Internet & Security Focus 2013 2월호 39 FOCUS 최근의 해킹・바이러스는 기존의 단일 시스템을 대상으로 한 공격에서 발전하여 네트워크 인프라를 위협할 수 있는 대규모 공격으로 발전하고 있다. 특히, 2009년 7월 7일 발생한 7.7 DDoS 침해사고를 통해 방송통신위원회는 사이버대피소 서비스의 필요성을 인식하고 2010년 9월 28일에 DDoS 공격방어를 위한 시스템을 구축하여 대피소 서비스를 개시하였다. 본고에서는 일반적인 DDoS의 개념과 함께 KISA에서 제공하는 사이버대피소 서비스에 대해 간단 히 살펴본다. 이후, 2012년도에 사이버대피소를 대상으로 발생한 주요 DDoS 공격 동향을 분석하고 2013년도에 발생가능한 모바일 환경에서의 DDoS 공격 가능성과 헥티비즘의 특징을 갖는 DDoS 공격 가능성에 대해 예측해본다. 마지막으로 사이버대피소의 개선방향에 대해 제안하여 변화하는 디도스 침해사고에 대한 능동적 대응능력을 강화하고자 한다. Ⅰ. DDoS 개요 및 사이버대피소 소개 1. DDoS의 정의 2. DDoS의 목적 3. DDoS 공격방어 기법 4. KISA DDoS 사이버대피소 소개 Ⅱ. 2012년 사이버대피소에서 방어한 DDoS 공격의 특징 1. 소규모 업체로의 DDoS 공격대상 변화 2. 전반적인 공격량의 증가 3. 응용프로그램 수준의 공격 증가 4. 발신지 위조 트래픽을 이용한 DDoS 공격 지속 발생 5. SYN과HTTP의데이터크기를증가시킨대역폭공격지속발생 6. DNS 공격의 증가 7. 해외에서의 공격 증가 Ⅲ. 2013년 변화하는 DDoS 공격 전망 1. 모바일(Mobile) 환경의 DDoS 증가 2. 핵티비즘(Hacktivism)의 증가 Ⅳ. 사이버대피소의 향후 대응 방향 1. 공격PC IP의 검증 2. DNS등응용프로그램수준의대응준비 3. 해외와의 국제협력 4. 공격 대응 기술 공유 Ⅴ. 결론 사이버대피소를 통해 본 ‘12년도 DDoS 공격동향 분석 FOCUS 3 한국인터넷진흥원 해킹대응팀 책임연구원 ([email protected]) 박용규
Transcript
Internet & Security Focus 2013 2월호 39
FOCUS
최근의 해킹・바이러스는 기존의 단일 시스템을 대상으로 한 공격에서 발전하여 네트워크 인프라를
위협할 수 있는 대규모 공격으로 발전하고 있다. 특히, 2009년 7월 7일 발생한 7.7 DDoS 침해사고를
통해 방송통신위원회는 사이버대피소 서비스의 필요성을 인식하고 2010년 9월 28일에 DDoS
공격방어를 위한 시스템을 구축하여 대피소 서비스를 개시하였다.
본고에서는 일반적인 DDoS의 개념과 함께 KISA에서 제공하는 사이버대피소 서비스에 대해 간단
히 살펴본다. 이후, 2012년도에 사이버대피소를 대상으로 발생한 주요 DDoS 공격 동향을 분석하고
2013년도에 발생가능한 모바일 환경에서의 DDoS 공격 가능성과 헥티비즘의 특징을 갖는 DDoS
공격 가능성에 대해 예측해본다. 마지막으로 사이버대피소의 개선방향에 대해 제안하여 변화하는
1) 서비스거부(DoS) 공격 : 정보시스템의 데이터나 자원을 정당한 사용자가 적절한 대기시간 내에 사용하는 것을 방해하는 행위로 다량의 PC를 이용한 DDoS의 형태가 주를 이룸.
Internet & Security Focus 2013 2월호 41
FOCUS
사용되었으며 이후 DDoS 공격으로 인해 발생하는 피해가 증가하면서 기존의 중립적
전달자(Neutral Carrier) 위치에서 적극적인 방어자 입장으로 전환한 ISP 수준의 대응이
이루어지자 종단시스템의 서비스만을 선택적으로 공격할 수 있는 어플리케이션 수준의 공격이
주종을 이루게 되었다.
2. DDoS의 목적
일반적으로 DDoS 공격자는 공격의 형태에 집착하지 않고 공격의 목적을 달성하기 위해
공격자의 방어수준에 따라 공격을 수행하는데, DDoS 공격은 초기 일반 시스템침해 공격의
부작용으로 발생하는 시스템의 비정상 동작(서비스거부)에 착안하여 이를 공격의 형태로
발전시킨 것에 유래한다.
DDoS의 목적은 정상사용자에 대한 서비스 제공을 불가능하게 하여 개인적, 정치적 혹은
금전적 요구를 이루기 위한 것으로 공격자는 전산자원을 이용하여 공격대상 기관/단체에 자신의
공격목적을 달성하기 위한 일련의 공격행위를 수행한다는 관점에서는 일반 시스템침해 공격과
동일한 동기를 가진다고 볼 수 있다.
3. DDoS 공격 방어기법
DDoS 공격을 효과적으로 차단하기 위한 방법은 공격자와 방어자간의 가용성 확보 싸움으로
좁혀볼 수 있다. 방어자는 자신이 관리하고 있는 웹 서버 및 방어시스템 자원의 한계점을 명확히
알고 있어야 한다. 이러한 자원에는 네트워크 대역폭, 웹 서버의 성능 등 물리적인 요소뿐만
아니라 웹서버와 DB가 효율적으로 연동되어 있는가 등에 대한 논리적인 요소들을 포함해야 한다.
