NETCONF 표준을 따른 XML 기반의 네트워크 구성관리 시스템

Similar documents

<BBE7B0EDB3EBC6AE5FC7E3BAEAB0D4C0D32E687770>

TGDPX white paper

게시판 스팸 실시간 차단 시스템

< F5320B4EBC0C0C0E5BAF1BFA120B4EBC7D120BAB8BEC8B1E2B4C920B0A1C0CCB5E528C3D6C1BE292E687770>

이도경, 최덕재 Dokyeong Lee, Deokjai Choi 1. 서론

#WI DNS DDoS 공격악성코드분석

취약점분석보고서 Simple Web Server 2.2 rc2 Remote Buffer Overflow Exploit RedAlert Team 안상환

Windows 8에서 BioStar 1 설치하기

Microsoft Word - src.doc

메일서버등록제(SPF) 인증기능적용안내서 (Exchange Windows 2003) OS Mail Server SPF 적용모듈 작성기준 Windows Server 2003 Exchange Server 2003 GFI MailEssentials 2010 fo

메일서버등록제(SPF) 인증기능적용안내서 (Exchange Windows 2000) OS Mail Server SPF 적용모듈 작성기준 Windows Server 2000 Exchange Server 2003 GFI MailEssentials 14 for

< 목차 > Ⅰ. 개요 3 Ⅱ. 실시간스팸차단리스트 (RBL) ( 간편설정 ) 4 1. 메일서버 (Exchange Server 2007) 설정변경 4 2. 스팸차단테스트 10

PowerPoint 프레젠테이션

Cisco SDN 3.0 DDoS DDoS Cisco DDoS Real Demo 2008 Cisco Systems, Inc. All rights reserved. 2

Cloud Friendly System Architecture

Microsoft Word - ntasFrameBuilderInstallGuide2.5.doc

슬라이드 1

< FBFF9B0A320BEC7BCBAC4DAB5E520C0BAB4D0BBE7C0CCC6AE20C5BDC1F620B5BFC7E220BAB8B0EDBCAD283131BFF E302028C8A8C6E4C0CCC1F620BEF7B

< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지 국가별현황 2 - 대량경유지가탐지된유포지 TOP 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 9 3. 악성코

Network seminar.key

Microsoft PowerPoint - 권장 사양

시스템, 네트워크모니터링을통한보안강화 네트워크의미래를제시하는세미나 세미나 NetFocus 2003 : IT 관리자를위한네트워크보안방법론 피지피넷 /

Microsoft Word - SKINFOSEC-CHR-026- Mass SQL Injection 탐지 우회분석 보고서.doc

ìœ€íŁ´IP( _0219).xlsx

소프트웨어 융합 개론

<31305FBEC6C0CCC5DB2E687770>

<C0CCBCBCBFB52DC1A4B4EBBFF82DBCAEBBE7B3EDB9AE2D D382E687770>

DDoS 공격, 게임계정유출해커, 비트코인등가상화폐노린다 - 13 년 10 월부터 DDoS, 원격제어, 게임계정유출하더니최근암호화폐채굴 - 개요지난 13 년 10 월,Microsoft 社의인터넷익스플로러취약점 (CVE ) 을통해유포되는악성코드가 DDoS

UDP Flooding Attack 공격과 방어

목차 윈도우드라이버 1. 매뉴얼안내 운영체제 (OS) 환경 윈도우드라이버준비 윈도우드라이버설치 Windows XP/Server 2003 에서설치 Serial 또는 Parallel 포트의경우.

PowerPoint Template

1. 제품 개요 WeGuardia WIPS V2.0(이하 TOE)은 특정 조직에서 운영되는 무선랜에 대한 지속적인 모니터을 통해 내 외부로부터 발생할 수 있는 각종 침입을 탐지 및 차단하여 내부의 네트워크를 보호하는 무선침입방지시스템이다. TOE의 세부 식별자 및 배포

1. Windows 설치 (Client 설치 ) 원하는위치에다운받은발송클라이언트압축파일을해제합니다. Step 2. /conf/config.xml 파일수정 conf 폴더에서 config.xml 파일을텍스트에디터를이용하여 Open 합니다. config.xml 파일에서, 아

Microsoft Word - NAT_1_.doc

Microsoft Word - release note-VRRP_Korean.doc

<4D F736F F F696E74202D E20B3D7C6AEBFF6C5A920C7C1B7CEB1D7B7A1B9D62E >

제20회_해킹방지워크샵_(이재석)

Network Security - Wired Sniffing 실습 ICNS Lab. Kyung Hee University


TTA Journal No.157_서체변경.indd

StruxureWare Data Center Expert 7.2.x 의 새 기능 StruxureWare Data Center Expert 7.2.x 릴리스에서 사용할 수 있는 새 기능에 대해 자세히 알아보십시오. 웹 클라이언트 시작 화면: StruxureWare Cen

*2008년1월호진짜

6강.hwp

HLS(HTTP Live Streaming) 이용가이드 1. HLS 소개 Apple iphone, ipad, ipod의운영체제인 ios에서사용하는표준 HTTP 기반스트리밍프로토콜입니다. 2. HLS 지원대상 - 디바이스 : iphone/ipad/ipod - 운영체제 :

