DDoS(디도스) 공격과 예방, 그리고 대처.

Posted in Internet // Posted at 2010.09.14 08:30


최근 제가 맡고 있는 웹서비스가 DDoS 공격을 받았습니다.
웹서비스 회사에서 4년 넘게 몸 담으면서도 언론을 통해서나 보고 들었던 DDoS 공격을 실제로 겪게 되니 당혹스럽더군요. ㅡ.,ㅡ;;
DDoS 공격을 처음 받았을 때는 서비스가 버벅거리더니 몇 시간 후 서버가 완전 죽어버렸습니다.
개발자분들이 분주하게 움직이면서 막아보려고 노력을 했지만 DDoS 공격의 성격상 평소 DDoS 공격에 대한 대비를 해놓지 않았기 때문에 손 쓸 시간도 없이 서버가 죽어버리더군요. ㅠㅠ
인터넷진흥원과 경찰청 사이버테러대응센터를 통해서 신고를 하고 개발자분들이 IDC와 함께 이곳저곳으로 문의를 하며 어떻게든 서비스를 살려보려고 노력을 했지만 신고는 신고일 뿐 당장 서비스를 살릴 수도 없었을 뿐더러 손을 쓰지만 결국 모든 작업이 수포로 돌아갔습니다.

웹서비스 사업자 입장에서 보안이라는 것이 매우 중요하다는 사실을 모르는 바는 아니지만 보안장비와 서비스의 단가가 매우 비싸다보니 중소업체에서는 체계적인 보안장비와 서비스를 갖추거나 보안 인력을 두고 운영하는 것이 현실적으로 어렵습니다. ㅠㅠ 이게 냉혹한 현실이죠.
실제로 DDoS 공격을 받으면서 문제를 해결하기 위해 여러 방안을 고려하였으나 마땅한 대안이 없는 상태에서 해당 웹서비스로 벌어들이는 매출 대비 DDoS존에 입점하는 비용이 너무 비싸기 때문에 선뜻 DDoS존에도 입점하지 못하고 DDoS 공격이 잠잠해질 때까지 손가락만 빨며 기다릴 수 밖에 없더군요. ㅡ.,ㅡ;;

어떻게 저희 서비스가 DDoS 공격을 받고 있는지 알고 중국 해커팀이 접근을 해왔습니다. DDoS의 공격 패턴이 변종이라서 관심이 간다며 무료로 막아줄테니 관여할 수 있게 해달라고 요청을 해서 자료를 제공하고 도움을 요청했는데 결국 포기를 하더군요. DDoS존에도 입점하기 위해서 문의를 했는데 공격패턴과 트래픽을 보더니 큰 업체(물주)에게 사주를 받은 전문 해커의 소행인 것 같다고 이야기를 합니다. @.,@a; (참고로 5G에 달하는 트래픽 공격을 받았습니다.)
매출이 얼마되지 않는 중소업체에서 이런 DDoS 공격을 막으려면 수천만원을 호가하는 고가의 장비와 전문 보안 인력을 고용해야 하는데 어떻게 그럴 수 있겠습니까?!?! 때문에 상대방의 요구사항이 있는 경우에는 요구사항을 들어주거나 공격이 멈출 때까지 기다릴 수 밖에 없습니다. ㅠㅠ 눈 뜬 장님이 딱 이 꼴이더군요.

그럼 이런 무서운 DDoS란 무엇이고 또 어떻게 예방하고 대처해야 할까요?
DDoS 공격을 실제로 겪으면서 배운 몇 가지를 이야기하고자 합니다.
참고로 전 기획자이지 보안전문가도 개발자도 아님을 참고하시고 읽어주시면 감사하겠습니다. ^^;;

DDoS(분산서비스거부)란?


DDoS(Distribute Denial of Service attack = 분산서비스거부, 이하 디도스)란 여러 대의 컴퓨터(일명 좀비PC)를 일제히 동작하게 하여 특정 사이트를 공격하는 해킹 방식의 하나입니다.
즉 특정 사이트를 공격하기 위해 해커가 서비스 공격을 위한 악성 프로그램 또는 코드를 여러 좀비PC에 심어 놓고 목표가 되는 사이트의 컴퓨터 시스템(또는 서버)이 처리할 수 없는 엄청난 접속(트래픽)을 유발하여 시스템을 마비시키는 것을 말합니다. 
개인 컴퓨터의 보안 취약점을 악용하여 악성 코드 및 프로그램을 전파하여 좀비PC를 만들고 이 좀비PC를 활용하여 특정 사이트를 공격하기 때문에 DDoS 공격을 사전에 예방하기 위해서는 개개인의 컴퓨터 보안 관리가 매우 중요합니다.