또한, 운영 장비의 자원 현황에 대한 모니터링과 끊임없는 차단정책 개선 없이 단순히
장비에만 의존하여 공격을 대응하는 것에는 한계가 있음을 인식해야 한다. 공격자는 방어가
이루어질수록 더욱 많은 봇들을 동원하여 다양한 형태의 공격을 수행하기 때문에 장비가 가지는
정적 차단 정책을 쉽게 우회할 수 있기 때문이다.
즉, 보호하기 위한 시스템과 방어를 위해 사용하는 자원을 항시 모니터링하고 발생하는 DDoS
공격유형에 따른 차단정책을 찾고 적용하는 것이 무엇보다 중요하다.
DDoS 공격을 효과적으로 대응하기 위해서는 다음과 같이 크게 4단계로 구분하고 각 단계별
세부 대응매뉴얼을 구성해야 한다.
Internet & Security Focus 2013 2월호42
FOCUS
(1) 1단계 - 공격 인지를 위한 체크포인트 정의
운영중인 홈페이지 서비스에 대한 장애 등 이벤트 발생 시, 해당 원인이 DDoS 공격으로 인한
것인지에 대한 명확한 판단이 필요하다. 이때 고려해야할 판단 기준은 ① 평시대비 유입되는
트래픽 크기, ② 웹서버 접속로그를 통한 이상 현상 및 ③ 동시접속 정보 확인, ④ 유입트래픽
샘플링을 통한 DDoS 공격여부 검증을 들 수 있다.
(2) 2단계 - DDoS 공격유형 파악
DDoS 공격유형은 매우 다향하고 동적으로 변화하기 때문에 DDoS 공격유형 파악을 통해
적절한 차단정책을 도출하는 것은 매우 중요한 작업이다. 유형 파악을 위해서는 먼저 공격
트래픽을 확보하고 확보된 트래픽을 세부 분석하여 어떤 유형인지를 분석한다.
(3) 3단계 - 공격유형에 따른 차단정책 정의 및 대응
2단계에서 DDoS 공격유형이 파악되었다면, 3단계에서는 그에 적합한 차단정책을 정의하는
것인데, 중요한 점은 DDoS 공격트래픽을 100% 차단하는 것은 불가능하다는 사실을 인지하고
적절한 정책을 이용하여 웹서비스의 가용성을 확보하는 것에 주안점을 두어야 한다.
(4) 4단계 - 공격 대응 후, 사후 조치
DDoS 공격이 소멸되었다면, 추가적인 공격트래픽 분석을 통해 공격 내용을 상세히 규명하여
추가 발생할 수 있는 공격 대비를 위해 차단정책을 업데이트하고 좀비PC IP를 확보를 통한
사전차단 조치 등을 수행할 수 있다. 다만, 좀비PC IP로부터의 DDoS 공격트래픽을 사전에
차단하기 위해서는 ISP와 협조체계를 구축하는 것도 좋은 방법이다.
1단계 2단계 3단계 4단계
[그림 2] DDoS 공격대응 절차
Internet & Security Focus 2013 2월호 43
FOCUS
4. KISA DDoS 사이버대피소 소개
사이버대피소는 DDoS 방어에 필요한 모든 요건을 국가에서 갖추고 영세・소상공기업에게
무료로 제공하는 DDoS 방어서비스이다.
o DDoS에 의해 피해가 발생하는 홈페이지에 대한 즉각적인 서비스 정상화 보장
o DDoS 공격정보의 신속한 분석 및 침해대응체계 연계를 통한 DDoS 피해확산 방지 및 예방
o 막대한 비용이 소요되는 DDoS 대응시스템 도입이 힘든 영세/중소기업에 정부차원의 무료 서비스를 제공하여 기업의 비용절감 유도
사이버대피소는 DDoS 공격 트래픽은 걸러내고 정상 트래픽만 웹서버에 전달함으로써
정상적인 서비스가 가능하도록 해주는 서비스이다. 일종의 여과장치와 같아서 DDoS는
차단하고 정상적인 접속만 골라서 웹서버에 연결시켜주는 역할을 수행한다.
사이버대피소를 통해 DDoS 공격을 방어하려면 공격트래픽을 대피소로 우회시켜야 한다.
이를 위해 공격받는 홈페이지 도메인(예:www.kisa.or.kr)에 할당된 IP주소(211.252.xxx.xxx)를
사이버대피소에서 제공하는 방어 IP주소(121.156.xxx.xxx)로 바꾸어 주면 모든 공격 트래픽이
사이버대피소로 우회되며, 사이버대피소는 우회된 공격 트래픽을 차단한다.
사이버대피소 서비스는 모든 사업자에게 제공되지 않고 「중소기업기본법 제2조 및
동법시행령 제3조」에서 정의한 중소 및 소기업을 대상으로 제공되며 특히, 협박・금전적 요구
등에 의한 DDoS 공격이 예상되거나 현재 DDoS가 발생하여 피해를 입고 있는 업체가 주로
이용할 수 있다. 이용기준에는 포함되지 않지만, 대기업 및 공공기관을 대상으로 한 국가적인
[그림 3] 사이버대피소 서비스 개념
<표 1> 사이버대피소의 운영 효과
Internet & Security Focus 2013 2월호44
FOCUS
DDoS 위협으로 사회적 혼란이 발생・예상되는 경우 1회에 한해 제공하기도 한다.
KISA는 기업이 사이버대피소 서비스를 쉽게 이용할 수 있도록 KISA 인터넷침해대응센터
홈페이지(http://www.krcert.or.kr)에 사이버대피소 소개 및 신청메뉴를 구성하여 제공하고
있고 KISA 신고센터 118을 통해서도 대피소 서비스를 신청할 수 있다. 또한, 주요 웹호스팅
사업자와 협력채널을 구성하여 운영중이므로 웹호스팅을 이용하는 기업이라면 웹호스팅
사업자를 통해서도 대피소 서비스를 이용할 수 있다.
