'DDos'에 해당되는 글 36건

  1. 2012.02.06 어나니머스의 디도스활동 상황 ( DDoS Activity) (4)
  2. 2011.03.07 [칼럼] 3.3 DDoS 공격이 '개인정보보호법 제정'에 불씨를 당겨야 (2)
  3. 2009.12.17 이것이 우리나라 보안현실이다. (2)
  4. 2009.11.06 DDoS가 비지니스 모델로 자리잡을터 (2)
  5. 2009.10.13 사이버 테러와 IT코리아 현주소
  6. 2009.10.11 [DDOS] 리오레이 제품 소개서
  7. 2009.09.16 [기고-4] 7.7 DDoS 사태이후, 변화는 아직도 미지수 (3)
  8. 2009.08.07 구글, 트위터, 페이스북도 DDoS 공격엔 속수무책 (3)
  9. 2009.08.05 [기고-3] 좀비 된 뒤 울지 말고 준비된 PC로 (4)
  10. 2009.07.21 안티 DDoS 제품, CC없어도 공공납품 가능
  11. 2009.07.19 [칼럼-88] 7.7 DDoS 사태가 남겨 준 교훈(1) -무엇이 문제일까? (5)
  12. 2009.07.15 7.7 DDoS 마스터 서버 및 좀비PC 갯수 (2)
  13. 2009.07.14 '서비스거부공격'이 아닌 '서비스방해공격' 표현이 맞아 (6)
  14. 2009.07.12 [인터뷰-4] 노컷뉴스 라디오 인터뷰 -DDoS관련 (10)
  15. 2009.07.12 지금까지 DDoS 관련 포스팅 정리
  16. 2009.07.10 보안 홍보 "커뮤니티" 와 "블로거"가 해야 하나? (8)
  17. 2009.07.09 '정보보호' 얼마나 급했으면 이런 광고까지. (5)
  18. 2009.07.08 어제부터 인터넷 안되신 분들, 원인이 있었네요 (9)
  19. 2009.06.03 시스템 관리자라면 udp flood 툴 검색하세요 (10)
  20. 2009.03.19 좀비 PC로 해킹시연 했다면 법률에 저촉이될까? (5)
  21. 2008.11.06 패킷 생성 툴 소개 (6)
  22. 2008.10.14 Case Study: DDoS Attack/Online Stock Broker
  23. 2008.10.10 netstat -s 명령어 옵션
  24. 2008.09.27 DDoS 공격 대응시스템 특징 비교자료
  25. 2008.09.24 디도스 공격 툴 5.3
  26. 2008.08.18 DDoS 공격 과연 막아 낼수 있는가? (7)
  27. 2008.08.18 DDoS 테스트 툴 - DOSHTTP (5)
  28. 2008.08.14 DDoS 공격, 조폭과 다를바 뭐 있냐? (11)
  29. 2008.06.07 Malcode and DDoS Locations: May 2008
  30. 2008.06.05 DDoS 솔루션 - 시스코 가드디텍터

보안이라는 분야는 참 넓고 다양합니다. 흔히 기술적,관리적,물리적이라는 단어는 참 다양하고 넓게 쓰이는듯 합니다. 지금까지 관리적 부분에 많은 할애를 하였는데, 올해부터 영어공부를 목표 중에 하나로 넣었습니다. 따라서 발번역이 될텐데요. 동기부여 차원에서 기술적 부문의 해외 사이트 번역을  해 보려고 합니다. 그러면 기술적 지식공유도, 그리고 번역공부도 될듯해서 말이죠.. 아무튼 달려 봅니다. 오늘은 첫 제목이 "anonymous DDoS 활동" 정도 되겠네요.

1. 개요.

US-CERT는 공공기관과 민간 기업 웹사이트로부터 분산서비스거부공격 (DDoS) 의 대상이 되는 다양한 공격 정보를 받게 됩니다. 어나니머스가 공격하는 집단은 파일호스팅, 사이트 메가 업로드의 종료에 대한 응답과 저작권으로 지적 재산권 및 위조 상품(온라인불법 복제법, SOPA,PIPA)에 실시간 온라인 위협을 가합니다.

2.  설명

US-CERT는 두종류의 DDoS 공격을 증명합니다. : 하나는 HTTP GET reguest 이고, 하나는 단순한 udp flood 입니다.

The Low Orbit Ion Cannon (LOIC) 는 (루이) 어나니머스 활동과 관련된 서비스거부 공격 도구입니다. US-CERT는 적어도 2개의 구현을 검토하였습니다. 한개는 자바스크립트로 작성되었으며 웹브라우져에서 사용토록 설계되었습니다. 공격자는 웹사이트에서 루이 변종에 액세스하여 목표를 선택하고 선택적인 메세지, 공격트래픽 및 공격 모니터 공격 진행을 지정 할 수 있습니다. 루이의 바이너리 변종 노드 IRC 또는 RSS 명령 채널(이하 HiveMind")를 통해 제어 할 수 있도록 봇넷에 참여 하는 능력을 가집니다.



툴 사진은 여기

LOIC 서버 로그를 보면 다음과 같습니다.


"GET /?id=1327014400570&msg=We%20Are%20Legion! HTTP/1.1" 200 99406 "hxxp://pastehtml.com/view/blafp1ly1.html" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:9.0.1) Gecko/20100101 Firefox/9.0.1"

다음 사이트는 루이 트래픽이 HTTP로그 에서 확인이 되었습니다. 완전하지 않지만 그들은 아직도 루이 또는 기타 악성코드가 작동 하여 호스팅 할 수 있으므로 다음 링크는 방문하지 않는 것이 좋겠습니다.

"hxxp://3g.bamatea.com/loic.html"
"hxxp://anonymouse.org/cgi-bin/anon-www.cgi/"
"hxxp://chatimpacto.org/Loic/"
"hxxp://cybercrime.hostzi.com/Ym90bmV0/loic/"
"hxxp://event.seeho.co.kr/loic.html"
"hxxp://pastehtml.com/view/bl3weewxq.html"
"hxxp://pastehtml.com/view/bl7qhhp5c.html"
"hxxp://pastehtml.com/view/blafp1ly1.html"
"hxxp://pastehtml.com/view/blakyjwbi.html"
"hxxp://pastehtml.com/view/blal5t64j.html"
"hxxp://pastehtml.com/view/blaoyp0qs.html"
"hxxp://www.lcnongjipeijian.com/loic.html"
"hxxp://www.rotterproxy.info/browse.php/704521df/ccc21Oi8/vY3liZXJ/jcmltZS5/ob3N0emk/uY29tL1l/tOTBibVY/wL2xvaWM/v/b5/fnorefer"
"hxxp://www.tandycollection.co.kr/loic.html"
"hxxp://www.zgon.cn/loic.html"
"hxxp://zgon.cn/loic.html"
"hxxp://www.turbytoy.com.ar/admin/archivos/hive.html"


아래는 2012년 1월20일 로그입니다.


3g[.]bamatea[.]com                A    218[.]5[.]113[.]218
cybercrime[.]hostzi[.]com         A    31[.]170[.]161[.]36
event[.]seeho[.]co[.]kr           A    210[.]207[.]87[.]195
chatimpacto[.]org                 A    66[.]96[.]160[.]151  
anonymouse[.]org                  A    193[.]200[.]150[.]125
pastehtml[.]com                   A    88[.]90[.]29[.]58
lcnongjipeijian[.]com             A    49[.]247[.]252[.]105
www[.]rotterproxy[.]info          A    208[.]94[.]245[.]131
www[.]tandycollection[.]co[.]kr   A    121[.]254[.]168[.]87
www[.]zgon[.]cn                   A    59[.]54[.]54[.]204
www[.]turbytoy[.]com[.]ar         A    190[.]228[.]29[.]84

[*번역자주]

-위 로그를 보시면 한국 도메인도 2개나 나타나 있는 것을 보았습니다. 특히 IP정보까지 직접 나타나 있습니다. 
  관련 사이트 담당자분들은 점검을 해 볼 필요가 있겠습니다. -   


HTTP에 대한 요청은 예를들어 유닉스에 사용자 정의 "오류"값을 토대로 "ID"값을 포함한 예시입니다.


GET /?id=1327014189930&msg=%C2%A1%C2%A1NO%20NOS%20GUSTA%20LA%20

다른 오류값


msg=%C2%A1%C2%A1NO%20NOS%20GUSTA%20LA%20
msg=:)
msg=:D
msg=Somos%20Legion!!!
msg=Somos%20legi%C3%B3n!
msg=Stop%20S.O.P.A%20:)%20%E2%99%AB%E2%99%AB HTTP/1.1" 200 99406 "http://pastehtml.com/view/bl7qhhp5c.html"
msg=We%20Are%20Legion!
msg=gh
msg=open%20megaupload
msg=que%20sepan%20los%20nacidos%20y%20los%20que%20van%20a%20nacer%20que%20nacimos%20para%20vencer%20y%20no%20para%20ser%20vencidos
msg=stop%20SOPA!!
msg=We%20are%20Anonymous.%20We%20are%20Legion.%20We%20do%20not%20forgive.%20We%20do%20not%20forget.%20Expect%20us!

"메세지"필드는 임의의 공격자가 설정할 수 있습니다.

2012년 1월20일 기준으로 US-CERT는 포트25, 80에 UDP 패킷으로 구성되어 다른 공격을 관찰했습니다. 예를 들면 패딩의 변수에 다음 메세지를 포함하여 공격합니다.


66:6c:6f:6f:64:00:00:00:00:00:00:00:00:00 | flood.........


3. 솔루션

공격뿐만 아니라 대상 네트워크 인프라 종류에 따라 DDoS 공격과 수용가능한 전략은 여러가지가 있을 수 있습니다. 일반적으로 DDoS 공격에 대한 최상의 방어는 철저한 준비과정을 포함하고 있습니다.

  • 점검이나 DDoS 공격의 경우에 따라야 하는 표준운영절차(SOP)를 개발 할 수있습니다. 점검 또는 SOP에서 중요한 포인트는 ISP와 호스팅 업체의 연락처 정보를 가지고 DDoS 공격동안 연락해야 하는 사람을 파악해야하는 것이죠. 또한 어떠한 식별과 어떤 프로세스가 필요한지 어떻게 해야 하는지에 따른 행동은 공격하는 동안 수반이 됩니다.
  • ISP 또는 호스팅 업체는 DDoS 공격을 방어하는 서비스를 제공할 수 있습니다. 직원들이 귀하의 서비스수준계약 (SLA)의 규정을 인식한지 확인해야 합니다.
  • 방화벽팀, IDS팀, 네트워크팀에 대한 정보를 문의하고 그것이  공격 방어에 쉽게 수행 할 수 있도록 유지 합니다.
  • 공격에 대응하는 것 뿐만 아니라 그들이 최우선 동안 유지되어야 하는 중요한 서비스를 식별하는 것이 더 중요합니다. 서비스는 공격의 효과를 제한 할  필요에 따라 자원이 해제 또는 차단 될수 있는지 확인하기 위해 사전에 우선시 되어야 합니다. 중요한 시스템이 DDoS에 견딜수 있는 충분한 능력이 있는지도 확인합니다.
  • 현재 상태에서 네트워크 다이어그램, IT인프라세부정보, 자산, 재고등을 파악해야 합니다. 공격이 진행이 되면 행동과 우선순위를 결정하는데 도움이 될 것입니다.
  • 현재 환경을 이해하고 네트워크 트랙픽 볼륨의 기준, 유형 및 성능을 가지고 말입니다. 이것은 공격 종류를 식별 할 수있도록 공격시점과 공격벡터로 사용됩니다. 필요한 경우 기존의 병목현상과 보완 작업을 식별 합니다.
  • 일부 서비스 비활성화와 응용프로그램의 비활성화하여 기능을 강화하고 네트워크 구성설정, 운영체제 강화는 의도된 기능을 수행합니다.
  • 같은 방화벽과 같은 stateful 보안장치에 부하를 감소하기 위해 에지 라우팅이 가능한다면 서비스 검사를 할 수있는 직원이 있어야 합니다.
  • 중요한 서비스 분리
    • 공공 및 개인서비스
    • 인트라넷, 익스트라넷 및 인터넷서비스
    • HTTP,FTP 및 DNS와 같은 각 서비스에 대한 단일 목적 서버 만들기
    • US-CERT 사이버 보안팁 이해하기  http://www.us-cert.gov/cas/tips/ST04-015.html


4. 참고문헌


원본 출처: http://www.us-cert.gov/cas/techalerts/TA12-024A.html

번역이 그리 매끄럽지 않아 이상 할 수도 있습니다만 아무튼 그냥 남에게 보여주기식 보다는 제가 공부한다는 자세로 포스팅 해 볼 생각입니다. 혹시 이해가 안되시는 분은 출처를 남겨 놓았으니 영문 원본 출처 사이트를 이용해 주시면 좋겠구요. 덧붙여 매끄럽게 번역이 안되면 지적도 해 주시면 포스팅을 수정해서 놓겠습니다. 전문가는 나이와는 상관이 없는 듯 합니다. 꾸준히 노력 해야 할 뿐이지요. @엔시스.

