라스컴 시큐리티
HOME
  • 침해사고 대응훈련
  • DDoS 공격 대응 모의훈련
  • 침해사고 대응훈련

    DDoS 공격 대응 모의훈련

    DDoS 공격 대응 모의훈련

    DDoS 공격 대응 모의훈련은 실제 DDoS 공격(Botnet 공격 등)과 같은 사이버 테러에 대한 대응 능력을 향상하기 위해
    모의훈련, 수준 평가, 대응 체계 개선을 수행하는 모의훈련 서비스입니다.

    개요

    DDoS(Distributed Denial of Service) 공격 또는 분산형 서비스 거부 공격은 악의적인 사이버 테러 방법의 하나이며,
    특정 네트워크, 서버, 애플리케이션을 대상으로 감당할 수 없도록 많은 양의 트래픽을 네트워크를 통하여 지속적으로 발생시켜 공격하고 결국 정상적인 서비스를 불가능하게 만듭니다.

    DDoS 공격 예방 방안

    1. DDoS 공격 유형
    DDoS 공격 유형을 살펴 보면 크게 볼륨 공격, 프로토콜 공격, 리소스 레이어 공격으로 나눌 수 있습니다.

    실제 구체적인 공격 유형
    대규모 봇넷 공격, 사용자 정의 헤더 DDoS 공격, IGMP/ARP DDoS 공격, 플러딩 및 디도스 봇넷 공격, TCP Syn Flooding 공격, TCP Ack Flooding 공격, UDP FloodingS 공격, ICMP Flooding공격, HTTP Slowloris Attack 공격, HTTP CC Attack 공격, 공격, HTTP Layer7 공격, Combined(ICMP+UDP+TCP Flooding) 공격 등

    2. DDoS 공격 예방 방법

    • 1) 실제 DDoS 공격 발생 시 적시에 정확하게 탐지하고 피해를 최소화하기 위해서는 사전에 대응 방안과 프로세스를 수립해야 합니다.
    • 2) 또한 사전에 DDoS 공격 모의훈련 등을 통해서 조직의 DDoS 공격 대응 수준을 평가하고 대응 역량을 향상시켜야 합니다.
    • 3) DDoS 공격 대응 체계와 프로세스가 잘 작동하는지 그리고 대응 시스템이 잘 작동해서 목표 수준으로 도달하는지를 사전에 점검해야 합니다.

    3. DDoS 공격 대응 전략
    조직이 DDoS 공격에 대응하기 위해서는 평소 네트워크 및 시스템 모니터링을 통해서 DDoS 공격을 탐지해야 합니다.
    모니터링에서 다음의 징후가 발견되면 DDoS 공격을 의심해 볼 수 있습니다.

    • 1) DDoS 공격 징후 파악
      · 동일한 IP 주소 또는 범위에서 출발한 웹 트래픽이 갑자기 증가하는 현상 · 네트워크 대역폭(Bandwidth)이 갑자기 과도하게 사용되는 현상 · 네트워크 성능이 갑자기 느려지거나 불규칙하게 동작하는 상태 · 애플리케이션 또는 서버의 응답 지연 또는 응답하지 않는 상태
    • 2) DDoS 공격 대응 솔루션 구축
      DDoS 공격으로부터 조직을 보호하고 서비스 연속성을 유지하는 데 도움이 되는 다양한 솔루션을 사전에 구축해야 하며,
      네트워크 보안 및 모니터링 서비스를 통해서 DDoS 공격 발생 시 빠르게 대응할 수 있습니다.
      · 네트워크 모니터링 · Anti-DDoS · CDN(Content Delivery Network) · 웹방화벽(Web Application Firewall)
    • 3) DDoS 공격 대응 체계 및 프로세스 수립
      DDoS 공격 발생 시 신속하게 대응하고 조치할 수 있도록 사전에 대응 계획을 통해 대응 체계와프로세스을 수립해야 합니다.
      또한 다양한 DDoS 공격 유형에 따른 대응 방안, 조치방법, 역할을 매뉴얼에 정의해야 합니다.