Ⅱ. 2012년 사이버대피소에서 방어한 DDoS 공격의 특징
2007년부터 본격적으로 진행되었던 DDoS 공격이 이제 5년째를 지나고 있다. 지난 2012년의
DDoS 공격 현황을 돌아보면 뚜렷한 변화는 아니지만, 이전과는 다른 몇 가지 변화된 양상을
보여주고 있는데, 대표적인 특징들에 대해 살펴보도록 하겠다.
1. 소규모 업체로의 DDoS 공격대상 변화
2007년부터 시작된 DDoS 공격 초기에는 공격 대상이 주로 화상채팅이나 성인, 아이템 사이트
등 주로 소규모나 성인 관련 사이트에 집중되었다. 공격 대상 사이트들이 공격을 받아도
신고하기 어렵다는 특성을 이용한 것이다.
그러나, 점차 공격 대상이 꽃 배달 웹사이트, 이러닝(e-learning), 일반 기업의 웹사이트 등
공격 대상이 합법적인 서비스를 제공하는 웹사이트로 변화되었는데 금융, 대형 쇼핑몰 등
[그림 4] 사이버대피소 서비스 안내 페이지 (www.krcert.or.kr)
Internet & Security Focus 2013 2월호 45
FOCUS
중대형 규모의 웹사이트도 공격 대상이 되기도 하였다. 이후 상대적으로 큰 규모의
웹사이트들은 자체적으로 DDoS 대응 장비를 도입하거나 민간 DDoS 방어 서비스를 이용하는
등 대응체계를 구축하게 되었고 대부분 어느 정도의 공격은 대응할 수 있는 수준으로 준비하기
시작하였다.
2012년은 공격대상이 기존 중대형 규모의 사이트에서 중소 및 영세 사업자의 사이트로
변화하는 양상을 보여주었는데, 이는 자체적인 DDoS 대응능력을 갖추기 힘들거나 민간 DDoS
방어서비스를 이용할 능력이 없어 금전적인 협박 등으로 쉽게 이득을 볼 수 있다는 점을
의미한다. KISA DDoS 사이버대피소에 입주하여 서비스를 이용한 영세・중소 사이트에 대한
실제 공격 회수를 확인해 보아도 2011년의 경우 총 60여회 공격이 발생한 반면 2012년에는 총
138회로 2배 이상 증가한 것을 보아도 알 수 있다.
구분 2010년 2011년 2012년 합계
DDoS 공격 방어건수 25 60 138 223
2. 전반적인 공격량의 증가
공격의 횟수와 함께 트래픽 기반 공격의 경우 전반적인 트래픽의 수준도 큰 폭으로 증가하는
양상을 보여주었다. 이전에는 1Gbps 이내의 소규모 공격이 자주 보였지만, 2012년의 경우
10Gbps 내외의 대규모 공격이 증가하는 양상을 나타내었다.
<표 2> DDoS 사이버대피소 연도별 DDoS 공격방어 현황(단위: 건)
[그림 5] DDoS 사이버대피소 연도별 공격 규모 증감 현황
Internet & Security Focus 2013 2월호46
FOCUS
2) 사이버대피소는 DDoS 공격방어를 통해 확보한 좀비PC의 IP와 공격명령서버(C&C)에 대한 치료 및 차단 등 후속조치를 함께 시행함으로써 악성코드 감염 재발방지 효과도 거두었는데, 특히, 지난 2011년 3월 4일 발생한 3.4 DDoS 침해사고에 사용된 총 116,299대의 좀비PC 중 71,508대(약 61%)를 사이버대피소를 통해 탐지하였고, 2011년은 약 9만 7천 4백여대, 2012년은 16만 2천 5백여대에 이르는 좀비PC를 탐지하는 성과를 거두었다.
이러한 양상은 PC사양의 개선 및 회선 대역폭의 증가로 인해 좀비PC 한 대에서 발생시킬 수
있는 트래픽의 양이 증가한 것도 이유가 될 수 있겠지만, 백신에 의한 감지나 보안 패치가
나오기 전에 제로데이(Zero-day) 취약성을 이용하는 공격의 증가로 좀비PC의 수가 증가한
것임을 의미하기도 한다.
또한, 좀비PC를 양산하는 방식의 변화와도 관계가 있는데, 이전에는 악성코드를 심은
실행파일(Binary)을 자료실에 올려놓고 바이너리 파일을 다운로드 받아 실행하도록 하는
전통적인 방식이었다면, 2012년 이후에는 웹하드 사이트 등을 해킹하여 업데이트 서버를 통해
악성코드를 대규모로 배포시켜 좀비PC를 확보하고 있는 것으로 파악된다.
KISA 사이버대피소에서 집계한 대역폭 기반 공격의 평균적인 bps(bit per second)와
pps(packet per second)를 비교해 보아도 이 정보는 쉽게 확인할 수 있는데, 2011년에 발생한
공격의 경우 평균 좀비PC 개수 438개에 5.3Gbps/703,187pps의 공격이었던 것에 반해,
2012년에는 평균 좀비PC 개수 1,171개에 7.6Gbps/1,937,289pps 로 평균 1.5배에서 2배 정도
증가한 것을 알 수 있다.2)
3. 응용프로그램 수준의 공격 증가
흔히 DDoS 공격이라면 거의 대부분 www.kisa.or.kr과 같이 메인 웹사이트에 대한 공격이
주를 이루었던 것이 사실이다. 그러나 2012년 들어 subdomain.kisa.or.kr과 같이 하부
사이트에 대한 공격도 일부 감지되고 있으며, 웹이 아닌 별도의 TCP 소켓(Socket)을 사용하는
게임 사이트 등에 대한 공격도 일부 확인되고 있다.
