니오의 nweb.kr

얼마전 있었던 DDoS 공격 때 청와대를 비롯한 주요 정부기관 사이트들과 신한, 외환 등의 은행사이트들, 옥션과 네이버 메일서비스들에 서비스 장애가 발생했었다. DDos에 의한 피해는 최우선적으로 사이트를 이용하는 사용자들이다.

청와대 같은 기관 사이트들의 마비는 일부 민원에 대한 처리가 곤란해 진 점들이 있겠으나 웹사이트를 이용한 대국민 홍보업부 같은 부분을 제외하고 주 청와대 업무에 대한 피해는 없다고 볼 수 있다. 청와대 사이트가 다운된다해서 내부결제나 행사, 의전이나 경호 같은 업무가 마비되는것은 아니기 때문이다. 정도의 차이는 있겠지만 국가기관인 국회나 국방부도 마찬가지일 것이다.

네이버나 다음 같이 메인 업무가 웹서비스가 아니고 어느정도는 보조적인 업무에 해당하는 국가 기관 사이트는 해킹 대비에 대해서 일반 온라인 기업에 비해 약간은 심적으로 이해해 줄 수도 있겠다. (물론 국가 기관 사이트를 해킹이나 DDos공격에 무방비로 놔두어도 괜찬다라는 이야기는 절대 아니다.)

은행 사이트의 경우는 이야기가 조금 다르다. 돈을 다루고 있기에 금융권은 매우 보수적인 성향을 가지고 있는데, 금융망 역시 마찬가지의 성격을 띄고있다. 일반적으로 VPN망을 사용하면서 여러단계의 암호를 사용하고 있으며 크래킹, 바이러스에 대비한 안전장치가 여러겹으로 둘러 싸여있다. 은행 사이트의 다운은 예금이나 사용자간의 거래가 불가능 해지는것 뿐만 아니라, 적금, 신용카드 하다 못해 공과금 납부 같은 종합적인 금융업무의 마비를 의미한다. 거래 규모에 의한 피해를 추산한다면 아마도 은행이 이번 DDos 공격에서 가장 큰 숫자의 피해를 보았다고 볼 수 있다.

오히려 포탈은 이미지 실추에 대한 무형적인 피해와 일부 광고 미집행에 대한 피해가 있겠으나 서비스 장애에 대한 CS 처리비용을 제외한다면 그다지 큰 피해가 없다. 이번 네이버의 경우 지난해 네이버 카페에 대한 DDos 공격 때 이미 먼저 선 경험을 했기 때문에 메일을 제외한 나머지 서비스에 대해서는 별다른 접속장애가 없었다. 아마 네이버 메일서비스도 얼마전 개편때문에 DDos공격에 대한 대비를 미처 못해서 그랬을것으로 생각된다. 아마 시간이 좀더 지난 다음이었다면 네이버 메일도 DDos에 대해 별 문제없이 지나갔을 것이다.

언론에 나온 옥션의 하루 매출액은 74억원이라고 한다. 이게 전부 옥션의 피해액은 아니고 평균 수수료율을 10% 정도 잡는다고 치면 7억 4천 정도의 실제적인 피해액이라 할 수 있는데, 이 뿐만이 아니라 옥션 내에서 광고 집행이 안되는 부분에 대한 피해 역시 감수 해야 한다. 아마 최소 하루 10억원 정도의 실질적인 피해가 옥션에 발생했을 것이고, 이미지 실추에 대한 무형적인 피해는 광고비로 추산해 보면 더욱 큰 규모가 될 것이다.

G마켓은 이번 공격에 아무런 피해를 입지 않았다. 오히려 옥션이 접속이 안되는 바람에 매출이 증가했을 것이다. (지금이야 g마켓이 이베이에 인수되어 한지붕 아래 있으니 상관 없다고 이야기 할 수 있겠지만 그건 전체 경영수지상의 이야기이다.) 업계에 있는 지인에게 물어보니 G마켓은 DDoS 공격에 대비한 장비(가드 & 디텍터)를 잘 갖추고 서비스 하고 있는것 같다고 한다. 이 DDoS 방어 솔루션/장비는 시스코 같은 회사에서  팔고있다.

지인의 이야기로는 옥션의 경우 방어장비가 제대로 갖추어져 있지 않아서 피해를 당했을것으로 추정된다고 한다. 장비가 제대로 갖추어져 있었다면 그런식으로 접속장애가 발생하지 않았을 것이다. 예산절약을 위해 그랬다면 옥션은 방어장비 가격 절약하느라 10억원을 날린 꼴이다. 만약 장비에 대한 필요성을 인식하지 못해서 안들여 놨었다면 그건 정말 안습인 상황인 것이다.