< FC8A8C6E4C0CCC1F620B0B3B9DF20BAB8BEC8B0A1C0CCB5E5C3D6C1BE28C0FAC0DBB1C7BBE8C1A6292E687770>

The Pocket Guide to TCP/IP Sockets: C Version

특허청구의 범위 청구항 1 회선 아이디 접속 시스템에 있어서, 온라인을 통해 실제 사용자 고유정보의 발급이 가능한 아이디 발급 사이트를 제공하기 위한 아이디 발급 수단; 오프라인을 통한 사용자의 회선 아이디 청약에 따라 가상의 사용자 고유정보 및 가인증 정보를 생성하고

*****

untitled

Microsoft PowerPoint - thesis_della_1220_final

Splentec V-WORM Quick Installation Guide Version: 1.0 Contact Information 올리브텍 주소 : 경기도성남시분당구구미로 11 ( 포인트타운 701호 ) URL: E-M

Microsoft PowerPoint - 4. 스캐닝-2.ppt [호환 모드]

Microsoft PowerPoint - L4-7Switch기본교육자료.ppt

User Guide

[Brochure] KOR_TunA

SBR-100S User Manual

Secure Programming Lecture1 : Introduction

아래 항목은 최신( ) 이미지를 모두 제대로 설치하였을 때를 가정한다

제10장 트래핀스포트 및 응용 계층

로거 자료실

untitled

Studuino소프트웨어 설치

[ 네트워크 1] 3 주차 1 차시. IPv4 주소클래스 3 주차 1 차시 IPv4 주소클래스 학습목표 1. IP 헤더필드의구성을파악하고요약하여설명할수있다. 2. Subnet ID 및 Subnet Mask 를설명할수있고, 각클래스의사용가능한호스트수와사설 IP 주소및네트

<4D F736F F F696E74202D FB5A5C0CCC5CDC5EBBDC5B0FA20B3D7C6AEBFF6C5A9205BC8A3C8AF20B8F0B5E55D>

08_spam.hwp

BEA_WebLogic.hwp

Assign an IP Address and Access the Video Stream - Installation Guide


0. 들어가기 전

Microsoft PowerPoint - 4.스캐닝-1(11.08) [호환 모드]

Windows Server 2012

Samsung SDS Enterprise Cloud Networking CDN Load Balancer WAN

PowerPoint 프레젠테이션

<4D F736F F F696E74202D E20C0CEC5CDB3DD20C0C0BFEB20B9D720BCADBAF1BDBA20B1E2BCFA E >

고객 사례 | Enterprise Threat Protector | Akamai

침입방지솔루션도입검토보고서

암호내지

The Pocket Guide to TCP/IP Sockets: C Version

Windows 10 General Announcement v1.0-KO


슬라이드 1

CLX8380_KR.book

PowerPoint Presentation

Microsoft PowerPoint - 6.pptx

다른 JSP 페이지호출 forward() 메서드 - 하나의 JSP 페이지실행이끝나고다른 JSP 페이지를호출할때사용한다. 예 ) <% RequestDispatcher dispatcher = request.getrequestdispatcher(" 실행할페이지.jsp");

cam_IG.book

DDoS 방어기술, 경험, 전문가의결합, AhnLab TrusGuard DPX 안철수연구소트러스가드 DPX (DDoS Prevention express) 는 DDoS 공격방어를위한보안기술과안철수연구소의인프라가결함된새로운 DDoS 공격방어전용제품입니다. 이제품은다단계필터

. PC PC 3 [ ] [ ], [ ] [ ] [ ] 3 [ ] [ ], 4 [ ] [ ], 4 [Internet Protocol Version 4 (TCP/IPv4)] 5 [ ] 6 [ IP (O)], [ DNS (B)] 7 [ ] 한국어 -

KISA-GD

PWR PWR HDD HDD USB USB Quick Network Setup Guide xdsl/cable Modem PC DVR 1~3 1.. DVR DVR IP xdsl Cable xdsl Cable PC PC DDNS (

메일서버등록제(SPF) 인증기능적용안내서 (AIX - sendmail) OS Mail Server SPF 적용모듈 (Perl 기반) 작성기준 AIX 5.3 sendmail spf-filter 년 6 월

Microsoft PowerPoint - ch13.ppt

슬라이드 1

메일서버등록제(SPF) 인증기능적용안내서 (HP-UX - qmail) OS Mail Server SPF 적용모듈 (Perl 기반) 작성기준 HP-UX 11.11i qmail 1.03 spf-filter 년 6 월

1. What is AX1 AX1 Program은 WIZnet 사의 Hardwired TCP/IP Chip인 iinchip 들의성능평가및 Test를위해제작된 Windows 기반의 PC Program이다. AX1은 Internet을통해 iinchip Evaluation

