Microsoft PowerPoint - T12_DDOS_AhnLab_김우겸.ppt

DDoS 공격대응의새로운패러다임 Cloud, Cluster, RealTime and WireSpeed 2011/05/18 Woo-Kyum Kim, AhnLab Inc.

1 월 경쟁도박사이트 DDoS 공격디시인사이드연북갤 DDoS 공격 2 월 학교, 경제단체, 기업사이트등 104 개서버시스템을해킹한고교생 2 명검거 3 월 3.4 DDoS EBS DDoS 공격 2011 IBM Corporation 2

DDoS 공격대응의새로운패러다임 Cloud, Cluster, RealTime and WireSpeed 2011/05/18 Woo-Kyum Kim, AhnLab Inc.

Agenda 진화하고있는보안위협동향 DDoS 공격방어, 그리고예방의요건 새로운 DDoS 공격방어패러다임 Summary 2011 IBM Corporation 4

History of Wars 과거전쟁 : Wall 을기점으로공격 vs 수비 냉전종식후 : 국지전, 테러형태로변화 2011 IBM Corporation 5

실제전쟁 vs 사이버전쟁 금품협박 정치적의도 기업신뢰도타격 산업시설공장, 백화점공격, 등 DDoS 폭발물공격협박 국가사이버기간산업테러테러위협위협 금융사기인터넷뱅킹, 은행, 쇼핑침입, 주식피해 대포폰개인정보탈취, 대포통장, 거래 단순게임아이템절도 현금화 금전적이득 개인정보유출 금전탈취 개인 / 기업의금융자산피해 2011 IBM Corporation 6 단순악성코드시비, 폭행 실력과시 개인의파일손상 금전적이득 개인의물질적피해 사이버공격은조직적, 지능화범행장소는사람이많은 WEB 6

입체적, 지능화된공격으로의변화 Office 기업정보고객정보 내부정보탈취 PC 시스템공격 WEB 공격 모바일공격 네트워크공격 INTERNET 정보유입 / 유출 웹서핑 E-mail, 메신저 SNS IDC / Server Farm 업무서버웹서버 Production Line 서버시스템공격 서비스공격 (DDoS attack) MITB ( 트랜잭션공격 ) INTERNET 서비스제공 생산 / 기반시설공격 서비스이용고객공격 웹서비스 금융서비스 게임서비스 2011 IBM Corporation 7

보안위협동향 2010 년 vs 2011 년 사회기반시설을노린스턱스넷 (Stuxnet) 국제적이슈악용한사회공학기법만연개인정보노출의 2 차피해 스마트폰보안위협의현실화악성코드배포방식의지능화금전노린악성코드에도 한류 열풍 정보의허브 SNS, 악성코드의허브로악용 제로데이취약점 온라인게임해킹툴급증 제로데이공격기법고도화클라우드, 가상화기술이용한위협등장사회기반시설겨냥한타깃형공격증가 무선인터넷취약점노린공격등장금전노린스마트폰위협증가 SNS 활용한다양한공격범용화 DDoS 공격용악성코드의변종등장 DDoS 공격지능화 2011 IBM Corporation 8 8

보안위협사례 #1 Zeus PKG 구매맞춤제작 위장메일발송 $3~4,000 정도로 Zeus Kit 구매 공격 Target, 공격종류등설정 맞춤형 Zeus 제작 ( 기하급수적 Zeus 변종발생 ) Zeus 감염 Click~! Config.txt 금융정보탈취 또다른공격 2011 IBM Corporation 9

보안위협사례 #2 악성코드기반보안사고도 DDoS 사고를동반할가능성이매우높음 사회공학적기법의악성코드유포 Zombie 감염 DDoS 등보안 2011 IBM Corporation 10 사고유발

