dd sddddooss 긴급대피소구축 운영 - kinternet.org · 신고가 어려운 성인...
TRANSCRIPT
중소업체 대상중소업체 대상중소업체 대상
DD S 긴급대피소 구축 운영
중소업체 대상
DD S 긴급대피소 구축 운영DDoS 긴급대피소 구축·운영DDoS 긴급대피소 구축·운영
2009 10 27(화) 2009. 10. 27(화)
DDoS 공격 목적의 변화
과거에는 불법적인 정보의 취득, 시스템의 무단사용 등을 목적으로 하는 해킹 위주였으며,
DDoS 공격은 경쟁 보복 정치적 사이버 시위 목적으로만 주로 이용됨
공격 목적의 변화
DDoS 공격은 경쟁·보복, 정치적 사이버 시위 목적으로만 주로 이용됨
한·일 독도분쟁 당시 외교부, VANK 등 관련 사이트 마비
접수를 마친 수험생의 대입원서 접수사이트 마비 시도
러시아와 그루지아 간의 사이버戰등
금품을 목적의 DDoS 공격이 급증
온라인 쇼핑몰, 온라인 여행사 등 인터넷에 기반한 업체를 대상으로 협박 후 공격
아이템 거래 업체 대상 DDoS 공격으로 1,000억원 이상의 피해 발생 등
DDoS 공격 방법의 변화
초창기에는 중대형 UNIX 시스템 등을 이용한 DoS 공격이 주를 이루었음
공격 방법의 변화
DDoS 공격 준비에 오랜 기간과 노력, 실력이 필요
고비용, 저효율
최근에는 BotNet을 활용한 DDoS 공격이 주류
상대적으로 보안에 취약한 PC의 고성능화 및 보급 확대 - 공격시스템 확보가 용이
인터넷의 확산 및 대역폭 확대 - 대량의 트래픽 발생이 용이
B t
인터넷의 확산 및 대역폭 확대 대량의 트래픽 발생이 용이
Bot의 출현 – 공격시스템 제어가 용이
WVi Bot원격제어가 가능한 Worm개인정보수집, 불법스팸발송, DDoS 공격 등Agobot(’04),
WormS/W 취약점을 이용한 전파, 자기 복제자기과시, 정보수집 등Slammer(’03), Welchia(’04)
Virus 실행 시 자기 복제파일 손상 또는 하드디스크의정보를 파괴c-Brain(’86), Jerusalem(’87) Agobot( 04), Slammer( 03), Welchia( 04)c Brain( 86), Jerusalem( 87)
DDoS 공격 범위의 확대
DDoS 공격의 대상 확대
신고가 어려운 성인 화상채팅사이트 온라인 도박사이트 등
공격 범위의 확대
신고가 어려운 성인 화상채팅사이트, 온라인 도박사이트 등
온라인 여행사, 온라인 쇼핑몰 등 중소업체
증권사 등 금융기관, 대형 포탈 등 대형업체 포털, 공공기관 사이트
RiskRisk 금융, 게임사이트, 쇼핑몰
아이템거래사이트
국외 사이트
화상채팅, 도박사이트• 초기에는 국내 PC를 이용한 국외 사이트
공격이 주를 이루었으나,
• 최근에는 국가·사회 전반의 모든 분야의
시스템으로 대상이 확대
웹 서버 대상 DDoS
DNS, 시설 IP대상 DDoS
시스템으로 대상이 확대
2006 2007 2008 2009
중국發 DDoS 공격 증가
DDoS 공격에서 중국이 차지하는 비율이 점차 증가
년 년 년 년
중국 공격 증가
40%
60%38%
50%
’06년 0% → ’07년 21% → ’08년 38% → ’09년 50%
중국發 DDoS 공격 중 협박이 있는 비율 역시 점차 증가 0%
20%
40%
0%
21%
중 공 중 있 증
’06년 0% → ’07년 20% → ’08년 55% → ’09년 75%
조선족을 이용하여 언어장벽 없이 손쉽게 협박 가능
악성코드 제작 공격 협박 등의 역할 분리로 조직화 80% 75%