특히나 옥션은 지난해 개인정보 해킹문제로 1000만명이 넘는 회원들의 개인자료가 유출된 사이트인데, 아직도 사이트 보안과 해킹방어에 대한 인식이 낮은 것처럼 보인다.

아래는 DDoS공격에 대해 정리한 글이다.

(출처는 제임스님의 블로그입니다. http://blog.naver.com/kmsc88/120054044545)

DDoS 공격은 SYN, TCP, UDP, ICMP 등의 공격이 있고 이런 공격은 일반적으로 많이들 알고 계신 공격입니다.저는 요즘의 DDoS 공격을 크게 두가지로 나눠야 한다고 봅니다.

1.트래픽 공격 (SYN,TCP,UDP,ICMP Flood 등)
2.웹 부하 공격 (Get Flood, CC attack 등)

요즘 DDOS 공격은 너무나도 쉬어졌습니다.뭐..모르시는 분들은 여전히 '방법2007' 같은 F5연타스크립트 툴이나 옛날에 발표된 문서나 툴들을 이용해서 SYN 공격이나 하는게 고작일겁니다. (지금도 웃긴건 '트리누', 'TFN2K' 같은 방법은 이제 먹히지도 않는데, 장비영업하는 사람들은 거창하게 제안서에 이런거 넣습니다.)

자 현실적으로 접근합시다. 모두들 고민하는게 그거 아니던가요?

중국에서는 이러한 공격툴이 너무나도 일반적입니다.HDSI를 개발한 KingMetal의 'Nxxxx' 같은 프로그램은 한국을 겨냥해서 변종 공격을 추가했을 정도로..현재 나온툴중에 DDOS공격용으로는 'Nxxxx'가 최상일겁니다.

이제 DDOS 공격은 예전과 달리 '화상채팅', '불법도박' 등에 국한 되지 않습니다.한국사람들은 중국에 건너가서 조선족들과 협력하여 오히려 한국인이 한국인을 공격하는게 일반적입니다. 미래에셋 사이트의 경우도 예외는 아닙니다. 제 생각엔 이 모든것에 한국인이 개입되어 있습니다.

음지에서 공공연히 몇년전부터 행해지던 DDOS공격이 이제 양지로 올라왔습니다.TCP-IP구조의 문제 고리가 해결되지 않는한 DDOS는 끝이 없을겁니다.

1. 공격은 어떻게 이뤄지는가?
이건 뭐 누구든 요즘 다 아는 내용입니다.감염된 좀비에 의해 원격자가 명령을 내리면 목표를 향해 명령자가 내린 공격패턴으로 감염자는 아무런 사실도 모른체 공격을 하게 됩니다. 공격자가 만약 공격 스레드를 높이게 되면, 감염자의 컴퓨터가 느려지면서 감염자가 눈치를 챕니다.
'어 바이러스 감염인가? 컴이 왤케 느려...' 하면서 포맷이나 백신치료를 합니다.
따라서 공격자는 스레드를 낮게 해서 공격하는 형태로 많이들 하는데 이경우 감염자(좀비)는 눈치 채지 못하는 경우가 많습니다. 공격 초보자들은 스레드를 높여서 어떻게든 해당 사이트를 다운시킬려고 노력하지만, 이렇게 되면 감염자는 컴퓨터 감염사실을 더 빨리 인지하고 포맷이나 백신등을 이용해 치료를 하게 됩니다. ^^ 이 내용은 후반부에 자세히 적겠습니다.

2. 공격시도의 증상은?
증상은 크게 두가지로 나눠집니다.

첫번째, 네트워크 점유율 증가일때는 무조건 트래픽 공격입니다.
두번째, 메모리점유율 90% 이상, CPU점유율 90~100% 이러면 웹부하공격입니다.

