2018.07.09

CIO가 알아야 할 디도스 공격 대응 지침

Thomas Macaulay | CIO UK
CIO와 현업 임원을 대상으로 하는 디도스(Distributed Denial-of-Service) 공격은 항상 문제가 되었다.



모든 조직이 디도스 공격에 취약할 수 있지만 발생 상황에서 대응하는 방법을 알고 있으면 피해를 최소화하는 데 도움이 된다.

아버 네트웍스(Arbor Networks)의 2018년 전세계 인프라 보안 보고서에 따르면, 2017년에는 57%의 기업과 45%의 데이터센터 운영회사가 디도스 공격으로 인터넷 대역폭이 포화 상태에 이르렀으며 2017년에는 총 750만 건의 디도스 공격이 발견됐다.

디도스 공격은 형태 면에서 차이가 있지만 모두 여러 호스트에서 온라인 공격을 목표로 공격하는 공통의 목표를 공유한다. 해를 끼칠 가능성이 농후하지만 다행히 피해를 완화할 방법이 있다.

1. 안티 디도스 제공 업체로부터 데이터 요청
안티 디도스 제공 업체의 모든 데이터를 요청하는 것이 중요하다. 여기에는 봇넷 소스 주소나 공격자를 식별할 수 있는 기타 데이터도 포함될 수 있다.

이 데이터가 수집되면 다른 공격의 위험을 최소화할 가능성을 찾을 수 있다. 여기에는 단일 IP 주소 뒤에 수백 명이 있을 수 있으므로 여러 명의 공격자를 차단할 IP 주소 차단 기능도 포함된다.

2. 온라인 중단 완화 및 대응 전략 구현
모든 조직은 비즈니스 단에서 재해복구 계획의 일부로 디도스 완화 및 대응 전략을 구현해야 한다. 여기에는 현업 직원이 접근할 수 있도록 세부적인 의사소통 및 실행 계획도 들어 있어야 한다.

미래의 공격이 나타나기 전에 이를 완화하고 경로를 재조정하기 위해 조직은 처음에 네트워크 수준의 보호 기능을 여러 개의 WAN 진입점에 연결하는 것이 중요하다.

또한 현업 부서는 운영팀이 트래픽을 쉽고 빠르게 다시 라우팅할 수 있는 올바른 행동 계획을 수립하는 데 도움을 얻을 수 있다.

3. 교육 
효과적인 교육을 이수한 구성원이 공격을 인식할 수 있으므로 공격에 대한 대응 방법을 알 수 있다.

공격자가 조직에 들어가려고 시도하는 방법에는 여러 가지가 있으므로 직원이 위협 요소를 인식하고 경계를 유지하는 것이 중요하다.

4. 적절한 기술 사용
사람들과 프로세스에 논란의 여지가 있지만 적절한 기술 사용이 가장 중요하다.

예를 들어, 클라우드 기반 호스팅으로 전환하는 것은 조직이 대역폭을 확장하는 데 좋은 옵션이며 내부 서버보다 디도스 공격을 견딜 가능성이 훨씬 높다.

클라우드플래어(CloudFlare) 이외에 디도스 완화 서비스를 제공하는 콘텐츠 전달 업체도 있다.

5. 시스템 및 위협 평가
모든 조직은 위험을 측정하고 시스템의 위험을 이해하며 조직의 운영 상태를 보호해야 한다.

취약점을 지속해서 발견하고 해결하고자 평가해야 한다. 공격이 일찍 발견될수록 온라인 시스템의 서비스와 사용자에게 미치는 영향을 최소화할 수 있다.

글로벌 인터넷을 모니터링하여 특정 위치의 트래픽 급상승을 확인하고 경보가 필요한 비정상적인 트래픽에 대한 임계값을 설정한다.

대응 메커니즘과 보안 테스트로 취약점을 발견하기 전에 취약점을 식별하여 강화해야 할 영역을 찾아낸다. 트래픽을 일시적으로 차단해 어디를 차단해야 하는지 테스트한다. IP 주소를 변경하면 불법이 될 가능성이 있다.

6. 인프라 강화
데이터센터 및 서로 다른 네트워크의 데이터센터에 서버를 유지한다.

IT인프라의 세부 사항을 문서로 만들고 디도스 공격의 위험과 피해를 최소화하도록 특별히 고안된 서비스에 관한 투자를 고려하라. 임대 대역폭은 공격자가 사용할 수 있는 트래픽을 줄임으로써 피해를 최소화하도록 해준다.

차세대 방화벽 및 디도스 보호 서비스 같은 내부 직원을 지원하고 대응할 수 있는 탐지 및 완화 서비스를 제공하는 다른 업체를 조사하라.

7. 대응 준비
오버 프로비저닝에 투자하여 공격으로 인해 일반적인 활동 최고치보다 훨씬 많은 로드 시간이 발생하는 경우 필요한 경우 효과를 완화할 수 있는 충분한 추가 용량을 확보하라.