국내 DDoS 공격현황 2006 년 2007 년 2008 년 2009 년 2010 년 2011 년 성인채팅사이트 협박성 DDoS 출현 단순공격도구 2011 IBM Corporation 11 게임아이템거래여행 / 펜션예약 협박성 DDoS 지속 GUI 공격Tool 증권사정당 / 정부 협박금액증가 BotNet 공격 Tool 7.7 DDoS 대란 명확하지않은목적 악성코드기반 금융 / 포털 / 게임연예기획사 DDoS 공격목적의변화 / 변질 / 범죄화 + DDoS 공격목표의확대 3.4 DDoS 대란

DDoS 공격의과거, 현재, 그리고미래 새로운 악성코드 지속적인 다양한 공격툴과 유포와 공격 공격목적 악성파일 DDoS 의 양산 전문화 서비스장애 매출손실 고객이탈 기업이미지실추 정상적인사업을유지하기위해치루어야하는 끝나지않은 DDoS 공격과의전쟁 2011 IBM Corporation 12

Agenda 진화하고있는보안위협동향 DDoS 공격방어, 그리고예방의요건 새로운 DDoS 공격방어패러다임 Summary 2011 IBM Corporation 13

국내웹사이트위협현황 공공기관웹사이트침해사고현황 행정안전부 2009 국가정보화에관한연차보고서 기준정부및지자체운영웹사이트 1600여개의보안수준은 65.6% 로, 경유지악용 984건, 홈페이지변조 228건 AhnLab SiteGuard 수집통계 코리안클릭 UV Top 300 도메인검사결과, 상위 300위도메인중 57% 가악성코드유포이력존재 TOP 300 도메인중 171개유포이력존재 138개중 71개는현재도위험 57% 51.4% UV 순위 위험도메인 위험 URL 수 2 daum.net 1662 10 tistory.com 463 14 paran.com 203 1 naver.com 194 3 nate.com 60 35 egloos.com 50 2011 IBM Corporation 14 8 auction.co.kr 35

2010 년도악성코드유형분포통계 - 2010년에감염보고된악성코드유형을살펴보면, 트로잔 (Trojan) 류가 45.2% 로가장많았으며, 웜 (Worm) 류가 12.1%, 스크립트 (Script) 류가 9.7% 로그뒤를이었다. - 2010 년에처음으로보고된신종악성코드유형에서도역시트로잔류가 62% 로가장 많았으며, 다음으로애드웨어 (Adware) 류가 16%, 드롭퍼 (Dropper) 류가 5% 를점유하였다. 2011 IBM Corporation 15 15

2010 년도 Network 위협분석동계 2010 년공격동향분석 ( 출처 : 안철수연구소 CERT, 2010. 12) Network 기반전체유효이벤트 : 약 94 만건 웹취약점 32% DDoS 25% SQL Injection 14% 다량의 Fragments/UDP/ICMP Flooding + 정밀타격 HTTP DDoS 공격지속발생 2011 IBM Corporation 16

DDoS 공격의피해와대응의범위 Personal Users Cloud Office INTERNET Server Farm DDoS DDoS 공격방어 ( 내부 Network) DDoS 공격방어 (Network) DDoS FW/IPS UTM Outbound DDoS 방어 Service 가용성보장 Inbound DDoS 방어 Service 가용성보장 통합 DDoS 대응체계 Anti-Virus DDoS 공격예방 (Client PC) DDoS 공격예방 (Server) IPS URL/DNS Filter 좀비 PC 대응 내부 PC 보안수준강화 신종악성코드대응력강화 서버보안수준강화 악성코드유포행위방지 WAF 웹보안모니터링 2011 IBM Corporation 17

DDoS 공격방어와예방의요건 새로운 DDoS 공격방어패러다임 새로운 DDoS 공격예방패러다임 System Network Operation Level 융복합적보안위협대응체계필요 2011 IBM Corporation 18 18

Agenda 진화하고있는보안위협동향 DDoS 공격방어, 그리고예방의요건 새로운 DDoS 공격방어패러다임 Summary 2011 IBM Corporation 19

