CONCERT Forecast 세미나 내용을 크게 나누면 2가지로 묶을 수 있을 것 같다.

•  DDoS 방어 & botnet 이해
• 시스템 자체 보안 보다는 '개인정보보호', '조직 구성', '내부정보 유출 방지', '보안 사내 교육' 등 운영적인 면

            CONCERT Forecast 2008 시작전

세미나 내용 중 일부를 정리했다.

1. DDoS 공격 대응 (발표자 : '오늘과내일'의 홍석범)

   리눅스 서버에 조치를 취하는 보편적인 내용(ip_conntrack 튜닝, net.ipv4.route 튜닝 등)과 CDN서비스 활용, 장비 도입 등 다양한 말씀을 해주셨다.

•  DNS 서버의 다중화 부분은 공감이 간다. DNS 서버를 1대 운영하거나 2대를 하나의 네트웍 대역에 두고 운영한다면, 다른 내역에 2대 이상의 DNS서버를 운영하기를 권장한다.
• 'PC용 DDoS 공격 탐지 Agent 배포'를 대응방안도 제시한다. 좀비PC의 수를 줄여 공격 피해를 감소시킬 수 있는 근본적 대책 중의 하나일 것이다. 물론 이 부분은 정부와 보안업체들의 의지가 중요한 부분이다.
• 공격을 당할 때 보통 공격 대상 IP를 Null routing 처리한다. 이 방법 대신 해당 IP를 TCP 80만 오픈하고 나머지는 막는 ACL 처리를 제시했다. 물론 장비가 ACL를 HW기반으로 처리해야 장비의 load가 올라가지 않을 것이다. 이런 ACL적용은 공격을 받는 곳보다 상위단에서 처리(IDC, VIDC, ISP)를 해줘야 하는데, 얼마나 협조를 잘 해줄지가 관건.
  

2. 'Stop security threats before they stop you' (발표자 : IBM의 이병화)

   botnet을 주 발표 내용으로 다뤘다.

   [ 2007 상반기 보안 위협 하이라이트 ]

   [ Commercial attack service ]

   botnet의 상업적 서비스에 대한 것이다. 해킹이 하나의 서비스로 진행되고 있다는 것은 언론이나 블로거들을 통해서 접했을 것이다. XSOS.NAME 등을 돈을 지불하고 구매하면, botnet 목록을 볼 수 있게 되고, 해당 bot을 조정하여 공격할 수 있다. 누구나 약간의 비용만으로도 공격을 할 수 있는 시대가 된 것이다.

   변종도 많고, 전세계 컴퓨터의 8%를 감염시켰던 Storm worm에 대한 얘기도 했다. 다른 발표자분도 Storm에 대해서는 언급을 했었다. Storm worm 분석은 fullc0de님( http://fullc0de.egloos.com/3572438 )의 글을 읽어보면 될 듯.

   발표자료에는 포함되어 있지 않지만 세미나 중간에 NetBot에 대한 얘기를 했었고, 발표 중간의 화면 캡쳐는 아마 http://www.hackeroo.com/move/netbot_attacker.html 에 있는 중국해커의 공격 데모였을 것으로 생각된다.

3. 세션 중간에 사무국장(?)의 얘기

   다들 '중국발', '중국발 해킹'하니깐 실제 국내 보안전문가가 중국에 가서 중국 해커 6명과의 만남을 가졌다고 한다. 그 때 나온 얘기들

• 중국이 우리 나라를 해킹하는 것은, 일본이 당한 것에 비하면 아무 것도 아니라는 것. 일본은 더 심하다.
• 최근 큰 이슈가 된 모 사이트 해킹은 고차원 방법이 아니었다. 저 6명중에 이 해킹사건과 관련이 있는 해커가 있는 것으로 판단.
• 마피아와 해커가 손잡을 가능성. (이 내용은 SKT의 발표자 분의 자료에도 있다. '러시아 마피아와 연계되어 조직폭력배화 하려 하며, 정치적인 해킹시도로 변화가능성 존재')
  

4. 내부 정보 유출 방지와 문서 DRM (발표자 : 파수닷컴의 이승재)

   [ 내부 정보오출 피해사례 ]

   약 86%가 현직원과 퇴직자에 의해 피해가 발생했다.

