능동적인 종합 보안센터, ‘사이버 테러 대응 센터’가 필요 현재 보안 시장에서 가장 큰 테마는 분산서비스거부(DDoS : Distribute Denial of Service) 공격이 부각되고 있으며 최근 DDoS 공격은 BotNet을 이용하여 정치적 보복에서 개인적인 이익·불확실한 목적(7.7 공격 배후 및 목적 밝혀지지 않음)으로 변화하고 있다. BotNet을 이용한 공격이 해당 서버 서비스의 취약점을 찾아서 복합적이면서 정교한 공격으로 이루어져 어느 기업도 DDoS 공격에 안전하지 않다. 100% 안전한 기관과 기업은 없다.

정보 사회가 지속적으로 발전하면서 정보보안의 가치는 상승하고 있으며 이에 따라 여러 가지의 목적으로 해당 정보를 노리는 공격이 점차적으로 복잡·지능·상업적 공격이 이루어지고 있다. 기업 내에서는 해당 공격을 막고자 여러가지 보안 솔루션을 도입하면서 보안 전산망 자체가 복잡해지고 방대한 로그·이벤트가 발생하고 있으므로 손쉽게 통합 관제의 필요성이 대두되고 있다.
관제 서비스는 단순 탐지·통보 업무에서 최신 공격·취약점에 대한 지속적인 기술습득과 업그레이드를 통한 효율적인 보안 서비스를 마련해야 하는 숙제를 가지고 있다. 이 글에서는 DDoS 공격과 관제 서비스를 접목하여 발전된 모델을 구성하고자 정보 보안 산업, DDoS 공격의 진화, 관제 서비스의 필요성에 대해서 정리했다.
정보 보안 산업
암호, 인증, 인식, 감시 등의 보안기술이 적용된 제품을 생산하거나 관련 보안 기술을 활용해 재난, 재해, 범죄 등을 방지하는 서비스를 제공하는 산업으로 정의할 수 있다.

정보 보안은 위의 그림과 같이 보안 S/W, H/W, 보안서비스 3요소로 구성되며 일반적으로 인터넷상 및 사내 전산망에서 다루는 보안 솔루션들이 이에 포함된다(백신, 방화벽, DDoS, 관제 등).
정보 보호
일반적 정의는 “정보자산을 공개·노출, 변조·파괴, 지체·재난 등의 위협으로부터 보호해 정보의 기밀성, 무결성, 가용성을 확보하는 것”이다.
기밀성 - 비인가된 개인, 단체, 프로세스 등으로 부터 중요한 정보를 보호하는 것으로 스니핑(도청)이 위협이다. 무결성 - 정보가 의도적으로 또는 비의도적으로 변조되지 않는 특성(정확성 , 완전성, 일괄성)이다. 해커와 비인가된 프로그램이 위협이다. 가용성 - 인가를 받은 사용자가 정보나 서비스를 시가 적절하게 접근할 수 있는 것으로 위협은 해커, 도스공격, 통신방해 등이다. 법적 정의는 “정보보호는 정보의 수집, 가공, 저장, 검색, 송신, 수신 중에 정보의 훼손, 변조, 유출 등을 방지하기 위한 관리적, 기술적 수단을 강구하는 것”이며 학술적 정의는 “정보시스템 내부에 보관되거나 통신망을 통해 전송되는 정보를 시스템 내부와 외부에 존재하는 각종 위협으로부터 안전하게 보호해 정보시스템의 가용성을 보장하는 것”이다.
법적/제도적 장치 필요
간단한 DDoS 공격 툴 및 방법을 손쉽게 인터넷 공간에서 취득 및 행사 할 수 있으며 악성코드·스파이웨어 제작·배포해 하나의 산업으로도 발전하고 있다. 새로운 시스템이 출시되면 신제품·서비스에 대한 취약점 공개 및 공격이 확산되고 있다. 이를 기본적으로 방어를 위해서는 보안 위협 산업이 작동하지 않도록 법적·제도적 정비가 이뤄져야 한다.
● 보안 위협의 대중화
   - 악성 코드 : IPC 소스 공개로 손 쉽게 실행압축 프로그램 제작/배포 가능.