이는 공격자가 더 이상 메인 웹사이트에만 머무르지 않고 사이트나 서비스 분석을 통해 취약한
지점을 찾아 공격을 시도한다는 것을 의미한다. 이를테면, HTTP가 아닌 특정 TCP 포트 기반의
게임 서비스를 제공하는 경우, 특정 포트에 대한 DDoS 공격으로 인해 정상적인 게임 서비스가
제공되지 못한다면, 메인 웹사이트가 접속된다 하더라도 정상적인 게임 콘텐츠를 제공해 줄 수
없게 된다.
또한, VOD(Video On Demand) 서비스를 제공하는 이러닝(e-learning) 사이트에서 메인
웹사이트는 정상 접속되지만, 정작 서비스의 핵심이 되는 콘텐츠인 VOD 서비스는 DDoS
공격으로 인해 정상적인 제공이 불가하다면 이 역시 정상적인 서비스 이용이 불가하다는 것을
Internet & Security Focus 2013 2월호 47
FOCUS
의미한다.
물론 소규모 사이트는 한 사이트 내에서 모든 서비스를 제공하지만, 구성요소별로 나누어 다른
서비스를 제공하는 중대규모 사이트라면, 사이트의 모든 구성요소에 대한 DDoS 대응 체계를
마련해야 한다는 것을 의미한다.
공격 방식과 관련된 큰 변화 중 하나는 이전의 UDP Flooding, SYN3) Flooding 및 단순 GET
Flooding 공격에서 다양한 종류의 Application 수준의 공격이 보여 지고 있다는 점이다. 많은
회수는 아니지만, 이전의 단순한 GET 일변도의 공격에서 2012년에는 POST Flooding 공격도
자주 감지되었으며, HULK(HTTP Unbearable Load King) 라고 불리는 변형된 공격도 가끔
감지되었다. 특히 HULK 공격은 아래와 같이 URI4)의 파라미터(Parameter)를 랜덤하게
변경함으로써 기존의 anti-DDoS 등 L7(Layer-7) 장비의 단순한 필터링 정책을 우회하려는
형태의 공격이다.
GET /?MZIRALZHU=SEHCKJ HTTP/1.1.
GET /?HTH=TSLVJA HTTP/1.1.
GET /?VYMS=DKZIIRWRR HTTP/1.1.
GET /?VHDN=AUMMIU HTTP/1.1.
또한, GET Flooding 공격의 절반 정도가 소위 CC 공격이라고 불리는 형태의 공격이었을
정도로 GET Flooding 공격시에 “Cache-Control” 이 있는 경우가 많았으나, 2012년 들어서는
이 형태의 공격이 현저하게 줄어들었다. ‘CC 공격은 막기 어렵고, 공격 효과가 매우 크다’라는
잘못된 인식을 탈피하여 공격에 사용되는 특정 문자열(Cache-Control : no-store, must-
revalidate)을 포함한 GET 요청을 차단함으로써 더욱 효과적으로 차단할 수 있다는 것이
밝혀지고 대부분의 anti-DDoS 장비에 이를 이용한 차단정책을 적용하면서 대폭 줄어든 것으로
판단한다.
<표 3> HULK 공격의 예
3) SYN (SYNchronous Idle) : 정보교환용 부호중 송신측과 수신측과의 사이에서 비트의 송수의 타이밍을 맞추기 위한 전송제어의 부호. 일반적으로 동기맞춤의 부호라고도 하며, 송신의 처음에 SYN을 연속하여 송신한다
4) URI(Uniform Resource Identifier) : 인터넷 서비스를 전제로 한 인터넷상의 통일된 정보 자원의 식별 체계. 인터넷에서 서비스되는 텍스트, 비디오, 음향, 스틸 또는 애니메이션 이미지 등의 식별을 위해 사용된다. 인터넷 식별자(URI)의 가장 공통적인 형식은 웹 페이지 주소로서 모든 자원 접근 메커니즘, 자원 소속 컴퓨터, 자원 명칭 등을 이 형식으로 표현한다.
Internet & Security Focus 2013 2월호48
FOCUS
4. 발신지 위조 트래픽을 이용한 DDoS 공격 지속 발생
2012년 한국인터넷진흥원에 신고된 DDoS 공격 중 40%가 10Gbps 이상의 대용량 트래픽을
이용하여 네트워크 대역폭을 잠식하는 형태를 보였다. 특히 일부 공격은 100Gbps를 초과하기도
하였다. 실제 2012년도에 사이버대피소를 대상으로 발생한 DDoS 공격유형을 보면, 발신지
위조가 가능한 UDP/ICMP 기반의 공격트래픽 비율이 62%를 차지할 정도로 지속적으로
발생하고 있음을 확인할 수 있다.
이러한 대용량 트래픽 유발 DDoS 공격은 발신지를 위조하여 발생한다. 공격자가 아래 그림과
같이 발신지의 주소를 사설망 IP(RFC1918) 또는 Bogon IP(IANA에 의해 테스트 또는 실험
목적을 위해 예약된 IP) 등으로 위조하여 공격을 감행하게 되면 공격명령 제어서버(C&C)를
추적하는 것이 사실상 불가능하게 된다. 이러한 발신지 위조 트래픽을 이용한 DDoS 공격을
예방하기 위해서는 트래픽이 인입되는 지점에서의 필터링이 반드시 필요하다.
