2019-12-07 16:34 (토)
[DDoS 방어 아키택처수립] 서비스거부공격의 정의
상태바
[DDoS 방어 아키택처수립] 서비스거부공격의 정의
  • 김혁준
  • 승인 2013.07.14 23:16
이 기사를 공유합니다

6.25 사이버공격, DNS 수준의 어플리케이션 공격 가능성 여실히 보여준사건
2013년 초 APT1이라는 이름의 보고서를 통해 중국인민해방군 사이버 부대의 위치, 편제 및 관련된 사이버전 현황정보를 제공한 미국 침해사고전문대응 업체인 맨디언트사(Mandiant)의 최고기술책임자를 맡고 있는 리차드 베이틀릭(Richard Bejtlich)은 2004년 네트워크 기반의 침해사고탐지 대응에 대한 명저인 “Tao of Network Security”를 통해 다음과 같은 침해사고의 삼원칙을 다루었으며 그 내용은 아래와 같다.
 
1. 어떤 공격자는 방어자보다 뛰어나다.(Some Attackers are Smarter than Defenders)
2. 공격자의 행위는 예측하기 힘들다. (Intruders are Unpredictable)
3. 따라서 모든 예방체계는 결국 침해된다. (Prevention Eventually Fails)
  
약 10여년 간 정보보호 침해사고대응 업무를 수행하면서 한번도 위의 내용에 대해 의심을 가져본 적이 없었지만 최근 6월 25일 ns.gcc.go.kr를 대상으로 발생한 서비스거부공격은 다시 한번 침해사고의 원칙과 대응의 중요성을 깨닫게 해준 좋은 계기가 되었다.  지금까지는 DNS 기반의 서비스거부공격은 대용량의 UDP 플러딩 패킷을 생성시키는 공격과 오픈리컬시브 DNS를 이용한 간접증폭공격(Amplification Reflection)을 생각해 왔으며 따라서 방어체계의 도출에 있어서도 상단 ISP에서의 프로토콜 기반 대응 혹은 DNS 프로토콜 기반의 대응체계를 고려해 왔으나 금번 발생한 공격은 DNS 수준의 어플리케이션 공격이 가능함을 여실히 보여주었고 이는 마치 2009년 당시 대부분의 사람이 플러딩 기반의 웹서버 공격을 생각하고 있을 때 어플리케이션 수준의 공격으로 국내 주요 웹서버를 무력화 했던 것을 떠오르게 하였다.

동 공격이 발생한 뒤 간단한 시험을 통해 DNS 서버에 대한 어플리케이션 수준의 서비스거부공격시험을 수행하였고 아래 그림(그림 1)은 이러한 공격시험의 결과를 나타낸다.
 

                                그림 1. 지속적DNS 질의증가를 통한 DNS 서버 한계용량 시험
 
그림에서 나타난 것과 같이 시험환경에서 초당 DNS 질의가 약 300qps(Query per Second)를 넘어서면서(적색선) 응답수가 더이상 증가하지 않는 것을 알수 있으며(녹색선) 질의량이 1,400qps지점에서 응답율이 약 30% 이하에 머물고 있는 것을 알 수 있다. 이러한 경우 사용자는 한번의 DNS 응답을 받기 위해서는 최소 3번 이상의 질의를 수행하여야 하고 공격량이 증가하면서 사용자는 DNS 응답을 받을 확율이 줄어들면서 사실상 서비스거부상태에 도달하게 된다.

서비스거부공격은 공격명칭의 정의에서 부터 다른 공격과는 상이한 형태를 가진다. 일례로 SQL 인젝션 혹은 버퍼오버플로우 공격 등은 그 명칭에서 공격기술을 정의하고 있으나 서비스거부공격은 단지 정상적 서비스를 제공하지 못하는 방어자의 상태를 정의하고 있다는 것을 알수 있다. 따라서 다른 공격의 방어가 공격에 사용된 특정기법을 탐지/차단 한다면 서비스거부공격의 방어는 결국 어떠한 상황에서도 서비스의 제공이 가능하게 하는 것으로 볼 수 있다.

앞으로 연재될 “정책기반의 서비스거부공격” 칼럼을 통해서는 서비스거부공격에 대한 방어자 관점의 방어체계 도출을 위한 탐지지점과 방어지점 도출을 다룰 것이며 또한 각 지점에서 수집되는 정보를 통해 다양한 환경에서 지표중심의 서비스거부공격방어체계를 수립하는 과정을 다루도록 할 것이다.      

글. 김혁준 나루씨큐리티 대표  joonkim@narusec.com