네트워크 스캔공격 탐지 통계 분석

나. 네트워크 스캔 대상 포트

다음의 [표 2]는 네트워크 스캐닝 공격 대상 포트에 대한 통계이다. RPC 관련 스캐닝이 가장 많았으며, 이는 1999년 말부터 발견된 다양한 RPC 서버의 취약점을 찾아 공격하기 위함이다. 기타 FTP, DNS 등 특정 취약점만을 스캔하는 공격도 상당수 탐지가 되었으며, 범용 취약점 스캔의 경우 1999년에 이어 Sscan이 가장 많이 탐지되고 있다.

특히, RPC, DNS의 경우 직접적으로 상위포트로 스캔하는 경우가 있으며, 공격자의 소스포트를 20, 21, 53번으로 설정하여 공격을 하는 경우도 종종 발견된다. 이는 Firewall을 우회하기 위한 공격으로 Firewall 보안설정을 잘못할 경우 공격을 당할 수도 있게 된다.

트로이잔의 경우 백오러피스보다는 NetBus가 사용하는 12345번 포트에 대한 스캔공격이 많은데, 이는 공격자들이 트로이잔중에서도 NetBus를 실제 공격도구로 많이 사용하고 있음을 보여준다. 그리고 2222, 1524 등 백도어로 사용되는 포트에 대한 스캔 역시 많이 탐지되고 있다.

최근에는 25(Sendmail), 139(NetBIOS session) 포트에 대한 스캔이 증가하고 있는데 이는 인터넷 웜 바이러스의 유포에 따른 영향으로 보인다. 그리고 특이한 경우로 최근에 23(telnet)번 포트에 대한 스캔이 증가하고 있다. 이에 대한 설명은 공격호스트에 대한 조사가 필요하며, 향후 분석을 통하여 밝히도록 하겠다.

다. 취약점에 대한 공격 라이프사이클

새로운 취약점이 발견되는 시기와, 그 취약점을 공격하거나 스캔해주는 공격도구가 나오는 시기에 대한 조사와 더불어 RTSD 통계자료를 분석해 보면, 취약점 발견에 따른 공격이 성행하는 시기, 그리고 관련 공격이 쇠퇴하는 시기 등 취약점에 대한 공격 라이프사이클을 알 수 있게 된다.

특정 취약점에 대한 공격 라이프사이클의 시작은 일반적으로 토론에서 시작된다. 누군가 특정 시스템, 어플리케이션 등에서 이상한 점을 발견하고, 이에 대하여 메일링리스트 등을 통하여 토론을 하게 된다. 그리고 취약점이 있다고 판단되면 누군가 그 취약점을 공격할 수 있는 프로그램을 만들게 된다. 이러한 과정은 "Bugtraq"과 같은 공개적인 채널을 통하여 이루어 질 수도 있으며, 해커들간의 비공개적인 채널을 통하여 은밀하게 이루어질 수도 있다. 비공개적인 채널을 통하여 발견된 취약점은 비밀리에 공격자들만 사용을 하다가 "상당한 시점"이 흐른뒤에 공개되는 것으로 판단된다. 여기서 "상당한 시점"을 정확히 알 수는 없지만 취약점의 중요도에 따라 달라지는 것 같다. 따라서 공식적인 채널을 통하여 발견되는 취약점은 조금만 관심을 가지면 방어를 할 수 있지만 비공개적인 공격자들간의 채널을 통하여 발견되는 취약점은 방어하기 힘들게 된다. 따라서 이러한 비공개적인 채널(Underground)을 통하여 유포되는 취약점 및 공격기법을 모니터링하는 연구가 수반되어야만 한다.

그 다음 단계는 발견된 취약점을 스캔해주는 공격 프로그램이 만들어지게 되고, 이때부터 본격적인 스캔공격이 시작된다. 그리고 스캔공격과 더불어 관련 취약점을 이용한 실제적인 해킹이 증가하게 된다.

그리고 어느정도 시간이 지나 많은 사이트에서 보안패치 및 보안설정을 통하여 발견되 취약점을 방어하게 되고, 또 다른 새로운 취약점에 대한 공격방법이 공개되면 이전의 취약점에 대한 공격이 줄어들고 공격 라이프사이클이 끝나게 된다.

