[김재명] 1.25 인터넷대란의 진범, ‘DRDoS’ 공격

 


지난달 25일 발생한 국내 사상 초유의 인터넷 대란 사건은 슬래머/사파이어로 알려진 인터넷 웜이 MS SQL 서버 Resolution Services의 버퍼 오버런 취약성을 이용해 전파되면서 네트워크 트래픽 증폭을 유발하여 DDoS (Distributed Denial of Service)공격을 일으킨 것으로 알려져 있다.

이는 인터넷 웜에 감염된 MS SQL서버가 윈도계열(Windows NT/2000/XP)의 시스템들이 동시에 DNS서버에 DNS Lookup Query를 전송하도록 하는 대량의 네트워크 패킷을 전송함으로써, DNS서버에 과부하를 일으켜 서비스를 마비시키는 DDOS 형태의 공격을 유발시킨 것이다.

그러나 공격 과정을 분석해 보면 두 가지 현상을 찾을 수 있다.

하나는 이미 알려진 바와 같이 MS SQL Resolution Service취약성이 있는 시스템이 웜에 감염 된 후 다량의 패킷 (UDP/1434)을 불특정 IP에 전송하게 되어 트래픽을 증폭시키는 현상이고, 다른 하나는 이와 동시에 동일 네트워크에 연결된 다른 임의의 윈도 NT, 2000 및 XP에서 전송된 다량의 멀티캐스트 패킷을 수신하게 되어 수신자로 설정된 IP 주소를 reverse lookup하는 패킷을 DNS 시스템으로 각 각의 윈도 시스템마다 동시에 전송하게 되는 현상이다.

이 두 가지 현상이 모여 국내 주요 DNS 시스템을 마비시키는 DDoS 형태의 공격을 만든 것이다.

하지만 위의 DDoS 공격 형태를 좀 더 유심히 살펴보면 기존의 DDoS 공격과는 조금 다른 특징을 발견할 수 있다.

DDoS 공격은 또 다른 공격 도구인 에이전트를 설치해 공격을 수행하지만, 1.25인터넷 대란 사고의 경우는 일반적으로 사용하는 윈도 시스템의 DNS lookup 과정이 마치 DDoS의 에이전트가 공격하는 것과 같은 역할을 수행했다는 것이다.

이와 같은 공격형태는 지난 해 1월 미국에서 처음 발견된 DRDoS(Distributed Reflection Denial of Service)와 유사한 형태다.

DRDoS 공격을 처음 발견한 미국의 네트워크 회사인 깁슨리서치grc.com사의 경우도 당시 공격을 당한 미국 ASP 전문업체 verio.com사 사이트를 조사, 초기에는 DDoS 공격으로 단정했으나, 면밀한 조사 결과 정상적인 인터넷 서비스를 이용한 DRDoS 공격임을 사후에 알게 되었다.(상세보고서 : http://grc.com/dos/drdos.htm)

DRDoS 공격은 별도의 에이전트를 설치할 필요 없이 네트워크 통신 프로토콜 구조의 취약성을 이용해 정상적인 서비스를 운영하고 있는 시스템을 DDoS 공격의 에이전트로 활용할 수 있다.

이는 기존 DDoS 공격에 비해 해커들이 사용하기 쉽고 공격을 당한 사이트의 복구가 어렵다는 점에서 그 심각성이 높음을 지난해 6월에 경고한 바 있었다. (관련기사:http://www.etimesi.com/news/detail.html?section=34&id=200206260185&sr=yes&banner_class=)

우리에게 편리함을 주는 인터넷이 사악한 해커의 도구로 바뀔 수 있는 DRDoS 공격은 피해의 정도와 성공확률 측면에서 DDoS 공격과 거의 일치하고, 피해 결과 또한 DDoS 공격과 유사하여 피해를 입은 후에도 공격 방법을 파악하기가 쉽지 않다.

이번 사건의 경우에서도 사고의 정확한 원인 파악 및 분석에 오랜 시간이 걸린 것도 이런 이유에서 기인한다. 따라서 DRDoS 공격의 방어책은 공격 에이전트를 찾아서 그것을 제거하는 DDoS 공격의 그것과는 많이 다르며, 기존의 보안체계로 대응하는데도 한계가 있을 수 밖에 없다.

정상적인 인터넷 통신 프로토콜을 이용하는 DRDoS공격은 보다 근본적인 방어기술 ‘시큐어 OS’를 근간으로 한 다단계 지능형 정보보호체계구축이 시급하다.

시큐어 OS는 원도우는 물론, 상용 유닉스 시스템 등 운영체제 자체가 갖고 있는 결함을 보안커널(Security Kernel)을 이식하는 방법을 통해 OS자체를 안전하게 하는 방어 기술이다.

시큐어 OS 기반의 다단계 지능형 정보보호 체계를 구축하기 위해서는 보호체계 내의 보안솔루션 상호간에 침입관련 정보를 주고받는 등의 지능형 보안관리수단이 유기적으로 구성되야 하며, 보안침해에 대하여 적극적이고 능동적인 보안대책을 강구해야 한다.

이러한 다단계 지능형 정보보호 체계는 외부에서 발생하는 인터넷 웜과 DoS공격은 물론 DRDoS 공격과 내부에서 발생할 수 있는 해킹의 위협도 보다 원천적으로 방어할 수 있다.

시큐어OS, IDS, 스캐너, 방화벽을 이용하여 다단계 지능형 정보보호 체계를 구축한 사례를 나타내고 있으며, 각 개별솔루션이 연동하여 대응하는 방법을 설명하면 다음과 같다.

첫째, 시큐어OS 와 방화벽 연동을 이용한 다단계 대응체계 구축이 가능하다. 웜 바이러스가 방화벽을 통과하여 서버 시스템에 유입되면 시큐어OS 가 서버 수준에서 BoF공격을 탐지 및 차단하여 웜 바이러스가 더 이상 악의적인 행위를 하지 못하도록 원천적으로 차단 및 방지함과 동시에, 이 사실을 관리자에게 통보하고 방화벽에 해당 IP와 포트를 알려서 웜 바이러스의 네트워크 유입을 차단할 수 있다.

둘째, 시큐어OS 를 IDS, 방화벽과 연동한 다단계 대응체계 구축이 가능하다. 웜 바이러스가 네트워크로 유입되게 되면 IDS가 이를 탐지하여 이 사실을 관리자에게 통보함과 동시에 방화벽과 시큐어OS 에 해당 IP와 포트를 알리면, 이후 악성 패킷의 네트워크 및 서버 시스템에 대한 접근을 동시에 차단할 수 있다.

셋째, 시큐어OS를 스캐너, 방화벽과의 연동을 이용한 다단계 대응체계 구축이 가능하다.

스캐너가 주기적인 취약성 점검을 통해서 웜 바이러스 취약성을 발견하게 되면 이 사실을 관리자에게 통보함과 동시에 방화벽과 시큐어OS 에 해당 IP와 포트를 알리고 악성 패킷의 네트워크 및 서버 시스템에 대한 접근을 동시에 차단할 수 있다.

이러한 다단계 지능형 정보보호 체계 구축을 통하여 기업이나 조직은 향후 고도화된 해킹 및 바이러스에 대한 대응을 보다 용이하게 할 수 있으며, 서버 시스템 및 네트워크 보안침해사고에 대한 보다 근본적인 해결책을 구비할 수 있게 된다.

/김재명 시큐브 상무이사 cosmos@secuve.com

관련기사


포토뉴스