응급 상황 발생 시 백업해줄 디도스 방지 장비가 있는지 조사하라. 차단할 IP 주소를 정하는 데 도움이 되는 데이터 공유 여부를 확인하라. 퍼블릭 클라우드로의 임시 이동은 검토할 가치가 있다.

대응 계획에는 공격이 확인되면 취할 수 있는 사전 정의된 개요에서 따라야 할 완전한 연락 목록 및 모든 관련 절차가 포함돼야 한다. 서버와 통신 템플릿의 상태를 표시하는 자동화된 상태 페이지를 작성하여 고객에게 과도한 우려 없이 문제를 경고할 수 있다.

8. 공격 분석과 완화
공격 경로와 영향을 받는 구성 요소를 확인하고 위협 특성을 이해하여 특정 현상에 대응할 수 있도록 검토하라. 순서대로 모든 변경을 수행하여 각각의 원인을 이해하라.

대체 네트워크나 사이트로 전환하고 방화벽과 같은 도구를 통해 디도스 트래픽을 차단하여 피해를 제한하고 원치 않는 연결과 기능 종료 방화벽 및 서버는 공격 중 개별 요청을 로깅하는 속도를 따라잡지 못한다. 여기서 실패하면 시스템에 더 큰 손상을 줄 수 있다. 더 이상 유용한 정보를 제공하지 않을 것이라고 확신하는 즉시 로그 파일을 제거하라.

디도스 공격은 며칠 동안 지속될 수 있으므로 팀이 이를 처리할 수 있는 충분한 에너지를 확보하라. 문제가 실망스럽게 보일 수 있지만 대응에 참여하는 사람의 수를 제한하여 대응을 효율적으로 관리할 수 있도록 하라.

9. 검토 및 학습
디도스를 예방할 수 있었던 원인과 방법을 확인하라. 인시던트 보고서를 작성하여 발생한 상황, 대응 방법 및 재발 방지 계획을 설명하라.

뒤따라 오는 절차와 뒤따라 오는 사람들의 관점에서 어떻게 하면 좀더 효과적으로 대응할 수 있었는지 생각해 보라. 상호 이익을 위해 정보를 커뮤니티와 공유하라. 미래를 준비하고 자신의 경험을 통해 배울 수 있도록 도와준다. ciokr@idg.co.kr
 



2018.07.09

CIO가 알아야 할 디도스 공격 대응 지침

Thomas Macaulay | CIO UK
CIO와 현업 임원을 대상으로 하는 디도스(Distributed Denial-of-Service) 공격은 항상 문제가 되었다.



모든 조직이 디도스 공격에 취약할 수 있지만 발생 상황에서 대응하는 방법을 알고 있으면 피해를 최소화하는 데 도움이 된다.

아버 네트웍스(Arbor Networks)의 2018년 전세계 인프라 보안 보고서에 따르면, 2017년에는 57%의 기업과 45%의 데이터센터 운영회사가 디도스 공격으로 인터넷 대역폭이 포화 상태에 이르렀으며 2017년에는 총 750만 건의 디도스 공격이 발견됐다.

디도스 공격은 형태 면에서 차이가 있지만 모두 여러 호스트에서 온라인 공격을 목표로 공격하는 공통의 목표를 공유한다. 해를 끼칠 가능성이 농후하지만 다행히 피해를 완화할 방법이 있다.

1. 안티 디도스 제공 업체로부터 데이터 요청
안티 디도스 제공 업체의 모든 데이터를 요청하는 것이 중요하다. 여기에는 봇넷 소스 주소나 공격자를 식별할 수 있는 기타 데이터도 포함될 수 있다.

이 데이터가 수집되면 다른 공격의 위험을 최소화할 가능성을 찾을 수 있다. 여기에는 단일 IP 주소 뒤에 수백 명이 있을 수 있으므로 여러 명의 공격자를 차단할 IP 주소 차단 기능도 포함된다.

2. 온라인 중단 완화 및 대응 전략 구현
모든 조직은 비즈니스 단에서 재해복구 계획의 일부로 디도스 완화 및 대응 전략을 구현해야 한다. 여기에는 현업 직원이 접근할 수 있도록 세부적인 의사소통 및 실행 계획도 들어 있어야 한다.

미래의 공격이 나타나기 전에 이를 완화하고 경로를 재조정하기 위해 조직은 처음에 네트워크 수준의 보호 기능을 여러 개의 WAN 진입점에 연결하는 것이 중요하다.

또한 현업 부서는 운영팀이 트래픽을 쉽고 빠르게 다시 라우팅할 수 있는 올바른 행동 계획을 수립하는 데 도움을 얻을 수 있다.