   [ E-DRM 구조 ]

   C-DRM(Commercial DRM)과 E-DRM(Enterprise DRM)중에 문서보안인 E-DRM의 구조이다. 원격 접속에서 화면을 볼 때도 Screen Capture를 막을 수 있다고 말씀을 한다. (이부분은 개인적으로 확인해본적이 없어서 모름)

5. 보안조직 구성

   [ 보안 조직 현황 ]

   전담조직이나 인원이 적다는 것을 알 수 있다.

6. 엔드 포인트 보안의 지속적인 관리방안 (발표자 : 한국 MS의 백승주)

   IPSEC기술을 활용한 서버 및 도메인 고립 모델에 대해 발표를 했다. 데모 발표가 효과적이었다.
   발표자료는 '코알라의 하얀집'  블로그에서 볼 수 있다.

7. 2007/2008년 IT 보안위협동향 및 웹 보안의 중요성 (발표자 : SOPHOS 아시아의 배수한)

   상당히 좋은 자료를 많이 준비하셨고, 발표자의 전달력도 뛰어났다. 자료가 많아서, 글보다는 몇가지 PT자료를 살펴보는게 나을 것 같다.




세미나 아쉬운 점 하나 얘기한다.

>>>> 아쉬운 점 <<<<

BlackEnergy는 크게 2가지로 구성되어 있다.

1. 웹기반의 C&C를 제공한다. (php+MySQL)
2. DDoS공격 bot을 생성하는 툴(builder.exe)을 제공한다.
   builder.exe 툴을 이용하여 웹기반 bot관리 서버로 접속하는 바이너리파일을 생성할 수 있게 된다.

[ 이미지 출처 : 글 끝에 소개한 URL ]

bot 바이너리는 지정한 C&C서버로 접속하게 된다. 그리고, bot과 제어서버간의 명령은 웹을 통해서 이뤄지게 되며, 구조는 대략 이렇다.

1. bot은 C&C 서버의의 URL(예. http://웹서버/경로/stat.php )을 체크하게 된다. 이 때 id, build_id 값을 POST방식으로 넘긴다.
2. 서버에서는 명령 등의 상태 값을 BASE64 인코딩된 값으로 리턴을 한다. 그 값에 따라서 bot은 명령을 수행한다.
   다양한 공격 유형이 있는데, ICMP flood, TCP SYN flood, UDP flood, DNS flood, http 요청 등이 있다.
   'flood http foobar.com a.html' 명령을 내린다면 foobar.com/a.html을 계속 호출하게 되며, 'flood syn foobar.com 80'은 TCP SYN flood를 발생한다.

PC에 설치된 bot에 대한 작년 10월 백신 검사 결과를 보니 V3, clamAV, AVG, McAfee 등은 이 바이너리를 못 찾아내고, F-Secure, F-Prot, Kaspersky는 찾아냈다.

보다 자세한 정보는 'BlackEnergy DDoS Bot Web Based C&C'에서 볼 수 있다.

라드웨어에서 준비한 '2008 Radware DDoS 보안 세미나'에 갔다왔다. 평점을 주면 5점만점에 3점 정도. 사례중심의 발표를 기대했지만, 보편적인 내용으로 흘러갔다. 저와 함께 참석했던 커피닉스( http://coffeenix.net/ )의 나머지 다섯분도 같은 의견이다.

생각난김에 DDoS 공격 유형따라 막을 수 있는지 여부를 정리했다.

국내 DDoS공격이 곳곳에서 터지기 시작한 2007년 초반에만 하더라도, DDoS공격을 막을 수 있느냐, 없느냐의 논의가 몇몇 커뮤니티에서 있었다. 그러나 요즘은 막을 수 없는 공격이 주를 이룬다는 것을 잘 알고 있다.