7.7 DDoS vs 3.4 DDoS 7 7 DDoS (2009) 3 4 DDoS (2011) 유포지및공격대상 P2P 사이트를통한유포 청와대, 백악관등한국과미국주요사이트 P2P 사이트를통한유포 청와대, 네이버등국내주요사이트 공격형태 7 일부터사흘간공격지속 같은파일구성에의한공격 공격자에의해변화 공격때마다변화하는파일구성 분석의어려움증가 하드디스크손상 지정된마지막공격날짜에하드디스크손상. PC 날짜변경시, 이상없음. 공격자가임의로날짜를변경하며하드디스크손상. 감염시간보다이전으로시간을변경하는경우하드디스크손상. 진화된 DDoS 유발악성코드로인한 3.4 DDoS 공격발생 2011 IBM Corporation 20

7.7 DDoS vs 3.4 DDoS 7 7 DDoS (2009) 3 4 DDoS (2011) 좀비 PC 수 115,044 대 ( 정부발표 ) 116,299 대 ( 정부발표 ) HTTP 공격특징 HTTP 1.1 1 HTTP Request / 1 TCP Session URL Redirect 반응안함 Cache-Control 사용 & 사용안함 User-Agent 변경 HTTP 1.1 1 HTTP Request / 1 TCP Session URL Redirect 반응안함 Cache-Control 사용 & 사용안함 User-Agent 변경 Accept 변경 UDP /ICMP Src IP Spoofed & Non-Spoofed 가변 Packet Size (4~48 Byte) Src IP Non-Spoofed 고정 Packet Size (UDP 1024 Byte /ICMP 204 Byte) 좀비당공격양 103 PPS ( 전체 ) 389 PPS ( 전체 ) 2011 IBM Corporation 21 3.4 DDoS 는전혀새로운공격유형이아님 피해규모는적음

DDoS 공격의과거, 현재, 그리고미래 과거단순한형태에서정상응답까지가능한매우정교한공격형태로진화 ~ 2006 년 2007 년 ~ 2008 년 2009 년 ~ 2011 년 Resource Exhausted Packet based Flooding - TCP Syn Flooding - UDP/ICMP Flooding High Technique for Attack Control - Using IRC Channel - Using Traditional Hacking Technology Intelligent Attack Various Flooding Type - All TCP Flag Type - Various Type of Packets 1) Fragmentations 2) Random Size 3) Random Protocols Easy Technique for Attack - Using BotNet Channel - GUI Based Control Complicated Attack Combined DDoS Attack - Multiple Attack Looks like the Normal Traffic - Connection Based Attack - Slow and Steady Attack More Easy for Attack Control - Automated Zombie Creation - GUI Based Control - Black Market for contract 정상적인 HTTP 요청트래픽을가장한 DDoS 공격기법유행 단순한정적인 Web Site 공격에서 Dynamic Web 으로의공격목적지변화 기존의방어방식을회피하는새로운공격도구의빠른배포 특정목적지를대상으로한소규모정밀타격형 DDoS 공격으로진화 2011 IBM Corporation 22

최근 DDoS 공격과대응의변화 최근 DDoS 공격은소규모정밀타격형공격이거나대규모트래픽으로 신종 DDoS 공격 양극화됨 대역폭고갈형 DDoS 패킷과다 DDoS 과부하정책회피 패킷크기가작음 초당패킷수는작음 0.1 Gbps 수준 대역폭잠식목적 패킷크기가큼 초당패킷수는작음 수십 Gbps 의 BW 패킷처리과부하목적 패킷크기가작음 초당패킷수는높음 10Gbps BW 상회 소규모정밀타격형 DDoS 대응이가능한 DDoS Solution 수십 Gbps 대역폭이처리가능한 DDoS Solution 초당 1 천만 PPS 이상이처리가능한 DDoS Solution 2011 IBM Corporation 23