3. 교육 
효과적인 교육을 이수한 구성원이 공격을 인식할 수 있으므로 공격에 대한 대응 방법을 알 수 있다.

공격자가 조직에 들어가려고 시도하는 방법에는 여러 가지가 있으므로 직원이 위협 요소를 인식하고 경계를 유지하는 것이 중요하다.

4. 적절한 기술 사용
사람들과 프로세스에 논란의 여지가 있지만 적절한 기술 사용이 가장 중요하다.

예를 들어, 클라우드 기반 호스팅으로 전환하는 것은 조직이 대역폭을 확장하는 데 좋은 옵션이며 내부 서버보다 디도스 공격을 견딜 가능성이 훨씬 높다.

클라우드플래어(CloudFlare) 이외에 디도스 완화 서비스를 제공하는 콘텐츠 전달 업체도 있다.

5. 시스템 및 위협 평가
모든 조직은 위험을 측정하고 시스템의 위험을 이해하며 조직의 운영 상태를 보호해야 한다.

취약점을 지속해서 발견하고 해결하고자 평가해야 한다. 공격이 일찍 발견될수록 온라인 시스템의 서비스와 사용자에게 미치는 영향을 최소화할 수 있다.

글로벌 인터넷을 모니터링하여 특정 위치의 트래픽 급상승을 확인하고 경보가 필요한 비정상적인 트래픽에 대한 임계값을 설정한다.

대응 메커니즘과 보안 테스트로 취약점을 발견하기 전에 취약점을 식별하여 강화해야 할 영역을 찾아낸다. 트래픽을 일시적으로 차단해 어디를 차단해야 하는지 테스트한다. IP 주소를 변경하면 불법이 될 가능성이 있다.

6. 인프라 강화
데이터센터 및 서로 다른 네트워크의 데이터센터에 서버를 유지한다.

IT인프라의 세부 사항을 문서로 만들고 디도스 공격의 위험과 피해를 최소화하도록 특별히 고안된 서비스에 관한 투자를 고려하라. 임대 대역폭은 공격자가 사용할 수 있는 트래픽을 줄임으로써 피해를 최소화하도록 해준다.

차세대 방화벽 및 디도스 보호 서비스 같은 내부 직원을 지원하고 대응할 수 있는 탐지 및 완화 서비스를 제공하는 다른 업체를 조사하라.

7. 대응 준비
오버 프로비저닝에 투자하여 공격으로 인해 일반적인 활동 최고치보다 훨씬 많은 로드 시간이 발생하는 경우 필요한 경우 효과를 완화할 수 있는 충분한 추가 용량을 확보하라.

응급 상황 발생 시 백업해줄 디도스 방지 장비가 있는지 조사하라. 차단할 IP 주소를 정하는 데 도움이 되는 데이터 공유 여부를 확인하라. 퍼블릭 클라우드로의 임시 이동은 검토할 가치가 있다.

대응 계획에는 공격이 확인되면 취할 수 있는 사전 정의된 개요에서 따라야 할 완전한 연락 목록 및 모든 관련 절차가 포함돼야 한다. 서버와 통신 템플릿의 상태를 표시하는 자동화된 상태 페이지를 작성하여 고객에게 과도한 우려 없이 문제를 경고할 수 있다.

8. 공격 분석과 완화
공격 경로와 영향을 받는 구성 요소를 확인하고 위협 특성을 이해하여 특정 현상에 대응할 수 있도록 검토하라. 순서대로 모든 변경을 수행하여 각각의 원인을 이해하라.

대체 네트워크나 사이트로 전환하고 방화벽과 같은 도구를 통해 디도스 트래픽을 차단하여 피해를 제한하고 원치 않는 연결과 기능 종료 방화벽 및 서버는 공격 중 개별 요청을 로깅하는 속도를 따라잡지 못한다. 여기서 실패하면 시스템에 더 큰 손상을 줄 수 있다. 더 이상 유용한 정보를 제공하지 않을 것이라고 확신하는 즉시 로그 파일을 제거하라.

디도스 공격은 며칠 동안 지속될 수 있으므로 팀이 이를 처리할 수 있는 충분한 에너지를 확보하라. 문제가 실망스럽게 보일 수 있지만 대응에 참여하는 사람의 수를 제한하여 대응을 효율적으로 관리할 수 있도록 하라.

9. 검토 및 학습
디도스를 예방할 수 있었던 원인과 방법을 확인하라. 인시던트 보고서를 작성하여 발생한 상황, 대응 방법 및 재발 방지 계획을 설명하라.

뒤따라 오는 절차와 뒤따라 오는 사람들의 관점에서 어떻게 하면 좀더 효과적으로 대응할 수 있었는지 생각해 보라. 상호 이익을 위해 정보를 커뮤니티와 공유하라. 미래를 준비하고 자신의 경험을 통해 배울 수 있도록 도와준다. ciokr@idg.co.kr
 

X