운영체제실습_명령어

[ 나이스평가정보 ( 주 ) 귀중 ] 나이스평가정보 ( 주 )( 이하 회사 ) 는 SK텔레콤 ( 주 ) 의업무를대행하여휴대폰본인확인서비스를제공함에있어고객으로부터개인정보를수집하고이용하기위해 정보통신망이용촉진및정보보호에관한법률 에따라서다음과같이본인의동의를받습니다. 1. 개

CR HI-TAM 4.0 인증보고서 인증번호 : CISS 년 12 월 IT 보안인증사무국

Transcription:

DHCP 네트워크환경에서의악성코드감염 PC 웹공지및서비스차단기술연구 (A Study on the technology for notifying the zombie PC of the infection and restricting its web service in the DHCP network environment) 정현호, 김봉기, 김종환, 김경수 KT 유무선네트워크연구소 {hhjeong, bkkim, shine1145, kyungsu.kim}@kt.com 요 약 1. 서론 본논문에서는동적으로호스트의 IP 를할당하는 DHCP(Dynamic Host Configuration Protocol) 기반네트워크환경에서사용자의 PC 를정확하게식별하고웹서비스를차단하거나팝업공지문을발생하는방법에대하여제안한다. DHCP 환경에서사용자의 PC 에할당되는 IP 는시간에따라항상변할수있기때문에, 특정시간에악성코드에감염된 IP 가네트워크상의보안탐지시스템에의해검출된다하더라도현재시점에서같은 IP 를사용하는 PC 가감염된당해좀비 PC 라고확정할수는없다. 따라서인터넷서비스제공사업자가관리하고있는고유한키값 ( 사용자 ID, 장치 MAC 주소등 ) 과의매핑을통하여정확하게좀비 PC 를식별할수있는메커니즘이필요하다. 본연구에서는고객이사용하는 PC 의 IP 와사용시각을기준으로인터넷서비스제공사업자가관리하고있는사용자 ID 정보를정확히매핑하고다시 ID 를기준으로실시간사용자 IP 정보를추적하여정확하게 PC 를식별해내는방법에대해논의한다. 또한악성코드에감염된좀비 PC 에대해웹리다이렉션기술에의한팝업창공지와웹서비스차단방법도제시한다. 본논문에서제안하는모델의시스템구현을통해인터넷서비스제공사업자는악성코드에감염된사용자단말에대한신속한공지및차단체계를구축하여 DDoS 공격등일련의사이버테러에대한근본적이고선제적인조치수단을확보할수있을것이다. Keywords: 고객공지, 웹공지, 감염 PC, DHCP, 서비스차단, TCP Hijacking, 리다이렉션 지난 2009 년 7 월 7 일에이어 2011 년 3 월 4 일에도국내주요인터넷사이트에대한 DDoS(Distributed Denial of Service : 분산서비스거부 ) 공격이일어나면서청와대, 국방부, 국민은행, 네이버, EBS 등의사이트가접속장애나접속지연의문제를일으켰다. 특히 7.7 DDoS 공격에서는일부사이트가공격이개시된지불과 10 여분만에다운되거나접속이지연되는일이발생하기도하였다. 이에대한대응으로방송통신위원회와국회는현재악성코드를치료하는백신프로그램의설치를안내만하는대응에서더나아가각초고속인터넷사업자들이좀비 PC 에대해네트워크접속차단조치를취하는것을내용으로포함하는 악성프로그램확산방지등에관한법률안 ( 일명좀비 PC 방지법 ) 의법제화를추진중에있다. 지난몇년간 DDoS(Distributed Denial of Service : 분산서비스거부 ) 공격의회수와용량은계속적으로증가해오고있으며작년 (2010 년 ) 에는 1 회공격시의트래픽양이총 140G 를넘어서고있는실정이다. 현대경제연구원은 7.7 DDoS 공격으로인해발생한피해액을 363 억 ~ 544 억원에이를것으로예측했다 [1]. 또한, 방송통신위원회의자료에따르면 2008 년국내개인정보침해건수가전년대비약 4 배증가하였으며, 2007 년한해개인정보침해사고로인한피해액은총 2 조 4,563 억원에이르는것으로나타났다 [2]. 이러한사이버공격의대상도기존에는성인사이트나도박사이트등불법사이트를대상으로발생하였던것이최근에는금융사이트및일반포털사이트뿐만아니라주요정부기관까지포함하고있어단순히금전적인이득을위한공격에서사회혼란을유발시킬수있는공격으로진화되고있다. 10