'06 '07 '08 '09
악성코드 제작, 공격, 협박 등의 역할 분리로 조직화
20%40%60%80%
20%
55%
0%20%
'06 '07 '08 '09
0%
BotNet을 이용한 DDoS 공격
좀비좀비PC PC 군단군단
명령제어서버명령제어서버 8. 명령시행
피해서버피해서버
1. 서버 해킹
6. 명령 전달7. 명령 전달
·
피해서버피해서버
DDoS공격트래픽
공격자공격자
유포서버유포서버
··
공격트래픽
2. 유포서버 해킹
3 C&C서버에 접속3. C&C서버에 접속명령을 수행하는악성코드 은닉
Bot
4. 보안이 취약한 PC가유포서버 접속
5. 악성코드 감염
DDoS 공격 대응절차
KISC에 신고
(피해업체)
①협박성인 경우,사법기관 신고유도
②기타: KISC가 지원
과다 트래픽, 접속장애
공격 로그 (IP) 확보 분석 협조요청(좀비PC)DDoS 공격 발생
DDoS 공격공격 로그 (IP) 확보 분석 협조요청(좀비PC)
DDoS 유발하는 PC 분석(원격, 현장출동)DDoS 공격
중단
(원격, 현장출동)트래픽 유입됨
경찰청과경찰청과차단시기차단시기 등등 공조공조
악성코드 분석[상황전파문]DDoS 공격
공격자조종지(C&C) 파악
KT, SKB 등 8개 주요 ISP가 공격 조종지 차단
조종지 차단DDoS 악성코드 채집
공격자(DDoS 명령)
DDoS 공격 방어의 어려움
DDoS 공격 방어를 위해서는
공격 방어의 어려움
DDoS 공격을 감내할 수 있는 회선 대역폭
DDoS 공격을 방어할 수 있는 전용장비
회선 대역폭 확대, 대응장비 구축은 중소업체에게 큰 부담
DDoS 공격 대응절차
KISC에 신고
(피해업체)
①협박성인 경우,사법기관 신고유도
②기타: KISC가 지원
과다 트래픽, 접속장애
(1 3시간) (1~3일 또는 섭외불가)DDoS 공격 발생
(수시간) (1~3시간) (1 3일, 또는 섭외불가)
DDoS 유발하는 PC 분석(원격, 현장출동)
(수시간)
(원격, 현장출동)
경찰청과경찰청과차단시기차단시기 등등 공조공조
악성코드 분석[상황전파문]DDoS 공격
공격자(3~5시간)
KT, SKB 등 8개 주요 ISP가 공격 조종지 차단
조종지 차단(1~2시간)
공격자(DDoS 명령)
DDoS 대피소 개념 및 운영방안대피 개념 및 운영방안
DDoS 대피소 운영방안DDoS 대피소 운영방안
DDoS 공격 시 피해업체에 정상서비스
제공 지원
대피 영방대피 영방
제공 지원
Proxy 개념 활용
피해업체 사이트의 IP주소를 대피소의
Proxy IP로 변경하여 서비스 경로 우회
Proxy IP 앞 단의 DDoS 대응시스템에서
공격 제거 후 정상 접속만을 전달공격 제거 후 정상 접속만을 전달
3~7일 정도의 단기간 서비스 제공
고려사항
기존의 IDC 등에서 제공하는 상용서비스와의 중복이 없도록 이용기준 명확화
DDoS 대응협의회를 활용한 최적의 구축·운영방안 마련
추진 일정
DDoS 대응협의회를 활용한 최적의 구축·운영방안 마련
~ ’09. 12. : DDoS 대피소 구축방안 확정
’ 대피소 운영을 위한 협의 및 이용기준 마련
추진 일정
~ ’10. 03. : DDoS 대피소 운영을 위한 ISP 협의 및 이용기준 마련
DDoS 대피소 구축 사업설명회 및 ISP 협의
대피소 사용기간 자격요건 등 기준 마련대피소 사용기간, 자격요건 등 기준 마련
~ ’10. 06. : DDoS 대피소에 도입될 DDoS대응시스템 성능평가(BMT)
~ ’10 08 : DDoS 대피소 구축 10. 08. : DDoS 대피소 구축
~ ’10. 12. : DDoS 대피소 시범운영