* 최종수정일 :2012.02.09  10:38:40

 
신고
Posted by 엔시스

개인정보보호법 제정의 통과(3/9, 3/11) 여부에 귀추가 주목되고 있는 가운데, 3.3 디도스 공격을 또 받아서 정부의 보안에 대한 인식을 일깨워 놓고 있다. 개인정보보호법과 DDoS 재 공격의 교훈을 한번 살펴 보자.


법적인 사각지대를 해소하려면 강제적 법적규제 마련되어야

자발적인 실행이나 실천이 이루어지지 않을시에는 강제적 규제를 강화하는 것이 국익을 위하여 바람직하다면 택해야 하는 것이다. 개인정보보법이 국회에서 잠자고 있는 사이에 국가 주요사이트가 디도스 공격에 일시 접속이 지연되는 사태가 재발이 되었다. 디도스 공격은 언제든지 재발 가능성이 있고, 우선 웹서버에 접속을 못하게 함으로 인하여 보안의 3요소중 가용성을 떨어뜨리는 아주 대표적인 공격방법이다.

이러한 가운데에서 지난 7.7 DDoS공격으로 인하여 장비를 구매해야 한다고 긴급 예산 200억을 편성하여 장비 구매에만 신경을 쓰게 되었지만 또 다시 디도스 공격에 당할수 밖에 없었다.

2009/07/15 - [Security Skill&Trend] - 7.7 DDoS 마스터 서버 및 좀비PC 갯수
2009/07/19 - [Lecture&Comlumn] - [칼럼-88] 7.7 DDoS 사태가 남겨 준 교훈(1) -무엇이 문제일까?
2009/07/19 - [Lecture&Comlumn] - [칼럼-89] 7.7 DDoS 사태가 남겨 준 교훈(2) -사이버 조폭 DDoS
2009/07/20 - [Lecture&Comlumn] - [칼럼-90] 7.7 DDoS 사태가 남겨 준 교훈(3) - 보안인식 제고를 위한 제언
2009/09/16 - [Lecture&Comlumn] - [기고-4] 7.7 DDoS 사태이후, 변화는 아직도 미지수


혹자는 보안에 대하여 조금이라도 알고 있으면 디도스 공격을 방어하기란 그리 말처럼 쉽지 않다는 사실을 알게 된다,.이러한 한꺼번에 많은 트래픽이나 요즘은 적은 트래픽이라도 리소스 고갈을 시키키위하여 지속적으로 보내어 결국 서버에서 다운이 되는 CC 공격등..쉽게 방어 할 수있는 문제는 아니다.

지난 디도스 BMT를 해 보았을때에도 디도스 장비만 있다고 해서 모든 디도스를 막을 수 있다는 것은 오해일수도 있다. 여러가지 서비스를 잘 유지할 수 있는 다양한 장비를 구비하고 방어를 해야만 가능하기 때문이다.

2009/04/02 - [Security Solution] - DDoS 공격 억제 솔루션, BMT중에 있습니다.


이러한 디도스에 동원되는 좀비PC는 어떠한 형태로 감염이 되었는지 모른다. 일부 DDoS에 동원이 되었다고는 하지만 자신이 가지고 있는 개인정보가 유출이 되었는지 않되었는지도 파악이 되지 않는 것이다. 그런 측면에서 볼때 DDoS를 피해를 줄이고자하는 것은 공격을 받아 방어를 위한 장비를 증대 하는것 보다는 그 원천적인 근원을 캐서 수정하고 고치는 것이 바람직 한 것이라 생각을 한다.


이번 DDoS 공격이 어쩌면 개인정보보호법 제정에 불씨를 지필지도

3월에 개인정보보호법 통과를 앞두고 관련 업계 및 기관과 정부에서 귀추가 주목되고 있다. 아직도 보안에 대한 위험의 인식을 느끼지 못한다면 도대체 몇번이나 더 당해야만 알수 있는가의 의구심을 품을 수도 있다. 어쩌면 이번 DDoS 공격은 법제정을 위한 적절한 시기에 타이밍을 맞춘거 같기도 하다는 느낌이 든다. 이번에도 법이 그대로 표류 할 수 밖에 없다고 한다면 결국 대한민국의 보안은 후진국수준에 머물러 있을 수 밖에 없다. 또한 그동안 관련 기관과 업계에서 준비했던 부분이 모두 허사로 돌아가게 되고, 앞으로 개인정보 유출로 인한 제2, 제3의 피해가 나타날 것이고, 이것은 보이스피싱과 SNS와 결합하여 점점 더 사람중심이 아닌 사이버중심의 세계로 빠져들어 더 이상 개인의 사생활 보호가 어려워 질 것이다. 그렇다고 해서 인터넷을 사용하지 않을 수도 없는 노릇이 아닌가? 엑티브 엑스 그렇고 욕을 하고도 인터넷뱅킹 사용하려니 사용할 수밖에 없지 않는가? 이제는 더 이상 디도스공격이나 개인정보유출로 인하여 같은 이야기를 반복하게 만들면 안될 것이다.



일부 언론에는 지난번 대응에 대한 학습때문에 그나마 미미한 수준에 머물렀다고는 하지만 이제 디도스에 대한 공격 트래픽은 이미 수백기가를 넘어서 공격하고 있고, 또 다양한 기술로 공격해 오고 있기에 언제어떻게 국가 기간망이나 전산망이 공격을 받을지 모른다. 부디 영화 다이하드4의 재현이 현실로 나타나지 않기를 바랄뿐이다.  @엔시스.

신고
Posted by 엔시스

인터뷰가 모든 것을 나타내는 것은 아니지만 절대적인 보안인식이 중요하다는 생각을 가지게 하는 동영상이다.
블로거 여러분  제발 보안에 대하여 한번쯤 진지하게 고민해 보시기 바랍니다.

그냥 스쳐지나갈 일은 아닌것 같네요..




신고
Posted by 엔시스

국내에서도 DDoS를 비지니스 모델로 하여 사업을 하는 곳이 몇군데 있습니다. 이제는 이러한 공격을 막아주는 것을 비지니스 사업으로 하는 곳들이 늘어 나게 되겠군요.




일부 외국에서는 비지니스를 하면서 보내는 샘플용 편지도 소개가 되고 있네요..

Sample DDOS extortion letter:
"Hello. If you want to continue having your site operational, you must pay us 10 000 rubles monthly. Attention! Starting as of DATE your site will be a subject to a DDoS attack. Your site will remain unavailable until you pay us.

The first attack will involve 2,000 bots. If you contact the companies involved in the protection of DDoS-attacks and they begin to block our bots, we will increase the number of bots to 50 000, and the protection of 50 000 bots is very, very expensive.

1-st payment (10 000 rubles) Must be made no later than DATE. All subsequent payments (10 000 rubles) Must be committed no later than 31 (30) day of each month starting from August 31. Late payment penalties will be charged 100% for each day of delay.


For example, if you do not have time to make payment on the last day of the month, then 1 day of you will have to pay a fine 100%, for instance 20 000 rubles. If you pay only the 2 nd date of the month, it will be for 30 000 rubles etc. Please pay on time, and then the initial 10 000 rubles offer will not change. Penalty fees apply to your first payment - no later than DATE"

You will also receive several bonuses.
1. 30% discount if you request DDoS attack on your competitors/enemies. Fair market value ddos attacks a simple site is about $ 100 per night, for you it will cost only 70 $ per day.
2. If we turn to your competitors / enemies, to make an attack on your site, then we deny them.

Payment must be done on our purse Yandex-money number 41001474323733. Every month the number will be a new purse, be careful. About how to use Yandex-money read on www.money.yandex.ru. If you want to apply to law enforcement agencies, we will not discourage you. We even give you their contacts: www.fsb.ru, www.mvd.ru
"

http://ddanchev.blogspot.com/2009/11/pricing-scheme-for-ddos-extortion.html


악의적인 공격으로 인하여 공격해오는 것을 방어하는 의미에서 비지니스 모델은 좋겠지만 비지니스 모델로써 너무 과열되다 보면 그 역기능이 발생하지도 않을까 하는 우려를 해 보기도 합니다.

이러한 모델로 인하여 비지니스를 하시는 분들은 유혹(?)에 빠지면 절대 안된다는 사실을 기억 하시기 바랍니다.



신고
Posted by 엔시스
TAG DDos, 보안




부제- 7.7 DDoS 대란의 원인과 현실적 대안 모색



전자신문에서 배포한 자료입니다..내용이 아주 잘 정리 되어 있습니다. 최근 DDoS 에 관심이 많으신 분들은 참고 하시면 좋겠습니다.  보고서 형태로 나온 것이니 기술적인 부분은 그리 많지 않습니다.. 참고 하시기 바랍니다..






신고
Posted by 엔시스





DDOS에 제품에 대한 관심이 고조 되는 가운데 관련 제품들에 대한 제품 소개서들이 필요 할 것이라 생각이 됩니다.

이에 작년과 올해 BMT하면서 관련된 지식과 자료를 공유하겠습니다..

올해 DDOS 제품 BMT 하면서 받은 제품 소개서입니다..DDOS 리오레이 제품입니다...관련 제품 선정하시는데 도움 되시기 바랍니다.

감사합니다.




신고
Posted by 엔시스


지난 보안뉴스에 기고를 하였습니다. 기고문은 우선 온라인 웹사이트에 발행이 되었고, 보안뉴스를 온라인 발행하는 "인포더"에서 월간잡지 "정보보호21C"에도 실리게 되었습니다. 오늘 정보보호 월간 매거진에서 확인을 하였습니다.


월간 매거진 "정보보호21C"



사진 원본 파일이 큰 사진을 보내 달라고 해서 보냈는데 웬지 급조한 티가 조금 나네요..이젠 좀 제대로된 프로필 사진 한개라도 준비를 해 놓아야겠습니다. 갑자기 사진달라고 하면 가끔 난감할때가 있습니다. 막상 보낼 사진이 없기 때문에 맨날 같은 사진 사용하려니..식상한거 같아서리..


아래에는 보안뉴스에 기고한 기고문입니다. 참고 하시기 바랍니다.

===================================================================================


반짝 보안에 대한 관심, 잊혀지지 않길 바래


지난 7월 7일, 지금으로부터 한달 전 국내 정부 사이트 및 쇼핑몰 사이트를 무력화 시켰던 DDoS 공격이 있은 후 딱 한달이 지났다. 벌써 우리는 또 다른 이슈에 묻혀서 사람들의 머리 속에서 잊혀지려고 하고 있다.


하지만 7.7 DDoS 공격으로 인하여 사람들 사이에서의 보안에 대한 인식의 변화는 조금 있으리라고 생각이 된다. 그 대표적인 것 중에 하나가 연일 방송과 언론에서 집중 보도 하는 바람에 국민들은 백신을 설치하고 점검해야 한다는 소리를 많이 듣고 자신의 PC가 좀비가 되지 않았을까 하는 걱정을 하는 이들도 많았고, 업계에서는 이에 대비하여 밤낮 없이 노력 한 결과 일반인들로 하여금 감사하다는 메일도 받았다는 업체도 있었다. 또한 이를 계기로 새로운 화두로 던져진 ‘DDoS’ 보안 시장에 출사표를 던진 업체도 눈에 보인다.


