|
7/7발생한 DDoS공격 분석/대응 2009.07.08 |
|
|
지난 7월 7일 오후 대규모 분산서비스거부공격(DDoS)이 발생, 청와대 등 주요 정부기관과 은행, 오픈마켓, 포털, 언론사 등의 웹사이트가 마비되는 피해가 있었습니다. 이에 따라 나우콤은 자체 침해사고분석대응팀(CERT) ‘나우서트(NOWCERT)’의 분석정보를 기반으로 DDoS 대응 문의와 지원요청에 적극적으로 대응하고 있으며, 효과적인 DDoS 대책과 DDoS방어장비의 활용에 관한 컨설팅 서비스를 제공하고 있습니다. 문의 및 지원요청 : NOWCERT(Tel. 02-2040-0870/ E-mail. cert@nowcom.co.kr)
<NOWCERT 분석내용>
나우콤 침해사고분석대응팀(CERT) ‘나우서트(NOWCERT)’는 7월 7일 국내 주요 사이트를 공격한 분산서비스거부공격(DDoS)에 대한 대응과 분석을 진행하였습니다. 이번 공격은 국내 주요 정부기관, 은행 인터넷뱅킹, 민간 쇼핑몰, 언론사 뉴스사이트 등을 대상으로 하였으며, 홈페이지 접속이 불가능한 곳이 발견되어 해당 기관과 협조하여 대응하고 있습니다. 현재 발견된 DDoS성 트래픽 분석결과 TCP SYN Flooding, ICMP Smurf Flooding, TCP connect DOS, Login Brute Force 등 Flooding류의 공격으로 분석되었으며, 각종 Flooding류의 공격명으로 탐지가 가능한 형태입니다. 다만, Flooding류의 특성상 실 사이트 임계치 정보를 조정하여야 합니다. 또한 공격에 사용된 웜 샘플을 확보하여 분석한 결과, 아래와 같은 사이트에 대해 위 Flooding류의 공격을 수행하는 것으로 확인되었습니다. 아래 사이트 보안관리자 및 관계자께서는 각별히 주의해주시기 바랍니다. - 공격대상1. 한국사이트 www.president.go.kr (청와대), www.mnd.go.kr (국방부), www.mofat.go.kr (외교통상부), www.assembly.go.kr (대한민국 국회), www.usfk.mil (주한 미군), blog.naver.com (네이버 블로그) mail.naver.com (네이버 메일), banking.nonghyup.com (농협 인터넷 뱅킹), ezbank.shinhan.com (신한은행 인터넷 뱅킹), ebank.keb.co.kr (외환은행 인터넷 뱅킹), www.hannara.or.kr (한나라당), www.chosun.com (조선일보), www.auction.co.kr (옥션) - 공격대상2. 미국 사이트 www.whitehouse.gov, www.faa.gov, www.dhs.gov, www.state.gov, www.voanews.com, www.defenselink.mil, www.nyse.com, www.nasdaq.com, finance.yahoo.com, www.usauctionslive.com, www.usbank.com, www.washingtonpost.com, www.ustreas.gov 현 단계에서는 공격에 대하여 예의주시하고 있는 상황이며, 변종 및 다형화된 공격에 대해 추가적인 분석을 진행중에 있습니다. 기관 보안담당자께서는 평소 유입 트래픽량 대비 증가되거나 서비스 거부 공격이 발생되는지 지속적인 모니터링을 해주시기 바라며, 특이사항이나 지원이 필요할 경우 NOWCERT로 연락주시기 바랍니다.(Tel. 02-2040-0870/ E-mail. cert@nowcom.co.kr)
(스나이퍼DDX, 국정원 CC이어 최근 GS인증 획득)
|