중소업체 대상중소업체 대상중소업체 대상

DD S 긴급대피소 구축 운영

중소업체 대상

DD S 긴급대피소 구축 운영DDoS 긴급대피소 구축·운영DDoS 긴급대피소 구축·운영

2009 10 27(화) 2009. 10. 27(화)

1. DDoS 개요 및 최근 동향

2. DDoS 공격 개념도 및 대응절차

3. DDoS 대피소의 필요성

4. DDoS 대피소 개념도

5. 향후 추진 계획5. 향후 추진 계획

DDoS 공격 목적의 변화

과거에는 불법적인 정보의 취득, 시스템의 무단사용 등을 목적으로 하는 해킹 위주였으며,

DDoS 공격은 경쟁 보복 정치적 사이버 시위 목적으로만 주로 이용됨

공격 목적의 변화

DDoS 공격은 경쟁·보복, 정치적 사이버 시위 목적으로만 주로 이용됨

한·일 독도분쟁 당시 외교부, VANK 등 관련 사이트 마비

접수를 마친 수험생의 대입원서 접수사이트 마비 시도

러시아와 그루지아 간의 사이버戰등

금품을 목적의 DDoS 공격이 급증

온라인 쇼핑몰, 온라인 여행사 등 인터넷에 기반한 업체를 대상으로 협박 후 공격

아이템 거래 업체 대상 DDoS 공격으로 1,000억원 이상의 피해 발생 등

DDoS 공격 방법의 변화

초창기에는 중대형 UNIX 시스템 등을 이용한 DoS 공격이 주를 이루었음

공격 방법의 변화

DDoS 공격 준비에 오랜 기간과 노력, 실력이 필요

고비용, 저효율

최근에는 BotNet을 활용한 DDoS 공격이 주류

상대적으로 보안에 취약한 PC의 고성능화 및 보급 확대 - 공격시스템 확보가 용이

인터넷의 확산 및 대역폭 확대 - 대량의 트래픽 발생이 용이

B t

인터넷의 확산 및 대역폭 확대 대량의 트래픽 발생이 용이

Bot의 출현 – 공격시스템 제어가 용이

WVi Bot원격제어가 가능한 Worm개인정보수집, 불법스팸발송, DDoS 공격 등Agobot(’04),

WormS/W 취약점을 이용한 전파, 자기 복제자기과시, 정보수집 등Slammer(’03), Welchia(’04)

Virus 실행 시 자기 복제파일 손상 또는 하드디스크의정보를 파괴c-Brain(’86), Jerusalem(’87) Agobot( 04), Slammer( 03), Welchia( 04)c Brain( 86), Jerusalem( 87)