처음 사이트가 다운이되고 공격을 받고 있을땐 ‘북한 배후설’도 있었으며 콘트롤 타워가 없어서 우왕좌왕하는 모습은 역력하였으며, 일부 민간 보안업체는 관련 단체에 보고하느라 정신이 없었다고 한다. 시간이 지남에 따라 공격에 대한 추척도 나오고, 있지만 네트워크를 통한 국제적 공격은 공격자를 찾기도 쉽지 않고, 상당한 시간을 요한다.  일부 웹하드 업체에 있는 프로그램을 변조 시켜 그 프로그램을 다운받은 일반 PC들이 좀비로 되었다는 경찰의 발표도 있었다.


DDoS 공격은 침해사고의 한 예시일뿐 또 다른 위협도 많아

이번 DDoS 공격 사태에 대한 의미는 남다르다고 보겠지만 보안인식 수준에는 아직도 미미한 부분에 지나지 않은가 하는 생각이 든다. 그것은 DDoS 공격은 침해사고의 일부분에 지나지 않으며 또 다른 위협요소는 지극히 많다는 이야기이다.


잠시 작년의 기억을 거슬러 올라가 보자.


연초에 국내최대 쇼핑몰의 개인정보유출로 세상이 떠들썩 하였다. 또한 일부 정유사에서 개인정보유출로 인하여 수많은 국민의 개인정보가 유출되었음에도 불구하고 법률적 제도적 정비가 되어 있지않아 결국 법적 처벌도 할 수 없었다.  그 후속조치로 작년 12월 14개 준용사업자를 망법 제67조에 추가하는 법률을 개정하고 2009년7월1일자로 시행에 들어갔다. 하지만 아직도 그 준용사업자들은 이러한 사실을 모르는 것이 상당하다, 지금 작년 개인정보 유출에 대하여 기억하고 있는 사람이 몇 명이나 있겠는가?


얼마전 휴대폰으로 아파트 관리소장이라고 자신의 신분을 밝히면서 케이블 사업자에게 개인정보를 왜 넘겨 주었냐며 아파트주민이 관리소장에게 항의를 한다고 한다. 아파트주민이 개인정보유출에 대한 자신의 프라이버시를 주장하는 것이다. 자신은 이런 법률이 있는 줄도 몰랐다며 일반적인 관행이었고, 그분은 법적 처벌이 두려워 몇날 몇일을 잠을 못잤다고 하면서 자문을 구하기도 하였다. 주택관리업이 이번 준용사업자에 포함이 된 것이다.


이렇듯 아직도 우리 생활에는 보안에 대한 인식이 낮기만 하다. 이런부분은 관련기관에서는 오히려 더 신경을 써야만 한다. 형식적인 절차와 전시행정 보다는 우리의 정보 안전을 지킬수 있는 ‘보안문화’ 를 만들어야 한다. 그것을 개인이 잘못을 해서 원인되었다고 개인에게 책임을 전가하기보단 어떻게 하면 전 국민 보안의식 수준을 높일수 있을까에 대한 고민을 하여야 한다. 일시적 하드웨어 도입으로 보안에 대한 처방을 했다라고 하면 오산이다.


보안문화 창출을 위한 선순환 구조 마련 시급

무엇보다 ‘보안문화’를 창출해 낼수 있는 선순환 구조를 만들어야 하는 것이다 이에 필자는 거시적이고 장기적인 안목에서 다음과 같이 몇가지를 제안하고자 한다.


◇SIS 국가기술자격증 승격으로 보안인력 양성

◇공공기관 및 민간기업 정보보호 전공 담당자 책임 지정제

◇초,중,고교의 정보보호 과목 신설

◇정보보호 홍보대사를 이용한 범 국민 보안인식 캠페인

◇정보보호를 일관성 있게 추진 할수 있는 독립기관 마련

◇전 국민 보안업데이트 날 지정

◇국가에서 일부 비용 지원하여 백신 정품 사용


상당히 거창해 보이고 큰 일처럼 보일지라도 조금씩 천천히 바꾸어 나가면 된다. 차라리 안되는 것 보다는 하나라도 되는 방향으로 장기적인 안목에서 국내 사이버 안전에 대한 대응 방안을 찾아야 할 것이다. 그렇지 않고서는 언제 어떻게 또 국내 주요 사이트가 마비가 되어 국제적인 망신을 당하는 일은 없어야 할 것이다. 그때마다 수백억씩 긴급 예산 편성을 하여 임시처방을 할순 없지 않은가?


이제 한달이 지났다. 앞으로 DDoS 공격 사태에 대한 기억은 또 다른 사회적 이슈로 인하여 가슴 저편으로 사라져 버릴 것이다. 하지만 늘 일상 생활에 ‘보안문화’를 정착 시킴으로 인하여 또 다른 위협에서 자신의 소중한 ‘정보의 보호’와 국가의 사이버 안전을 지킬수 있도록 민.관,학 협동으로 다 같이 동참해야 할 것이다.

[글· 전주현 보안인닷컴 운영자  sis@sis.pe.kr]


====================================================================================================================

최근 제가 블로그를 통하여 제안한 내용들이 정보보호정책에 간간히 묻어 나오는 것을 보면서 정책 담당하시는 분이 저와 생각을 같이 하는 것인지 아니면 검색하다가 이곳저곳에서 참고 하여 정책 수립을 하는것인지는 잘 모르겠으나 아무튼 발전방향이 같아서 다행스러움을 느끼게 됩니다. 더욱 정보보호 인식확대와 수준제고에 일조하는 글들을 많이 쓰겠습니다. 감사합니다.




신고
Posted by 엔시스


" 구글,페이스북, 트위터" 이 3가지 공통점이 무엇인가?

바로 어제 DDoS 공격을 받았다는 사실이다.


한국 시간 어제오후 늦게 위 사이트들이 접속이 지연되는 사건이 발생이 되었다. 이것을 가장 피부로 빨리 느낄수 있는 것이 최근 '트위터' 열풍이 불고 있으니 바로 알수 밖에 없다.






트위터리안들의 지저귐에 바로 알수 있게 된 것이다. 이제는 세계 곳곳에 인터넷 망을 이용하여 마음만 먹으면 얼마든지 악의적인 마음을 가진 크래커들에게 당할수 있다는 사실이다. DDoS 공격은 공격 타켓이 되는 사이트에 과도한 트래픽 부하를 주어 서비스를 하지 못하게 하는 공격이다.

이는 실제 사이트를 침해 하거나 정보 유출 하는 것 보다 우선 즉각적인 반응을 볼수 있다는 것이다. 따라서 공격 당하고 있는 사이트나 사용하고 있는 사용자는 바로 서비스가 중지 됨으로 인하여 서비스의
신뢰성에 상당한 타격을 입는 것이다.


이러한 공격을 위에 있는 3개의 사이트가 공격을 당했다고 하는 것이다. 실제로 어제 일부 서비스에서 지연이 되는 현상이 있었다.

지난번 7.7 DDoS 공격이 있는지 이제 딱 한달이 지났다. 얼마든지 향후에 또 우리나라 주요 사이트도 공격을 당할 수 있다는 것이다. 이제 딱 한달이 지났는데 벌써 남에 이야기처럼 잊어 버린것은 아닌지 모르겠다.

보안은 늘 생활화 하여야 하고 개개인의 마음속에 자리 잡고 습관화가 되어 있어야 한다. 그래야 보안 후진국이 아닌 보안 선진국 대열에 오를수 있는 것이다, 누차 강조해서 말하지만 인프라 강국만 되면 뭐 하겠는가?  보안의식 수준은 후진국인데..

부디 위 사건과 같은 기사를 접하면서 7.7 DDoS 사태를 잊어 버리지 말고 늘 긴장하고 주변을 돌아보면서 관심을 가질수 있는 타산지석으로 삼아야 할 것이다.  @엔시스.



신고
Posted by 엔시스

이 포스팅은 [월간중앙]에 기고한 내용입니다. 월간지 구독하시는 분들 연령대가 다소 높다고 말씀하셔서 쉽게 적는다고 적었는데 어떤지 모르겠습니다. ^^
=================================================================================================================

 

지난 7.6일 필자는 다른날과 마찬가지로 집에서 인터넷을 하고 있었다. 최근 트위터(140자 이내로 짧게 메시지를 전할수 있는 마이크로 블로그)를 이용하여 많은 블로거들과 소통을 하고 있고 그 재미에 푹 빠져 있었다.

그런데 갑자기 일부 국가 주요 사이트가 접속이 안된다는 소식이 트위터를 통하여 들려 왔고, 백악관등에도 접속이 불안정하다는 이야기들이 오고간다. 이 서비스는 미국에서 제공하는 서비스라 미국 소식도 실시간으로 들을수 있기 때문이다. 트위터(twitter)라는 것은 미국 오바마대통령이 선거에 이용을 하였고 국내에서는 김연하 선수가 사용함으로 인하여 폭발적 증가를 가져 왔으며 최근에는 정치인과 연예인들이 많이 개설하여 사용하고 있다.

잠시후 국내 주요 포털에 메일이 접속이 안되었고, 국내 최대 쇼핑몰 사이트도 접속이 안되는것이었다. 필자는 직감으로 ‘분산 서비스거부공격(DDoS)’을 당하고 있음을 감 잡을수 있었다.

1. 분산서비스거부 공격이란?

분산서비스거부 공격(DDoS)은 악의적인 목적을 가진 해커가 바이러스나 웜등을 가지고 메일이나 인터넷을 이용하여 퍼뜨린후 이에 감염된 PC를 원격에서 조정을 하여 공격하고자 하는 타겟 사이트에 대량의 트래픽을 보내어 사이트를 다운시켜 서비스를 방해하는 형태로 ‘사이버 조폭’이라 불리운다.

이런 공격의 형태는 대부분 초기에는 사이트를 다운시키면서 위협을 가하여 금전적 보상을 원하는 경우가 대부분이었으며, 사업자들은 계속되는 공격으로 인하여 사업을 그만두어야 하는 상황까지 가게 되어 사업은 지속해야 함으로 공격자의 요구를 들어주어 금전적 보상을 해 주는 것은 이미 공공연한 사실이 되었다.

2. 기존 분산서비스거부공격과 차이점은 무엇인가?

그럼 이번에만 문제가 되었는가? 아니다. 이미 분산서비스거부공격은 그전에도 많이 있었으나 국내에서는 지난해 증권사 한곳이 중국 해커로부터 협박을 받아 장애가 나서 많은 주목을 받게 되었다. 이미 그때에도 금융권인 증권사에서 피해를 입었기 때문에 이슈를 가지게 되었고 이러한 DDoS공격에 보안업계에서는 DDoS공겨을 방어하는 전용 장비가 시장에서 풀리기 시작한 시점이기도 하다. 필자는 그 시점에 수 많은 DDoS공격을 방어하면서 연구하기 시작을 하였다.

하지만 그때와는 다르게 이번 DDoS 공격은 국가 주요사이트를 공격 대상으로 삼은 것이다. 그것도 이름만 말하면 대한민국 국민이면 누구나 알수 있는 그런 국가 주요 사이트와 언론 금융사이트를 1차로 공격을 한것이다. 또한 이러한 공격은 1차에서 그치는 것이 아니라 2차 3차에 걸쳐서 아주 철저하고 지능적으로 미리 짜여진 프로그램에 의하여 6시가 되면 재차 공격을 감행하고 밤 12시가 되면 스스로 컴퓨터 하드디스크를 못 쓰게 만들어 치밀한 시나리오로 짜여진 것이다.