더욱이최근에는스마트폰의보급이확산됨에따라모바일악성코드들이점차많이발견되고있다. 즉, MMS(Multimedia Messaging Service), SNS 등이스마트폰과결합되고, 여러정보기술들이융합됨에따라취약점으로인한보안위험성이더욱증대되고있다 [3]. 이러한악성코드로인한사회적피해는점증하고있어, 악성코드수집, 분석, 대응의자동화를통한보안침해사고대응시간단축및피해규모최소화가시급한실정이다. 7.7 DDoS 사례에서경험했듯이좀비 PC 의공격에대해네트워크상에서트래픽을차단하거나사이버대피소등타겟사이트를우회하도록하는조치는근본적인문제원인의해소가되질못한다. 따라서악성코드감염된사용자 PC 를실시간으로검출하여이를치료하거나악성코드의확산을근본적으로저지할수있는국가적체계를마련하는등근원적대응을위한기술개발이필요하다. 또한, 악성프로그램확산방지등에관한법률 이제정될경우좀비 PC 의인터넷접속금지조치, 악성코드경유 / 유포사이트차단등이 ISP( 인터넷서비스제공자 ) 의의무사항이될수있으므로이에대한기반기술의연구가활발히진행되고있다. 본논문에서는동적으로호스트의 IP 를할당하는 DHCP(Dynamic Host Configuration Protocol)[4] 기반네트워크환경에서악성코드에감염된사용자의 PC 를정확하게식별하고웹서비스를차단하거나팝업공지문을발송하는방법에대하여제안한다. 본기술의연구목적은인터넷서비스제공자들이악성코드에감염된사용자 PC 에대한신속한공지및차단체계를구축하여 DDoS 공격등일련의사이버테러에대한근본적이고선제적인조치수단을확보하는것이다. 본논문의구성은다음과같다. II 장에서는 DHCP 환경에서좀비 PC 로판별된특정시점의사용자 PC 를현재시점에서정확하게확정하기위한알고리즘과웹공지나웹서비스의차단을위한웹리다이렉션기술을살펴보고, III 장에서는본논문에서제안하는알고리즘을기반으로한시스템의구현방안과성능및운용구조를검토한다. 마지막으로 IV 장에서결론및추후연구방향에대해기술한다.. 2. 악성코드감염 PC 공지및차단관리기술 이장에서는동적으로호스트의 IP 주소를할당하는네트워크상에서특정시각에악성코드에감염된것으로검출된 PC 에대하여백신안내웹공지를하거나웹서비스를제한하기위하여현재시점에서해당 PC 를확정하기위한절차와악성코드에감염된 PC 정보를외부의검출시스템과주기적으로연동하여수신할때공지 / 차단의대상이되는 PC 를사용자접속 ID 를기반으로추출하는과정을언급한다. 그리고이렇게웹공지 / 차단의대상으로추출된감염 PC 에대한웹리다이렉션실행방법에대하여설명한다. 또한인터넷서비스제공사업자의입장에서악성코드에감염된 PC 에대한공지또는차단에관한세부정책수립을위해필요한기능요구사항을소개함으로써감염 PC 에대한통제방안에대해살펴본다. 2.1 DHCP 환경에서의감염 PC 웹공지및서비스차단기술 동적으로호스트의 IP 를할당하는 DHCP(Dynamic Host Configuration Protocol) 기반네트워크환경에서인터넷서비스제공사업자가네트워크운용관리시스템을이용하여악성코드에감염된 PC 의웹서비스를차단하거나팝업공지문을발송하기위해서는현재시점에서의공지 / 차단대상이되는사용자 PC 를정확하게식별하는것이중요하다. 왜냐하면 DHCP 환경에서사용자의 PC 에할당되는 IP 는시간에따라항상변할수있어서, 특정시각에악성코드에감염된 IP 가네트워크상의보안탐지시스템에의해검출된다하더라도현재시점에서같은 IP 를사용하는 PC 가감염된당해좀비 PC 라고확정할수는없기때문이다. 따라서검출된감염 PC 의 IP 를인터넷서비스제공사업자가관리하고있는고유한키값 ( 사용자 ID 또는 MAC) 과의매핑을통하여감염 PC IP 에대한정확한확정이필요하며이를위해다음과같은단계의 PC 식별과정이진행된다. 1) 감염 IP 획득 : 악성코드에감염된 PC 를검출하는보안시스템 (Ex. IPS, IDS, DDoS 탐지시스템, BotNet 검출시스템등 ) 과연동하여감염 PC 에대한악성코드내역및 IP 와 Timestamp 값을추출한다. 2) 공지 / 차단대상 ID 획득 : 사용자의접속인증로그정보를통해감염 PC 의사용자 ID 를매핑한다. 3) 대상 PC 의현재시점 IP 확인 : 공지 / 차단의대상이되는사용자 ID 를기반으로실시간으로사용자접속정보를확인하여해당 ID 에매핑되는접속 IP 정보를추출한다. 4) 공지 / 차단정책실행 : 각네트워크노드에설치된공지 / 차단서버는실시간사용자웹트래픽을모니터링하여공지 / 차단대상 IP 에대해웹리다이렉션을통해팝업공지또는서비스차단을수행한다. 5) 감염 IP 정보업데이트 : 공지 / 차단정책에따라사용자 PC 공지 / 차단여부를관리하고실시간감염 PC 정보를주기적으로연동하여공지 / 차단대상 ID 를갱신하며위의과정을반복한다. 아래그림 1 는위에서설명한과정과같이공지 / 차단대상사용자 PC 의 IP 를중앙서버에서확정하여인터넷서비스제공사업자가설정한공지 / 차단정책에따라실제사용자패킷을모니터링하고공지 / 차단을수행하는지역공지서버로대상 IP 리스트를송신하는전체루틴을도식화한것이다. 네트워크내보안시스템에서악성코드감염 PC 정보를설정한악성코드룰에따라주기적으로업데이트수신하게되면, 우선 11