   - 스파이웨어 비즈니스 : 안티스파이웨어 엔진을 누구라도 값싸게 구매/사용/배포 및
      비즈니스로 이용
   - 오토플레이 : 일반인들도 많이 구매해 이용
   - DDoS 공격 : 봇넷을 이용한 중국발 DDoS 및 파밍 공격 가능, 몇십만원으로 공격
   - 제로어텍 : 취약점 패치 이전에 이를 악용해 다양한 공격 발생
● 보안 위협의 산업화
   - 가짜 안티 스파이웨어 : 2007년 3분기까지 742건으로 전년 동기 대비 57.2% 증가
   - 온라인 게임 아이템 : 아이템 수집과 판매를 통해 매출을 올리는 수천개의 ‘작업장’,
      오토 플레이
   - 파밍 공격 : 2007년에 국내 은행 사용자 대상 시도, 인터넷 뱅킹 사용자가 59% 사용
   - 봇넷 거래 : 사이버 블랙마켓
● 신규 제품/서비스에 대한 공격
   - UCC(사용자 제작 콘텐츠), 웹 2.0을 통한 보안 위협의 확산·증가됨 : UCC를 통한
     악성코드 확산, 재생을 가장한 스파이웨어 배포, 트로이목마, XSS/아이프레임 태그
     를 이용한 악성 링크 삽입
   - 이동식 저장 장치 : 자동실행을 통한 악성 코드 확산
   - 인터넷 전화(VoIP) : DDoS 공격, 도청, 스팸 등이 확산 조짐
   - 휴대전화 : 심비안 운영체제(악성코드가 수백개), 아이폰(Mac OS X, 트로이 목마),
     구글의 안드로이드도 안심 못함
DDoS 공격의 진화
웹 애플리케이션 공격, 서비스 거부(DDoS) 공격 등 사이버 위협 증가가 실제 오픈 마켓에서의 고객정보 대량 유출 사고, 증권사 대상 서비스 중단 협박 등이 실제화 되고 있어 기업에서는 적극적이고 사전 예방적인 보안 대책이 요구되고 있다.
DDoS 공격이란?
인터넷상에 분산돼 있는 좀비PC가 정상, 또는 비정상 트래픽을 한 곳에 집중시켜서 특정 웹사이트나 서버의 서비스를 불가능 상태로 마비시키는 공격이다.
DDoS 공격 사례
대역폭 고갈 -> 서비스 자원 고갈 -> 복합 공격화 : 공격 대상에 따른 맞춤 공격, 지능화
DDoS 공격 유형
과거에는 불법적인 정보의 취득, 시스템의 무단사용 등의 목적에서 정치적·금전적 이익·불확실한 목적으로 대상이 확대·변화하고 있으며 공격 주체 추적이 힘들어지고 있다.

대역폭 고갈형 공격 : 한정된 대역폭 회선 이상의 1~24G에 이르는 막대한 공격 트래픽을 전송, 접속 절차가 필요 없는 UDP 혹은 ICMP Flooding 공격 세션 고갈형 공격 : 부하분산 및 서버 보호 목적의 L4스위치·방화벽 취약, 해당장비의 세션 관리 능력(통상 30,000CPS 이내)의 유한성을 악용, BotNet으로 부터 초당 20여만 건의 접속 요청(SYN Flooding) 서버 자원 고갈형 공격 : 서버 자원의 트랜잭션 처리 한계(통상 10,000 TPS 이내) 악용, 정상적 접속 후 대량 요청 발생, 네트워크 모니터링으로 파악 불가, ‘GET Flooding 공격’이 가장 대표적인 자원 고갈 형 공격이며 7.7 대란의 Cache Control attack이 해당 대역폭/세션 고갈형 공격 : L4 Layer SYN, SYN-ACK, RESET Flooding, ACK Flooding, UDP Flooding, L3 Layer Land Attack(IP Flooding), ARP,RARP Spooping, ICMP Flooding, L2 Layer VLAN, double-encapsulated, VLAN non-IP Floods 서버 자원 고갈형 공격 : L7 Layer HTTP GET Flooding, DNS Lookup Flooding Cache Control attack Cache Control Attack 이란?
