좋은진호의 여유만만

위키피디아(Wikipedia)는 약 350여대의 서버로 운영되고 있다. 2008년 당시에 초당 5만번의 웹요청, 그리고 MySQL DB를 사용하여 초당 8만번의 SQL 쿼리가 발생한다. 지난 7월 31일에 잠깐동안 위키피디아(Wikipedia) 서비스에 장애가 발생했다. 아래 메시지 중에 10.0.6.28은 클러스터링된 DB서버 IP중의 1개이다.

어제 네이버 메일과 쪽지기능, 옥션(auction.co.kr), 조선닷컴(chosun.com), 청와대(www.president.go.kr), 국방부(www.mnd.go.kr), 은행사이트, 그리고 백악관 등 다수 사이트가 DDoS공격을 받았다. 지금도 청와대, 국방부, 조선닷컴, 옥션 등이 원할게 접속되지 않는다. 네이버 블로그도 일부 개인 페이지들이 제대로 보이지 않는 경우가 있다. 그 원인은 악성코드 때문이었다. 쿨캣님의 블로그( http://xcoolcat7.tistory.com/520 )에서 악성코드가 공격을 하는 대상 사이트의 목록을 볼 수 있다. 악성코드의 공격대상 목록과 실제 공격당한 사이트가 일치한다.


msiexec1.exe 등을 포함한 Win-Trojan/Downloader.374651 악성코드는 안철수연구소 바이러스 정보에서 정보를 얻을 수 있다. 그러나 공격대상 사이트 목록이 있는 msiexec2.exe에 대한 분석자료는 안랩 사이트 등 다른 곳에는 아직 공개되어 있지 않은 상태이다.

KRCERT에 '신종 분산서비스거부공격(DDoS)에 따른 "주의" 경보발령'  공지가 올라와 있다. '신종 DDoS 악성코드로 인하여 국내 주요 공공기관 및 이용자 방문이 많은 포털, 금융 사이트에 대한 접속 장애 발생'했다는 내용이다.

이 악성코드가 부팅 후 자동 실행이 된다. 그리고, 제어 서버(C&C) 접속 없이 공격 대상 목록 파일정보를 기반으로 자동 공격한다.  만약 악성코드내에 공격을 중단하는 명령이 없다고 한다면, 대상사이트는 공격을 계속 받을 수 밖에 없다. C&C(Command & Control) 접속없이 이뤄지므로, 공격을 멈출 방법이 없기 때문이다. PC만 켜져있는 동안은 계속 공격이 이뤄진다는 얘기.

개인 PC에 악성코드가 심어져 있는지 검사가 필요하다.


* 관련정보 (18:15 추가)
  - 안철수연구소, DDoS 공격용 악성코드 전용백신 무료 제공 (그리고, 이번에 공격한 악성코드명)
  - Urgent-Massive DDOS Attack!
  - 하우리의 분석자료 (Trojan.Win32.DDoS-Agent.33841) (공격대상 목록 포함)
공격 대상 목록  - 네이버, 옥션, 청와대 공격 악성코드 분석 (글 쿨캣님, 16:36)

• 악성코드 초기 버전(7.5일)이 만든 uregvs.nls 파일에는 한국 사이트는 없었고, 미국 정부 사이트만 있었다고.
• 한국 사이트는 7월 7일에 포함
  

라드웨어에서 준비한 '2008 Radware DDoS 보안 세미나'에 갔다왔다. 평점을 주면 5점만점에 3점 정도. 사례중심의 발표를 기대했지만, 보편적인 내용으로 흘러갔다. 저와 함께 참석했던 커피닉스( http://coffeenix.net/ )의 나머지 다섯분도 같은 의견이다.

생각난김에 DDoS 공격 유형따라 막을 수 있는지 여부를 정리했다.

국내 DDoS공격이 곳곳에서 터지기 시작한 2007년 초반에만 하더라도, DDoS공격을 막을 수 있느냐, 없느냐의 논의가 몇몇 커뮤니티에서 있었다. 그러나 요즘은 막을 수 없는 공격이 주를 이룬다는 것을 잘 알고 있다.

결론적으로는 회선 대역폭을 공격량보다 많이 확보( 보유한 회선 > 공격량 )해야 공격의 주를 이루는 UDP, ICMP flooding 공격을 버텨낼 수 있는 최소한의 조건을 만족한다. 이 때 네트웍장비의 CPU load 가 낮아야만, 사용자는 불편함없이 서비스를 이용하게 될 것이다. 10G, 20G 이상의 공격량이 많을 경우엔, 다른 고객사에게 피해를 주거나 연동망 장애를 가져올 수 있다. 이럴 경우 IDC나 ISP에서 먼저 차단할 것이다. 즉, 서비스 업체의 인프라만으로는 서비스의 완벽보장은 이뤄내기 힘들다.