이것은 어떠한 금전적 보상이나 자기과시가 아닌 핵티비즘(Hecktivism)으로 나타난 것이다. 여기서 말하는 헥티비즘의 사전적 의미는 정치적인 노선을 달리하는 네티즌들이 특정 정부의 인터넷 웹사이트를 무력화 시키는 것이다. 물론 지금은 이번 7.7 DDoS 사태의 배후가 어디인지 알수가 없으나 일단 공격 대상으로 봐서는 헥티비즘 성격을 띠는 것이다. 그것은 영화속의 모습이나 미래의 모습이 아닌 현실로 나타난 것이다.

3. 국가 사이버 테러, 이대로 무너질것인가?

인터넷이 발달함에 따라 우리는 생활의 편리성을 가져왔다. 멀리 직접 가서 처리하던 업무를 이제는 내 방안과 사무실에서 모든 것이 처리를 할수 있는 시대에 살고 있다. 하지만 이러한 편리성과 같은 장점이 있는 반면에 그에 따른 역기능도 있다는 사실을 우리는 기억해야 한다. 어느날 하루 아침에 ‘분산서비스거부 공격’으로 인하여 국가 주요 사이트가 다운이되고 정부는 일관성이 없이 허둥지둥대고 언론에서 대서특필하는 것이 모습이었다. 그전에도 그랬고, 앞으로도 그럴 가능성은 충분히 가지고 있다. 필자는 1.25 대란을 직접 현장에서 겪었다. 그때에는 불특정 다수인에게 웜과 바이러스가 퍼져 인터넷 마비가 왔지만 지금은 특정 사이트를 대상으로 공격을 감행하였다.

이번 ‘DDoS공격’은 다량의 트래픽을 보내는 기존 공격과는 달리 우리가 사용하고 있는 운영체제(OS)의 취약성을 이용하여 보안에 취약한 일반 PC 사용자를 대상으로 자신이 공격도구로 이용되는지도 모르게 이용이 되었다는 것이다. 실제 필자 주변에서 최신 백신으로 점검한 결과 이와 같이 DDoS 공격에 이용되는 좀비PC 감염 결과가 나왔는데에도 그 컴퓨터 사용자는 아무런 사용상에 불편함을 느끼지 못했다고 말하였다.

이는 ‘분산서비스거부공격’의 기술이 점점 진화 발전하고 있다는 사실이다. 그럼에도 불구하고 일반 사용자들의 보안인식은 아직도 갈길이 멀기만 하다. 그런 차원에서 더 이상 내 PC가 DDoS 공격에 이용 당하지 않기 위한 몇가지 방안을 살펴보기로 하자.

1) 정기적인 운영체제 업데이트(패치)를 하라.

일상적인 이야기인것 같아도 대부분 기본적인 사항임에도 불구하고 잘 실행을 하지 않는다. 모든 프로그램이 100% 완벽한 것은 없다. 그렇기 때문에 사용하다가 보완해야 할 사항이 있으면 운영체제 업데이트를 배포하는 것이다. 그런데 이러한 업데이트를 하지 않는다는 것은 그만큼 외부 웜.바이러스, 해킹 침해로부터 자유롭지 못하다는 이야기이다. 최근에는 제로데이(Zero Day)공격이라 해서 오늘 발견된 취약점으로 인해 오늘 바로 해킹을 당한다는 이야기이다. 그것은 운영체제 제조사 조차도 보완할 수 있는 업데이트 파일을 배포하기 전단계라 상당히 위험한 공격이다.

2) 로그인시 비밀번호 설정과 공유폴더 관리를 하라.

운영체제를 부팅(Booting)을 하면 바탕화면이 나타날때까지 기다리면서 바로 부팅이 가능하다. 그런데 이러한 것은 상당히 위험한 방법이다. 부팅시에는 반드시 로그인 암호를 설정하게 끔 하는 것이 좋고, 암호설정도 단순한 숫자나 영문자보다는 자기만 알수있는 고유한 우리나라 한글말로 설정하는것이 좋다. 또한 주변 컴퓨터와 작업을 용이하게 하기 위하여 공유폴더를 사용하는 경우가 있는데 가능하면 자제 하는 것이 좋고 부득이 사용해야 하는 경우에는 반드시 암호를 걸고 작업이 끝나면 공유폴더는 해제 하는 것이 좋다. 이것이 기술적으로 복잡하다고 생각이 된다면 주변 컴퓨터 전문가에게 전문적 조언을 받는 것도 좋은 방법이다.

3) 최신 엔진을 탑재한 백신으로 자주 자신의 PC를 점검하라.

우리가 몸이 아프면 병원에 가서 주사를 맞아 병을 치료 하듯이 컴퓨터에 웜이나 바이러스가 있는지를 최신 엔진이 탑재된 백신으로 주기적으로 기본검사내지 전체검사를 하는 습관을 가져야 한다. 내 PC에 있는 정보는 내가 지켜야 한다. 그 누구도 자신의 개인정보를 지켜줄 수 있는 사람은 없다는 사실을 인지하고 늘 백신으로 점검하는 것을 습관화하여 점검하도록 하여야 한다. 일일이 검색하기 어려우면 일정한 시간을 설정해 놓으면 자동으로 검색하는 기능도 있으니 잘 활용해 보길 바란다.

4. 사이버 테러에 대한 대응방안 시급하게 마련되어야

어떤이는 몇몇 사이트 다운되었다고 ‘테러’라는 용어를 쓴다느니, ‘대란’이라는 용어를 쓴다느니 말들이 말지만 필자는 그렇게 생각하지 않는다. 이것은 엄연한 ‘테러’이고 ‘대란’인 것이다. 국가 주요 기간 시설과 공공기관 금융,전력, 군시설등이 전부 인터넷과 컴퓨터로 관리 감독되고 있다. 이런 시점에서 몇몇 사이트 다운으로 인하여 대응이 미비한 모습을 보였다면 만약 더 큰 ‘사이버대란’ 과 ‘사이버전(Cyber War)이 일어난다면 상상만 해도 끔찍하다.

그것은 지금 우리가 현실적으로 겪고 체험하였기 때문에 충분히 유추해 볼수 있는 것이다. 또한 한국은 IT인프라가 잘 갖추어진 나라이기 때문에 그 위험성은 더 크다고 할수 있다. 이번에는 DDoS 공격으로 온 나라가 시끄러웠지만 이것은 사이버 위협에 하나일뿐이고 국가를 혼란에 빠뜨릴수 있는 사이버 공격은 그 이상이라는 사실을 충분히 알아야한다.

마치 어린아이가 뜨거운 물컵을 잡았다가 컵이 뜨거워 뜨거운 물을 무서워 하듯이 우리도 이제는 뜨거운 맛을 보았으니 제발 망각하지 말고 꼭 정보보호 예산과 인력을 확충하여 대응방안을 만들어야 한다. 다시 한번 ’사이버 테러‘에 대한 고민을 할수 있는 좋은 사례로 삼아야 할 것이다. 국가가 더 이상 ’사이버 조폭‘에 의하여 위험에 빠뜨리는 우(愚)를 범하지 않도록 초심해서 다시 한번 대응 방안을 검토해야 할 것이다.  @ 보안인닷컴 운영자 전주현  sis@sis.pe.kr

==================================================================================================================

오늘 서점에 가서  책을 구매 하였습니다.  늘 그렇지만 자신의 글이 활자화 된다는 것은 설레이는 것입니다. 원고도 커다란 편집없이 그대로 반영이 되었네요..

2009년8월 월간중앙 기고문 인증샷



신고
Posted by 엔시스

이번 7.7 DDoS 공격의 여파가 심하긴 심한가 보다. 무엇보다 보안에 대한 경각심을 일깨웠다고 한다면 피해는 있었지만 아픈만큼 성숙해 진다고 본다.

보안제품이 국가 공공기관에 납품을 하여면 CC 인증을 받아야만 한다. CC인증에 대해서는 추후 다시 포스팅을 해 보겠다.  간략히 말씀 드리면 CC (공통평가기준)이라고 하여 일정 수준의 기준을 만족하는  보안 제품에 대한 인증이라고 보면 되겠다. 이것이 공공기관에 납품하려면 의무적으로 인증을 받았어야 하는데..

이번 DDoS건은 국가 주요사이트가 타켓이 되다보니 급하긴 급했던 모양이다. 왜냐하면 CC인증이라는 것은 하루 아침에 뚝딱 인증을 내어 줄수 있는 문제가 아니기 때문이다. 그 보안제품에 대한 여러가지 테스트와 암호등 체크해야 할 사항이 많고 또한 CC인증 체결하는 비용도 일반 벤쳐로는 상당히 고가 이기 때문에 업계에서는 늘 고민을 하고 있는 것 중에 하나이기도 하다.  이 모든 것이 문서로 이루어지는 경우가 대부분이므로 이를 준비하는 인력도 만만치 않다.

아무튼, 이번 DDoS  대응 제품은 '특별지정제품'으로 인정하여 긴급 투여가 된다는 것이다. 그것도 그럴것이 200억이라는 긴급 예산을 투여 하는데 'CC' 인증에 모든 시간을 빼앗길 순 없는 것이다. 이렇게 귀여움을 독차지하게 된 '안티 DDoS" 은 아마도 국정원이 이번에 큰 타격을 받았기에 국정원 산하 IT보안인증 사무국에서 발빠르게 움직이지 않았나 하는 생각을 가져 본다.



특별 대우를 받은 "안티 DDoS" 제품 5가지가 선택이 되었는데 한번 살펴 보자. 국내 제품 2종류와
외산 제품 3종류가 선택이 되었다. 어차피 국내 제품은 몇 종류가 되지 않음으로 선택이 되었을 것이다.그것은 전부 외산으로 선택이 되면 모양새가 이상할 수 도있다. 아무튼 국산, 외산 나름대로 모두 장단점이 있기에 도입시 잘 고려 하여 제품 선택을 하면 되겠다. 조금 더 자세한 제품에 대한 내용은
http://www.ddaily.co.kr/news/news_view.php?uid=52126 기사를 참고 하면 되겠다. 그럼 본 필자는 이제 안티 DDoS 제품 비교 분석을 해 보아야겠다. 혹시 정보 공유 가능 하신 분들은 비밀 댓글로 달아주면 비교 분석하는데 서로 도움이 되리라 생각을 한다. 

아무튼, 한동안 업계에서는 당분간 "안티 DDoS" 제품과 백신제품의 약진이 이루어질 전망이겠다. 조금 더 모니터링 해 보자.  공공기관에 근무하시는 담당자분들께서는 이 부분에 귀를 쫑긋 세우고 예산과 성능, 조직내 전산 환경구성에 맞게 인라인방식을 선택할 것인지, 아웃오브패스 방식을 선택할 것인지 신중하게 결정을 해야 할 것이다.  혹시 참고가 될지 모르겠지만 2009/07/12 - [Security Skill&Trend] - 지금까지 DDoS 관련 포스팅 정리 를 참고 하시면 좋겠다.  너무 영업력에만 의존하지 않기를 바랄 뿐이다. 다양한 제품이 많아야 선택의 폭이 넓어지는데 5종 밖에 없다고 하니 조금 아쉬운 면은 있다.
@ 엔시스



신고
Posted by 엔시스

이번 7.7 DDoS 사태를 겪으면서 이런저런 생각이 많이 든다. 현실을 바로 바라볼 줄 알아야하고 또한 무엇이 잘못되고 왜 그렇게 되었는지 향후에 어떻게 대응해야 하는지에 대하여 본 블로그 성격에 맞게 3회에 걸쳐 기획 포스팅으로 정리해 보고자 한다. 순수한 개인 블로거 생각이니 다양한 피드백과 생각을 댓글로 소통 하였으면 한다.  - 편집자 주



필자는 IT경력 13년차..그중에서 보안에 관심을 둔지는 약10년정도 된다. 1.25 대란을 현장에서 직접 겪었다. 물론 그전에도 보안에 관심이 많아서 이런저런 관심을 가지고 있었지만 직접 겪은 것은 그때가 처음이었다.

2009/01/06 - [Security Skill&Trend] - 기억속의 1.25 대란 현장을 생각하며

늘 그렇지만 시간이 지남에따라 사람은 망각의 동물이라 또한 한국인의 냄비 근성으로 인하여 또한 사람들 머리속에서 쉽게 사라져 갔다. 그때 당시에 긴급 상황 대응에 대한 방법을 알게 되었고, 현장에서 직접 체험함으로 더 느낄수 있었다. 아마도 보안에 몸을 담고 있는 선배들은 더 그런 느낌을 잘 알것이다.