웹 서버에 접근시 cache control 옵션을 초기화해 cache가 없는 패턴을 전달해서 웹 서버에 대해서 과부하를 발생시키는 공격이다. 일반적인 웹 접속시에는 1회 요청하는 페이지를 이번 7.7 공격에서는 한대의 좀비 PC에서 초당 6~10여회를 요청하는 패턴을 보였으며 이와 같이 지속적으로 웹 서버에 부하를 발생 시켰다. 임계치 기반의 DDoS 장비에서 초당 10회 요청 행위를 임계치로 설정하는 탐지 방법은 사실상 불가능하다.
왜냐하면 일반적인 웹 서버 메인 페이지 접속시 초당 10세션 이상 오픈이 되는 것이 일반 구성이다. 그러므로 Cache Control attack인 경우에는 L7 Layer 방어 DDoS 장비로 탐지·방어해야 한다.
즉 한대의 클라이언트에서 특정 웹서버에 대해서 동시 다발적으로 no-chche로 페이지 요구하는 행위를 탐지하는 기능을 보유해야 차단이 가능하다. 일부 DDoS 장비에서 Cache Control attack을 패턴 삽입으로 통해서 방어했다. 해당 방어는 성능 저하 및 패턴 변종 등의 문제가 발생할 수 있으므로 권장하지는 않는다.
HTTP에서의 ‘Cache Control’ 옵션
웹서버 캐쉬나 웹브라우져 캐쉬에 있는 내용을 제어하기 위해 HTTP Request나 HTTP Reply 헤더 필드에 설정
‘Cache Control: no-cache,must-revalidate’
브라우져의 캐쉬나 웹서버 캐쉬에 해당 HTML 문서가 캐쉬 되지 않도록 만드는 HTTP Header 옵션
DDoS 공격 관점에서의 Cache Control
요청하는 웹페이지를 항상 웹 페이지에서 가져오도록 만들어 웹서버 자체에 부하를 주는 기법, 웹페이지의 특성에 따라 공격 방법이 다름
정적인 웹페이지 : ‘Cache Control: no-cache, must-revalidate’ 옵션을 적용, IPS 패턴으로 방어가능하나 오탐이 많음 동적인 웹페이지 : 캐쉬 서버에 캐싱되지 않으므로 특별한 옵션 없이 항상 웹서버의 부하를 줄 수 있음, IPS 패턴으로 방어 불가능함 하나의 HTTP Reqeust 패킷으로 가장 부하를 많이 줄 수 있는 일반적은 방법은 DB 서버와 연동되는 웹페이지를 요청하는 것 DDoS 대응 체계
대역폭/세션 공격 방어 : 관문 라인에 위치해 대역폭/세션 공격을 우회 방어 시스템 구축, L2/L3/L4 Layer 공격 차단, bot ip 공유를 통한 차단, 다량의 공격 트래픽 우회 차단, 임계치 설정 등 서버 자원 고갈 공격 방어 : 내부망에 위치하여 서버 대상의 서비스 자원 고갈 차단 시스템 구축, L7 Layer 공격, 프로토콜 특화 공격 대응 사내 Bot 탐지/차단 : 신종/변종 Bot 전파/감염 탐지 및 차단, C&C 서버 모니터링, 악성 코드 배포 탐지/차단 URL 변경 및 CDN 서비스 :  특정 URL 공격시 해당 URL의 변경을 통한 공격 대응, mail.test.com - mail-1.test.com, mail-2.test.com, GSLB(Global Server Load Balancing)를 통한 공격 트래픽 분석 서비스 구축(트래픽에 따라 캐쉬 서버를 병렬로 구축함.) 관제 서비스 확대(Cotrol Tower 운영) : DDoS 대응 조직 및 프로세스 확립 필요, 상시/비상시 통합 Cotrol tower 운영 필요 대외 기관 협조 체계 : KISA, ISP, 정부기관 등 협조 체계 확립 * 라우터, 스위치, IDS/IPS/WAF 등 내부 시스템과 유기적인 방어 체계를 확보해야 함
관제 서비스의 필요성
사이버 테러 노출 위협에 따른 정보자산 유출 사례가 지속적으로 발생하며 내부정보 유출 방지 대책이 필요하다. 유출시 발생하는 경제적 손실, 신뢰도 하락, 고객 손해 배상, 기업 이미지 실추 등의 침해 사고에 대한 조직적으로 대응하는 관제 서비스가 필요하다.
