 고객 DDoS 공조대응프리미엄서비스강화 ( 보안관제시스템구축및운영고객에한함 ) - 방송통신위원회, KISA, 국정원, 경찰청, NSF( 네트워크시큐리티포럼 ), 백신회사, 보안회사등 2 정보보호인프라고도화 DDoS 전용보안장비구축 - KORNET 백본 ( 추진중 ), IDC구간 DDoS 전용장비구축 ( 추진완료 ) 악성코드감염PC 의인터넷접속차단체계구축 - 비상시, 고객단말배치형식의차단기능개발및구축 4 감염고객 Care 추진 악성코드조치를위한백신반영프로세스강화 - 안철수연구소와이스트소프트와 MOU 및 NDA 계약체결 고객공지를통한백신설치유도및인식강화 - 감염고객자가조치를위한고객공지 ( 온라인 ) 백신설치강제유도및치료안내 긴급시, 고객현장지원체계확립 - IT 서포터즈및현장요원 ( 현장 NSC 및현장기술지원팀 10 등 )

IV. 전사 DDoS 침해사고대응방안 전사대응조직 11

IV. 전사 DDoSPART 침해사고 III. 대응방안서비스망 DDoS 보안대책현황 공격인지 초동대응 정밀분석및대응 보안시스템 & NMS 긴급대응 정밀분석 2차대응 보안시스템 KAPS, IPS-ESM IDS, MEPS 망관리시스템 TTS, IP-NMS 공격방향, 발생량분석 보안시스템로그상세분석 숙주서버 IP 싱크홀차단 공격유형분석 고객PC 원격접속분석 숙주서버 URL 차단 프로토콜, 공격포트분석 MEPS 차단로그분석 전국 ACL 차단 공격자및대상자 IP 분석 악성코드정밀분석 감염고객조치 공격대상자 IP 싱크홀차단 동작원리분석및숙주검출 3 분이내인지 10 분이내대응 인터넷전자침해최초인지후 10분이내신속대응 인터넷서비스중단최소화 12

IV. 전사 DDoSPART 침해사고 III. 대응방안서비스망 DDoS 보안대책현황 13

IV. 전사 DDoSPART 침해사고 III. 대응방안서비스망 DDoS 보안대책현황 1 14

IV. 전사 DDoSPART 침해사고 III. 대응방안서비스망 DDoS 보안대책현황 15

IV. 전사 DDoSPART 침해사고 III. 대응방안서비스망 DDoS 보안대책현황 변수전송, 결과확인 장비인증, 명령어완성, 명령어실행, 결과여부, 로그전송. 중앙 - 싱크홀라우터 해외 - 싱크홀라우터 GUI 제어서버 지역 - 싱크홀라우터 유해트래픽탐지및차단이 10 분이내에해결가능 16

IV. 전사 DDoSPART 침해사고 III. 대응방안서비스망 DDoS 보안대책현황 KT-ICC : Clean Zone DDoS 대응 DDoS 공격발생시, 탐지된공격 Traffic 을우회시켜유해 Traffic 을제거한후정상적인 Traffic 만을통과시켜 KT-ICC 고객이 DDoS 공격에영향을받지않고정상적인서비스를 제공할수있도록구성된 DDoS 공격전용차단영역을 Clean Zone 확대운영강하 Clean Zone 구성 KORNET < 동작절차 > 유해트래픽탐지 유해 Traffic 확인 유해트래픽경로우회 Filtering SMS NMS PMS 통합관제시스템 CRS 가입자스위치 1 5 정상 3 4 2 DDoS 방어 장비 (IPS) 정상 Traffic의고객전송 Traffic 고객사 Servers 17

IV. 전사 DDoSPART 침해사고 III. 대응방안서비스망 DDoS 보안대책현황 고객사와 KT 보안관제센터와의긴밀한협조체계를통하여대규모 DDoS 공격에대한실시간감시및공조대응으로고객주요서버 / 네트워크시설을보호하고피해를최소화하는공조대응서비스 고객 DDoS 공조대응서비스개념도 A 고객사 Network 북미 아시아 KT 보안관제센터 ( 혜화 ) F/W 해외싱크홀 B 고객사 Network IPS ACL KORNET KAPS C 고객사 Network V IPS ACL 중앙싱크홀 대상고객 : 대형고객 ( 금융권, 대형기업, 포털, 공공기관등 ) - 조건 : 자체보안시스템구축, 보안팀구성대형고객 - 최근 DDoS 공격에대한이슈가있는고객 / KT 기업용인터넷전용회선고객 - 협조사항 : 최근다양한형태의 DDoS 공격은고객보안시스템을통한자체관제중요 18

IV. 전사 DDoSPART 침해사고 III. 대응방안서비스망 DDoS 보안대책현황 고객 DDoS 공조대응추진범위 KAPS 보안시스템활용고객 WhiteList 감시 NMS(CORE NMS) 활용고객회선감시 싱크홀, ACL 활용 DDoS 차단 공격악성코드분석및숙주서버차단 고객 <-> 보안관제센터간실시간공조대응 대규모 DDoS 사전인지 고객회선별이상트래픽인지 대규모 DDoS 트래픽차단 고객 DDoS2 차공격재발방지 ISP 공조로신속상황통제가능 트래픽관제및샘플링보안관제로 WEB 세션공격, 공격 IP 등은 KT 미인지가능 ( 고객사보안시스템활용초동공조대응필요 ) 감시방안대응방안고객관리방안 KT 고객사보안관제센터고객 DDoS 공조대응 고객사보안시스템 (IPS, IDS, F/W 등 ) KAPS 모니터링감시 - WhiteList 등록 / 감시 NMS 활용트래픽감시 -Core-NMS 감시 HOTLINE 공조중앙 / 해외싱크홀,ACL차단공격 IP 추적 / 숙주차단숙주서버타 ISP 전파 결과보고서제공 보안동향 Report 제공 HOTLINE 멤버링시행 고객사보안이슈분석보안솔루션등제안 보안관제센터견학보안교육지원 19

IV. 전사 DDoS 침해사고대응방안 좀비 PC 인터넷접속차단절차 차단절차 소요시간및방법단축현행개선시간 1시간 0.5시간 공격PC IP 추출 라우터에서 Netflow 시행 중앙 DDoS 전용장비구축 0.5시간 공격IP 선별추출 공격시스템 IP 추출 IP정보추출 6시간 0.5시간 5.5시간 KAMS ( 대량 IP조회기능부재 ) IP운용센터접속제공플랫폼 DB 추출 3시간 1시간 2시간 해당지역및 L3 검출 IP별조회 (DAIMS) 시스템화 (i-foms) L3 및수용포트확인 - 좀비PC 차단기능개발 (12월) 3시간 1시간 2시간 차단작업 L3 수동접속 시스템화 (i-foms) 수작업에의한 MAC/ 포트차단 - 좀비PC 차단기능개발 (12월) 총소요시간 13시간 3시간 10시간 제어대상 IP 와 신인증서버팜매핑 해당 L2/3, MAC 포트차단 i-foms DAIMS IP Access-NMS L2/3 제어대상 IP 입 ( 원격제어관리시스템 ) ( 신인증접속관리력시스템 )

IV. 전사 DDoS PART 침해사고 IV. KT 서비스망대응방안 DDoS 종합대책 ( 기대효과 ) DDoS 공격의효율적대응을통한유사시서비스망의가용성을확보함으로써안정적인서비스제공을통한고객신뢰제고에기여 DDoS 조기탐지및대응체계 구축 DDoS 분석및조치능력 강화 Always Available Service Network DDoS 사전예방활동 추진 고객밀착 보호활동 전개 21