[그림 6] 사이버대피소 대상 연도별 DDoS 공격 발생 유형
[그림 7] 발신지가 위조된 DDoS 공격
Internet & Security Focus 2013 2월호 49
FOCUS
5. SYN과 HTTP의 데이터 크기를 증가시킨 대역폭 공격 지속 발생
사이버대피소의 DDoS 공격 통계를 보면 2012년 발생한 DDoS 공격 유형 중 SYN Flooding
공격은 11% 정도를 차지하였고 HTTP Get Flooding 공격은 20% 정도를 차지하였다([그림 8]
참조). 특이한 점은 기존의 SYN과 HTTP Get을 이용한 공격은 서버의 백로그 큐(Back Log
Queue) 고갈 및 웹서버의 DB 연결(Connection) 부하를 유발하여 서비스 장애를 유도하는
것이 목적이었다면 HTTP의 데이터 크기를 증가시키는 공격은 데이터(Data) 부분에 의미없는
값을 추가하여 패킷 사이즈를 최대로 증가함으로써 대역폭을 소진시키는 공격이라는 점이다.
대피소에서 공격을 방어한 사례로 SYN 패킷의 데이터 길이가 1,365byte와 같이 임의의
길이를 갖는 공격 유형([그림 9])과 HTTP Get 공격 시 데이터 부분을 Null 값으로 채운 공격
유형([그림 10])을 확인할 수 있다. 두 공격 유형은 대역폭 소진공격을 차단하기 위해 UDP 또는
ICMP 프로토콜에 대한 차단정책이 설정되어 있는 경우에 대역폭 소진공격을 감행할 수 있는
형태의 공격 방법이다.
일반적으로 웹사이트 운영 환경에서 SYN 패킷은 정상적인 세션 연결을 위해 허용하는 경우가
많고, HTTP Get 패킷 또한 요청 횟수에 대한 임계치(Threshold) 기반과 메소드(Method)
기반으로 공격을 탐지 및 방어하는 경우가 많다.
그러나 아래 그림과 같이 정상패킷에 데이터 사이즈를 크게 하여 대역폭을 소진시키는 공격
유형도 발생하고 있으므로 이에 대해서 관리자의 주의가 필요하다.
UDP45%
ICMP17%
GET20%
SYN11%
기타7%
[그림 8] ’12년 사이버대피소대상 DDoS 공격유형
Internet & Security Focus 2013 2월호50
FOCUS
6. DNS5) 공격의 증가
이전의 DDoS 공격은 대부분 메인 웹 사이트에 집중되었지만, 2012년부터는 DNS에 대한
공격도 적지 않게 확인되고 있다. 특히 전 세계적으로 anti-DDoS 장비 및 서비스를 제공하는
아버네트웍스의 전세계 인프라 보안 보고서의 공격트렌드 발표 자료에 따르면, DNS에 대한
DDoS 공격은 2011년 11%에서 2012년에서는 15%로 증가하고 있는 추세라고 밝히고 있다.
현재까지 확인된 공격 기법과 관련해서는 몇 가지가 있는데, 3-Way-Handshake 후 패킷에
1,000~1,500byte의 임의의(Garbage) TCP 데이터를 실어서 대역폭을 가득 채우는 형태나
아예 UDP로 1,500byte의 데이터를 가득 실어서 대역폭을 채우는 형태의 공격도 있다.
그리고 최근 2012년 12월 사이버대피소에서 대응한 사례로서, 특정 호스팅업체의 DNS
[그림 10] 널(Null)값으로 채워진 데이터 부분
[그림 9] TCP Data가 증가된 패킷
5) DNS : 인터넷망 통신규약인 TCP/IP 네트워크 상에서 사람이 기억하기 쉽게 문자로 만들어진 도메인을 컴퓨터가 처리할 수 있는 숫자로 된 인터넷주소(IP)로 바꾸는 시스템인 Domain Name System을 일컫기도 하고, 이런 역할을 하는 서버컴퓨터 즉 Domain Name Server를 일컫기도 한다.
Internet & Security Focus 2013 2월호 51
FOCUS
서버에 7백만 QPS(Query Per Second)의 공격도 발생되었는데, 이때 확인된 좀비PC의 IP가
총 153개였다. 이를 토대로 계산해보면 한 IP당 45,751 QPS가 나오는데, 일반적으로 전
세계적으로 가장 많이 사용되고 있는 DNS 프로그램인 Bind의 경우 최대 8만 QPS정도를
처리할 수 있는 것으로 알려져 있으니 이론적으로만 보았을 때 좀비 PC 2대면 1대의 DNS
서버를 무력화시킬 수 있다는 것을 의미한다.
또한 쿼리(Query) 방식도 xxxx.domain.co.kr과 같이 xxxx에 임의(Random)의 문자열을
생성한 질의 형태에서 앞으로는 다양한 방식의 공격이 발생할 수 있을 것으로 예측된다.
DNS에 대한 DDoS 공격 기술은 잘 알려져 있지 않다. 기존의 HTTP에 비해 공격은
단순하지만, 프로토콜의 특성상 상대적으로 기술적 대응이 어려운 것으로 알려져 있다.
이를테면 HTTP 서비스와 달리 상단 백본에서 UDP를 ACL(Access Control List)로
차단하는 것이 불가능하여 대규모 Flooding 트래픽이 유발 시에 대응방법이 쉽지 않고, DNS의
특성상 정상 트래픽과 공격 트래픽을 구분하기가 쉽지 않다는 한계가 있다. 또한 HTTP 대상
공격이 공격 대상이 되는 한 사이트에 영향을 주는 것과는 달리 DNS의 경우 경우에 따라
수많은 사이트에 동시 영향을 줄 수 있다는 차이가 있다.
지난 2012년 9월 중순경, 미국의 대규모 호스팅 업체인 godaddy.com의 DNS에 대한 DDoS
공격으로 인해 웹호스팅 서비스를 이용 중인 수백만 사이트에 장애가 발생했던 것은 가장
대표적인 경우라고 할 수 있다.