검출된 IP 와 Timestamp 값으로사용자의접속 ID 를매핑하고반복적으로검출된 ID 를파악하여공지 / 차단대상 ID 리스트를산출한다. 인터넷서비스제공사업자가설정한세부정책에따라공지, 차단또는공지후차단등다양한정책수립이가능하며, 공지 / 차단대상 ID 리스트별로어떤정책단계에해당하는지를관리한다. 공지 / 차단대상에서제외되는 ID(White List) 를배제하게되면실제공지대상이되는 ID 를확정할수있다. 공지 / 차단대상 ID 가확정되면현재인터넷을사용중인고객의정보를확인하기위하여접속인증관리시스템과연동하여 Current_Session 에있는 ID 와 IP 를추출하게된다. 추출된 IP 는지역공지서버로전송되고지역공지서버는사용자의웹트래픽을모니터링하다가대상 IP 가검출되면정책에따라공지또는차단기능을수행하게된다. 이상의과정에서공지 / 차단의정확도를높이기위해서는네트워크내의보안시스템과주기적으로악성코드감염 IP 정보를연동해야하고, 또한사용자의접속세션정보에대해서도접속인증관리시스템과주기적으로연동해야한다. 그리고공지 / 차단에대한수행이력을관리하여정책에따라공지 / 차단회수를설정할수도있다. 1. [ 보안시스템연동 ] 악성코드룰선택 감염 PC 정보연동 2. [IP/ID 정보변환 ] IPàID 매핑 접속인증시스템연동 3. [ 대상 ID 추출 ] 보안시스템주기적연동 공지 / 차단대상 ID 업데이트 4. [ 공지 / 차단세부정책적용 ] 공지 / 차단단계별세부정책적용 악성코드룰 List[] 실행대상악성코드룰 List 조회 & 선정 (IPS 등보안시스템 ) 악성코드룰기준감염 IP, Timestamp 조회 악성코드룰 List[] 사용자 ID 추출 ID update TB_TEMP#1 공지시행회수 >= 예정회수 True TB_TEMP#1 에저장 접속인증관리시스템연동 ( 감염 IP, Timestamp[] ) Distinct ID List 기공지대상 ID 풀에서공지성공한 ID 풀제외 (A) 신규업데이트된공지대상 ID 풀에서기존공지대상 ID 풀제외 (B) 새로운공지대상 ID 추출 (A+B) = TB_NOTICE_CURRENT[] 세부정책마지막단계마지막단계? True 세부정책 SEQ 증가 공지시행횟수 = 0 set NOTITIME = NULL 세부정책 == ' 차단 ' False False 5. [White List 처리 ] 공지 / 차단대상에서 White List 제외 6. [ID/IP 정보변환 ] IDàIP 매핑 접속인증시스템연동 중복 ID 는대상에서제외 공지정책 ( 복수정책, 공지간격 ) 결정 TB_NOTICE_CURRENT[] True ID가 WhiteList에있는가? False TB_NOTICE_CURRENT[] update 에서 WHITELISTFLAG WhiteList 대상컬럼제외4 ID 기준실시간 IP 정보조회 ( 접속인증관리시스템연동 ) True One ID-Multi IP False TB_NOTICE_CURRENT[] update 에서 TB_NOTICE_CURRENT TB_NOTICE_CURRENT[] update = WHITELISTFLAG 해당 ID 대상컬럼제외 CURRENTIP 공지대상 IP[](CURRENT 컬럼 IP[]) 정책여러개겹칠경우 ( 동일 ID, 동일IP 가여러개 ) 마지막 SEQ 맊공지함 공지간격시간확인 7. [ 지역공지서버업데이트 ] 현재시점공지 / 차단대상 IP 를지역공지서버로전송 공지 / 차단대상이력백업 TB_NOTICE_CURRENT ---- CURRENT_IP[] 기준 IP할당지역국사추출 TB_NOTICE_CURRENT ---- 지역국사기준지역공지서버추출 TB_NOTICE_CURRENT[] 이력데이터백업지역공지서버의공지대상 IP(TB_HTTP_BLOCK_LIST[]) 초기화지역공지서버에공지대상 IP(TB_HTTP_BLOCK_LIST[]) insert 지역공지서버에 Notify 그림 1. 공지 / 차단대상사용자 PC 의 IP 의업데이트절차 12