- 좀비PC란?
좀비PC(zombie computer)란 악성 코드에 감염된 컴퓨터를 말한다. 보통 이메일의 첨부파일이나 출처가 불분명한 ActiveX 또는 USB 등의 다양한 감염경로를 통해서 감염되어 C&C서버의 제어를 받아 주로 DDoS 공격 등에 이용된다.


7.7 디도스 대란

7.7 디도스 대란이란 2009년 7월 7일, 신종 DDoS 공격에 의해 청와대, 국방부 등의 정부 사이트를 비롯하여 네이버, 야후, 농협 등의 국내 주요 사이트들이 접속 장애를 일으킨 사건입니다. 명령제어 서버로부터 공격목표를 전달받는 기존의 방식이 아닌 감염시 생성되는 공격목표 설정 파일을 기반으로 자동 공격을 수행하는 신종 DDoS 공격으로 '대란'이라고 칭할 정도로 국가 인터넷 산업 전체가 긴장하고 곤혹을 치른 큰 사건이었습니다. 또한 7일부터 DDoS 공격에 이용되었던 좀비PC들이 7월 10일 00시를 기점으로 악성코드의 흔적을 감추기 위해 스스로 PC의 하드디스크를 손상시켜 PC가 부팅이 되지 않는 사례가 발생하면서 개인 사용자들에게도 많은 피해가 발생하였으니 Y2K 이후 가장 큰 인터넷 대란이 아니었나 싶습니다. 
최근 안철수 연구소에서는 7.7 디도스 대란과 관련하여 그 전말과 디도스를 막기 위한 노력, 그리고 일련의 과정 등을 정리하여 '세상에서 가장 안전한 이름 안철수연구소'라는 책을 출간하였으니 7.7 디도스를 막기 위해 노력했던 보안업체의 긴장감과 생생한 목소리를 듣고 싶다면 일독을 권합니다. 물론 7.7 디도스 대란 내용을 포함하여 지금까지 안철수연구소가 걸어온 역사와 철학을 엿볼 수 있는 책입니다.

안철수연구소세상에서가장안전한이름
카테고리 경제/경영 > 경영일반 > 국내경영이야기
지은이 안철수연구소 사람들 (김영사, 2010년)
상세보기


DDoS 예방 대책 10계명


안철수 연구소에서 7.7 디도스 발생 직후인 7월 8일 좀비PC가 되지 않기 위한 보안수칙 10계명을 공개하였습니다.
참고하셔서 DDoS 공격에 이용 당하는 좀비PC가 되지 않기를 바랍니다. 일단 좀비PC가 되어도 일상적인 컴퓨터 사용에는 큰 불편함을 느끼지 못하기 때문에 좀비PC가 되었는지조차 인지하기 어려우니 평소에 예방을 하시는 것이 좋습니다.

1. 원도우 운영체계는 최신 보안 패치를 모두 적용한다.
2. 로그인 계정을 자주 변경하고 영문,숫자,특수문자 조합으로 6자리 이상으로 설정한다.
3. ActiveX 창이 뜰 경우 신뢰할 수 있는 기관의 서명이 있는 경우에만 설치에 동의한다.
- 관련 블로깅 : 2010/02/26 - [ITechnology] - 인터넷 익스플로러6(IE6)의 장례식. 부디 영원히 잠드시길~
                          2010/02/02 - [ITechnology] - 멍청한 정부 때문에 멍드는 IT강국!!
4. 이메일 확인시 발신인이 불분명한 경우 파일을 읽지 않고 삭제한다.
5. 메신저 사용시 메시지를 통해 URL이나 파일이 첨부된 경우 함부로 클릭하거나 실행하지 않는다.
6. P2P 프로그램 사용시 파일을 다운로드할 때에는 반드시 백신으로 검사한 후 사용한다.
7. 정품 소프트웨어를 사용한다.
8. 외부 침입자가 나의 시스템을 불법적으로 사용하지 못하도록 공유 권한을 '읽기'로 설정하고 사용 후에는 공유를 해제한다.
9. 백신 프로그램을 사용하고 주기적으로 검사를 실시한다.
10. 백신 프로그램은 항상 최신 버전을 유지하고 자동 업데이트 및 시스템 감시 기능을 항상 작동하도록 설정한다.