비록 미국의 예 이지만, 한국의 경우도 같은 위협을 안고 있는 것이 사실이다. 실제 수만개의
[그림 11] 웹서버 대상 DDoS와 DNS 대상 DDoS 공격
Internet & Security Focus 2013 2월호52
FOCUS
6) 어나니머스(Anonymous) : 익명의 다수로 구성된 해킹 커뮤니티로 위키리크스 지원, 이집트 정부사이트 DDoS 공격으로 유명하다. 미국 온라인 저작권침해 금지법안(SOPA)에 반대해 본 공격을 공표하였다.
7) 애니캐스트(AnyCast) : 송신측이 전송한 데이터를 수신 가능한 노드 중 하나를 임의로 선택하여 수신하는 방법. 일반적으로 네트워크 상의 어떠한 송신자와 가장 가까이 있는 수신자 그룹간의 통신이라고 정의할 수 있다.
웹사이트를 동시에 서비스하는 웹호스팅 업체의 DNS에 대한 공격으로 인해, 서비스 이용 중인
고객 전체 웹호스팅 서비스가 중단되어 사이버대피소에서 사전에 구축・운영 중인 DNS 대상
DDoS 대응 시험 환경으로 긴급하게 우회하여 대응했던 사례도 있었다.
또한, 비록 해프닝으로 끝났지만 2012년 3월 31일을 기점으로 root DNS에 대한 DDoS
공격을 통해 전 세계 인터넷을 마비시키겠다는 어나니머스(Anonymous)6) 그룹의 이른바
“Operation Global BlackOut” 사건도 적지 않은 의미가 있다 하겠다.
특히 어나니머스가 공격 방식으로 언급한 증폭 반사(Amplified Reflective) DDoS 공격은
매우 현실적이면서 위협적인 공격 방식인데, 전 세계에 설치되어 있는 수십만 개의 Open
Resolver DNS 서버에 13개 root DNS 서버의 IP를 소스로 하여 도메인 질의를 하면 질의를
받은 Open Resolver DNS 서버에서 일제히 root DNS로 응답 패킷을 발송하게 되어, 대규모의
트래픽을 발생하도록 한다는 시나리오이다. 물론, 전 세계 root DNS가 Anycast7)로 구성되어
있어 실제로는 수백 개의 네트워크 및 서버로 분산되어 있어 어느 정도의 가용성은
유지하겠지만, 상대적으로 인프라 규모가 작은 다른 DNS 서버는 이러한 공격에 매우 취약할
것으로 우려된다.
[그림 12] root DNS의 분포도
Internet & Security Focus 2013 2월호 53
FOCUS
7. 해외에서의 공격 증가
국내 사이트에 대한 DDoS 공격에 사용된 좀비PC IP를 분석해 보면 여전히 대부분 국내에서
발생하는 것을 알 수 있다. 그러나 해외에서 발생하는 좀비PC IP와 관련해서는 두드러진 특징이
있는데, 한 마디로 ‘탈중국’이라고 말할 수 있다. 즉, 초기 해외에서의 공격이라면 대부분 중국을
소스로 한 경우가 대부분이었으나 최근에는 중국발 DDoS 공격은 상대적으로 많이 줄은 대신
인도, 브라질, 태국, 일본, 이란 등 공격발생 국가도 다양해지고 있다.
순위 국가 공격 IP 개수 비율 (%)
1 인도 (India) 31,165 12.92
2 브라질 (Brazil) 26,054 10.80
3 태국 (Thailand) 20,377 8.45
4 일본 (Japan) 13,240 5.49
5 이란 (Iran) 8,238 3.42
6 러시아 (Russia) 8,009 3.32
7 미국 (United States) 7,927 3.29
8 독일 (Germany) 7,201 2.99
9 인도네시아 (Indonesia) 6,736 2.79
10 대만 (Taiwan) 6,234 2.58
17 중국 (China) 2,961 1.23
이는 앞에서 언급한 좀비의 양산 방식과도 관련이 있을 것으로 추측하고 있다. 즉, 최근에는
Java나 Adobe등 공통적으로 널리 사용하는 응용프로그램의 제로데이(Zero-Day)8) 취약성을
이용하여 유명 웹사이트에 악성코드 삽입을 통해 좀비PC를 확보하므로, 이전보다는 상대적으로
국가, 언어에 자유롭기 때문이라고 판단된다.
8) 제로데이(Zero-Day): 운영체제(OS)나 네트워크 장비 등 핵심 시스템의 보안 취약점이 발견된 뒤 이를 막을 수 있는 패치가 발표되기도 전에 그 취약점을 이용한 악성코드나 해킹공격을 감행하는 수법
이외에 아직 한국에서 큰 이슈가 된 바는 없지만, 모바일(Mobile) 단말을 이용한 DDoS
공격의 가능성 및 돈이 아닌 정치, 사회적 목표를 위한 수단으로서 DDoS 공격을 이용하는
핵티비즘도 점차적으로 주요 트렌드가 될 수 있을 것으로 예상하고 있다.
1. 모바일(Mobile) 환경의 DDoS 증가
모바일의 경우 스마트폰, 스마트패드, 태블릿PC 등 단말의 종류와 수가 기하급수적으로
증가하고 있고, CPU 및 OS 등의 사양 뿐 아니라 회선 상황도 빠른 속도로 업그레이드되고 있기
때문에 공격에 사용되는 성능도 곧 PC 수준으로 업그레이드 될 것으로 보여 지고 있다.