7.7 DDoS 공격시 관제 대응 사례
1차 공격(7월 7일 18시부터 24시간, 26개 사이트) : 외부 기관에서 상황 전파 2시간 전 사내망에서 (포탈/정부기관 등으로 나가는) 과도한 트래픽 검출, 유명 포탈 접근 불가 확인함. 사내에서 해당 포탈로 유출되는 과도한 트래픽 검출하고 내부망에서 해당 포탈로 나가는 트래픽 모니터링, 사내에서 해당 포털로 유출되는 출발지에서 나가는 외부 목적지 IP 검출하고 감염된 PC에서 외부로 나가는 과도한 트래픽 모니터링 함. 1차 공격 대상 1차 대상 리스트화로 감염된 여러 대의 PC의 공통 공격 대상 URL/IP 산출하고 1차 공격 대상 URL/IP 집중 관제하고 좀비PC 방화벽에서 차단 및 네트워크 단절, 보안 담당자를 대상으로 SMS 상황전파함. 2차 공격(7월 8일 18시부터 24시간, 16개 사이트) : 보안 담당자 대상으로 경보 발령, 백신 업데이트 및 치료요청 SMS 공지, 3차 DDoS 공격 정보 확인 후 백신업체에 문의 및 백신 포털 공지함. 3차 공격(7월 9일 18시부터 24시간, 7개 사이트) : 좀비PC의 하드디스크 손상 관련 정보 확인, 포털 및 전사 보안 담당자 대상으로 SMS 공지, 좀비PC 손상 최소화, 적극적인 초기 대응으로 2,3차 공격 발생 시 감염 PC 최소화 함. * 1차 공격 대상 URL/IP에 대한 신속한 파악 및 상황 전파, 2/3차 공격 피해 감소를 위한 좀비 PC에 대해서 즉각 연락 및 차단으로 추가 감염 최소화했다.
초기 시점의 보안사고 예방 체계 확보
관제 서비스의 가장 기본 업무는 사전 예방 활동으로 시스템이 가지고 있는 문제점들을 원천적으로 해결해야 하며 지속적인 정책 변경 활동과 모의해킹 활동으로 산재된 문제점을 찾아서 조치하는 활동이 정기적으로 필요 하다.
쪾웹 베이스 취약점 점검 : 서비스 유형 분석 및 점검 체크리스트 화, 사용자 인증 절차, 업무 처리 절차, 웹 서비스 취약점 점검, SQL Injection 취약점, XSS 취약점 등
시스템 베이스 취약점 점검 : IT인프라  조사 및 분류, 분류 장비 별 최신의 점검 방법론 적용(Unix : HP, SUN, AIX / Win : 2000, 2003 등), Web, WAS 설정 값 점검, DBMS 취약점 점검, N/W 장비 취약점 점검, 보안 대책 적용 : 서비스 가용성을 고려해 Hot Fix/중장기 대책 분류, 대책 적용여부 전수 검사를 통한 보안적용 시스템 누락 방지, 보안 대책 적용 전문가를 통한 적용 수준 고도화 모의 해킹 : 인증 우회 및 불법적인 사이버 거래 등 서비스 지향 시나리오 수립, 웹 서비스 취약점을 통한 불법 접근 및 권한 탈취 시도, 사회공학적 방법을 이용한 고객정보 취득 시도 사이버 테러 대응 센터
정의 : 수동적 모니터링에서 능동적인 예방활동/선조치 서비스 센터, 사전 모의해킹, 취약점 분석, 법적(제도적) 도구 마련 활동, 외부로의 침입, 내부로의 유출을 차단하는 보안 종합 센터 비전 : 별도의 조직 구성을 통한 운영과 감사 조직의 분리, 정보보안 관련 서비스 및 예방활동 일원화, 보안 의식 공감대 형성, 지속적인 보안 교육, 통합 보안 규정 실천 외부 기관/관제 운영 : 인프라 구축/운영, 관제 운영, 보안 진단, 서비스 지원 사이버 테러 대응 센터/기술 지원 : 해킹/추적, 정보유출 조사, 상시 진단(파스칼), 사후 진단(포렌직) 콜 센터/기획 : 업무 기획, 신규 서비스 창출 사이버 테러 대응 센터의 필요성
최근 ‘정보보안’은 IT 전반으로 핵심 사업으로 부상중이며 기업내 정보보안 책임과 의무를 이행해야 한다. 통합관제 서비스 확대를 통한 기업내 보안 총괄 역할을 하며 보안장비 연동/운영/관리, 파스칼/포렌직 서비스 연동하여 보안 서비스를 통합 서비스 및 품질향상/비용절감을 통해 사업의 효과를 극대화해서 차세대 보안제품 선정과 운영에서 중심 역할을 해야 한다.