결론적으로는 회선 대역폭을 공격량보다 많이 확보( 보유한 회선 > 공격량 )해야 공격의 주를 이루는 UDP, ICMP flooding 공격을 버텨낼 수 있는 최소한의 조건을 만족한다. 이 때 네트웍장비의 CPU load 가 낮아야만, 사용자는 불편함없이 서비스를 이용하게 될 것이다. 10G, 20G 이상의 공격량이 많을 경우엔, 다른 고객사에게 피해를 주거나 연동망 장애를 가져올 수 있다. 이럴 경우 IDC나 ISP에서 먼저 차단할 것이다. 즉, 서비스 업체의 인프라만으로는 서비스의 완벽보장은 이뤄내기 힘들다.

UDP, ICMP이외에 공격 유형에 따라, 시스템(네트웍, 서버, 보안장비) 인프라가 되면 막을 수 있는 유형도 있다. Radware 세미나에서 제시한 공격유형 6가지 정도를 갖고 살펴보도록 하겠다.


1. HTTP Flood

  웹페이지를 과다하게 호출하여 서버의 load가 높아지거나 처리가능한 커넥션수를 초과하게 만드는 공격이다.
  '웹페이지 과다 호출 방식의 DDoS공격 사례' (글 좋은진호, 2008.1.23)를 참고하기 바란다.
  IPS, L4스위치의 성능, 웹서버의 설정을 통해서 막아 낼 수 있다.

  1) IPS없고, L4스위치도 없다면.
      몇대 안되는 웹서버를 로드밸런싱하고 있는데, 다량의 공격(세션이 몇만이상)이라면 서버 load가 높아져 서비스가 불가능할 것이다.
  2) IPS없고, 성능 좋은 L4스위치. 그리고 몇 십대의 웹서버를 L4에 물려 서비스 한다면.
      이 때는 '웹페이지 과다 호출 방식의 DDoS공격 사례'에 써진 것처럼 막아 낼 수 있는 방법을 찾을 수 있다.
      그러나 몇 십대에 분산되어 서버가 다 받아드리더라도, 세션이 몇만~몇십만의 공격일 때 L4의 처리한계로 서비스가 느려질 수 있다.
  3) IPS있다면, 웹서버의 설정까지 조합해서 가능

2. SYN Flood, TCP Flag Flood, Half-Open Flood

  방화벽, L4스위치(SYN proxy기능을 갖는 L4. 그러나 SYN proxy기능을 이용하려면 DSR구성 방식은 불가능함), IPS등으로 막아낼 수 있다.

3. UDP Flood, ICMP Flood

  초기에 얘기했던 것처럼 공격량보다 많은 회선을 확보하지 못하면 어떠한 장비를 도입하더라도 막아낼 수 없다.  본인의 백본보다 상위단의 백본을 관리하는 곳(IDC, 호스팅 등)에 요청하여 dest. IP를 차단해달라고 요청해야할 것이다.

  작년 초에는 방화벽, ISP의 장비 업체의 실력있는 엔지니어들도 '우리 장비는 막을 수 있을 것 같다.'라고 얘기하는 경우도 있었다. UDP는 포트가 오픈되어 있지 않더라도 백본까지는 UDP 트래픽이 들어온다는 것(백본에서 UDP를 막았을 때)을 알면서도 저렇게 생각하고 있는 경우가 있었다. 요즘은 국내의 DDoS공격이 주위 사람에게만 뒤져봐도 흔하게 일어나는 안타까운 현실 때문에, 업체에서도 저런 얘기를 하는 경우는 줄었을 것이다.

  참고로 UDP는 주로 80포트와 53(DNS) 포트로 공격하지만 이외에 1024이하의 임의로 포트로 공격하는 경우도 있다.

DDoS 대응 장비로 거론되는 것은 다음 3가지 정도일 것이다.