특히, 방어자 입장에서 큰 어려움이 되는 부분은 모바일의 경우 수천~수만 개의
단말(Device)이 한 개의 IP를 공유하는 대규모 NAT(Network Address Translation)9)를
사용하기 때문에 공격에 사용되는 특정 IP를 차단하는 기존의 대응 방식으로는 어려움이 많다는
점이다. 왜냐하면, DDoS 대응의 입장에서는 비율이나 패턴에 기반하여 그동안 좀비로 확인되는
IP에 대해 일정기간 접속비율 제한(rate-limit) 또는 적극적인 차단 정책을 적용함으로써
효율적인 차단을 수행해 왔는데, 모바일 단말이 좀비로 사용된다면 IP가 계속 변경되기 때문에
[그림 13] Mobile LOIC 화면
9) NAT(Network Address Translation) : 사설 IP주소를 공인 IP주소로 바꿔주는데 사용하는 통신망의 주소 변환기이다.
Internet & Security Focus 2013 2월호 55
FOCUS
기존과 같은 대응 방법으로는 한계가 있을 것이기 때문이다.
따라서 모바일 단말을 통해 정상적인 방법으로 공격성 트래픽이 유발된다면 현실적으로
방어가 매우 어렵다고 할 수 있다. 모바일 기반의 DDoS 공격 도구로는 이미 아래와 같이
“Mobile LOIC” 라는 이름의 툴이 공개된 바 있는데, 공격 방식 자체는 기존의 GET Flooding
공격 도구와 유사하여 특별할 것은 없지만 모바일 단말도 충분히 DDoS 공격의 좀비로 활용될
수 있는 가능성을 보여주는 예라고 할 수 있을 것이다.
2. 핵티비즘(Hacktivism)10)의 증가
다음은 핵티비즘의 증가를 이야기할 수 있다. 이는 국내보다는 해외에서 뚜렷한 증가를
보여주고 있는데, 앞에서 언급한 root DNS에 대한 공격 외에도 여러 차례 뉴스기사에 언급되고
있는 어나니머스 그룹에 의한 각종 공격이 대표적인 예가 될 것이다. 이전에는 주로 홈페이지
변조등의 방식으로 조직의 의지를 반영하였다면 최근에는 대상 사이트에 대한 DDoS 공격이
자주 이루어지고 있는데, 이전의 방식보다 좀 더 효율적이면서 직접 공격에 참여할 수 있도록
하는 등 대중적인 관심을 유도할 수 있는 부수적인 이점이 있기 때문이다.
가장 최근에는 2012년 9월, 이슬람 지도자를 폄하하는 동영상을 유튜브에 업로드 한 것이
계기가 되어 이슬람 지역에서 미국의 대표적인 은행 사이트인 뱅크오브아메리카,
JP모건체이스, 씨티그룹, U.S.뱅크, 웰스파고, PNC 등에 대규모의 DDoS 공격을 통해
정상적인 온라인 서비스를 하지 못하도록 했던 경우가 있었다. 이 공격의 특징은 네티즌들이
스스로 공격파일을 다운로드 및 실행하여 동시에 대상 사이트에 공격을 수행한 것으로 일반적인
DDoS 공격과 같이 봇넷(Botnet)11)을 이용하여 한 번에 공격한 것과는 다른 특징을 가지고 있다.
Ⅳ. 사이버대피소의 향후 대응 방향
KISA의 사이버대피소 사업은 2010년에 시작된 이후 점차 안정화 단계에 들어가면서
10) 핵티비즘(Hacktivism) : 정치적 노선을 달리 하는 네티즌(Netizen)들이 특정 정부의 인터넷 웹 사이트를 침범해 정치구호를 내걸거나 컴퓨터 서버를 무력화하는 것이다. 기존의 컴퓨터 해킹(Hacking)과 정치행동주의(Activism)의 합성어로, 정치·사회적 목적을 이루기 위해 해킹을 시도하거나 목표물인 서버(Server) 컴퓨터를 무력화하고 이런 기술을 만드는 주의를 뜻한다.
11)봇넷(Bot-Net) : 스팸메일이나 악성코드 등을 전파하도록 하는 악성코드 봇(Bot)에 감염되어 해커가 마음대로 제어할 수 있는 좀비 PC들로 구성된 네트워크를 말한다.
Internet & Security Focus 2013 2월호56
FOCUS
12)NS(Name Server) : 인터넷에서 인터넷 이름과 그에 상응하는 숫자 주소를 담은 DB를 관리하는 컴퓨터이다.13)kr.dnserver.com : 무료로 DNS 서비스를 이용할 수 있도록 해주는 서비스
변화하는 DDoS 침해사고에 좀 더 적극적으로 대응하고 지속적인 개선 작업을 통해 한 단계
업그레이드해야 할 필요성이 제기되고 있다.
1. 공격PC IP의 검증
사이버대피소에서는 공격 대응과 함께 공격에 사용된 좀비PC IP를 추출하여 KISA
인터넷침해대응센터(KrCERT/CC)와 공유하고 있다. 이를 통해 좀비PC를 섭외하여 C&C를
찾아내어 차단하고 감염PC 치료체계를 통해 PC에 감염된 악성코드를 제거하는 일을 하고 있다.
GET Flooding 공격이나 POST Flooding 공격의 경우 공격에 사용된 IP는 실제(Real) IP가
확실하나 이외 UDP Flooding 공격이나 TCP Flooding 공격에 사용된 IP의 경우 기술적으로
위조(Spoofing) 될 수 있기 때문에 실제 IP인지 검증하는 데에 한계가 있다.
이러한 위조 IP들은 넷플로우(Netflow) 장비 등을 통해 역추적을 하거나(ISP의 상시 협조
필요) 패킷의 TTL 분석 등을 통해 실제 IP 가능성(possibility) 지표를 만들어 구분할 필요가
있다. 아울러 추출된 좀비PC IP 정보를 이용한 상관 분석이나 재사용 가능성, 다른 사업자
등과의 협력을 통한 공격 연관성 등에 대한 추가적인 분석도 필요할 것으로 보인다.