3. 공격을 막을수 있는가?
이건 '창'이 쎄냐. '방패'가 쎄냐. 뭐 그런 문제입니다. 창이 방패보다 쎄면 못막겠죠. ^^; 한국에는 이제 10기가 디도스존을 구성한다고 하고 있습니다.중국에는 최대 20기가 디도스방어 센타가 있습니다. 물론, 이 중국쪽 20기가 방어회선은 한국과는 너무 회선이 안좋은 관계로 이글을 보시는분들에게는 꿈같은 이야기입니다. ^^; 잼있는것은 요즘 한국에도 10기가 디도스 방어 광고를 하고 있더군요. 하지만 한국 10기가 디도스존은 아직까지는 광고일뿐입니다. 명백히 비즈니스일뿐이죠..아직까지는..
자기들 말로는 막았다고 하고, 자료 보여주면서 막았다 어쨌다 이런일 있었다 하지만..서비스를 받아봤던 사람들의 이야기 들어보면 못막았다는 이야기가 많습니다.
'성인화상채팅'오래 하셨던분들은 이미 DDOS공격으로 몇년을 고생을 해서 이런 사실을 누구보다 잘 알죠. 이건 꽤 충격적인 이야기일수도 있겠습니다. 헌데, 사실입니다.
현재 그렇게 광고하는 서비스 업체에서 짐작컨데 4~5기가 백본을 가지고 요령껏 방어하고 있다고 보시면 됩니다. 물론 그 요령은 그들만의 비법이겠죠 ^^ 업체 입장에서는 막는다라고 이야기 안하면 영업 안들어옵니다.

4. 방어는 어떻게 하는가?
장비로 방어하는게 일반적입니다.헌데, 장비의 허용범위를 초과시 운영자가 빨리 대처를 해야 막을수 있습니다.
도메인으로 공격들어오면 dns로 일시적으로 다른곳으로 돌린다던지, 공격자 IP 차단한다던지 여러가지 방법을 많이 쓰고 있고, 이건 업체별로 나름대로 노하우가 있긴 합니다.
헌데 트래픽공격을 막아주는 보안업체는 봤어도 웹부하공격 막는 업체는 한국엔 아직 없더군요.크리티컬한 웹서비스를 하는 업체들, 웹서비스가 조금만 끊겨도 손실이 어마어마한 업체들은 현재 대책이 없습니다.

5. 공격자를 잡을수는 없는가?
1) 감염자의 PC 위치를 추적해서, 해당 명령자의 위치를 추적하고.. 그리고 또 추적하고 이런식인데..못잡습니다. 숨기면..

2) 좀비프로그램의 프로세싱 분석을 하면, 명령자가 어딜 공격하고 있는지 어디서 명령내리는지 바로 찾습니다.실제 '안랩', '하우리' 등의 보안업체에서는 이런식으로 해당 감염 프로그램을 확보해서 분석하고 해당 변종 좀비 프로그램을 치료하도록 백신을 개발합니다.

3) 결론은 잡기 힘들기 때문에, 방어쪽에 치우치는게 사실입니다.

6. DDOS 방어 장비는 어떤 장비가 좋은가?
이건 그동안 수차례의 BMT와 여러 경험들을 통해 말씀드리겠습니다.그리고 보안장비 영업하는 사람에게 쓴소리좀 할려고 합니다.
장비가 딱히 어디가 좋다는 없습니다. 하지만 현실적인 요즘 상황을 가지고만 서술 하도록 하겠습니다.이 사이트에서 장비를 영업중인 여러 영업사원들에게 이러한 사실이 직격탄일수도 있겠습니다.
한국에 현재 유통된 장비는 많습니다.  헌데, 제대로 된 장비가 별로 없습니다.웃긴건 영업하는 사람들이 자기회사 장비의 성능조차 모르고 영업하는 경우도 있습니다.
실례를 들자면 1기가장비인데, 1기가 트래픽 받는대로 서버한테 주는 장비 .. DDOS방어장비 맞나요? (머지 이건 쓰레기인가...헌데 설치엔지니어도 영업사원도 이사실 모르고 팝니다.) 1기가장비인데, 500메가 트래픽부터 먹통되는 장비..(크기 작고 스위치형 장비들이 이런 형태임)

이 장비들 뭐 딱 어디회사라고 말씀은 못드립니다. 워낙 치명적인 내용이라서 ....한국에서는 이런 트래픽 BMT 테스트가 실서비스에서 불법이다보니, 제대로 테스트 될리가 없습니다. 겁나서 아무도 제대로 테스트 한 경우가 없죠. 보안 전문가만 알고 있을 뿐입니다.영업하는 사람들은 죽어도 모르죠.
또 이익에 눈이 어두워서 돈만 챙길줄 알지 제대로 테스트 할 생각조차 안합니다.장비 어떻게든 팔려고 로비만 할줄 알지..자기들 회사 제품 성능은 매뉴얼대로밖에 모릅니다.