이러한 라이프사이클의 기간은 취약점의 특성과 중요도, 그리고 다른 새로운 공격 프로그램의 공개 속도 등에 따라 그 기간이 달라진다. 그리고 위의 라이프사이클은 새로운 취약점이 지속적으로 발견되면서 새로운 취약점에 대한 라이프사이클과 중첩되면서 진행된다. 또한 특정 취약점의 경우 [그림2]의 A와 같이 한번 더 라이프사이클을 가질 수도 있다. 실제 예를 들면, 지난 1999년 하반기에 성행하였던 RPC 관련 스캔공격이 잠시 주춤하다가 소스포트를 위장하여 공격하는 방법이 나오면서 2000년 3월에 다시 많이 증가했었다.

다음의 표는 사실상 위의 개념을 설명하기에는 아직 축적된 데이터가 부족한 면이 있기는 하지만 DNS, RPC, Linuxconf 취약점 등의 경우, 위에서 설명한 라이프사이클을 보여준다. DNS 취약점을 이용하여 원격 호스트를 공격하는 방법에 대한 문서가 공개되면서 DNS 스캔이 증가하고 있다. 하지만 DNS 취약점에 대한 공격은 다른 취약점에 비하여 고난위도의 기술을 요구하기 때문에 다른 취약점에 비하여 구 스캔공격의 횟수가 많지 않다. FTP 도 마찮가지로 wu-FTP에 대한 취약점이 공개되고 스캔 프로그램이 공개되면서 4월부터 스캔공격이 증가하고 있다.

취약점에 대한 공격 라이프사이클의 분석은 국내의 경우에는 아직 이러한 분야에 대한 정확하고 충분한 데이터를 가지고 있지 못한 실정이다. CERTCC-KR의 또 다른 통계자료인 해킹사고 접수 통계는 대부분이 국내 피해 시스템에 대한 통계이며, 공격자에 대한 통계는 아니다. 하지만 RTSD에서 탐지하는 데이터가 축적되면 보다 정밀한 분석과 예측이 가능할 것으로 보인다. 그리고 국외 통계와 비교 분석을 하여 새로 발견된 취약점에 대한 공격이 국내 공격에 얼마나 빨리 사용되는지에 대한 분석도 필요하리라 생각된다.

라. 알려지지 않은 새로운 공격탐지

RTSD 월별 통계를 보면 Sendmail 포트인 25번에 대한 탐지가 4월달에 급증하였음을 알 수 있다. 25번에 대한 탐지는 다양한 경우가 있을 수 있는데, 주로 스팸메일을 보낼 때, 그리고 메일 릴레이 서버를 스캔하는 경우 탐지되게 된다. 하지만 지난 4월에는 이상할 정도로 탐지수가 증가하였으며, 이후 5월 초에 전자메일을 통하여 유포되는 Loveletter 바이러스가 발견되었다.

사후 분석이기는 하지만 4월에 25번 포트에 대한 탐지가 많았던 이유는 바로 전자메일을 통하여 유포되는 Loveletter로 인한 것이었다고 추측된다[1][4].

사실 RTSD의 설계 개념은 일반 사용자가 공격을 탐지하고 대응하도록 하는 것뿐만 아니라 새로운 공격을 빨리 발견하기 위한 개념적인 도구(Concept Tool)로 개발되었으며, 위의 이러한 사례들은 RTSD의 개념이 성공적이라는 것을 보여주고 있다. 단 좀더 많은 사이트에서 사용되어야 하고 도구에 대한 개선도 필요하다.

3. 분산 스캔공격 탐지 에이전트 - Automated CERT

RTSD에서 사용하는 탐지 알고리즘은 "한 호스트에서 일정시간 간격으로 일정한 수의 연결요청이 있을 경우 이를 취약점 스캔공격으로 탐지"한다. 이는 대부분의 취약점 검색공격이 짧은 시간안에 하나의 소스 IP로부터 다수의 연결요청을 보낸다는 특징을 이용한 것으로 다수의 취약점을 스캔하는 대규모 네트워크 스캔공격을 포함하여 개별 취약점을 스캔하는 공격을 탐지하기에 적합하다[3].