    DDoS 공격 방어 방법

    1. 신속한 대응 조치

    • 1) 정상적인 트래픽과 악성 트래픽을 구분하여 모니터링 실시
    • 2) 공격 발생 시 대응체계 및 프로세스에 따라서 신속하게 대응
    • 3) 트래픽 분석 및 공격 유형에 따른 대응 절차 수행
    • 4) 조직이 효율적으로 대응할 수 있도록 모의훈련 실시

    2. 관련 업체 및 조직에 DDoS 공격 상황 통보

    • 1) 서버 호스팅 업체에 즉시 DDoS 공격 상황 통보
    • 2) 관련 업체(호스팅 업체 등) 및 내부 조직과 협력 대응

    3. 외부 전문가 및 유관기관과 협력 대응

    • 1) 보안 전문가와 협력하여 공격 분석 및 대응 방안 수립
    • 2) 한국인터넷진흥원(한국인터넷보호원)에 신고(보호나라 홈페이지)
      · 신속한 신고를 통해 보다 효과적인 대응 가능

    4. 트래픽 관리

    • 1) 트래픽 모니터링으로 이상 트래픽 탐지 및 차단 실시
    • 2) 트래픽 급증에 대비하여 대역폭 확보
    • 3) 사전 대비 및 신속한 대응

    수행 절차

    1. 모의훈련 계획 수립

    • 1) 모의훈련 상세 일정 및 훈련 방법 수립
    • 2) 참여 조직 구성(공격 조직, 대응 조직)
    • 3) 공격 대응 가상 시나리오 수립

    2. 모의훈련 환경 구성 및 수행 준비

    • 1) 공격 대상 확인
    • 2) 서비스 네트워크 및 시스템 구성 파악
    • 3) 공격 대상 네트워크에 공격망 연결
    • 4) 공격 시스템(공격장비 및 컴퓨터 등) 구성

    3. DDoS 공격 및 대응 수행

    • 1) 시스템 모니터링 실시
    • 2) 증적 자료 확보(CPU, Memory, Traffic, Log 등)
    • 3) 다양한 유형의 공격 실시
    • 4) 대응 체계 점검
      · 대응 시스템 점검 및 로그 분석을 통한 실시간 모니터링 · 다양한 유형의 공격에 대한 DDoS 공격 탐지 여부 확인 · 다양한 유형의 공격에 대한 DDoS 공격 차단 여부 확인 · 공격 수행 시 공격에 대한 각 시스템 영향도 파악 및 대응

    4. DDoS 공격 및 대응 종료

    • 1) 공격 탐지 및 대응 능력, 시스템 상태 정보 기록
    • 2) 시스템 영향도 기록

    5. 모의훈련 결과 정리

    • 1) 모의훈련 결과 보고서 작성 및 보고
    • 2) 문제점 분석 및 대책 수립 (재발방지책 포함)
    • 3) 관련 담당자 교육

    관련 규정

    • - 개인정보의 안전성 확보조치 기준
    • - 전자금융감독규정 제37조의4 (침해사고대응기관 지정 및 업무범위 등)
    • - 정보통신망 이용촉진 및 정보보호 등에 관한 법률
    • - ISMS-P인증기준 세부점검항목
    • - 국정원 규정 등 다양한 컴플라이언스 준수 의무

    기대 효과

    • - 대규모 봇넷 공격에 따른 네트워크 및 보안 장비의 DDoS 영향도 평가 및 개선
    • - Anti-DDoS 체계와 장비의 대응 능력 검증하고 네트워크 가용성 개선
    • - 모의훈련을 통해 공격을 체험하고 효과적인 대응 방법 및 대응 능력 향상
    • - 모의훈련을 통해 사전에 보안 취약점을 파악하고 개선 조치 가능