UDP, ICMP이외에 공격 유형에 따라, 시스템(네트웍, 서버, 보안장비) 인프라가 되면 막을 수 있는 유형도 있다. Radware 세미나에서 제시한 공격유형 6가지 정도를 갖고 살펴보도록 하겠다.


1. HTTP Flood

  웹페이지를 과다하게 호출하여 서버의 load가 높아지거나 처리가능한 커넥션수를 초과하게 만드는 공격이다.
  '웹페이지 과다 호출 방식의 DDoS공격 사례' (글 좋은진호, 2008.1.23)를 참고하기 바란다.
  IPS, L4스위치의 성능, 웹서버의 설정을 통해서 막아 낼 수 있다.

  1) IPS없고, L4스위치도 없다면.
      몇대 안되는 웹서버를 로드밸런싱하고 있는데, 다량의 공격(세션이 몇만이상)이라면 서버 load가 높아져 서비스가 불가능할 것이다.
  2) IPS없고, 성능 좋은 L4스위치. 그리고 몇 십대의 웹서버를 L4에 물려 서비스 한다면.
      이 때는 '웹페이지 과다 호출 방식의 DDoS공격 사례'에 써진 것처럼 막아 낼 수 있는 방법을 찾을 수 있다.
      그러나 몇 십대에 분산되어 서버가 다 받아드리더라도, 세션이 몇만~몇십만의 공격일 때 L4의 처리한계로 서비스가 느려질 수 있다.
  3) IPS있다면, 웹서버의 설정까지 조합해서 가능

2. SYN Flood, TCP Flag Flood, Half-Open Flood

  방화벽, L4스위치(SYN proxy기능을 갖는 L4. 그러나 SYN proxy기능을 이용하려면 DSR구성 방식은 불가능함), IPS등으로 막아낼 수 있다.

3. UDP Flood, ICMP Flood

  초기에 얘기했던 것처럼 공격량보다 많은 회선을 확보하지 못하면 어떠한 장비를 도입하더라도 막아낼 수 없다.  본인의 백본보다 상위단의 백본을 관리하는 곳(IDC, 호스팅 등)에 요청하여 dest. IP를 차단해달라고 요청해야할 것이다.

  작년 초에는 방화벽, ISP의 장비 업체의 실력있는 엔지니어들도 '우리 장비는 막을 수 있을 것 같다.'라고 얘기하는 경우도 있었다. UDP는 포트가 오픈되어 있지 않더라도 백본까지는 UDP 트래픽이 들어온다는 것(백본에서 UDP를 막았을 때)을 알면서도 저렇게 생각하고 있는 경우가 있었다. 요즘은 국내의 DDoS공격이 주위 사람에게만 뒤져봐도 흔하게 일어나는 안타까운 현실 때문에, 업체에서도 저런 얘기를 하는 경우는 줄었을 것이다.

  참고로 UDP는 주로 80포트와 53(DNS) 포트로 공격하지만 이외에 1024이하의 임의로 포트로 공격하는 경우도 있다.

DDoS 대응 장비로 거론되는 것은 다음 3가지 정도일 것이다.

1. 시스코의 Guard & Detector
   - 대규모 사이트에서 위의 2~3번 유형 대처할 때 적합
   - 초기 훈련을 통해 평상시의 트래픽을 인지하는 방식이라서 1번의 유형을 대처할 수도 있다.
      확인해본 적이 없어서 ^^
   - 1G 장비
   - 어플라이언스 제품과 Catalyst 6500시리지의 모듈형이 있다.
2. 라드웨어의 DefensePro(DP)
   - 대규모 사이트에서 1~3번 유형 대처할 때 적합
   - DP6000의 경우 10G모듈이며, 5~6G정도 공격은 커버 가능
3. 기가핀네트웍스의 Slimline, Flowline
   - 소규모 사이트에서 2번 유형을 대처할 때 적합
   - 약간 두꺼운 책 한 권 크기 정도이며, 가격이 저렴하다.
   - 1G UDP모듈만 제공(역시 소규모 사이트를 위한 제품임을 알 수 있음)했으나
     최근에 Flowline 500-F를 통해 광모듈 지원 장비도 나왔다.

시스코장비나 라드웨어 장비가 3번 유형을 막아준다고 표시해뒀는데, 유해한 UDP를 필터로 걸러내고 하위로 보내준다는 의미이지 보유한 회선을 넘는 공격을 막아낸다는 의미는 아니다.

