금융회사 네트워크보안(DDoS)
서비스 거부 공격
네트워크 보안의 세 번째는 DDoS 대응 장비이다. 최근 들어 DDoS 사고가 자주 보도되고 있다. 협박메일을 보낸 후 기한 내에 비트코인을 지불하지 않으면 대상 홈페이지를 향해 대량의 트래픽을 보내어 서비스를 죽게 한다.
DoS? DDoS? DRDoS?
우선 DoS는 Denial of Service attack의 약자로 파생된 공격 기법이 몇 가지가 있다.
DDoS = Distributed (분산) + DoS 공격
DRDoS = Distributed Reflect(분산 반사) + DoS 공격 등
DoS 공격도 여러 가지 기법이 있으니 상세 내용은 위키를 참조하길 바란다. (기본 개념은 여기)
이러한 DDoS 공격을 막기 위해 대응장비를 맨 앞단에 설치한다. 특정 룰마다 임계치 기반으로 탐지/차단을 하며 이 또한 룰 튜닝이 필요하다. (3초안에 TCP Flooding 공격이 10번 이상이면 DDoS로 판단 등)
룰 튜닝까지 끝낸 DDoS 대응장비를 설치하여도 DDoS 공격으로부터 안전하진 않다. 네트워크 회선 용량보다 큰 트래픽이 들어와 회선이 마비되어 통신을 못하는 경우도 있고, 회선의 대역폭보다 작지만 웹서버가 처리하지 못해 서비스가 죽는 경우 등 DDoS 공격에 서비스가 안 되는 이유는 다양하다.
DDoS 장비를 설치해도 DDoS 공격을 못 막으면 어떻게 해요?
이런 경우를 대비하기 위해 금융보안원의 비상대응센터를 연동하거나 ISP업체의 클린존 서비스를 이용해야 한다. 담당자가 DDoS 공격을 인지하고 금융 보안원에 전환을 요청하면 금융회사로 들어오는 모든 트래픽이 금융 보안원을 향하게 된다. 이후에 정상적인 트래픽만 걸러져 금융회사로 들어오는 방식이다.
그러기 위해선 네트워크 장비에서 금융보안원과 연동 설정을 미리 해둬야 하고, 연 1회 진행하는 침해대응훈련 시 이를 확인할 수 있다. 침해대응훈련(DDoS, 서버 해킹, APT)은 금융보안원과 진행하는데, DDoS비상대응센터 운영도 금융보안원이 한다.
DDoS 훈련 시 금융회사가 비상대응센터로 전환하게 되면 금융보안원 스스로 공격하고 스스로 막게 되는 이상한 광경을 볼 수 있다. (물론 부서는 다르지만..)
어차피 DDoS 못 막는 거 아닌가요? 굳이 DDoS 장비를 설치해야 하나요?
일부는 맞고 일부는 틀리다. DDoS 공격을 모두 못 막는 건 아니다. DDoS 장비마다 대응 가능한 용량이 있기 때문에 어느 정도는 방어가 가능하다. 그리고 공격 시도 여부를 DDoS 장비를 통해 탐지가 가능하니, 담당자는 서비스가 죽기 전에 클린존으로 전환이 가능하다.
금융보안원, ISP업체의 클린존도 한계가 있다. 테라급의 DDoS 공격이 들어오게 되면 감당이 불가능하다.
또한 법적으로 DDoS 장비를 설치해야 한다고 하진 않지만, 전자적 침해행위를 방지하기 위해 정보보호 시스템을 설치/운영하라고 되어있으니 반드시 설치하길 바란다.
전자금융감독규정 제15조(해킹 등 방지대책) ① 금융회사 또는 전자금융업자는 정보처리 시스템 및 정보통신망을 해킹 등 전자적 침해행위로부터 방지하기 위하여 다음 각 호의 대책을 수립·운용하여야 한다.
1. 해킹 등 전자적 침해행위로 인한 사고를 방지하기 위한 정보보호 시스템 설치 및 운영