한국은 영어 많이 쓰고, 비주얼 화려하면 좋은 장비로 착각합니다.한국사람들 인식도 그만큼 문제겠죠. 영업사원들 만나보면 필요없는 영어 무지하게 쓰는 인간들도 더러 있습니다.
방어도 제대로 안되는걸 국가에 납품할려고 하는데, 나중에 또 무슨 소리 들을려고 그러는지 모르겠습니다.
이글 읽고 뜨끔하시는분들 많을겁니다. 뭐 돈벌자고 하시는일이니 어쩌겠습니까? 하지만 저는 영업사원이 아니다 보니.. ^^;

시스코사의 장비는 너무나도 유명합니다.헌데 이 장비도 치명적인 결함은.. 웹부하공격(Get Flood, CC등의 공격 .. 어떤분들은 이걸 DB공격으로 알고 있음)을 못막습니다.
요즘 나오는 장비중에 1기가 막는 다는 장비들을 보면 대게 이렇습니다.

트래픽 공격에 대해서는..
80% 정도의 장비는 사실입니다. 1기가 막습니다. 못막으면 DDOS장비의 기본을 져버린것이죠. 20% 정도는 장비가 1기가 장비라고 출시하면서, 트래픽 1기가 공격을 못막습니다. 한마디로 몹쓸장비인거죠.웹부하 공격에 대해서는..아직까지 한국에 들어온 장비중에 웹부하공격을 막을수 있는 장비는 못봤습니다.그리고 웹부하공격을 막는 장비도 눈을 씻고 찾기도 어렵습니다. 이유는 웹부하공격의 대부분이 웹변종 공격이기 때문이고 웹변종 공격의 제작지는 거의 중국입니다.

중국은 이렇습니다.
중국에서 1~2위 하는 장비들은 중국자국내에서도 인정을 받아서 중국에서는 오히려 시스코를 안씁니다.그 자국장비가 믿을만 해서 오히려 자국의 장비들을 쓰죠.중국의 랭키순위 1위(포털 1위, 부동산 사이트 1위, 커뮤니티 1위 등)인 업체들이 시스코 장비 쓰는건 고작 스위치장비정도인데..DDOS방화벽은 중국의 Z사의 제품을 씁니다. 그 이유는 가장 확실하게 막거든요.중국사람들은 좀 현실적인 경향이 많습니다.

ARP 감염 공격도 요즘 한국에 많이 돌더군요.ARP, DDOS 공격 전부 공격진원지 추적하면 대부분 중국입니다. 인터넷 회선은 한국이 중국보다 앞서있을지 몰라도, 중국은 정말 인터넷 보안과 관련 보안제작부분에 있어서 선진국입니다. ARP Spoofing 같은 공격도 이미 작년초에 중국에선 유행이었던지라, 업체들이 이미 ARP방화벽 프로그램들을 무료로 속속히 내놓은 상태입니다. ARP 감염 서버 찾아내는 속도도 한국은 못따라갑니다.(ARP는 무조건 장비 찾아서 빼내고, 포맷이 최고의 방법입니다. 스크립트 감염인 경우가 많아서..) 중국은 그만큼 이런공격,방어등에서 자국내에서도 많은 경험을 해봤기 때문에 감염서버를 빨리 찾아내고 빨리 뺍니다.
한국의 경우는 ARP 감염 서버 찾는데 .. 왜이리 오래 걸리는지..갑자기 이야기가 딴곳으로 흘렀군요. 각설하고... 대표 장비 시스코만 가지고 이야기 하겠습니다.시스코는 돈 잘버는 회사라서 제가 이런글 적는다고 타격 입을 회사는 아니라서 계속 이야기 하겠습니다. 시스코가드 같은 장비는 학습형 DDOS방어장비입니다. ADM 이란 모듈이 있고, AGM 이란 모듈이 있습니다.ADM 이 공격으로 의심되는것을 AGM에게 보내서 분석을 하게 만들고, 이걸 패턴화 시킨다는 내용입니다.그리고 공격은 걸러내고, 정상 서비스 패킷은 보내고 이런식인데...헌데, 보통 변종의 경우도 일주일 정도 분석이면 막는다는 제작사의 주장인데..어떻게 생각하시나요?
일주일을 기다리시겠습니까? 이런 내용 때문에 중국 보안관계자들은 이 이야기를 웃고 넘깁니다.일주일동안 손놓고 있냐는 이야기가 오가고 또 하나는 그렇게 일주일을 학습해도 못막더라는거죠.이유는 사람이 분석해서 패턴 적용하는게 더 빠르다는 소리입니다.비싸기만한 애물단지라는 소리를 중국에서는 많이 합니다.시스코의 유일한 장점은 장비 오류시 네트웍이 안끊어진다는 겁니다. (아웃오브패스방식) 대부분의 장비는 DDOS방화벽 장비에 오류가 생기면 자동으로 넘어가는것이 아닌 네트웍이 끊어집니다.(인라인방식) 사람이 수동으로 이걸 해결 못하면 황당한 사태가 발생되죠.

