OS)
Ⅰ. 디도스 공격의 정의
디도스공격이란 분산서비스거부로서 다수의 일반 PC(가정용/사무용)를 이용해 특정 시스템으로 대량의 유해 트래픽을 전송함으로써 시스템 상에 과부하를 발생시켜 해당 시스템의 정상적인 서비스를 방해하는 사이버 공격을 말합니다. 디도스 공격의 변형으로 PDOS, DRDOS, CDOS 등의 공격 방식이 있습니다.
Ⅱ. 디도스 공격의 변형
PDOS : 네트워크를 기반으로 하는 펌웨어를 업데이트 할 때 그 안에 악성코드를 삽입해 시스템을 다운시키는 새로운 형태의 서비스 거부 공격방법입니다.
DRDOS : TCP 분산 반사 서비스 거부공격으로 단순히 좀비를 제어하여 패킷을 퍼붓거나 SYN FLOOD로 연결된 리소스를 소모시키는게 아닌, 인터넷에서 접속 가능한 정상적인 서버를 경유지로 하여 공격하는 기법입니다.
CDOS : 기존 다수의 좀비피씨가 공격하는 형태가 아닌 소수의 좀비피씨가 목표 서버에 다수의 트래픽을 유발하는 새로운 형태의 서비스 거부방법입니다.
Ⅲ. 기존의 디도스 공격과 새로운 형태의 디도스 공격 비교
분류
DDoS
7.7 DDoS
CDoS
공격명령
전달체계
­직접 전달방식
­사전 코딩된 스케줄링 삽입
­좀비PC간의 공격명령 전달
공격명령
전달시기
­공격시에 전달
­사전에 스케쥴링
­공격시에 스케쥴링 전달
Attacker/공격명령
노출위험
­좀비PC에게 직접 공격명령 전달로 인해 역추적 용이
­스케쥴링을 이용하여 공격과 Attacker와 연관성 희미
­Attacker가 직접 공격 스케쥴링 전달하지만 Attacker 역시 좀비PC를 통한 전달로 구별이 어려움
­또한 공격명령외에도 지속적인 쓰레기값 통신을 통해 정상적인 공격명령을 찾기가 힘듬
Ⅳ. 디도스 공격 절차
단 계
1. 사전 준비
2. 봇넷 구성
3. 공격확산
4. 증거 인멸 및 금품 요구
활 동
악성코드개발
악성코드 유포
PC 좀비화
봇넷 구성
DDoS 공격
좀비PC확산
파일, 디스크 파괴 및 금품 요구
좀비 PC를 위한 악성코드 유포 방법
P2P : 정상 S/W에 악성코드 삽입
웜, 바이러스 : 웜/바이러스에 악성코드 삽입
사회공학 : 이메일 등을 통한 악성코드 전파
홈페이지 : 취약한 사이트 해킹을 통한 악성 코드 유포
Ⅴ. 디도스 공격의 유형
악성 BOT을 이용한 공격 : 해커는 다양한 방법으로 일반사용자 PC에 봇을 감염시키고, 봇에 감염된 PC에 공격명령을 하달하여 DDOS 공격을 수행하며, 주로 금전을 요구하는 협박성 DDOS공격에서 이 공격을 사용합니다.
선동적 DDOS 공격 : 다수가 DDOS 공격도구를 동시에 실행하여 특정 사이트로 지속적인 접속시도를 함으로써 해당 사이트의 정상적인 서비스를 방해하는 공격으로 주로 국가 사이버전 또는 정치적 목적에 사용됩니다.
신종 악성코드를 이용한 공격 : 명령 및 제어 서버의 접속 없이 악성코드에 감염된 컴퓨터를 실행하면 자동으로 특정한 사이트를 공격하도록 제작ㆍ유포되어 서비스 방해하는 방식입니다.