2. DNS 등 응용프로그램 수준의 대응 준비
현재 사이버대피소는 HTTP 및 HTTPS 기반의 DDoS 공격 대응 서비스를 제공하고 있다.
그러나 사이트의 성격에 따라 HTTP 이외 다른 별도의 응용프로그램 서비스에 대해서는
공식적으로 대응 서비스를 제공하지 않고 있다.
이에 2012년에는 HTTP 이외의 응용프로그램 서비스 제공에 대한 요구가 점차 증가하고 있는
추세인데, 특히 DNS 서비스에 대한 요구가 많았다. 직접적으로는 몇몇 웹호스팅 업체를
중심으로 자사의 DNS 인프라/서비스에 대한 DDoS 공격으로 인해 방어의 요구가 많았고, DNS
등 기술을 어려워하는 일부 영세 사업자의 경우 대피소 서비스를 이용하기 위해 A 레코드 및
NS(Name Server)12) 레코드 등 DNS 정보 변경의 이해 부족과 어려움으로 인해 대피소에 직접
정보를 변경해 달라는 요청도 많았다.
따라서, 대피소에서는 DNS 인프라에 대한 공격에 대비한 대응방안 및 인프라 준비가 필요할
것이고 DNS 변경을 어려워하는 영세 고객 지원을 위해 kr.dnsever.com13)과 같이 직접 DNS
서비스를 운영하는 방안도 검토할 수 있을 것이다. 또한 아직 많지는 않지만 HTTP 이외 별도의
Internet & Security Focus 2013 2월호 57
FOCUS
소켓(Socket)을 이용하는 서비스에 대한 요구도 일부 있을 것으로 판단하고 있으며 이에 대한
준비도 필요하다.
3. 해외와의 국제협력
초기 사이버대피소는 국내에만 국한하여 서비스 제공 및 대응을 진행해 왔다. 그러나 해외에서
사이트를 접속해야 하는 경우가 있고, 또한 해외에서의 직접적인 공격도 자주 확인되고 있어
최근에는 GSLB(Global Service Load Balancing)를 이용하여 해외 서비스도 함께 제공하고 있다.
따라서 만약 해외에서 대피소와 유사한 모델로 서비스를 제공하는 기관 또는 업체(Prolexic
등)가 있다면, 국제 협력을 통해 대응 기술 및 관련 정보를 공유함으로써 좀 더 효율적인
대응체계를 구축할 수 있을 것으로 기대된다.
4. 공격 대응 기술 공유
사이버대피소는 서비스 제공 초기부터 빠른 기술 안정화를 통해 접수된 수백여 건의 다양한
DDoS 공격을 단 한 건의 예외도 없이 매우 성공적으로 대응해 왔다. 각종 변형된 공격 방식에도
다른 상용 서비스 업체 이상으로 장애 없이 대응하여 실제 대피소 서비스를 이용한 고객들의
만족도도 매우 높은 것으로 평가하고 있다.
이러한 성과에 기반하여 사이버대피소에서 획득하는 다양한 공격 트래픽과 대응 기술, 노하우
등을 네트워크, 서버, 보안 관리자들과 공유한다면 단순히 공격 대응에 머무르지 않고 좀 더
적극적으로 인터넷 커뮤니티에 공헌할 수 있는 계기가 될 것이다.
Ⅴ. 결론
최근에 발생하는 DDoS 공격은 전문 DDoS 공격단체의 청부형 공격이나 키워드 광고 서비스
등 특정 업종을 대상으로 한 DDoS 공격을 특징으로 하며, 대용량 트래픽 전송 공격과 웹서버
자원 고갈형 공격을 주로 사용하고 있다.
이는 영세한 기업을 대상으로 협박성 공격을 감행함으로써 쉽게 금전 취득이 가능하다는 점과
이메일・P2P・웹하드 등 악성코드 전파 경로가 다양해지면서 쉽게 봇넷(BotNet) 환경을
구성하기가 쉬워졌다는 점을 요인으로 꼽을 수 있다. 또한 금전적 협박이나 공격 명령이 주로
Internet & Security Focus 2013 2월호58
FOCUS
해외에서 이루어지고 있어 DDoS 공격 근원지 파악 및 공격자 검거가 어려운 점도 간과할 수
없는 부분이다.
공격자는 공격 대상에 따라 다양한 공격방법을 사용한다. 즉, DDoS 대응 환경을 구축하였다
하더라도 다양한 DDoS 공격을 모두 효과적으로 방어할 수 없다. DDoS 공격에 대응하기
위하여 각 기업들이 다양한 대응조치를 취한 현 상황에서 공격자들은 효과적인 공격을 위하여
기존 대응 방안들을 우회하는 진화된 공격을 개발하여 공격을 시도할 것이다. 또한 공격 대상을
웹 서비스에 중점을 둠과 동시에, 네트워크장비 및 웹 이외의 다른 주요 어플리케이션 등 새로운
공격 대상에 대한 공격 기법들을 개발하여 공격에 활용할 것이다.
이를 극복하기 위해서는 지속적으로 DDoS 공격 대상 및 공격유형을 파악하여 정확한 대응
방안을 도출해야한다. 현재까지의 공격에 대한 대비뿐 아니라, 새로운 공격에 대한 연구 및
대응방안을 마련하고 주기적인 DDoS 모의훈련을 통하여 새로운 공격에 대한 대응능력을
향상시켜 나가야 한다. 그리고 DDoS 대응장비를 구축할 수 없는 영세・중소기업 및
개인사업자라면 KISA에서 제공하는 DDoS 사이버대피소를 적극 이용하여 피해를 줄일 수 있는