※ 위의 모든 내용은 공격유형의 이름만 세미나에서 뽑아왔을 뿐이지 세미나 내용과는 전혀 무관하다.

세미나 내용중 흥미있는 슬라이드 2장만 올린다.

2주전에 정통부는 DDoS 공격 대응책 마련에 올해 20억원을 책정했다는 기사가 보도되었다. 20억이라는 금액은 누가 봐도 너무 적은 금액이라는 것을 알 것이다.
장비 몇대 또는 10여대면 끝날 금액으로 IX 3곳에 나누어 설치하는데, 이걸로 뭘할까 싶다.

20억 투자가 계획대로 진행되더라도, 구축체계 가동까지는 12월이다. 12월까지는 정부차원의 특별한 대응책('빨리 협조하여 대응한다'는 말뿐인 대응말고.)은 없어 보인다.


대조적으로 VeriSign은 타이탄(Titan) 프로젝트명으로 인프라확충에 2010년까지 1억달러 이상을 투자한다. (작년 4월에 쓴 '.com & .net 도메인 수수료 인상과 Titan 프로젝트'을 참고하세요.) 작년 2월에 root DNS의 공격을 받은 것이 큰 계기가 되었다.

21일 나온 기사에 따르면( 인터넷침해 대응체계 구축, 디지털타임스), 지난 5년간 경제적으로 약 5조3000억원의 침해사고에 대한 피해손실 예방 효과를 거두었다고 발표했다.


많이도 막았다고 자랑할 때가 아니다. 2000년 2월 야후, 이베이, 아마존 등이 DDoS공격에 의한 직접적 피해액만 1조 5천억원으로 산정한다.
현재 DDoS의 타켓이 국내 대형 포털이 아니지만 언제 포털이나 정부기관이 될지 모른다. 2000년의 해외 교훈을 잘 생각하자. 큰 손실을 막았다고 자랑하지 말고 더 큰 손실을 줄이기 위해 20억이 아니라, 200억을 한번에 투입해도 부족한 때이다.

인터넷에 고속도로만 뚫는게 전부가 아니다. 안전장치를 늘려 대형 사고를 줄여야 한다는 것을 잊지 말자.

* 정부, DDoS 공격 대책 마련 나선다 (2008.1.8, 아이뉴스24)
http://news.empas.com/show.tsp/cp_in/20080108n17198/

※ 올해에도 웹하드 업체의 DDoS공격이 심심치 않게 들려온다.

http://www.edaily.co.kr/news/stock/newsRead.asp?sub_cd=DB41&newsid=01902406582997064&clkcode=00203&DirCode=0030503&curtype=read


DDoS공격은 유형에 따라 차단할 수 있는 것도 있지만, 대부분 복합적인 방법으로 이뤄져 기술적으로 차단할 방법이 거의 없다. IDC, ISP등의 협조 없이는 IDC 고객(10G이상의 여유회선을 갖고 있지 않은 고객)입장에서 막을 방법은 없다라고 보는게 맞을 것 같다.

- 공격량보다 많은 회선을 확보하면 좋겠지만 비용 만만치 않다는 것은 잘 알테고,
- 회선 확보 후 보안장비를 설치한다고 하더라도 장비의 성능이상의 트래픽이 들어오면 정상적인 서비스를 보장받을 수 없다.

DDoS를 위한 Cisco Guard & Detector(단독형 또는 Cisco 6500시리즈의 모듈형이 있음) 장비가 있지만 1G단위의 장비라, 공격이 5Gb라면 5대를 설치를 해야한다. 물론 그 이상의 공격이 들어오면 안정적인 서비스를 보장받기는 어렵고 ^^*

KT, 하나로 등의 몇몇 입주업체에서 저런 공격을 받은 걸로 들었다. 그리고, KT분당 IDC에 있는 호스팅업체 smileserv.com ( http://www.1000dedi.net/ )내에 있는 입주사도 공격을 받았으며, 공지사항의 사과문도 확인할 수 있다.

http://sample.1000dedi.net/hosting/gnuboard4/bbs/board.php?bo_table=commonBoard&wr_id=119

트래픽 양잉 일반적인 경우 6 기가, 최대 10 기가라니 실로 엄청나다. '일명 500만원 DOS 공격 괴담'이라니... 이업체를 토대로 이데일리에서 기사를 쓴건가...

정부, ISP, IDC간의 업무협조가 빨리 이뤄지길 바라며, 개인사용자의 보안의식도 강화되기를 빌어본다.