사이버 공격 위험, 웜/바이러스 공격 위험 등에 대한 보안 위험에 대한 보안 정책 기획/조정/제도 수립해야 하며 중앙집중 보안 서비스 관리를 통한 효율적인 보안관리 체계를 확립 해야 한다.
내부 정보 유출 방지가 ‘기업 경쟁력’, 보안은 자산이다.
DB보안, 디지털저작권관리(DRM), 보안USB, 이메일 보안, 데이터누출방지(DLP: Data Loss Prevention) 등 통합 정보보호 정책관리가 필요하다.
7.7 대란은 국가 위기였고 주요 공공기간 및 기업이 큰 손실을 입었다. 예상치 못하는 사이버 공간에서 발생하는 공격 및 위협에 대해서 신속하게 대응하는 사이버 테러 대응 센터(Cotrol Tower)가 필요하다. 사이버 테러 대응 센터는 수동적인 관제 서비스에서 능동적이면서 찾아가는 서비스, 예방 활동 및 내/외부 공격에 대해서 믿고 맡길 수 있는 종합 보안 센터로 거듭 변신해야 할 것이다.
주/야간 24시간 365일 열악한 관제 센터에서 관제 요원들은 기업의 정보 시스템과 자산에 대해서 악의적인 목적을 가지고 침입하는 행위를 막고 있다. 보안 전문 인력에 대한 대우 및 처우 또한 병행돼야 한다.
우수한 보안 전문 인력을 확보하는 것이 1차적인 방안이다. 보안 정책 및 장비에 대한 업데이트에 대해서 책임감을 가지고 수행해야 하며 갑작스런 트래픽 증가나 유명 포털 사이트 지연 등에 대해서 위기관리 능력 및 보안 관련 기본 지식으로 해당 상황이 기업내 미치는 영향을 신속한 판단 능력이 필요하다.
또한 보안은 소통이다. 하나의 DDoS 장비로 모든 DDoS 공격을 막을 수 있다는 생각에서 기업내 존재하는 보안 장비간에 통합적으로 대응을 해야 한다. 방화벽에서 IP/Port 차단, IDS/IPS에서 최신 패턴 탐지, 스위치 장비에서 트래픽 분산, 서버 보안 툴에서 악성코드/취약점 탐지, 클라이언트 백신에서 바이러스/웜 치료 등 사내 보안 장비 간 소통을 통해서 통합 관리해야 한다.
DDoS 공격에 대해서 기술적으로 100% 막는 솔루션은 없다고 본다. 이를 해결·보완하려면 끊임없이 진화하는 공격 위협에 대해서 얼마나 빨리 대응 하는 체계 확립과 위기관리 프로세스를 구비해야 한다. 방어자 입장에서의 정책이 아닌 공격자 입장에서 정책도 수립 및 기술 습득도 필요하다. 즉 다양한 보안 환경을 얼마나 잘 이해하고 유기적으로 관리/준비하는 것이 우리의 숙제이며 미래의 상황은 우리가 예측할 수 없는 환경 요인에서 발생하고 있다.
“창은 방패보다 날카롭고 강력하다. 단지 나를 조준하지 않고 있을 뿐이다. 모든 것을 막을 수 있는 방패는 존재하기 힘들다는 것은 우리는 모두 알고 있다. 단지 공격을 느슨하게 피해를 최소화시키기 위한 노력이 최선의 방안이며 사전 예방 활동 및 신속한 대응 프로세스가 강력한 방패일 뿐이다.”
<글 : 강대선 시큐아이닷컴 고객서비스팀 차장(daesun.kang@samsung.com)>

[월간 정보보호21c 통권 제110호(info@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>