내가 평소에 이용하는 웹서비스가 다운되어 이용을 못하는 불편함을 겪지 않기 위해서라도 꼭 10계명을 지켜주세요. 그리고 보안에 취약한 IE6 브라우저를 사용하고 계신다면 IE8로 꼭 업그레이드를 해주셔야 합니다.
[Internet Explorer 8 다운로드 하기]


좀비PC 진단 및 치료 백신

인터넷진흥원 및 국내 백신업체에서 좀비PC 진단 및 치료 백신을 무료로 제공하고 있습니다. 꼭 백신을 사용하시고 최신 버전을 유지하시길 바라며 주기적으로 좀비PC 진단을 받아보시기 바랍니다.



DDoS 공격 신고 및 관련 문의

대기업이나 포털이 아닌 중소업체의 경우 디도스 공격을 당해본 경험도 없고 또 디도스 공격에 대한 방어 준비가 되어 있지 않기 때문에 디도스 공격을 받게 되면 우왕좌왕하게 됩니다. 우선 디도스 공격을 받게 되면 개발팀의 경우 원인을 분석하기 위해서 노력을 할 것이고 디도스 공격이라는 판단이 서면 그 즉시 한국인터넷진흥원(KISA)경찰청 사이버테러대응센터(NETAN)에 신고를 해야 합니다.

한국인터넷진흥원에 신고를 하게 되면 신고시 입력한 전화번호 또는 메일로 연락이 옵니다. 연락을 통해서 현재의 상황을 설명하면 아래와 같이 자세한 정보를 요청하고 요청한 정보를 가지고 분석을 하여 몇 가지 기술적 조언과 함께 가능한 경우 조치를 취해줍니다. 하지만 위 절차를 밟는 과정이 꽤 오랜 시간이 소요되기 때문에 DDoS를 당장 막는데에는 한계가 있습니다. ㅠㅠ

인터넷진흥원 정보 요청 양식 더보기


해커를 검거하여 민·형사상의 책임을 묻기 위해서는 인터넷진흥원 신고와 별도로 경찰청 사이버테러대응센터(NETAN)에 신고를 해야 합니다. 신고를 하면 담당 관할 경찰서에 인계가 되고 담당자가 지정되며 신고와 관련하여 안내 메일이 발송됩니다. 하지만 아쉽게도 여기서 끝나는 것이 아니라 실제 사건 수사를 의뢰하기 위해서 주거지 관할 경찰서에 방문하여 피해사실에 대한 증거서류나 제출서류와 함께 진정서나 고소장을 작성하여야 하는 번거로움을 감수해야 합니다. ㅡ.,ㅡ;; 웹사이트는 이미 다운되어 한시가 급한 상황에서... 
때문에 고소장과 진정서는 법무팀이나 담당 법무법인을 통해서 작성하시는 것을 추천해드립니다.
물론 이 또한 꽤 오랜 시간이 소요되며 전문 해커인 경우 해외 서버를 우회하여 해킹을 시도하기 때문에 못 잡을 가능성이 매우 높습니다. ㅠㅠ  

경찰청 사이버테러대응센터 답변 더보기


- 고소장 양식 다운로드하기

Civildocuments_3_1.hwp



* DDoS 공격 관련 신고
- 한국인터넷진흥원 인터넷침해대응센터 : ☎ 118
- 경찰청 사이버테러대응센터 NETAN : ☎ (02) 3939-112

그렇다면 당장 서비스를 정상화할 수 있는 방법은 없는 것일까요?

방법은 디도스존과 같이 보안 장비를 갖추거나 관련 서비스를 이용하는 것입니다. ㅡ.,ㅡ;; 
어떠한 디도스존을 사용하라고 말씀드리진 않겠지만 빠른 시간 내에 저렴하면서 서비스 좋은 디도스존을 제공하는 업체를 찾아 이용하는 것을 추천해드리고 싶네요. 디도스 공격을 받고 있다는 소문이 나면 여러 루트를 통해서 영업이 들어오는데 다 신경 끄시고 직접 빠르게 알아보시는 것이 가장 좋습니다.
그럴 금전적인 여유가 없다면 신고하시고 눈 뜬 장님처럼 공격이 멈추길 기다리는 수 밖에 없는 것 같네요.
참고로 보안업체 관계자분이 이런 말씀을 하시더군요. "금전이나 기타 요구사항이 없는 특정 사이트에 대한 전문적인 DDoS 공격의 경우 자신의 실력을 자랑하고 싶은 광기에 미친 크래커보다는 경쟁사에서 고용한 전문 크래커일 가능성이 높다"는 이야기에 참 씁쓸함을 느꼈습니다. 결국 공격하지 않으면 내가 죽는다는 논리... ㅠㅠ

보다 더 저렴하게 해결 가능한 현실적인 방법은 없는 것일까요?!?! ㅡ.,ㅡ;;
보안업계에 계시는 많은 보안 전문가분들의 의견을 듣고 싶습니다.