2.2 웹리다이렉션 (Web Redirection) 기술 HTTP(Hyper Text Transfer Protocol) 란 TCP 기반의웹서비스용전송규약으로분산환경및공동작업환경에이용할하이퍼미디어정보시스템의개발을목적으로설계된응용계층의프로토콜이다 [5]. 응용계층에서응용프로그램의데이터 ( 텍스트, 그림, 음악, 멀티미디어등 ) 를송수신하기위해필요한프로토콜로서기본포트번호 80 을사용한다. 본논문에서제안하는악성코드감염 PC 에대한공지 / 차단기술은인터넷사용자의웹트래픽을 Hijacking 하여특정 IP 또는사용자 ID 를기반으로 HTTP Request 메시지에대한변조된 Response 메시지를생성하여사용자 PC 로전송함으로써사용자의웹트래픽을공지 / 차단서버로 Redirection 하는방식으로공지또는차단기능을수행한다. 아래그림 2 은기본적인 HTTP Session Hi-jacking 의예이다. 인터넷사용자가인터넷접속을위해웹브라우저를띄우면 HTTP_GET 메시지가웹서버로가게되고웹서버는그에대한응답메시지로 HTTP_200OK 메시지를클라이언트로보내게된다. 인터넷서비스제공사업자는네트워크구간내특정위치에서미러링등을통해인터넷사용자의 HTTP 트래픽을 Hijacking 하여모니터링하고 HTTP_GET 메시지가수신되면그에대한응답메시지를생성하여클라이언트에게송신한다. 응답메시지에는클라이언트의웹접속요청을리다이렉션할리다이렉션서버의주소를포함하고있다. 이응답메시지의구성에따라클라이언트는웹접속이차단되기도하고, 요청웹페이지로의접속은가능하되팝업공지창으로고지사항을볼수도있게된다. 이러한웹리다이렉션기술은유해사이트차단이나비업무용사이트차단과같이여러서비스에응용되고있다. www.kt.com 지역공지서버 고객 PC 그림 2. HTTP Session Hi-jacking 예 2.3 감염 PC 웹공지및서비스차단정책관리를위한기능요구사항 인터넷서비스제공사업자가악성코드에감염된사용자 PC 에대한통제를하기위해서는감염 PC 에대한정확한식별과더불어세밀한정책관리기술이필요하다. 이는사용자의인터넷서비스이용에대한불편을최소화하면서도악성코드에의한사용자의피해를줄이고또한서비스네트워크에부과되는사이버공격으로부터서비스서버들을보호해야하기때문이다. 뿐만아니라대량 DDoS 공격과같이국가적재난상황에서는좀비 PC 에대한차단도시행해야한다. 아래그림 3 은인터넷서비스제공사업자가대규모 DDoS 공격에대하여단계적으로대응하는기준과절차에대한예시이다. 그림 3. HTTP Session Hi-jacking 예 13