Ⅵ. 디도스 공격 피해사례
1. 국내의 DDOS 공격피해사례
7.7 DDOS 공격사건 : 7·7 DDoS 공격 또는 777 DDoS 공격이라 불리는 이 사건은 2009년 7월 7일을 기점으로 대한민국과 미국의 주요 정부기관, 포털 사이트, 은행 사이트 등을 DDOS공격하여 서비스를 일시적으로 마비시킨 사건입니다. 이 후 10월 말, 국정원에서는 진원지가 북한의 체신청이라는 공식 조사결과를 발표했습니다.
3·3 DDoS 공격사건 : 3·3 DDoS 공격은 2011년 3월 3일을 기점으로 대한민국의 주요 정부기관, 포털 사이트, 은행 사이트 등을 DDOS 공격을 통해 일시적으로 두 차례 마비시킨 사건입니다. 이 사건은 2010년에 일어난 7 · 7 분산 서비스 거부 공격보다 진화된 형태였습니다.
2010년 한·일 삼일절 사이버 공격 사건 : 2010년 한·일 삼일절 사이버 공격 사건은 2010년 3월 1일에 대한민국의 웹사이트 디시인사이드를 중심으로 하여 웃긴대학, 루리웹, 엽기 혹은 진실, 오늘의유머, 다음 아고라등의 커뮤니티 사이트들이 연합하여 세운 네이버의 ‘테러대응연합’ 회원들이 일본의 웹사이트 2채널을 공격한 사건입니다. 그 결과 3월 1일 오전부터 2채널에 접속할 수 없는 상태였지만 3월 2일 밤이 되고 공격이 수그러들면서 일부 소수의 서버가 복구되었습니다. 그러나 다음 날 낮에도 서버의 3분의 1은 복구되지 못하고, 밤이 되면서야 간신히 dubai 서버를 제외한 모든 서버가 복구되었습니다. 한편 dubai 서버는 완파되어 복구되지 못했고, 운용 정보 게시판은 dubai 서버의 데이터는 복구가 어렵고 다른 서버로 게시판을 재구축 하겠다고 발표했습니다. 이 공격으로 인해 국내 사이트인 반크와 청와대 홈페이지가 공격 당해 속도가 느려지는 일이 발생했습니다.
2. 해외의 DDOS 공격피해사례
2007년 4월 에스토니아 DDOS 피해사건 : 2007년 4월 에스토니아에서 디도스 공격이 일어나 3주 동안 정부, 은행, 언론사 등 홈페이지의 사용이 불가능해진 사건입니다. 당시 공격에 가담한 피시 수는 100만대 이상이었으며, 에스토니아는 이 공격의 배후가 러시아라고 주장하기도 했습니다.
그루지야 DDOS 피해 : 그루지야 대통령의 웹사이트가 DDOS공격을 받아 일시적으로 다운된 사건입니다. 이 사건은 그루지야와 러시아간의 정치적인 충돌로 인해 긴장이 고조되어가는 시점에서 발생한 사건으로 러시아의 해커가 저질른 사건으로 알려져 있습니다. 이 후에 8월 중순에 러시아와 그루지야간 전쟁이 발발했을 때도 그루지야 정부의 주요 웹사이트는 초토화되는 지경에 이르렀습니다.
Ⅶ. 디도스 공격 예방방안
DDOS공격 예방을 위한 5대 보안 수칙
-전원 켜기 전 랜선을 뽑았다 다시 꽂기
-PC를 켤 때는 ‘안전모드’로 시작
-보호나라ㆍ안철수연구소에서 백신 다운로드
-백신 최신 엔진으로 업데이트ㆍ실시간 감시
-파일 공유 사이트 접속 자제
좀비PC확인법 : KISA(보호나라)에 접속 후 감염확인
참고자료
안철수 연구소
KISA
앤시스의 정보보호 보안 따라잡기
이종엽, 윤미선, 이훈의 도스 공격의 유형 분석 및 탐지 방법
조휘갑의 해킹ㆍ바이러스 대응요령