결국 누구의 잘못인가를 두고 몇년에 걸친 법정으로까지 이어져 딱 누구의 잘못이라고 판결이 나지는 않은 것으로 기억이 난다. 이처럼 보안은 늘 남의 일처럼 생각이 되고 그쪽에 관심있는 사람들이나 하는 것으로 생각을 하고 있다. 그렇게 이어오면서 중간에 이런저런 보안 이슈를 많이 접하기도 하였다.


2004년부터  이론과 커뮤니티 활동으로 보안 홍보 자처를

이번 DDoS 공격시에도 작은 힘이나마 보태려고 온갖 힘을 기울였다. 포스팅을 통하여 참여를 이끌어 내었고, 2009/07/08 - [Security Skill&Trend] - [긴급제안] 블로거 여러분, 지금 바로 백신검사 부탁합니다. 문자로 또는 메신저로 트위터를 이용하여 좀비PC를 없애보자고 앞장서서 홍보를 하였다.,누군가는 해야 할 일이기에 하였다. 누군가가 나서지는 않고 개인사용자 보안의식이 있네 없네 이야기 해 봤자 안되는 것이다. 카페에서도 마찬가지로 홍보를 하였다. 다 같이 백신검사 하는데 동참하자고. [긴급제안] 각자 자신의 PC백신점검 및 이웃에게 상황전파 댓글을 보면 알겠지만 모두들 동참을 해 주었다. 큰힘이 될지 아닐지는 모르지만 누군가 실천하고 홍보하고 하나라도 더 감염이 되어 공격 도구로 전락되는 것보다 하나라도 공격도구로 감염되어 있는 것을 줄이는게 중요하다는 것이다.

지난 2001년 국내에서는 처음으로 정보보호전문가 자격증(SIS이라는 자격증이 마련이 되었다. 아마 그때에도 미래에 보안전문가가 필요하다고 생각을 하고 정보보호에 관심있는 사람들이 자신의 수준을 가늠하기 위하여 만든 자격증이었다. 필자도 기억이 난다. 그때 당시 제1회 자격증 시험으로 처음 시행하는 시험이라 쉽다고 정말 많은 사람들이 시험을 보았다. 물론 필자도 시험을 보았다. 그때에는 보험하는 사람도 왔으니 첫회 시험은 그야말로 대박이었다. 하지만 결과는 합격자는 그 1/10도 못미쳤다. 물론 공부가 미흡하였다.

한동안 잊고 살다가 2004년에 시험을 다시 보게 되었는데 그땐 사람이 확 줄었다. 1.25대란이 지나간 이후에도 사람들에게 관심 밖에 느낌을 시험장에가서 알게 되었다. 시험도 어렵거니와 대부분 국가기술 자격증의 정보처리기사 수준의 시험에 익숙해져 있다보니 필기 시험조차도 통과하기 쉽지 않았다. 실기는 그야말로 실무에서 보안전문가가 알아야 할 사항을 시험을 본다.

필자는 그래서 이러한 정보를 공유하고 정보보호, 보안전문가가 한 곳에 모여서 모르는 것은 서로 공유하고 의견을 나누어서 공부했으면 하는 마음으로 국가공인 정보보호전문가 자격증 모임이란 커뮤니티를 개설 하였다.. 그래서 지금은 회원이 2만3천명이 모여 서로 정보를 공유하고 있다. 이런 커뮤니티를 통한 여러가지 보안에 대한 이슈를 이끌어 내었다. 얼마나 국가기관이 보안에 미온적인지는 그 사례를 보면 알수 있다.

그것은 SIS 자격증 시험을 치르는 인원이 모자란다고 필기는 5대 광역시에서 시험을 보는데 실기시험은 서울에서만 보라고 한다. 더 많은 인원이 시험을 보게끔 대안을 마련해도 시원치 않을판에 오히려 자꾸 축소 하는 경우가 생겼다.  그래서 필자는 KISA 원장님께 직접 메일을 보내기도 하였다.

2008/06/10 - [Security License] - 국가공인 정보보호 자격증(SIS) 운영 논란 - 실기는 서울에서만 봐라(?)
2008/06/13 - [Security License] - 존경하는 정보보호진흥원 원장님께

그렇게 하여 서울에서만 실기시험을 볼려던 것을 다시 백지화하고 지방에서도 볼수 있도록 이끌어 내었다.
2008/06/23 - [Security License] - SIS 자격증 실기시험 지방에서도 응시가능

지금생각해도 참 잘못된 정책이라 생각이 든다. 물론 이런 이면에는 여러가지 문제점들이 있겠지만 그래도 국가는 무엇인 진정 문제인지를 고민해 보아야 한다.



보안은 관심이다. 관심이 없으면 실천도 없다.

물론 이런 사례를 한개만 두고 하는 것은 아니다. DDoS 사태가 있고 나서 필자는 지방언론과 지자체,그리고 각 교육청, 그리고 청와대에 나타난 정보조직전부에 대하여 일일이 홈페이지 메인에 DDoS관련 공지사항이 있는지 없는지를 조사를 하였다. 공공기관에 근무하는 공무 담당자들의 관심을 보고 싶었던 것이다.

2009/07/10 - [Security Skill&Trend] - 대한민국 공공기관, 이것이 정보보호(보안) 현주소

누구다 모두 동일하다면 싸 잡아 비난을 하겠지만 그것은 조사를 해 보면서 어떤 기관은 잘 실천을 하여 가정통신문까지 공지사항에 첨부해 올린 곳도 있었다. 이런것은 얼마나 관심을 가지고 있었는지에 대한 잣대이다. DDoS 공격의 심각성을 알았기 때문에 메인공지에 올리고 홍보를 한 것이다. 걱정이 되었기 때문이다.  이러한 총제적인 것들에 대한 보안인식이 문제인 것이다.


보안에 대한 정의는 "작은 실천"이다

필자는 보안을  "보안=사람=교육=실천" 이라 생각을 한다. 이것은 필자가 보안에 입문하면서 생각했던 것이고 지금도 그 철학에는 변함이 없다. 아무리 기술이 우수하고 좋은 하드웨어적 , 소프트웨어적 솔루션을 도입을 한다고 하여도 결국 그것을 사용하고 운영 하는 것은 사람인 것이다. 이런 사람이 그냥 도입만 해 놓고, 그냥 백신만 설치해 놓고 정기적으로 점검과 검색을 하지 않는다면 우수한 기술은 무용지물이 되는 것이다. 따라서 사람은 주기적으로 교육을 받아야 한다. 그것이 지극히 자연스러운 것이다. 그렇게 교육을 받다 보면 안 받을때 보다는 실천율이 조금 더 올라갈수 있다. 결국 다른 것도 마찬가지이겠지만 "실천"으로 연결되어 진다. 결국 필자는 "보안=실천"으로 정의를 하는 것이다.,

언젠가 이러한 행위에 따른 이론적 분석을 한번 해 보고 싶다. 어떤 연관 관계가 있는지..아무튼 이글을 읽고 있는 여러분들도 그냥 말로만 하는 보안, 또는 글로만 하는 보안은 아무런 의미가 없다. 스스로 일정한 시간과 날짜, 혹은 그것이 약간 어려우면 생각날때마다 보안마인드를 실천으로 옮기는 습관이 중요하다. 이러한 보안마인드는 자주 교육을 통해서 이루어질수 있다. 보안담당자나 관리자는 사내 교육을 기획하고 실행하던지 아니면 유능한 외부 보안전문가를 초빙을 하여 수시로 교육을 실시하여야 한다.  그렇지 않으면 결국 보안은 그들만의 외침으로 남을 것이다.  @엔시스.


* 2편에서 이어집니다.

7.7 DDoS 사태가 남겨 준 교훈(2) -사이버 조폭 DDoS
7.7 DDoS 사태가 남겨 준 교훈(3) - 보안인식 제고를 위한 제언
신고
Posted by 엔시스

한국 정보보호진흥원 산하 침해사고대응센터(KRcert)와 공조 체제로 있는 Bkis의 블로그에서 마스터 서버와 좀비 CP 갯수를 밝히고 있습니다.


여러나라에서 좀비 PC가 있었고 74개국에 166,908개 감염 PC가 있었다고 이야기 하고 있습니다..
                                      

 No

COUNTRY

1

Korea, Republic of

2

United States

3

China

4

Japan

5

Canada

6

Australia

7

Philippines

8

New Zealand

9

United Kingdom

  10

Vietnam


보다 자세한 내용은      http://blog.bkis.com/?p=718 참조 하기 바랍니다.


신고
Posted by 엔시스


7.7 DDoS 공격이 국내 주요싸이트를 휩쓸고 지나갔다. 우리는 흔히 다량의 트래픽을 보내어 공격대상 사이트를 다운시키는 공격을 DoS(Denial of Service attack)공격이라고 한다. 한글로는 '도스공격' 정도가 되겠다.

그런데 이런 공격이 점차 진화가 되어 이제는 분산(Distributed )되어 DoS 공격을 한다고 해서 통칭 '분산서비스거부공격' (DDoS) 공격 한글로는 '디도스' 공격이라고 한다.

하지만 이러한 영어로의 의미는 'DDoS' 공격이지만 우리말로 번역 번역시에 '분산서비스거부공격' 이라는 용어가 정확한 표현이 아니라는 것이다. 이미 이것은 국내 한 보안전문가가 언급한 사실이 있었는데 이번 기회에 본 필자도 한번 더 언급해 보고자 한다.

분산서비스거부공격이라고 하는 용어는 DDoS를 잘 이해 못하고 있는 것이라 생각을 한다.


                                                           이미지출처:  여기


어찌보면 말 장난일수도 있지만 잘못된 용어는 올바르게 고쳐서 사용하는것이 맞는 것이다. 그럼 하나씩 살펴 보자. 일단 '분산' 이란 말은 그냥 두더라도 '서비스거부'는 서버가 서비스를 거부 하고 싶어서 거부하는 것이 아니란 것이다.  정확히 표현 하자면 서버가 서비스하는 것을 '방해'하는 것이다. 따라서 '서비스방해공격' 이 맞는 표현이다. 

자 이해를 돕기 위하여 예를 한번 들어보자.

  • A라는 회사에 B라는 악의적인 목적을 가진 사람이 다량을 트래픽을 보내어 서버를 다운 시킬 목적으로 DDoS 공격을 했다. B의 목적은 오로지 서비스를 못하게 하는 것이다. 그렇다라고 하면 A서버 입장에서는 서비스를 하고 싶어도 할수 없는 상황이다. 즉 '거부'라는 것은 내가 서비스를 하고 싶은데 내 자의에 의하여 서비스를 안 하는 것이다.
  • 하지만 'DDoS 공격' 은 서비스를 하고 싶어도 할수 없게 끔 만드는 공격이니 지금 언론에 보도되고 있는 흔히 말하는 '분산 서비스거부공격' 이라고 해석 하는 것은 잘못 된 것이다.

이런 용어가 어디서부터 처음 시초가 되었는지는 모르겠지만 표현을 올바르게 정확히 알고 앞으로는 DDoS 공격을 우리말로 풀어 쓸때에는 '분산서비스방해공격' 이라고 썼으면 하는 바람을 갖어 본다.

그냥 막연히 지나치기 쉬운 말 장난 같은 이야기이나 조금이라도 'DDoS 공격'을 정확하게 이해를 하고 있다면 용어가 틀리다는 것쯤은 알수 있을 것이다. 이젠 '분산서비스방해'공격이라 말하자.  @엔시스.

 


신고
Posted by 엔시스


지난 금요일 노컷뉴스와 인터뷰를 하였습니다.  기자분께서 자세히 질문을 해 주었으며 필자는 답변을 최대한 자세히 하려고 노력 하였습니다.