DDoS 공격 범위의 확대

DDoS 공격의 대상 확대

신고가 어려운 성인 화상채팅사이트 온라인 도박사이트 등

공격 범위의 확대

신고가 어려운 성인 화상채팅사이트, 온라인 도박사이트 등

온라인 여행사, 온라인 쇼핑몰 등 중소업체

증권사 등 금융기관, 대형 포탈 등 대형업체 포털, 공공기관 사이트

RiskRisk 금융, 게임사이트, 쇼핑몰

아이템거래사이트

국외 사이트

화상채팅, 도박사이트• 초기에는 국내 PC를 이용한 국외 사이트

공격이 주를 이루었으나,

• 최근에는 국가·사회 전반의 모든 분야의

시스템으로 대상이 확대

웹 서버 대상 DDoS

DNS, 시설 IP대상 DDoS

시스템으로 대상이 확대

2006 2007 2008 2009

중국發 DDoS 공격 증가

DDoS 공격에서 중국이 차지하는 비율이 점차 증가

년 년 년 년

중국 공격 증가

40%

60%38%

50%

’06년 0% → ’07년 21% → ’08년 38% → ’09년 50%

중국發 DDoS 공격 중 협박이 있는 비율 역시 점차 증가 0%

20%

40%

0%

21%

중 공 중 있 증

’06년 0% → ’07년 20% → ’08년 55% → ’09년 75%

조선족을 이용하여 언어장벽 없이 손쉽게 협박 가능

악성코드 제작 공격 협박 등의 역할 분리로 조직화 80% 75%

'06 '07 '08 '09

악성코드 제작, 공격, 협박 등의 역할 분리로 조직화

20%40%60%80%

20%

55%

0%20%

'06 '07 '08 '09

0%

BotNet을 이용한 DDoS 공격

좀비좀비PC PC 군단군단

명령제어서버명령제어서버 8. 명령시행

피해서버피해서버

1. 서버 해킹

6. 명령 전달7. 명령 전달

·

피해서버피해서버

DDoS공격트래픽

공격자공격자

유포서버유포서버

··

공격트래픽

2. 유포서버 해킹

3 C&C서버에 접속3. C&C서버에 접속명령을 수행하는악성코드 은닉

Bot

4. 보안이 취약한 PC가유포서버 접속

5. 악성코드 감염

DDoS 공격 대응절차

KISC에 신고

(피해업체)

①협박성인 경우,사법기관 신고유도

②기타: KISC가 지원

과다 트래픽, 접속장애

공격 로그 (IP) 확보 분석 협조요청(좀비PC)DDoS 공격 발생

DDoS 공격공격 로그 (IP) 확보 분석 협조요청(좀비PC)

DDoS 유발하는 PC 분석(원격, 현장출동)DDoS 공격

중단

(원격, 현장출동)트래픽 유입됨

경찰청과경찰청과차단시기차단시기 등등 공조공조

악성코드 분석[상황전파문]DDoS 공격

공격자조종지(C&C) 파악

KT, SKB 등 8개 주요 ISP가 공격 조종지 차단

조종지 차단DDoS 악성코드 채집

공격자(DDoS 명령)

DDoS 공격 방어의 어려움

DDoS 공격 방어를 위해서는

공격 방어의 어려움

DDoS 공격을 감내할 수 있는 회선 대역폭

DDoS 공격을 방어할 수 있는 전용장비

회선 대역폭 확대, 대응장비 구축은 중소업체에게 큰 부담

DDoS 공격 대응절차

KISC에 신고

(피해업체)

①협박성인 경우,사법기관 신고유도

②기타: KISC가 지원

과다 트래픽, 접속장애

(1 3시간) (1~3일 또는 섭외불가)DDoS 공격 발생

(수시간) (1~3시간) (1 3일, 또는 섭외불가)

DDoS 유발하는 PC 분석(원격, 현장출동)

(수시간)

(원격, 현장출동)

경찰청과경찰청과차단시기차단시기 등등 공조공조

악성코드 분석[상황전파문]DDoS 공격

공격자(3~5시간)

KT, SKB 등 8개 주요 ISP가 공격 조종지 차단

조종지 차단(1~2시간)

공격자(DDoS 명령)

DDoS 대피소 개념 및 운영방안대피 개념 및 운영방안

DDoS 대피소 운영방안DDoS 대피소 운영방안

DDoS 공격 시 피해업체에 정상서비스

제공 지원

대피 영방대피 영방

제공 지원

Proxy 개념 활용

피해업체 사이트의 IP주소를 대피소의

Proxy IP로 변경하여 서비스 경로 우회

Proxy IP 앞 단의 DDoS 대응시스템에서

공격 제거 후 정상 접속만을 전달공격 제거 후 정상 접속만을 전달

3~7일 정도의 단기간 서비스 제공

고려사항

기존의 IDC 등에서 제공하는 상용서비스와의 중복이 없도록 이용기준 명확화

DDoS 대응협의회를 활용한 최적의 구축·운영방안 마련

추진 일정

DDoS 대응협의회를 활용한 최적의 구축·운영방안 마련

~ ’09. 12. : DDoS 대피소 구축방안 확정

’ 대피소 운영을 위한 협의 및 이용기준 마련

추진 일정

~ ’10. 03. : DDoS 대피소 운영을 위한 ISP 협의 및 이용기준 마련

DDoS 대피소 구축 사업설명회 및 ISP 협의

대피소 사용기간 자격요건 등 기준 마련대피소 사용기간, 자격요건 등 기준 마련

~ ’10. 06. : DDoS 대피소에 도입될 DDoS대응시스템 성능평가(BMT)

~ ’10 08 : DDoS 대피소 구축 10. 08. : DDoS 대피소 구축

~ ’10. 12. : DDoS 대피소 시범운영

감사합니다감사합니다감사합니다감사합니다