RTSD의 개별 도구로서의 사용목적은 어디에서 침입시도를 하는가를 알아보기 위해, 그리고 즉각적인 대응을 위해 사용할 수 있다. CERTCC-KR의 입장에서는 이러한 스캔공격 탐지 정보를 수십, 수백 사이트로부터 획득하고, 종합분석함으로서 국가적 차원에서의 공격 분석 및 새로운 공격을 조기에 탐지할 수 있는 기반을 구축하는 기반이 될 수 있다.

이러한 "분산된 스캔공격 탐지 방법"은 각 각의 개별 사이트에 대한 정보를 하나로 모아 분석함으로서 보다 구체적이고 광범위한 인터넷 공격에 대한 이미지를 그릴 수 있게 해주며 알려지지 않은 새로운 공격을 조기에 탐지할 수 있도록 한다.

"분산 스캔공격 탐지"의 또 다른 효과는 즉각적인 공격 대응에 있다. 기존의 CERT (Computer Emergency Response Team)의 주요 역할 중의 하나인 사고대응은 사실상 그 대응속도가 항상 뒤쳐질 수밖에 없는 상황이다. 수백건에 이르는 해킹사고 신고와 그에 따른 처리는 결코 공격자를 앞지를 수 없는 환경으로 몰고 간다. 또한 앞에서도 언급했듯이 현재 CERTCC-KR의 침해사고 접수 통계는 대부분 국외의 CERT에서 신고되는 것으로 국내에서 국외로 스캔공격하는 사고에 해당된다. 그리고 이러한 국내 호스트의 대부분은 이미 해킹사고의 피해자라는 점에서 피해자에 대한 통계라고 볼 수 있으며, 국외에서 국내로의 공격통계는 아니다. 따라서 국외로부터의 공격에 대하여 간접적으로 대응하고 있으며, 적극적인 대응은 하지 못하고 있다고 할 수 있다.

반면에 RTSD는 공격자에 대한 통계를 제공하여 적극적이고 자동화된 공격대응 수단을 제공한다. 일단 RTSD는 실제적인 공격이전에 이루어지는 스캔공격을 탐지하고 있으며, 이를 자동으로 보고하고 반자동으로 대응할 수 있도록 해준다. 즉, RTSD는 자동화된 CERT 기능을 제공해 준다.

4. 분산 스캔공격 탐지 시스템 구축의 어려움과 성공요인

종 종 스캔공격 탐지 시스템인 RTSD와 침입탐지시스템(IDS)의 다른점에 대하여 질문을 받게 되는데, 사실상 IDS에도 스캔공격을 탐지하도록 되어 있다. 하지만 두 시스템간의 가장 큰 차이는 시스템의 설계 개념에 있다. 침입탐지시스템은 실제적인 알려진 공격을 탐지하기위한 도구인 반면, RTSD는 알려지지 않은 공격을 조기에 탐지하기 위한 개념을 가지고 있으며, 많은 사이트의 협력을 필요로 한다. 즉, IDS는 각 각의 사이트를 보안하기 위한 도구임에 반해 RTSD는 국가적인 보안을 위한 도구이다. 다음은 RTSD와 같은 분산 스캔공격 탐지 시스템의 구현 및 운영상의 문제점들에 대하여 설명한다.

가. 기능확장 및 유연성 문제

분산 스캔공격 탐지 시스템은 가능한 한 유연하게 구현되어야 한다. 이러한 유연성은 알려지지 않은 새로운 공격을 조기에 탐지할 수 있도록 해준다. IDS의 경우 정확히 알려진 공격을 탐지하도록 되어 있으며, 사용의 편의 및 탐지오류를 줄이기 위하여 유연성을 희생한 제품이다. 제품에 따라서는 네트워크를 다양한 방법으로 모니터링할 수 있도록 해주는 유연성이 있는 제품도 있기는 하다.

현재 RTSD는 TCP 프로토콜만을 지원하고 있다. 이는 일반사용자가 적정하게 받아들여 이해할 수 있는 수준이며, 대부분의 취약점 스캔도구가 이 범주에 들어가지 때문이다. 하지만 UDP, ICMP 등 다른 프로토콜까지 모니터링할 수 있도록 확장할 필요가 있다. 또한 최근 "알려지지 않은 새로운 공격을 탐지하기 위한 방법론"으로 이슈가 되고 있는 네트워크 활동을 가시화(Visualize)하여 보다 효과적으로 모니터링할 수 있는 문제에 대해서도 연구할 필요가 있다. 단 이러한 확장을 하면서도 유연성을 유지하여야만 한다.