이와같은여러상황에부합하여적절하게감염 PC 에대한통제를위해서는단계별정책수립및실행이가능해야하며, 고객불편을줄이기위한 White List 처리기능도있어야한다. 우선, 감염 PC 에대한정확한웹공지문을발송하기위해서는네트워크내보안시스템에서검출한감염 PC 정보를특정악성코드에대해선별적으로수신할수있어야한다. 해당 PC 가어떤악성코드에감염된것인지를알아야정확한백신안내가가능하기때문이다. 뿐만아니라공지문을발송하기이전에공지 / 차단대상이되는악성코드에대한백신이개발되어야하고공지문내에백신사이트를하이퍼링크등으로안내할수있는설정기능이있어야한다. 단계별공지 / 차단은악성코드감염 PC 를단순히차단만하는것이아니라사용자에게감염사실을수차례공지하여백신설치나악성코드의치료를유도하고이후에도해당사용자의 PC 가감염 PC 로계속검출되는경우에웹서비스사용을차단하며심각한사이버공격이발생하는경우에는서비스제공을위한네트워크시설을차단하는단계로진행된다. 이러한단계적공지 / 차단정책수립기능은시작일시와종료일시를명확히설정할수있어야한다. 사용자에게웹공지를할경우, 공지창이사용자의불편을초래하지않도록공지문의발송이정책운용자가설정한시간간격으로주기적으로이루어져야한다. 예를들어, 공지문의발송회수를 1 일 2 회등으로설정할수있어야하며 2 회의공지는 12 시간간격으로이루어져야한다. 그리고사용자가공지문을확인했는지여부를판단하여다음공지를내보낼것인지또는다음단계의정책을수행할것인지를정책운용자가선택할수있는기능이필요하다. 왜냐하면사용자가공지문을수신하여바로백신설치등의조치를취했음에도불구하고계속해서감염알림공지를수신할경우사용자의불만이발생할수있기때문이다. 사용자가공지문을확인했는지여부를관리하기위해서리다이렉션서버에서공지문을발송할때와사용자가웹공지문의닫기버튼을클릭할때, 또는공지문내의백신링크를클릭할때등사용자의행위를로그로남기고분석할수있어야한다. 그리고정책의설정시에는특정사용자나 IP 를상황에따라공지 / 차단의대상에서제외시킬수있는 White List 관리기능이있어야한다. 실행되는정책의상태는항상시스템에서관리되어야하고여러개의정책이동시에진행될경우에대한룰도결정할수있어야한다. 예를들어, 하나의 IP 가여러악성코드에감염되었고이에대한조치정책이복수개로만들어져실행될때해당 IP 에대하여공지 / 차단이적용되는정책의우선순위를결정하는룰이있어야한다. 마지막으로정책의실행에의한사용자 PC 의현재상태정보를관리하여고객의민원발생에대한대응을준비하여야한다. 3. 시스템구현및운용 악성코드감염 PC 공지 / 차단시스템 은악성코드에감염된사용자 PC 로감염사실을고지하고보안백신설치를유도하며인터넷침해사고발생시사용자의웹접속을차단하여보안사고를사전에예방하기위한시스템이다. 3.1 시스템의네트워크구성악성코드감염 PC 공지 / 차단시스템은사용자트래픽을모니터링하고공지, 차단, 차단해제등의기능을수행하는 지역공지 / 차단서버 와감염 PC 에대한정책설정과타보안시스템과의연동기능을수행하는 중앙관제서버 로이루어진다. 지역공지 / 차단서버는각지역노드에설치된집선스위치로부터인터넷사용고객의모든웹상향트래픽을미러링하여실시간으로패킷을분석한다. NIC (Network Interface Card) 으로부터 TCP Hijacking 에의해수집된패킷에서 HTTP Query 별로파싱 / 분석하여 IP 정보를수집하고웹브라우져종류를분석하여사용자단말의특성을파악한다. 그리고실제공지 / 차단이되는대상 IP 에대해서는웹리다이렉션을통해팝업공지문을전송하거나웹접속을차단하는기능을수행한다. 중앙관제서버는운용자에의해서설정된정책에따라공지 / 차단에관한정책들을스케쥴러에의해실행시키고지역공치 / 차단서버에공지 / 차단대상정보를제공하는역할을담당한다. 악성코드에감염된사용자 PC 의접속인증정보를확인하여공지 / 차단대상 PC 를확정하고 White List 처리등을하여정책과함께지역공지 / 차단서버로명령을하달한다 ( 그림 3). 악성코드감염 PC 공지 / 차단시스템의주요관리대상서비스는인터넷접속서비스로서, 악성코드감염 PC( 좀비 PC) 가 DDoS 공격대상웹사이트접속을위해해당사이트로의접속을시도할때지역공지 / 차단서버에서좀비 PC 의 IP 를감지하여, HTTP 응답메시지에원래접속하려는사이트의 IP 주소가아닌, 우회서버 IP 주소로변조하여전송하게됨으로써공격대상사이트를보호하게된다. 뿐만아니라감염 PC( 좀비 PC) 에는치료백신을다운로드할수있는사이트를팝업공지로전송하여사용자가다운로드받을수있도록처리한다. 중앙관제서버는 IP 배정정보확인, 사용자의접속인증정보확인, 감염 PC 정보수신, 차단해제요청등에대한처리를위해서타관련전산시스템 (IP 관리시스템, 접속인증관리시스템, 보안검출시스템, 고객민원대응시스템등 ) 과의연동기능을수행한다 ( 그림 4). 본시스템에서감염 PC 정보는주로 Honeypot / 14

Sink-Hole 분석시스템, IPS / IDS(Intrusion Protection System / Intrusion Detection System), 스팸검출시스템또는한국인터넷진흥원의상황전파정보와연동하여관리하게된다. 웹서버 Internet Redirection 서버 기가라우터 집선스위치 TAP 상향트래픽인입 집선스위치 (TCP 80 미러링 ) Web 트래픽 5 4 3 L2 스위치 지역공지서버 ( 지역노드 ) L3 DB 중앙관제서버 L2 2 1 4 감염 PC 6 7 타연동전산시스템 ( 보안시스템, 접속인증시스템등 ) 1 보안시스템으로부터감염 PC 정보수신 2 접속인증정보를통해감염 PC의사용 IP업데이트 3 공지 / 차단정책수립후명령하달 4 사용자의웹트래픽을지역공지서버에서탐지 5 지역공지서버가변조된응답메시지송신 6 감염PC는서비스요청은리다이렉션서버로우회 7 공지창팝업또는웹차단 그림 3. 관리대상네트워크구성도 스팸검출시스템 Honeypot/ Sinkhole 접속인증관리시스템 KISA IPS/IDS 전일접속정보실시간접속정보 (IP/ID) 감염코드 LIST 감염자정보 IP 배정 / 할당정보 IP 정보연동모듈 감염단말정보연동모듈 인증정보연동모듈 고객대응정보연동모듈 고객공지 / 차단현황정보차단해지요청 IP 관리시스템 고객민원대응시스템 중앙 DB 서버연동모듈 그림 4. 중앙관제서버의연동구조 15