1. 시스코의 Guard & Detector
   - 대규모 사이트에서 위의 2~3번 유형 대처할 때 적합
   - 초기 훈련을 통해 평상시의 트래픽을 인지하는 방식이라서 1번의 유형을 대처할 수도 있다.
      확인해본 적이 없어서 ^^
   - 1G 장비
   - 어플라이언스 제품과 Catalyst 6500시리지의 모듈형이 있다.
2. 라드웨어의 DefensePro(DP)
   - 대규모 사이트에서 1~3번 유형 대처할 때 적합
   - DP6000의 경우 10G모듈이며, 5~6G정도 공격은 커버 가능
3. 기가핀네트웍스의 Slimline, Flowline
   - 소규모 사이트에서 2번 유형을 대처할 때 적합
   - 약간 두꺼운 책 한 권 크기 정도이며, 가격이 저렴하다.
   - 1G UDP모듈만 제공(역시 소규모 사이트를 위한 제품임을 알 수 있음)했으나
     최근에 Flowline 500-F를 통해 광모듈 지원 장비도 나왔다.

시스코장비나 라드웨어 장비가 3번 유형을 막아준다고 표시해뒀는데, 유해한 UDP를 필터로 걸러내고 하위로 보내준다는 의미이지 보유한 회선을 넘는 공격을 막아낸다는 의미는 아니다.

※ 위의 모든 내용은 공격유형의 이름만 세미나에서 뽑아왔을 뿐이지 세미나 내용과는 전혀 무관하다.

세미나 내용중 흥미있는 슬라이드 2장만 올린다.

620만명의 '쉬리', 610만명의 관객에게 상춘고를 접수하고 강남을 포기하게 만들었던 '투사부일체'.
바로 이 투사부일체의 관객수와 비슷한 604만대의 머신이 봇에 감염(2006년 상반기보다 29% 증가)됐다고 한다.
시맨텍이 2006년 7월부터 12월까지 180여개국 이상에 설치한 4만개의 센서에서 수집한 정보를 토대로 하여 작성한 Symantec Internet Security Threat Report(ISTR, 인터넷 보안 위협 보고서)에 따른 것이다.

http://www.symantec.com/about/news/release/article.jsp?prid=20070319_01
http://j2k.naver.com/j2k_frame.php/korean/www.symantec.com/ja/jp/about/news/release/article.jsp?prid=20070327_01

2006년 하반기에는 상반기보다 11% 증가한 1일 평균 63,912대의 봇 감염 머신(Zoombie, 좀비)을 발견했다. 봇에 공격을 명령하는 서버 대수는 4,746대로 2006년 상반기 부터 25% 감소하고 있다. 봇 감염 대수는 증가했으나 명령하는 서버 대수가 줄었다는 것은 통합과 대규모화가 진행됨을 의미한다. 사람 세계에서 일어나고 있는 대통합의 형태가 봇에서도 이뤄지고 있는 것이다.

작년부터 국내에 숨겨진 이슈(?)인 DDoS공격의 증가도 이런 봇의 일괄적인 공격이 한 몫하고 있는 것으로 보인다. '투사부일체'의 조직같은 봇이 이제 인터넷은 그만 접수했으면 한다. ^^

[원본 이미지보기]

아래 도표에서는 뒤에서 두번째 있는 컬럼(중국이 1위인 컬럼)이 봇의 순위이다.
봇 감염 대수는 중국이 26%로 1위를 했고, 우리 나라는 11위다. 명령 서버의 40%는 미국에 존재한다고 한다.

[원본이미지 보기]

덧붙여 피싱사이트 순위까지 확인해보자.