제가 알고 있는한 한국에 현재 유통중인 대표장비들(대략 9종이상)의 테스트 결과로 볼때 현재 중국에서 들어오는 웹부하공격(Get,CC등 DB공격으로도 알려진 공격)을 막을수 있는 장비는 한국에 없습니다. 이건 IDC 에서 DDOS에 관심있는 분들은 솔직히 다 아는 내용이죠.중국에서 DDOS방어로 내노라 하는 장비들이 한국에 들어오면 몰라도 말이죠. IDC 회사들중에서는 이미 이사실을 알고 있으면서, 숨기고 있습니다. 자기들끼리는 진실 이야기를 하죠. 영업 타격으로 연결 되기 때문에 사업상 어쩔수 없는 비밀입니다. 관계자들 말로도 한국 DDOS방어의 미해결 과제인 웹부하 공격을 막는 장비를 찾아 수소문 하면 거의 중국이라고 하더군요. 창과 방패를 다 가진 곳이 중국인거 같습니다. 이로 인해 조만간 이걸 다 막는 중국 장비들이 한국에 유통되는날이 올겁니다.

참고) 포털 N사, 대형쇼핑몰 G사 등.. 웹부하공격 때문에 일부 페이지 오작동 꽤 있음.

7. DDOS 협박을 받았습니다. 어떻게 할까요?
이전부터 많은 분들이 이런 문제로 상담받으신분들이 많습니다.쉽게 설명드리면 이렇습니다. DDOS 공격은 좀비가 총알입니다.
총을 쏠려면 총알이 있어야 하는데, 총알을 직접 제조할려면 여러가지 어려운 점이 많습니다.따라서 공격하는쪽은 주로 총알을 삽니다. 실제 중국에서는 좀비 500 마리에 얼마 이런식으로 거래가 되고 있습니다.보통 이 협박하는 애들은 자기들 돈을 투자해서 좀비를 사는데, 이 좀비는 좀 특징이 있습니다. 이렇게 산 좀비들은 오래 가지 못합니다.

공격프로그램 기능중에 좀비들을 대상으로 프로그램 실행이란 기능이 보통 있습니다.이것은 곧 '재감염'이란 기능이 되는거죠. 이걸로 좀비판매책은 좀비를 넘겨줄수가 있는거죠. 판매자는 이미 판매했던 좀비들을 또 팔고, 또 팔고가 되는것입니다.따라서 여러명이 그 좀비를 쓰게 될경우 아무리 '스레드(강도)'를 낮게 해서 사용해도 여러명이 사용하다보니 감염자는 컴퓨터의 이상징후를 알고 포맷을 하거나 백신치료를 하게 됩니다.그래서 해당 좀비는 빨리 '돈내놔'를 성급하게 진행하게 되는거죠. 따라서 협박시에 절대 금품으로 타협을 해서는 안됩니다.누가이기나보자 하면서 따라붙어줘야 합니다.그러면 좀비를 자기들 돈주고 산놈들도 돈 아까워서라도 피해갑니다.

8. 협박도 없었는데, DDOS가 들어옵니다. 이건 무슨 이유죠?
이 경우는 무조건 경쟁사가 DDOS 공격 대행을 하는곳에 사주를 했을 가능성이 높습니다.경쟁사 혹은 원한관계 혹은 여러가지 원인이 있을수 있지만, 주 원인은 경쟁사입니다. 실례를 들자면, 미국에서 수입되는 비타민을 판매하는 업체들은 지금도 어마어마한 DDOS공격을 받고 있습니다. 헌데, 미국에서 중국쪽으로 DDOS 공격을 의뢰를 하고 있더군요. 경쟁사가....광고 부분도 예외는 아닙니다. 오버추어 순위에 자기들 보다 많은 광고비를 미친듯이 쓰면서 영업하는 자가 보이면..또 공격을 사주합니다.

이건 실제 사례들입니다... -_-; 알고계신분들도 있겠죠? 이글 보면서 뜨끔하신분들도 있을거구요..

이게 DDOS 공격자들의 진실입니다.