최근 DDoS 공격과대응의변화 HTTP Web 을대상으로한소규모정밀타격형공격의실제진화사례 ~2009 년 2010 년 2011 년 HTTP Get Flooding 공격 Tool 등장 HTTP 1.1 Protocol 규약이용 Multi-HTTP Request per 1 TCP Session 등장 HTTP 1.1 Protocol 규약이용 Multi-HTTP Request per 1 TCP Session 등장 사용자가직접웹브라우저에서 F5 Refresh 조금더편리하게공격할수있는웹브라우저에서실행가능한자동 Refresh Script 제작 방법 2007, NetBot Attacker 등 HTTP Cookie 에응답하는공격 Tool 사용자가등장직접인터넷브라우저에서자발적공격또는 Web Page 를 Zombie PC 에서유발시키는중앙공격HTTP 명령Refresh Get 형태Flooding 공격 Tool 제작후 69 성전 Tool 등 HTTP Get + Post Method 를이용하는 Tool 등장 10 초에 1 개의 Packet 만을발송하는극단적인소규모공격 신종공격 Tool 등 2011 IBM Corporation 24 가장사용자가많이접속하는 Web 을대상으로한 DDoS 공격지속 발생 DDoS 공격효과의극대화및차단회피를위한다양한 DDoS 공격

최근 DDoS 공격과대응의변화 HTTP 1.1 POST Method 를이용한신종 DDoS 공격 DDoS 공격의고도화 : Session Based 의 Slow 기반 DDoS 공격으로지속 2011 IBM Corporation 25 진화

DDoS 공격으로인한피해 DDoS 공격의피해는전체 Service 인프라에영향을줌 Router 기본차단정책미사용으로인한불필요한트래픽유입 DDoS 장비임계치기반의 DDoS 방어임계치설정의어려움및오탐발생가능성 Firewall 긴급 Blacklist 적용을위한내부프로세스부재 IPS/WAF 느린신규패턴대응및사용자정의정책적용을위한내부프로세스부재 Dist. Switch 기본정책부재로불필요한트래픽유입 L4/L7 Switch 갑작스런세션증가에대한 Buffer 및제한설정부재 L2 Switch 단일구성으로 2 중화대책부재 Server 기본적인보안설정및성능튜닝부재 2011 IBM Corporation 26

DDoS 공격방어를위한요구사항 대규모 Traffic 소량정밀타격 신규공격 Tool 공격의전문화 정확한정책설정및대규모트래픽처리기술 과다정상사용자및비정상트래픽의정확한판단 DDoS 공격방어 세션제약없이정상적인트래픽을검증할수있는기술 새로운공격분석대응및 DDoS 긴급방어프로세스 DDoS 탐지 악성코드수집분석 악성코드조치 DDoS 사전예방 DDoS 방어 오탐방지 DDoS 긴급대응 DDoS 방어노하우 운영프로세스 System Level Network Level Operation Level 2011 IBM Corporation 27

DDoS 대응전략 ACCESS 전략 ACCESS : 클라우드컴퓨팅기반의입체적인보안대응체계 AhnLab ASEC 분석 + AhnLab CERT 대응 + AhnLab 보안제품의입체적인대응 End-Point 기반제품의악성코드제거 악성코드정보수집신규공격탐지 (DDoS 등 ) 개인사용자환경 보안서비스 ( 관제, MSS,, MSS, 컨설팅등 ) End-Point 기반제품의악성코드제거 Network 기반제품의보안제품의정책업데이트긴급공격방어 기업사용자환경 End-Point 2011 IBM Corporation 28 Online Transaction Mobile DDoS 사전컨설팅서비스 DDoS 대응훈련서비스 24 시간 365 일 DDoS 보안관제서비스