[원본이미지 보기]

1위 미국 46%
2위 독일 11%
3위 영국 35
4위 프랑스 3%
5위 일본 3% (아시아에서 가장 순위가 높음)
6위 대만 3%
7위 캐나다 2%
8위 중국 2%
9위 한국 2%
10위 네덜란드 2%

RIPE NCC의 DNSMON 페이지를 보면 13 root DNS 서버중에 g.root-servers.net와 l.root-servers.net DNS서버에서 대략 12시간정도 공격을 받은 것으로 보입니다. 06번이 G root서버 (DDN 관리), 11번이 L root서 버 (ICANN 관리)입니다. L root서버는 중간에 공격이 줄었다가 재차 공격을 시도를 했습니다.
 
* RIPE NCC의 DNSMON 페이지 (root DNS, 2007.2.5~2.7, 48시간)

org DNS 서버는 tld1.ultradns.net, tld2.ultradns.net, tld3.ultradns.org, tld4.ultradns.org, tld5.ultradns.info, tld6.ultradns.co.uk 6대가 골고루 공격을 당했습니다.
 
* RIPE NCC의 DNSMON 페이지 (org DNS, 2007.2.5~2.7, 48시간)

 
Team Cymu의 DNS Query Time Graph에는 정확히 확인하기 쉽지 않지만 G root 서버에서 Response Time이 그 시간대에 순간 올라갔음을 확인할 수 있습니다.
 
* DNS Query Response Time Graphs (Chicago, g.root-servers.net)
[ Tokyo와 Chicago와 회선에서 체크한 결과 ]

기사에도 나와있네요. ^^*. 처음 보도때는 없던데, 글을 늦게 쓰다보니깐 이러네요. ^^*
 
* 인터넷 백본, 집중 공격에도 난공불락임을 입증 ( Zdnet, 2007.2.8 )

 
* 참고 : Huge DNS attack goes virtually unnoticed

DDoS공격이 1월말부터 증가했고, J 모 채팅 사이트가 며칠째 서비스를 못한다는 얘기를 들었습니다.
작년부터 DDoS공격이 있었지만 최근에 공격이 보다 증가하고, 강도도 높아진걸로 보입니다.
이는 언론에서도 얘기하듯이
1) 기존의 돈요구 목적 외에
2) 31일에 중국에서 있었던 동계아시안게임때 우리팀 선수의 백두산 세리머니로 인해 중국해커들의 공격이 있는 걸로도 추측해볼 수 있을 것 같습니다.

최근 DDoS 공격에 대한 얘기들이 많이 나오고는 있지만 중국발 웹해킹(특히 윈도)에 대한 것도 빼놓을 수가 없겠죠. 커피닉스에 몇몇 웹해킹 관련 정보를 적어둔게 있으니 검 색해보시면 될겁니다. 이전에 적어둔 웹해킹 사례외에도 몇몇 사이트를 알고 있지만 친분상 알게된 정보라 따로 얘기하지 않겠습니다.

블로그, 신문기사와 호스팅사이트를 토대로 DDoS 공격을 당한 경우를 정리했습니다. 이외에 누구나 아는 대형 사이트 몇개가 있지만, 해당 업체관계자에게 직접 들은 정보가 아니어서 말씀드리지 않겠습니다. (몇 단계를 거치다 보면 정확하지 않은 정보가 전달되는 경우가 있으니깐요. ^^*)

1. 티스토리 서비스 장애관련 (2007.1.29 오전~)

http://notice.tistory.com/736


한시간여 동안이라고 쓰여있지만 실제로는 그 이상이였죠. 티스토리 장애건 워낙 많은 블로거들이 써서 따로 적지 않겠습니다.

2. 닷네임코리아 (2007.1.29)

http://www.dotname.co.kr/server_error2.html

http://blog.naver.com/anlichol?Redirect=Log&logNo=150014189101 (2007.2.5, 양선생님)
http://s2day.tistory.com/293 (2007.2.5, S2day님)

withpartner.co.kr 이라는 사이트가 공격을 당했다고 하는데, 이 사이트가 닷네임코리아에 할당된 IP입니다.
그래서 닷네임코리아의 일부 IP대역이 서비스가 안되었을 걸로 추측합니다. 아래는 with... IP를 whois한 결과입니다.