1. DDoS의 기술적 대응 방법은?

그것은 기술적인 부분은 지난해 DDoS 공격에 대한 BMT 경험을 바탕으로 하여 느꼈던 점을 이야기했고, 또한 대응 가능한 부분을 말씀 드렸지만 DDoS 공격에 대한 근본적인 대책 방법은 딱 이것입니다라고 말씀드리기가 쉽지 않았습니다.

그렇게 하여 나온 기사가 http://www.cbs.co.kr/nocut/show.asp?idx=1200723 입니다. 필자가 하고 싶은 말을 전부 전달해 주신거 같군요.


2. 짧은 코멘트 " 이번 사태를 통해서~~"

노컷뉴스 기사로도 나가지만 라디오 뉴스로도 나가기 때문에 약간의 코멘트가 필요 합니다. 그것은 아마도 뉴스에 대한 전문가에 대한 신빙성을 높이려고 직접 인터뷰 내용을 따기 위한 것이겠죠.  그런데 그 코멘트를 "15" 초 동안만 나간다고 하는데..

코멘트를 위한 대본 작성

 

아무래도 주어진 시간안에 코멘트를 하는 것이라 짧게 나름대로 코멘트 할 내용을 적어 보았습니다. ㅎㅎ 그런데 이거 뭐..30초도 넘어 가더군요..테스해 보았을때..아무튼 적당히 편집하여 방송을 한다고 하니 편안하게 하라고 하셔서 그냥 편안하게 이야기 했습니다.

그리고 2009년 7월11일 CBS 점심 뉴스에 다음과 같이 라디오에 방송이 나갔습니다. 적당히 편집하여 몇초 안 나간것 같군요..

인터뷰를 통한 내용을 이렇게 라디오 방송으로 기자가 직접 보도 형태로 하니 일반 웹싸이트에서 활자화되어 이야기 하는것과는 또 다른 느낌이 듭니다.





중간에 SIS가 국내 유일보안자격증은 아니고 국내 유일의 국가공인 자격증이 엄밀히 말하면 맞겠지요.

왠지 쑥쓰럽기도 하네요..하지만 중요한 것은 많은 분들이 이번 계기로 보안에 대한 인식을 같이 하였으면 하구요..정부에서도 다시금 생각할수 있는 기회가 되었으면 합니다.




신고
Posted by 엔시스

서비스방해공격(DDoS) 공격에 대해서는 이미 본 블로그를 통하여 오래전부터 관심을 가지고 포스팅 한 적이 있습니다. 그것은 한번 당하면 가장 웹사이트가 접속이 되지 않고 서버가 다운이 되기 때문에 바로 표가 나기 때문입니다.

지금까지 필자가 써 온 DDoS 관련 포스팅을 보시면 DDoS 공격이 얼마나 무섭고, 방어하기 힘든 공격인지 알것입니다.

그럼 지금까지 DDoS공격에 대한 포스팅만 보겠습니다.

2009/07/10 - [Security Skill&Trend] - 대한민국 공공기관, 이것이 정보보호(보안) 현주소
2009/07/10 - [Security Skill&Trend] - DDoS 공격 재발 방지를 위한 교훈으로 삼아야
2009/07/08 - [Security Skill&Trend] - 멈추어버린 국내 대표 싸이트들 -DDoS 공격
2009/04/25 - [Security Skill&Trend] - 보안관련 공공기관에서 무얼 하는지 알아야
2009/04/02 - [Security Solution] - DDoS 공격 억제 솔루션, BMT중에 있습니다.
2009/03/19 - [Security Skill&Trend] - 좀비 PC로 해킹시연 했다면 법률에 저촉이될까?
2009/02/28 - [Lecture&Comlumn] - [칼럼-82] 보안전문가, 이젠 윤리적 소양을 가져야 할때
2009/01/02 - [Lecture&Comlumn] - [칼럼-79] 엔시스가 바라보는 2009년 정보보호 키워드 5
2008/10/22 - [Security Skill&Trend] - DDoS 공격 방어일지
2008/10/15 - [Security Skill&Trend] - 중국발 DDoS 공격 IP 리스트
2008/10/14 - [Security Data] - Case Study: DDoS Attack/Online Stock Broker
2008/10/12 - [Security Skill&Trend] - DDoS 공격, 오죽하면 협박 전화 공개 할까?
2008/09/27 - [Security Data] - DDoS 공격 대응시스템 특징 비교자료
2008/09/23 - [Security Skill&Trend] - DDoS 공격 패킷의 침입탐지에 관한 연구
2008/08/19 - [Security Skill&Trend] - 이젠 DDoS 공격 1G 이상이 대세
2008/08/18 - [Security Skill&Trend] - DDoS 공격 과연 막아 낼수 있는가?
2008/08/18 - [Security Skill&Trend] - DDoS 테스트 툴 - DOSHTTP
2008/08/14 - [Security Skill&Trend] - DDoS 공격, 조폭과 다를바 뭐 있냐?
2008/05/27 - [Security Skill&Trend] - DDoS 공격 분석 리포트
2008/05/27 - [Security Solution] - DDoS 막는 걸 알고 있는 걸까?
2008/05/24 - [Security Skill&Trend] - DDoS 공격에 대한 단상
2008/05/15 - [My Hobby/Good Data] - DDOS 공격툴 NETBOT ATTACK
2008/05/15 - [Security Movie] - DDoS 공격 시연
2008/05/12 - [Security Skill&Trend] - DDoS 패킷 - 네트워크 트래픽의 2%차지
2008/04/28 - [Security Skill&Trend] - 최근 봇넷과 DDoS 추이와 현황
2008/03/05 - [Security Skill&Trend] - DDoS 공격 피해 사례
2007/11/20 - [Security Movie] - DDOS 공격 차단 가능한가!
2007/11/01 - [Security Skill&Trend] - DDoS공격용 Virut 치료방법안내
2007/10/02 - [Security Skill&Trend] - DDoS 공격에 대한 방어 방법은 없는가?
2007/04/16 - [Security Skill&Trend] - DDoS 공격 방어 어떻게 하십니까?
 

이렇게 많이 언급될만큼 DDoS공격은 무서운 공격입니다. 추후 다시 공격 안 한다는 보장이 없기에 이번 사태를 통해서 다시한번 초심으로 돌아가 국가 비상사태에 대비한 사이버 공격에 대처를 할수 있는 대비책을 정부는 강구를 해야 할 것입니다. @엔시스.



신고
Posted by 엔시스


"국가가 나서서 보안인식제고를 적극 홍보 했었어야 하는거 아닌가? "



7월7일부터 국내 DDoS 공포의 도가니로 몰아 넣고 있는 공격 감행이 되어 보안업계 및 관련 기관은 바짝 긴장하고 있습니다.

하지만 중요한 것은 홍보입니다. 긴급 상황전파와 실질적으로 체계적인 상황전파와 국민 행동요령 같은 것이 동반이 되어야 합니다.

필자는 보안을 다음과 같이 정의 합니다.

"보안은 작은 실천입니다" "실천하지 않은 보안은 아무런 의미가 없습니다"


보안커뮤니티에서 자율적백신 점검 동참




그래서 지금 커뮤니티를 중심으로 http://cafe.naver.com/nsis/30494  한명 한명씩 주위에 전파을 하고 한명 한명씩 전파를 하고 있습니다.

자신의 일이 아니라고 자신의 웹싸이트가 아니라고 불구경만 하는 것은 상당히 위험한 발상입니다. 우리가 손쉽게 할수 있는 인터넷이 하루만 안되어도 안절부절 못 할 만큼 생활로 자리잡고 있습니다. 그런 편리함이 너무나 가까이 와 있기에 실제 경험하지 않으니 불편함을 모르는 것입니다.

따라서 작금의 사태에 대하여 그저 방관 하기보다 누군가 나서서 홍보하고 이끌어 주고 또한 참여를 유도하여 좀비PC를 없애는데 동참을 해야 합니다.


필자가 트위터로 백신점검 하자는 내용 리트위팅



보안관리자 보안담당자는 더 앞장을 서야 하며 일반 사용자들도 같이 동참을 해야 합니다. 이러한 자발적인 참여가 불가 할땐 강제적인 방법을 사용하는 수 밖에는 없습니다.

보안과 편리성과는 trade Off 관계에 있는 것입니다. 다시 한번 경각심을 가지고 각 싸이트 담당자는 혹시나 모를 위험에 대처를 하고 있겠지만 일반 사용자들도 꼭 이글을 보고 백신으로 자신의 pc를 검색하는데 동참해 주시기 바랍니다. 

검색하는 방법은 http://www.sis.pe.kr/2706 를 참고 해 주시구요.. 다 같이 함께 할때만이 사이버 재난을 피할수 있습니다.

"행안부, 지경부, 방통위" 로 쪼개 버린 정보보호 업무, 이젠 서로 미루기 게임 하면 안됩니다. 이건 통일성도 없고, 담당업무도 제각각이고 참..총제적인 점검을 하여 다시 한번 고민해 봐야 합니다. 무엇이 진정 잘못인지..

오늘 아침에  DDoS 공격을 바라보면서 잠시 생각에 잠겨 포스팅한 글입니다.. @엔시스.

관련글 --> http://blog.naver.com/sbnow391/150052773510 




신고
Posted by 엔시스

한국정보보호진흥원에서 "정보통신망 이용촉진 및 정보보호 등에 관한 법률 개정안"에 대한 조속한 처리를 촉구하는 광고를 냈습니다.




얼마나 답답했으면 이렇게 광고까지 내야 하는 심정을 정치 하시는 분들이 아셨으면 좋겠습니다. 서로 힘겨루기 하는 사이에 우리 사이버 안전은 벌써 다른 곳에서 넘 볼수 있는 처지까지 되었습니다.

대한민국 'IT강국' 부끄러운 줄 알야야 합니다.

또 한가지 '개인정보보호법'이 제정도 빨리 되어야 합니다.  제발 이제는 정신차리고 늘상 똑같은 것을 되풀이 하지 말았으면 좋겠습니다.

필자가 어디서 본 글 중에 아인슈타인이 이런 말을 했다고 합니다.

" 같은 방법을 행하고도 다른 결과를 원하는 사람은 정신병자다" 

제발 이제는 우리 국민, 정치 하시는 분들 늘 같은 방법을 행하고 제발 다른 결과를 원하지 않기를 바랍니다.

오죽 답답하면 이런 광고까지 냈을까 하는 의구심이 듭니다..이 나라 사이버 안전을 지킬수 있도록 신경 써 주셨으면 합니다..@엔시스.


신고
Posted by 엔시스

어제부터 네이버 메일, 쪽지기능 , 또한 조선닷컴, 청와대 등등 일부 싸이트가 불안정하게 인터넷이 안되는 현상이 밝혀졌습니다.

해당 싸이트에서는 긴급 공지문을 띄웠고 일부 싸이트에서는 아예 아무런 조치를 취하지도 않고 그냥 왜 않되는지를 모를채 리프레쉬 버튼만 눌러 보았겠죠..



어제 띄운 장애관련 문구입니다. 아마도 많은 분들이 보셨을텐데 그 이유는 여기에 있습니다.
링크 걸겠습니다.

http://xcoolcat7.tistory.com/520


                   <이미지출처: http://xcoolcat7.tistory.com/520>

종합적으로 판단하건데 위분이 이야기 한것처럼 바이러스로 인한 각종 일반 PC들이 좀비가 되어 특정 싸이트를 공격을 한 것으로 추측이 됩니다. 어떻게 보면 DDoS 공격이라고 하겠지만 엄밀히 따지면 바이러스에 감염된 각 엔드유저에 PC들이 위에 리스트에 언급된 대로 순간 접속을 동시에 하다보니 트래픽이 몰렸겠지요..

결국 그것이 DDoS 개념인데 앞으로의 보안의 측면은 일반 엔드유져의 PC보안으로 다시 회귀하겠습니다. 아무리 시스템 보안이나 네트워크 보안을 철저히 하여도 일반 사용자들이 사용하고 있는 PC가 보안에 취약한 형태로 바이러스에 감염이 되어 일시에 공격을 하게 되면 트래픽을 견디지 못해 다운되는 현상이 발생이 됩니다.