- 관련기사 :
디지털데일리에서 특별기획으로 DDoS와 관련하여 5차례에 걸쳐 기사를 게재하였는데 매우 정리가 잘 되어 있어 소개해드립니다. [기사보기]
DDoS 공격 당한 아이템베이, 범인은 경쟁사 출신

방통위, DDoS 사이버 대피소 개소
- 내용 추가 : 2010. 09. 29

방송통신위원회가 DDoS 공격에 대한 자체 방어능력이 부족한 중소기업과 비영리단체를 대상으로 무료로 DDoS존 서비스를 제공한다고 9월 29일 발표하였습니다.
정말 반가운 소식이 아닐 수가 없네요. ^^b 어쩐 일로 방통위가 이렇게 기특한 일을...
DDoS존은 역삼동 KT IDC 내에 설치되었으며 방어 가용량이 총 40기가라고 하니 왠만한 DDoS 공격은 모두 막을 수 있을 것 같습니다.
한국인터넷진흥원에 신청서를 제출한 뒤 심사를 거쳐 사이버 대피소를 이용할 수 있으며 사전에 신청서를 제출해 등록해두면 보다 신속하게 해당 서비스를 제공받을 수 있다고 하니 중소기업과 스타트업은 어여들 신청하세요.

* 이용문의 : 국번없이 ☎ 118 (24시간 정보보호 무료 상담센터)
- 관련기사 : 방통위, DDoS 사이버 대피소 개소


가슴 따뜻한 세상을 꿈꾸는 세균무기


저작자 표시 비영리 변경 금지
신고
author image
'세균무기, 지구별에 흔적을 남기다!' 블로그를 운영하는 유세균입니다.
법과 행정을 전공한 웹/모바일 기획자이자 PM이며, 그리고 변방의 한 블로거입니다.
IT와 Mobile, SNS 그리고 Startup에 관심이 많으며 여행과 애플 기기, 블랙아이드피스의 음악, 커피를 격하게 애정합니다.


메일 : ysk08900@gmail.com

  1. 어이구

    정말 어렵군요 ㅎㅎ

  2. 한국데이타

    안녕하세요

    IDC KDATA(한국데이터) 센터 입니다.

    IDC(디도스존) 안내 해 드리고자 이렇게 찾아 뵈었습니다

    설명은 아래를 참고해 주시면 감사하겠습니다.

    1) 클린존 300GB 이상의 대용량 백본(BackBone)

    구성에 따른 안전성

    - 디도스로 인하여 서버가 다운되었을시 보상제도 도입

    - 대용량 트래픽 구조에 적합한 보안존 구성

    - 순간 트래픽 폭주에 대비한 넉넉한 대역폭 확보

    - DDOS 공격등에 대비한 대용량 보안존 구성 최소 25GB 단위 수용

    2) UDP / ICMP / TCP / SYN

    - 사이트 운영 사업자는 디도스 공격 때문에 IP 및 서비스가

    중단되는 경우가 있을 수 없습니다.

    * 참고

    - UDP/ICMP 전부 차단되어있음 (서비스 안함)

    3) 고객과 망관리 엔지니어와 책임관리

    - 관리 직원이 365일 24 시간 관제를 하여 장애시 즉지 조치하며,

    고객님께 상황을 알려 드립니다.

    4) 신속하고 간편한 설치

    - 고객 서버의 이전없이 즉지 서비스 적용가능

    - 서버에 DDOS 공격을 받아도 서비스를 중단 시키거나, 해지 처리를 하지 않습니다.

    5) 공격이 들어온 데이타는 당사의 MRTG로 확인이 가능합니다.

    * 자세한 사항은 070-8255-5585 으로 문의를 주시면 자세하게

    안내해 드리겠습니다.

    *메신저 : KDATA@live.co.kr /

  3. ㅋㅋ

    zz 안그래도 돈없는 중소기업이라고 하는구먼....

submit

티스토리 툴바