DDoS 대응전략 TrusGuard DPX 의주요특징 신규공격분석및사전예방 AhnLab 의 Security Agent 기반중심의악성코드수집및분석 Agent 기반 DDoS 모니터링시스템연동 PC/ 서버 Zombie 화방지 Signature 제공 신규공격유형방어정책 Update 및권고 다양한 DDoS 공격유형방어 상세한 Traffic 유형별정책설정기능 Traffic 유형별다양한 DDoS 공격방어 DDoS 의단방향성트래픽특성에맞는탐지 / 차단의 WireSpeed 성능제공 2011 IBM Corporation 29 운영프로세스제공 사전 DDoS 컨설팅서비스및 DDoS 모의공격대응훈련서비스를통한운영프로세스의가이드라인제시 DDoS 보안관제서비스를통한 TrusGuard DPX 의운영대행및긴급대응프로세스제공 오탐회피기능제공 자동학습기능을통한 Traffic 유형별 Source IP 임계치자동설정 TCP Session 및 HTTP 의정상트래픽과비정상트래픽의정확한판단 DDoS 공격방어동작중오탐의최소화기능제공

TrusGuard DPX 의 DDoS 공격방어기능 기본정책 TCP Syn 기본 : 모든 TCP Syn SrcIP #1 SrcIP SrcIP #1 #2 SrcIP SrcIP #2 #3 SrcIP #3 국제특허자체 DDoS 방어엔진 다단계필터구조 사용자추가정책정상사용자 TCP Syn 차단 Target #1 : 192.168.100.0/29 Target Port : 80 Target #2 : 192.168.200.0/29 Target Port : 80 정상접속확인대리응답 공격자차단 자동학습추가정책 TCP Syn Target #1 : 192.168.100.0/29 Target Port : 80 Source IP #1 Source IP #2 Source IP #254 Source IP #255 자동학습산출 Target #2 : 192.168.200.0/29 Target Port : 80 Source IP #1 Source IP #2 별도지정 등록 Source IP #254 Source IP #255 CC 인증획득 정상사용자서비스장애유발보장 자동학습산출 2011 IBM Corporation 30

DDoS 대응전략 - Cluster & WireSpeed Traffic 우회전용 Switch In-Path 탐지 & 차단 Out-of-Path 차단전용 Out-of-Path 탐지전용 Network 형태별적합한구성방식선택가능 (Out-of of-path License) Bypass 가내장된 1G/10G Interface 제공 (TrusGuard DPX 6000 기준 In-Path ) / Out-of of-path 모두동일한공격방어기능제공 (HTTP 검증기능 포함 Cluster ) 구성을통한대규모 DDoS Traffic 처리가능 2011 IBM Corporation 31

DDoS 대응전략 - Cluster & WireSpeed 우회용 Switch Cluster 구성 B/W 고갈형공격 (Max 120 Gbps+) Packet Flood 공격 (Max 10M PPS) 장애대응 ( 다중장비방어 ) Out-of-Path DPX 차단 Cluster 유연한확장 ( 일시증설 ) 관리의일원화 Out-of-Path DPX 탐지 2011 IBM Corporation 32

DDoS 대응전략 - Cloud & Operation Process 담당자의고민 증가하는보안위협보안부서고충자체운영한계 상업화 ( 개인정보거래를위한 Black Market 형성 ) 다양한공격기법의복합화 ( 추적곤란 / 은폐기술 ) 금전적인이득이주된목적 ( 서비스거부 ) Zero-Day 공격의가속화 잦은침해사고 관리복잡성 보안전문인력부족 (43%) 보안솔루션운영 / 관리의어려움 (19%) 보안지식부족 (18%) 보안관련예산부족 (15%) 과도한초기투자의예측의어려움 전문성부족 고비용 보안전문가양성의어려움 최신보안기술 / 동향정보확보의어려움 보안솔루션운영에대한부담 침해시도에대한실시간대응체제의어려움 야간 / 휴일대비체제미흡 업무증가 24*365 모니터링및실시간대응체계 보안관제운영노하우 보안관제전문인력 기업은핵심비즈니스에모든역량을집중하고, 이를위한보안관리는전문가에맡기는것이효율적!! 2011 IBM Corporation 33