나. 도구의 적절한 사용 및 교육

RTSD와 같은 도구가 성공적으로 많이 사용되기 위해서는 일반 사용자의 사용능력이 가장 큰 장애물이다. RTSD는 다른 상용제품과는 달리 탐지된 공격이 정확히 어떠한 공격이다라는 것을 지적해 주지 않는다. 또한 각 사이트별로 상황에 맞도록 설정하여 사용하여야만 하는 불편함과 탐지된 로그를 어떻게 해석해야 되는지에 대한 문제가 따른다.

이러한 것을 극복하기 위하여 RTSD 초기 운영시에는 탐지 보고되는 스캔공격에 대하여 CERTCC-KR에서 일일이 대응을 해 주었다. 그리고 관련 문서를 많이 작성하고, 메일링리스트 등을 이용하여 사용자들의 수준을 높여 가는 노력을 하였다. 그 결과 많은 사용자들이 생겼으며, CERTCC-KR로 보고되는 스캔공격 탐지도 많아지게 되었다.

다. 자발적인 스캔공격 탐지 보고

RTSD 초기 버전(v0.1)은 스캔공격 탐지 정보를 CERTCC-KR로 보고하도록 유도하고 있다. 물론 소스코드가 공개되어 있고, 또한 설치할 때 이러한 점을 명시하고는 있으나 많은 사이트에서 반감을 가진것도 사실이다. 그리고 RTSD 사용기관의 대다수는 스캔탐지 결과를 CERTCC-KR로 보고하지 않고 있다. 이러한 스캔공격 탐지 정보를 공개하지 않으려 하는 태도는 RTSD를 반쪽짜리 도구로 만들고 있다.

CERTCC-KR에서는 자발적인 스캔공격 탐지를 보고하도록 유도하기 위한 노력으로 RTSD FAQ를 작성하여 왜 CERTCC-KR로 탐지 로그를 보내도록 설정해야 하는가에 대하여 설명하였고, 관련 문서 및 메일링리스트를 통하여 보고의 중요성에 대하여 주지시키는 노력을 기울여 왔다.

5. 결 론

RTSD는 개념적인 도구이다. 그 개념은 국가 보안을 위해서는 각 사이트에서 공격시도를 탐지하고 탐지한 정보를 CERTCC-KR로 보고함으로서 국내 네트워크 공격에 대한 정확한 현황을 파악할 수 있게 되고 국내 보안을 증진하는데 큰 도움이 된다는 것이다.

개념적인 도구라는 말은 아직 발전의 가능성이 많으며, 이제 시작단계라는 의미이다. RTSD보다 더 좋은 방법이 있을 수 있으며, 꼭 RTSD와 같은 도구를 이용할 필요가 없을 수도 있다. 많은 보안업체에서 Firewall, IDS 등을 이용한 보안관제 서비스를 제공하고 있는데, 많은 고객 사이트를 관리하게 되고 유연한 시스템을 통하여 올바른 방법으로 데이터를 분석하게 될 경우에는 큰 효과를 얻을 수 있다. 또한 단순히 시스템 로그분석을 통하여 이를 중앙에서 관리 분석하게 되면 똑 같은 효과를 얻을 수도 있는 것이다.

비록 본 자료에서는 공격시도에 대한 정밀한 분석을 하지는 못했지만, 향후 보다 많은 자료가 축적되고 경험이 쌓이고, 분석이 체계적으로 이루어지게 된다면 해킹 방지 및 예방, 그리고 나아가 사이버테러 대응을 위한 시스템으로 발전하게 될 것이다.

[ 참고 자료 ]

[1] RTSD 월별 통계자료, http://www.certcc.or.kr/statistics/rtsd/rtsd.htm
[2] CERT overview trend, http://www.cert.org/present/cert-overview-trends/
[3] 대규모 네트워크 취약점 스캔공격 패턴분석 및 탐지도구, 이현우/이상엽 외 4명, WISC
[4] loveletter 웜 바이러스, http://203.233.150.1/cvirc/Alert/42/lovelet-alert.htm