조금 더 자세히 포스팅 되어 있는 글이 있네요..참고 바랍니다..

http://itviewpoint.com/124826



일반 PC사용자가 보안 체크를 하기 위한 체크리스트 5

1. 가장 중요한 것이 정기적인 운영체제 패치(업데이트)를 해야 한다.

그 이유는 운영체제도 완벽 하지 않기 때문에 패치를 하는데 그것을 업데이트 해 주지 않으면 취약점을 이용하여 공격을 하겠죠.

2. 최신 백신 한개 이상 설치해야 한다.

최근에 무료로 제공하고 있는 백신들이 많이 있기에 꼭 PC에 1개 이상의 백신을 설치해서 실시간 감시기능을 켜 놓아야합니다. 그리고 수시로 검사를 하여 자신의 PC에 이상이 없는지를 점검해야 합니다.

3. 윈도우에서 제공하는 기본 방화벽을 사용하라.

윈도우에서 제공하는 기본 방화벽이 있습니다. 기본 방화벽은 운영체제에서 기본적으로 가장 잘 방어할수 있는 수단이며 이를 이용하여 자신의 PC의 안전성을 더 강화 시킬수 있습니다. 꼭 사용을 하셔야 합니다.

4. 중요한 데이터는 백업을 꼭 해 두어라

보안과는 약간 다른 관점이긴 하지만 중요한 데이터는 이동식 저장장치에 꼭 백업을 해 두어 만일의 경우 복구가 가능하도록 준비를 해야합니다. 요즘 대용량 이동식 저장장치가 많으니 꼭 해 두시기 바랍니다. 백업은 아무리 강조해도 지나치지 않습니다.

5. 보안습관의 생활화 하여라

아무리 기술적인 문제로 방어를 한다고 하여도 보안마인드. 정보보호에 대한 생활이 습관화 되어있지 않으면 긴급 상황에 대처하기가 쉽지 않습니다. 자신에 중요한 정보, 또는 자신이 관리하고 있는 조직의 중요한 정보는 늘 몸에 베인 '보안생활화' 만이 수시로 점검하고 대응할수 있는 태도를 이끌어 낼수 있습니다.

이러한 사항을 그냥 늘 신문지상이나 보안관련 글에서 보는 식상한 글로 보지 마시고 다시 한번 자신의 정보가 자신의 회사에서 또는 자신의 사무실에서 유출이 되고 다운이 되었을때를 '가상의 시나리오'로 한번 '시뮬레이션' 해 본다면 엄청한 충격으로 다가 올 것입니다.

부디 여러분들에게 도움이 되는 글이 되었기를 바랍니다.  '보안의 습관화'의 제일 좋은 방법은 한번 당해 보는 것입니다. 당해 보지 않고서는 말을 하지 말어.. @엔시스.



신고
Posted by 엔시스

펄 스크립트로 짜여진 udp flood 공격을 감행을 하는 경우가 있습니다., 보통 이런한 패킷 생성 스크립트들은 패킷이 생성이 되면 해당 네트워크 대역을 전부 소모해 버리거나 사용을 할수 없게 만들어 버립니다.

그래서 보통 한 네트워크에서 다른 서버와 같이 사용을 한다면 조심을 해야 겠습니다. 보통 이러한 유틸리티는 인터넷 보안 전문 웹싸이트에서 소스가 공개가 되어 있으며 특히 다음과 같이 보여집니다.




우선 udp flooding 공격을 받으면 다음과 같은 증상이 일어납니다.

  • 우선 해당 네트워크 대역에 웹싸이트가 접속이 안됩니다.
  • 실제 서버가 다운된 것처럼 느껴 집니다.
  • 터미널 서비스, ssh 접속이 불가합니다.
  • 네트워크 대역폭을 모두 사용합니다.
  • 네트워크에 다른 서버가 있다면 다 같이 웹접속이 안됩니다.

이러한 udp flood는 결국 트래픽을 발생시켜 DDoS 공격이 되어 버립니다. 특히 이럴경우에는 서버 내부에 설치가 되어 인바운드 공격보다는 아웃바운드 공격으로 내부에서 외부로 다량의 트래픽이 발생이 됩니다.

인터넷에 검색을 해 보니까 이럴 경우에는  다음과 같이 관리를 하시면 되겠습니다.

# netstat -an
# find /usr/local/apache/domlogs -print | xargs grep xxx.pl
# find / -name xxx.pl
# ps -aux|grep perl



로 점검을 해 보시구요...보통 /var/tmp 디렉토리나 /tmp 디렉토리에 해당 펄 스크립트가 있는 경우가 많습니다. 쨉싸게 지워 주어야겠지요..

이럴 경우 보통 웹해킹으로 인하여 방화벽 밑단에 위치 한다하더라도 소용이 없습니다. 그것은 방화벽에서 80포트를 사용하는 웹포트를 오픈하기 때문에 그렇습니다. 방화벽이 있다하더라도 아무런 소용이 없게 되는 것이지요..따라서 공개 게시판을 사용을 한다면 특히 업로드 값을 체크를 하여 실행파일이나 기타 위험한 확장자 같은 경우는 필터링이 될수 있도록 소스를 수정하셔야 합니다.

또한 시스템 관리자의 경우에는 리눅스의 경우에는 iptable 방화벽을 이용하여 outbound 트래픽을 제어할수 있는 정책을 수립하여 외부로 트래픽이 나갈수 없도록 제어를 해야 겠습니다. @ 엔시스.


|

신고
Posted by 엔시스

재미있는 리포팅이 있어 소개 하고자 합니다..한국정보보호진흥원에서 배포하는 주간정보보호동향에 따르면 영국 방송사 BBC 에서 언더해커에게 DDoS 봇넷을 구매하여 해킹 시연을 하였다고 합니다..

봇넷은 22000개 좀비 PC를 가지고 있는데 이를 통하여 특정 이메일 계정으로 스팸 및 공격을 감행 하였다고 하여 가상의 DDoS 공격을 보여 주었다고 하는데 법률 관계자들은 시연에 악의적인 목적은 없었지만 타인의 컴퓨터에 허가 받지 않은 접근은 엄연한 불법이라고 제기하고 있다고 합니다..

아마 국내에서도 DDoS BMT나 시연을 하는경우 만약 좀비 리스트를 가지고 한다면 주의 해야 할 것으로 생각이 됩니다. 그 좀비가 된 사람이 만약 자신의 동의 없이 좀비가 된 것을 이용하여 시연에 이용을 했다면 영국 같은 경우 '컴퓨터 오용법' 이라고 하여 저촉이 되는가 봅니다..

자세한 사항은 문서를 참고 해 보세요...재미있네요..



신고
Posted by 엔시스

지난번 DDoS 관련 BMT 테스트를 하기 위하여 이리저리 패킷 생성 툴을 찾다가 오픈 소스로 되어 있는 것을 하나 찾았습니다. 기본적인 여려 Action 을 취할수 있는 메뉴가 있어서 여러모로 테스트를 할수 있었습니다..


아직까지 전부 테스트 해 보지는 못했지만, 간단한 테스트는 가능하더군요..



메뉴중에 TCP 관련 내용입니다..전부 테스트를 하기에는 각종 주변 환경이 조금 받쳐 주어야 겠더군요..Lab 환경을 구축하는것도 중요한 것 중에 하나였습니다..



UDP에 대한 내용입니다...뭐...가장 간단한 Spoofing 부터 여러가지 패킷 생성 메뉴들이 있습니다...


ICMP 에 대한 메뉴입니다...여기에도 많은 수의 패킷 생성 메뉴들이 있습니다...시간될때 마다 하나씩 더 테스트 해 보아야 겠습니다..



ARP 메뉴에 대한 사항도 있습니다....이렇게 각종 TCP/IP에 대한 프로토콜 별로 패킷 생성을 할수 있으며 소스와 데스트네이션에 대한 설정만 하고 시간을 정해 주면 내가 패킷을 생성 할수 있는 만큼 조정을 하여 생성을 할수 있습니다...




이것은 패킷생성을 위한 환경 설정 메뉴입니다...여기서 보면 중요한 것은 포트를 대부분 80 포트로 대상으로 하여 패킷 제너레이팅을 한다는 것입니다..따라서 일반적인 포트에서는 각종 보안 솔루션으로 방어가 되어 있지만 80 포트인 웹에서는 오픈이 되어 있기 때문에 DDoS 공격은 더욱 심각한 것입니다..


신고
Posted by 엔시스

검색하다가 DDoS 에 대한 문서를 하나 찾았습니다. 별 내용은 없는것 같은데 DDoS에 관심이 있으신 분들은 한번 읽어 보시기 바랍니다..

신고
Posted by 엔시스
TAG DDos

최근 DDoS 관련 하여 여러가지 자료 수집을 하고  공부를 하다보니 여러가지 네트워크에 대하여 다시 보게 된다.

그중에서 우리가 흔히 시스템에서 네트워크 현황을 보려고 할때 주로 사용하는 'netstat' 명령어 중에서 -s 옵션을 알게 되었다..

그냥 지나치게 되는 옵션인데 내용을 보니 아주 많은 부분을 볼수 있는 옵션이다.  특히 DDoS에 대한 기술적 대응시에는 많은 참조가 되겠다.

[root@www ~]# netstat -s
Ip:
    7782 total packets received
    0 forwarded
    0 incoming packets discarded

    4317 incoming packets delivered
    3341 requests sent out
Icmp:
    353 ICMP messages received
    0 input ICMP message failed.
    ICMP input histogram:
        destination unreachable: 326
        echo requests: 27
    404 ICMP messages sent
    0 ICMP messages failed
    ICMP output histogram:
        destination unreachable: 377
        echo replies: 27
IcmpMsg:
        InType3: 326
        InType8: 27
        OutType0: 27
        OutType3: 377
Tcp:
    2 active connections openings
    29 passive connection openings
    1 failed connection attempts
    1 connection resets received
    1 connections established
    2098 segments received
    2086 segments send out
    2 segments retransmited
    0 bad segments received.
    250 resets sent
Udp:
    53 packets received
    377 packets to unknown port received.
    0 packet receive errors
    379 packets sent
TcpExt:
    1 resets received for embryonic SYN_RECV sockets
    2 TCP sockets finished time wait in fast timer
    90 delayed acks sent
    Quick ack mode was activated 2 times
    29 packets directly queued to recvmsg prequeue.
    2 packets directly received from prequeue
    248 packets header predicted
    459 acknowledgments not containing data received
    140 predicted acknowledgments
    1 congestion windows recovered after partial ack
    0 TCP data loss events
    2 other TCP timeouts
    2 DSACKs sent for old packets
    1 DSACKs received
IpExt:
    InMcastPkts: 975
    OutMcastPkts: 515
    InBcastPkts: 506
[root@www ~]#

패킷과 ICMP,TCP,UDP등 왠만한 프로토콜에 대한 패킷수라든지, 컨넥션수등을 알수 있다.  간단한 명령어와 옵션을 가지고도 많은 정보를 알수 있다.  참고 하기 바랍니다..

신고
Posted by 엔시스
TAG DDos, netstat

최근 서비스 거부공격(DOS)이라고 하여 서비스 가용성을 떨어뜨려 안정적인 서비스를 하지 못하게 하는 공격기술이다. 하지만 최근에 분산서비스거부공격 (DDoS)이라 하여 서비스 거부 공격을 분산하여 공격하는 기술인데 최근에 많은 이슈가 되고 있다.  국가공인 정보보호전문가 자격증 모임 (http://cafe.naver.com/nsis) 카페에 이러한 공격대응 시스템 특징을 비교하는 자료가 올라와 여러분들과 같이 공유 하고자 한다. 그리고 최근 DDoS 공격에 대하여 한번 정리해 보기로 한다.

1. 왜 DDoS 공격이 무서운가?

우선 분산서비스거부공격을 받게 되면 해당 웹싸이트가 다운이 되는데 있다. 그것은 일반적으로 당하는 해킹에 비해 외부에 손쉽게 알려지기 때문이다. 예를 들어 유명한 포털싸이트가 분산서비스 거부 공격을 받고 있다면 당장 사용자로 하여금 사용할수 없게 하기 때문에 쉽게 공격을 당하고 있다는 사실을 알수가 있다.