DDoS 서비스상품을통한운영프로세스제공 신규 DDoS 공격분석및방어연동 DDoS 사전컨설팅서비스상품 DDoS 모의공격대응훈련서비스상품 DDoS 보안관제서비스상품 System Level 의 DDoS 유발악성코드분석및대응정책제공 DDoS 와관련한보안수준점검및 DDoS 공격대응가이드라인제시 DDoS 모의공격을통한 DDoS 대응체계점검 24 시간 365 일 DDoS 대응운영의아웃소싱서비스 전문가기반의 DDoS 공격대응을위한입체적인대응프로세스제공 DDoS 대응능력의극대화와긴급대응을통한효과적인 DDoS 대응체계제공 2011 IBM Corporation 34

Agenda 진화하고있는보안위협동향 DDoS 공격방어, 그리고예방의요건 새로운 DDoS 공격방어패러다임 Summary 2011 IBM Corporation 35

DDoS 전방위대응조치체계 악성코드분석정보를기반한네트워크위협자동 / 실시간대응 악성코드정보수집 안철수연구소종합위협분석체계 (ACCESS) 악성코드분석 ASEC CERT( 보안관제 ) 악성코드정보수집 전용백신배포 / 공격원천차단 DDoS Target 정보수집 공격차단 자사제품도입고객 TG 대응패턴제작자동배포 / 적용 TG-DPX DDoS 대응정책적용 대응가이드제공 관제서비스고객 F/W Anti- DDoS DDoS 탐지인프라 DDoS 대응체계 DDoS 대응서비스 ( 예경보 / 관제 ) TrusWatc her 악성코드샘플수집 유포지분석 DDoS C&C 파악 특정 Target 공격징후파악 DDoS 악성코드입체적분석 2 차 /3 차공격유형예측 / 대응 고객사예경보발령 악성코드 / 유포지 /C&C 시그니처생성및적용 2011 IBM Corporation 36 36

3 4 DDoS 대응성공사례 시나리오별사전모의훈련과종합위협분석체계를통한완벽한대응 3/4 공격트래픽유입 ( 최대 1.3G) 3/5 방어성공 공격트래픽유입 ( 최대 1.7G) 3/6 방어성공 공격트래픽유입 ( 최대 500M) 방어성공 안철수연구소보안관제팀 고객사공격대상차단패턴제작 / 배포인지보안정책적용비상대응시작 트래픽유입량에따른단계별대응 비상상황종료 성공요인 년 2회모의훈련으로대응방안사전준비 ACCESS를통한공격정보사전탐지 년 2 회모의훈련으로 시나리오별대응준비 DDoS 공격에대응한프로세스수립 DDoS 보안장비최적화적용 대응노하우및경험축적 ASEC+ 보안관제팀을통한공격정보정밀분석 고객및보안관제팀의 완벽한협업체계 관제사의정확한분석정보제공 대응시나리오에따른팀별협업 관제사 + 고객간의비상대응체계 차단정책실시간배포대응가이드제공 ASEC + 관제팀 + N/W 기술지원팀의 신속 / 입체적인대응 ACCESS 를이용한조기예경보 ASEC 을통한신속 / 정확한분석 현장지원을통한한박자빠른대응 2011 IBM Corporation 37 37

Summary 3 4 DDoS 대응의시사점및향후개선을위한제언 시사점 제품이아닌서비스관점이중요 적극적인샘플수집으로신속한대응가능 분석인프라 /DB 에대한중요성 사후대응보다사전예방이중요 피해기업단독대응의한계점노출 공공기관과기업과의공조는필수 프로세스, 사람, 제품의체계적인대응 위협시나리오별대응방안수립필요 교육, 모의훈련등을통한대응역량강화필요 악성코드분석과보안관제대응의공조 악성코드분석에서보안관제에이르는입체적인대응필요 공격원인분석과대상간의상관분석필요 악성코드분석정보의확대 / 자동화된대응 악성코드샘플추가확보를위한수집처확대필요 악성코드분석정보와네트워크보안기술의연계강화요구 컴플라이언스기반강화 좀비PC 방지법제정등사전악성코드배포자에대한법적강화필요탐지 ACCESS 전략 신속한대응 완벽한분석 2011 IBM Corporation 38 38

감사합니다 세상에서가장안전한이름 2011 IBM Corporation 39