3.2 고객공지 / 차단화면및시스템성능아래그림 5 는악성코드에감염된사용자 PC 에대하여실제로웹팝업공지와웹접속제한을수행한결과화면이다. 공지창은악성코드감염내역과백신링크, 그리고공지창수신중단요청버튼등을포함한다. 공지창팝업기능에서는 2.2 절에서설명한웹리다이렉션을실행할때, 사용자가요청하여웹서버로보내는 HTTP_GET 메시지를공지 / 차단시스템에서재생성하여웹서버로보내주어야만원래의웹서버로의접속서비스는유지하면서공지창을수신할수있게된다. 웹접속제한기능에서는웹리다이렉션만으로해당웹서비스를차단할수있다. 본논문에서제안된구현방법에의한시스템성능을분석하기위하여성능스펙을 감염 PC 검출후부터실제사용자공지와차단에소요되는시간 으로설정하였다. 성능측정에사용된중앙관제서버의하드웨어사양은 IBM x3650 M3, MS Windows Server 2008 Std. SP2, Xeon X5670 @2.93GHz * 2(EA) 이다. 본시스템성능분석의결과는 2 만개 IP 를기준으로약 40 분정도가소요되는것으로측정되었다. 이는지난사례에서 DDoS 공격시약 2 만개의 IP 가공격에참여하는것을미루어볼때약 40 분이내에좀비 PC 에대한대응이가능하다는결과이다. 하지만이결과에서대부분의소요시간은감염 IP 의검출이나사용자의접속인증정보, IP 배정정보등을타전산시스템과연동하여수집하는데소요되는시간이다. 따라서감염 PC 에대한공지 / 차단의기능에한정하여본시스템의성능을측정한다면이보다는훨씬향상될것이다. 본시스템의성능에중요하게영향을미치는인자는사용자의접속인증데이터의연동이다. 그러므로시스템의성능을더욱향상시키기위하여사용자의접속인증정보의이력데이터를사전에주기적연동으로본시스템내에 DB 를구축한다면, 감염 PC 의검출된 IP 와 Timestamp 를사용자 ID 로매핑하는데걸리는시간은자체구축된 DB 를조회하므로상당히줄어들것이다. 그렇게되면실제연동에의한시간소요구간은공지 / 차단대상 ID 에대한실시간사용 IP 의조회에만국한되며시스템의성능은본연구의측정결과치보다훨씬개선될것이다. 웹팝업공지화면 웹차단화면 그림 5. 감염 PC 에대한웹팝업공지및차단화면예시 4. 결론 본논문에서제시된 DHCP 네트워크환경에서의악성코드감염 PC 에대한웹공지및서비스차단기술은국가적인인터넷침해사고피해의최소화를위한신속대응및예, 경보에활용될수있을뿐만아니라인터넷서비스제공사업자나이동통신사업자의안정적인인터넷망운영에활용될수있다. 그리고악성코드감염 PC 에의한반사회적침해공격에대한긴급하고근본적인조치 ( 소스차단 ) 수단을전산화하게됨으로써그동안네트워크품질보장을위해소요되었던수작업시간과인력에대한비용절감효과도기대할수있다. 스마트단말의급속한보급확산에따라현재 3W 망에서의단말공지및차단에대한연구가진행중이며, 차후단말의종류에따라선택적공지기능을개발하는등공지 / 차단의보다자세한세부정책을수립할수있도록하는기능의보완이필요하다. 본논문에서소개하는트래픽모니터링기술과운용모델은악성코드감염 PC 의웹트래픽통제외에도다양한분야에응용될수있다. TCP Hijacking 기술을 SoIP, IPTV, SMTP, DNS 등다른응용서비스제어에활용하여보안, 품질, 트래픽제어용도로이용가능하다. 또한본논문에서제시된악성코드 16

공지 / 차단운용모델은한 ISP 내에서운용되는관리체계가아니라범국가적으로사이버침해사고에대비한대응책으로확장되어가야할것이다. 참고문헌 [1] 안철수연구소전문가칼럼, 악성코드피해액, 얼마나되나?, 2010.9.15 검색 Available: www.ahnlab.com/kr/site/securityinfo/secunews/secunewsview.do?menu_dist=3&sequ=15103.. [2] 보안뉴스, 3 년간개인정보침해사고피해액, 10 조원넘어, 2009.10.1. [3] 한국인터진흥원 (www.kisa.or.kr), 정보신기술취약점관리체계구축 ( 안 ), 2010. [4] RFC 1541, Dynamic Host Configuration Protocol. Available: www.ietf.org/rfc/rfc1541.txt. [5] RFC 2616, Hypertext Transfer Protocol HTTP/1.1. Available: www.ietf.org/rfc/rfc2616.txt. 정현호 2000 포항공과대학교산업공학과학사 2000 ~2001 한화정보통신가입자망연구소 2003~ 현재 KT 네트워크연구소 < 관심분야 > IP 미디어서비스품질 / 트래픽엔지니어링, 유무선네트워크보안 김경수 2007 KAIST, 전산학과석사 2010 KAIST, 전산학과박사 2010 ~ 현재 KT 네트워크연구소 < 관심분야 > 멀티미디어영상처리, 디지털포렌식, 네트워크보안, IPTV 품질 김봉기 1995 성균관대학교, 정보공학과석사 1996~ 현재 KT 네트워크연구소 < 관심분야 > 네트워크 OSS, 네트워크보안 김종환 2003 KAIST, 전산학과석사 2009 KAIST, 전산학과박사 2009 ~ 현재 KT 네트워크연구소 < 관심분야 > 네트워크 OSS, 네트워크정책수립, 네트워크보안 17

2024 © docsplayer.org 개인정보보호 | 약관 | 지원