반면에 일반적인 해킹 공격의 경우, 해킹을 당하더라도 메인페이지가 변조되거나 아주 공격적인 성향의 공격이 아닌 경우에는 외부에 잘 드러나지 않는다. 따라서 해당 해킹당한 업체에서도 이미지에 타격이 덜가게 되는것이다.  지금까지 분산서비스거부 공격을 당한 웹싸이트는 바로 다운이 되어 버렸다.

2. DDoS 공격을 당하면 어떤 증상이 있는가?

우선 웹싸이트가 느려지고 서버 관리자의 경우 원격 접속 로그인이 잘 되지를 않는다. 그럴떄 가장 많이 사용하는 방법이 내 서버가 제대로 동작하는지 않하는지 네트워크는 살아 있는지를 확인 하는 가장 쉬운 방법이 핑(ping) 테스트 하는 방법인데 대부분 이럴때 네트워크는 살아 있고 웹싸이트는 다운 되어진다. 

마찬가지로 해당 서버에 콘솔로 로그인 하여 핑테스트를 해 보아도 마찬가지 경우이다. 물론 트래픽이 너무 많이 들어올땐 그렇지 않은 경우도 있다.

3. DDoS 공격은 어떻게 이루어지는가?

보통 분산서비스 거부 공격은 두가지가 있는데 하나는 과도한 트래픽을 공격하고자 하는 타켓 서버에 보내어 아예 서비스를 할수 없게 하는 공격이고, 다른하나는 공격하고자 하는 서버에 특정 자원을 소모하게 하여 시스템 자체가 자원을 소모하여 서비스 할수 없게 하는 방법이 있다. 처음에는 분산서비스거부 공격의 경우 과도한 트래픽을 보내 서비스를 못하게 하였지만 최근에는 자원을 소모하여 서버를 다운시키는 공격도 이루어지고 있어 많은 시스템 관리자들을 어렵게 만들고 있다.

자세한 공격방법은 첨부한 자료를 보면 자세히 나와 있다.

4.  DDoS 공격은 왜 막기 어려운가?

우선 분산 서비스거부 공격은 과도한 트래픽으로 하여 공격을 할때 공격지 IP가 스푸핑 되어 공격을 하기 때문에 그 많은 IP를 차단하기 어렵다. 또한 최근에는 공격 방법이 진화를 하여 공격하는 네트워크 패킷을 암호화하여 공격 하기 때문에 스니퍼등으로 네트워크 패킷을 본다 하여도 이것이 정상적인 패킷인지 아닌지를 판단하기가 쉽지 않다.


5. DDoS 공격 대비를 위한 대응 한계는 무엇인가?

최근 이러한 분산서비스거부 공격이 하나의 이슈가 되고 있기 때문에 많은 글로벌 업체에서 안티 DDoS 솔루션을 선 보이고 있다.  이러한 솔루션의 경우 전용 DDoS 공격 방어 솔루션이 있는가 하면 IPS에서 진화하여 솔루션에 DDoS를 방어 할수 있는 메카니즘을 약간 추가 한경우도 있다. 그렇다 보니 여러가지 선택에 있어서 주의 깊게 봐야 한다.  특히 처음 출시 되었을때 기가급 장비가 주로 많은데 이러한 경우 최대 대역폭이 1G 이내의 트래픽에 한하여 방어를 하다보니 그 이상 공격이 들어 올때에는 안티 DDoS 장비도 무용지물이 되는 한계를 지닌다.  10G,30G 존(zone)을 만들어 서비스도 한다고 하는데 아무튼 이러한 한계점이 있다.

그리고 장비 가격이 만만치 않다. 일반적으로 주로 타겟이 되는 곳이 P2P, 쇼핑몰, 게임, 등등의 싸이트인데 이러한 고가 장비를 도입하기엔 망설일수 밖에 없다. 각 장비에 따라 약간의 특성이 있긴 하지만 안티 DDoS 장비는 보안솔루션 장비보다는 QoS 장비에 가깝다는 것을 인지를 해야하고 해당 관리자는 또 다른 추가 장비를 관리해야 한다는 점이다.


6. 결론

분사서비스거부공격(DDoS) 공격은 일명 '사이버 조폭' 이나 '사이버 깡패' 라고 불리우는데 그 공격이 상당히 위협적이고 해당 공격 싸이트에 피해는 눈에 바로 나타나기 때문에 대단히 위험한 공격이다. 또한 공격할수 있는 툴(도구)이 인터넷 상에서 버젓이 판매가 되고 공격하는 방법도 동영상으로 돌아다니고 있어 주의를 하지 않을수 없다.,

특히 공공기관이나 금융 싸이트에 대해서는 이러한 공격에 대비하여 만반의 준비를 해야 한다. 그냥 어영부영하다가 증권싸이트나 금융싸이트가 다운되는 일이 발생하면 곧바로 금전과 관계되는 일이라서 해당 기관의 이미지와 신뢰도는 떨어 질수 밖에 없다. 

 


덧글.

혹시 내용이 부족한 부분이나 잘못된 부분이 있다면 댓글을 달아 주시면 되겠습니다...

덧글.
관련 기관 첨부파일 삭제 요청으로 첨부 파일은 삭제 조치합니다.




신고
Posted by 엔시스

디도스 공격 툴중에 가장 많이 사용된다는 툴입니다.  아무래도 이제는 인터넷에서 구매까지 할수 있게 되다보니 공격이 더 많아 질수 있겠습니다..

이미지 출처는 네이버 검색 하였습니다.  어리석은 장난으로 디도스 공격 하지 마시기 바랍니다. 네트워크 방해와 서비스를 방해하는 것도 범죄라는 사실을 아셔야 합니다..


<사진을 클릭하시면 자세히 보입니다.>
신고
Posted by 엔시스

DDoS 공격이 날로 지능화 되고 있는 가운데 최근 공격은 두가지로 크게 나눈다. 하나는 트래픽을 일으켜 가용성을 떨어 뜨리는 것이고 하나는 HTTP flooding 공격과 같은 많은 트래픽을 보내지 않더라도 80 포트를 이용하여 공격을 감행 하는 것이다.

이중에는 CC 공격이라는 것과 GET flooding 등 HTTP 프로토콜을 공격하는 또 다른 변종들을 만들어 공격을 감행하고 있다.

그런데 과연 시중에 나온 DDoS 전용 장비들은 방어 해 낼수 있는가?  대부분 장비들은 기가비트를 지원하는 1기가 장비들이 많다.

따라서 1기가 미만인 공격에는 적극적으로 방어를 한다. 그런데 문제는 지금 트래픽 공격들은 이미 이런 내용을 알고 1기가가 넘은 공격을 감행하는 것이다.

이렇게 보았을때 결국 장비 업그레이드 내지는 ISP에 의존할수 밖에 없다. 그럼 조금더 나은 해결 방안은 없는 것인가?

일부에서는 10G ZONE 을 만들어서 서비스 한다 어쩐다 하는데 10G DDoS 장비가 있다손 치더라도 그 비용은 너무 고가일 것이고 향후 공격은 기가비트 공격을 넘어선 공격이 대세를 이룰 것이다.

그렇다고 한다면 지금까지 1G를 지원하는 DDOS 전용 솔루션 장비를 도입한 업체들의 고민은 커져만 갈 것이다.

효율적인 방법이 없을까 고민해 보자....아....정말 맘 먹고 공격하면 대단한 위력으로 공격을 하는것 같다.
신고
Posted by 엔시스
TAG DDos

DDoS 테스트 툴이라고 하는데 아직 사용해 보지 못했다. 그런데 테스트 둘이라고 봐야 할지 아니면 공격툴이라고 봐야 할지...

해당 싸이트가 가서 보니 툴을 다운로드 받게 되어 있었는데 거기에는 돈을 주고 사라는 아이콘도 있는 걸로 봐서 기능 제한이 되어 있거나 아니면 기한 제한이 되어 있는 프로그램 같다.. 이런 툴들이 버젓이 판매가 되고 있으니 테스트 툴이든 ,,공격용 툴이든,.,.이젠 방어에 힘써야 할 것 같다.. 다덜...

사용자 삽입 이미지

혹시 노파심에서 이야기 하는데 검색하여 악용하지 마시길 로그가 다 남고 하는 툴이니 조심 하시길....

신고
Posted by 엔시스

DDoS 공격는 사이버 조폭들

오늘 누군가 헐래벌떡 달려와서 이야기 보따리를 풀어 놓았습니다..담당하는 사람은 여자분으로 사업을 하시는 분인데 오늘 이런 전화가 왔답니다.,.

그분 왈

" 나 해커인데 지금 싸이트 공격 할꺼니까 돈 내놓으시오"

라고 전화가 왔답니다..너무 당황한 나머지 약간 얼빵하게 (경상도사투리-억눌하게) 일부러 말을 했답니다.

" 나 사장도 아니고 아무것도 모르는 사람이다.,.." 

" 그러니 해킹을 하던 말던 잘 모르겠고 그리고 돈을
아무도 모르는 사람에게 어떻게 주느냐"

"내가 시스템 점검 해 보고 다시 이 전화 번호로 전화 주면 되느냐"
  라고 말했답니다...

해커 왈

"그럼 이거 뭐..도저히 협상이 안되는 모양이군..."

잠시후 싸이트는 다운이 되고  그렇게 헐래벌떡 달려 오신 것이랍니다..참 달라고 하는 곳에가서 달라고 해야지 그냥 싸이트 하나 돌리는 중소업체에 가서 돈을 달라고 하니..이거 완죤히 삐 빨아 먹는 놈이네 ,,,그려

일단 공격은 막긴 막았지만 언제 다시 공격할지 모르다는 사장님을 뵙고 참 사업하기 힘드는 구나 하는 생각을 했습니다. 그것은 경쟁업체 눈치를 봐야 하기 때문이죠...DDoS 공격 사주 할지도 모르니까

제발 공격을 하던 말던 그건 당신네 맘이지만 돈없고 사업좀 해 볼려고 하는 일반 무고한 사람들에게 공격하지마라...그것은 폭력을 휘두르는 조폭과 다를 바 뭐 있냐....돈 뜯고 싶으면 돈 많은데 가서 하던지...

이거 세상이 참 무심하게 변하고 서로 헐 뜯고 살아야 하니..원,,,
신고
Posted by 엔시스
TAG DDos

재미있는 통계가 나왔네요..Malcode and DDoS Locations: May 2008 에서 악성코드와 DDoS 통계를 내었습니다. 그런데 악성코드 부분에서 한국이 3위를 차지 했네요...

중국은 2개 모두 상위권이네요.. 이런걸 어떻게 받아 들여야 할까요?  왜 중국발 해킹이라고 하며 ..왜 중국이 많을까요?

뛰어난 해커가 많아서..아니면 인구가 많다보니 그중에 똑똑한 사람이 많아서...아니면 땅덩어리가 커서...그냥 그런 의문점이 들었습니다... 더 세부적인 사항도 링크따라 가 보시면 있으니 참고하시기 바랍니다.


 
사용자 삽입 이미지
                                        <major malcode distribution points for May, 2008>
                                             

참..문제입니다..문제...모르면 모를까 ..알면서도 ..이렇게 당하고만 있는다고 생각하니...쩝...정부에서 근본적인 정책을 강구 해야 겠습니다..자주 통폐합이나 부서 조정하지 마시고 나라 보안정책을 바로 세울수 있도록 뒷 받침해 주는 정책을 만들었으면 좋겠네요..

신고
Posted by 엔시스
TAG DDos, 봇넷


http://www.cisco.com/web/KR/learning/online_seminar/pop_3_1.html


시스코 가드 디텍터에 대한 동영상입니다...역시 글보벌한 회사는 제품 소개도 멋있게 하는군요...

비용은 비싸다는 걸 알겠는데 성능은 어떤지 궁금하네요...
신고
Posted by 엔시스
TAG DDos