병통치약은 없습니다. 철저한 대응이 핵심이며 네트워크 보호를 위해서는 다수의 방어 시스템을 구축하여 공격에 대한 피해 가능성을 최소화하여야 한다는 것입니다.
② 시스템의 패치 적용 - 시스템 관리자가 최신의 패치를 확인하고 그것을 규칙적으로 시스템에 적용시키면 서비스 거부 공격에 의해 시스템이 크래시될 가능성이 최소화됩니다. 하지만 패치가 적용되기 전에 항상 테스트가 선행되어야하고 실제로 패치를 적용하게 되면 서비스가 작동하지 않는 경우도 있습니다.
③ 최소한의 서비스 제공 - 시스템에서 최소한의 서비스만을 제공하는 것은 모든 공격에 대한 가능성을 최소화시키는 것입니다. 최소한의 서비스가 최소한의 포트로 제공된다면 관리자가 감시하고 관심을 가져야 할 사항이 줄기 때문에 보안성을 유지하기가 훨씬 쉬어진다. POLP(최소 권한의 원칙) 및 최소한의 서비스 제공이 보안성을 높이는 데 좋은 방법 중의 하나임을 명심해야 합니다.
④ 필요 트래픽만 허용 - 최소한의 서비스 제공 원칙과 비슷합니다. 하지만 이 방법은 침입차단시스템과 라우터와 같은 네트워크 경계에 집중하는 것이 다릅니다. 핵심은 최소 권한의 원칙을 시스템에 적용시키고 그와 같은 것을 네트워크에도 적용할 필요가 있다는 것입니다. 만약 외부와 연결되어 있는 라우터가 특정 패킷을 필터링한다면 침입차단시스템은 그 트래픽을 처리할 필요가 없게 되고 이것은 침입차단시스템이 처리해야 할 부담을 없애주는 것입니다. 또한 라우터는 외부에서 처음으로 패킷을 받아들이는 곳이기 때문에 공격을 제일 먼저 알려 줄 수 있습니다.
⑤ IP 주소 차단
시스템 관리자가 지금 공격을 당하는 중임을 알게 된 후 즉각적으로 공격자의 IP 주소를 판단하여 외부의 라우터에서 이 IP주소를 차단하는 것이 필요합니다. 하지만 라우터에서 이 IP를 차단하더라도 라우터까지 이미 공격자의 트래픽으로 넘쳐나고 있기 때문에 외부의 정상 사용자는 사용을 못하게 되는 문제가 남아 있습니다. 따라서 공격을 탐지하자마자 즉시 IP를 확인하여 ISP 또는 상위 서비스 제공자에게 연락하여 악의적인 패킷을 차단해 줄 것을 요청해야 합니다.
“분산 서비스 거부 공격”이란?
전통적인 서비스 거부 공격은 일반적으로 한 대의 공격 시스템이 한 대의 공격 대상 시스템을 공격하는 것입니다. 그러나 2000년도에 들어서 분산 서비스 거부 공격(Distributed Denial Of Service Attack), 즉 DDOS라는 새로운 종류의 공격이 발견되었습니다. 이 공격은 공격자가 몇 대의 시tm템을 미리 해킹한 후 그 시스템을 같이 사용하거나 몇몇 동료들의 시스템과 협력하여 동시에 공격 대상 시스템이나 네트워크를 공격하는 것이다. 결국 한 대의 시스템이 공격을 하는 것이 아니라 몇 대의 시스템이 공격을 하는 것입니다. 이런 종류의 공격은 기존에 비해서 몇 배나 많은 데이터가 폭풍처럼 몰려오기 때문에 방어하기가 어렵습니다. 또한 다양한 분포의 IP 주소를 가지고 공격하기 때문에 차단하거나 탐지하기가 더욱 어렵습니다. 또한 데이터가 동시에 많이 네트워크에 넘쳐나게 되면 침입탐지시스템(IDS, Instruction Detection System)이 제기능을 발휘 할 수 없게 됩니다. 만약 하나의 IP 주소에서공격이 실행되면 방어자느 침입차단시스템(firewall)에서 그 IP 주소를 차단하면 쉽게 막을 수 있습니다. 하지만 그 주소가 100개를 넘게 되면 이 작업은 상당히 어렵게 됩니다.
ex) 분산 서비스 거부 공격
“분산 서비스 거부 공격”에 대한 대응!!
① 네트워크의 보안 유지 - 궁극적으로 공격자가 네트워크나 호스트에 대한 권한을 얻지 못한다면 공격자는 시스템에 DDOS 소프트웨어를 설치할 수 없습니다. 소프트웨어를 설정하기 위해서는 또 다른 방법으로 서버에 대한 권한을 획득해야 합니다. 외부 네트워크와의 경계에서 보안 취약성이 없다면 내부의 시스템은 안정하게 유지될 것입니다.
② 침입탐지시스템의 설치 - 보안 측면에서 보안 사고의 방지는 이상적인 얘기이지만 보안 사고의 탐지는 현실적으로 모든 공격을 방어할 수 없습니다. 이것을 구현할 수 있는 제일 확실한 방법이 침입탐지시스템(IDS)을 사용하는 것입니다. 일반적으로 크게 네트워크 기반과 호스트 기반의 두 종류의 IDS가 있습니다. 네트워크 기반의 IDS는 수동적인 장비로 네트워크 상에 설치되어 네트워크를 지나는 모든 패킷을 스니핑합니다. 패킷을 분석하여 공격의 가증성이 있는 패킷인지 조사하며 관리자에게 경고를 보낸다. 호스트 기반의IDS는 개개의 서버에 설치되며 서버 상의 감사 로그(audit logs)를 분석하여 공격의 시도가 있는가를 판단하는 것입니다.
③ 스캐닝 도구의 사용 - 네트워크를 보안하는 속도가 그렇게 빠르지 않기 때문에 서버가 DDOS의 서버로 사용되고 있을 수도 있습니다. 따라서 주기적으로 네트워크를 스캐닝하여 DDOS 서버로 사용되고 있는 서버를 찾아서 원상 복구시켜야 합니다. 따라서 관리자는 이러한 오구들을 주기적으로 사용하여 공격자가 먼저 침입할 수 없도록 대비하는 것이 중요합니다.
④ 좀비(zombie) 도구 사용 - 어떤 경우에 실제로 서버가 DDOS의 서버로 사용되고 공격이 진행되더라도 관리자는 탐지할 수 없는 경우가 있습니다. 이 경우에 네트워크 IDS가 과도한 트래픽이 네트워크 상에 존재한다고 경고를 보내줄 수도 있습니다. 하지만 이 경우를 대비해서 시스템이 패킷을 생성해 내는 것을 방지하기 위한 zombie zapper를 사용할 수 있습니다. 스캐닝 프로그램과 마찬가지로 공격자가 포트정보를 바꾸면 방어하기가 힘든 단점이 있습니다.
★ Tip - 내 컴퓨터에 외부 침입자가 들어와 있는지 확인하는 방법
1. [시작]에서 실행을 연다.
2. cmd를 쳐서 도스모드로 들어간다.
3. 도스 창에서 netstat을 치면 현재 접속되어 있는 외부 IP가 나온다.
4. 사이버 센터에 신고한다.
※ 참고자료 및 출처
HACKRES BEWARE 해커스비웨어 Eric Cole저
해킹과 방어 완전 실무 조기준, 김훈희 공저
해킹 & 보안 이준택 위성진 공저
네이버 지식In, 오픈백과