* 그림이 맨위로 올라가는 군요. 저희 방화벽 캡처 화면 입니다. 어떤 정보든 저런식으로 실시간으로 방화벽은 그림을 그려줍니다.
LOG 이런거 까보면서 시간 보낼 필요가 없다는걸 보여드리기 위해 첨부합니다.

안녕하세요.
근 8년동안 SE로 밥벌이를 해온 스-사 입니다.

요즘 9뉴스 첫 번째 뉴스는 선관위 DDOS 공격이고,
나는꼼수다 및 기타 언론에서도 이에대한 이야기가 많이 나오고 있습니다.

사건 사실관계를 제껴두고서라고 SE가 바라보는 DDOS 공격에 대해 이야기를 풀어볼까 합니다.

이글을 쓰게된 계기는 아래와 같은 서비스 일부분에 DDOS 공격을 퍼부을 수 있는가.
다시말해서. DDOS 공격으로 DB만 부실수 있는가 에서 시작했습니다.

"문용식 민주당 인터넷소통위원장은 “선관위 홈페이지는 투표소 검색 매뉴만 불통이었다는게 수 많은 사람들의 증언...."

위와 같은 내용 나꼼수에서도 많이 들으셨죠 ? 이제 썰을 좀 풀어 보겠습니다.

- 트래픽이 2G다 10G다 이런건 크게 중요하다고 보지 않습니다.
-올해 7월 무한도전 가요제 오픈날 들어온 트래픽이 위에 나온 것보다 휠씬 많다는걸 말씀 드리고 싶습니다. (정확한 수치는 내부 보안때문에 공개를 못합니다.)
- DDOS 공격은 일반적으로 막을 방법이 없습니다. 하지만 우리 위대하신 KT 및 기타 IDC운영 기업에서는 클린존 또는 DDOS 방어 패키지를 끼워서 팔고 있습니다.
- 요즘 나오는 L3스위치 및 BackBone스위치의 가용 용량은 100G에 달하고 있습니다. 왠만한 DDOS공격으로 네트워크 스위치가 죽을 일이 거의 없습니다.
- 장애가 일어나는 지점은 KT가 제공하는 회선과 선관위 메인스위치에 연결된 회선구간이 문제가 될 가능성이 높습니다.
- 만약 선관위가 4G의 회선을 사용하는데 6G의 트래픽이 들어오면 전체적으로 네트워크가 마비되죠.
- 하지만 위에 말했듯이 KT및 기타 회사에선 DDOS 우회 서비스를 해주고 있습니다.
- 트래픽을 과하게 사용하는 IP가 있으면 자동으로 차단 시키고 그 IP는 다른 차단된 곳으로 우회시켜버리죠.
- 두시간 서비스 마비가 있을 수도 있습니다. 그런데 선관위는 KT 클린존 서비스를 받고 있다고 하는데 ? KT는 어떤식으로 패널티를 물어줄지 궁금하네요.

위 내용은 KT 회선과 선관위 메인 스위치에대한 제 개인적 의견입니다.
DDOS 공격으로 홈페이지가 안될 수도 있습니다. 하지만 우리가 다시한번 살펴봐야 할 항목은
"선관위 홈페이지는 투표소 검색 매뉴만 불통이었다는..."

위 내용에 대해서
방화벽은 뭐하고 있었으며. 외부에서 DB 서버접근이 가능해 ? 라능 항목은 회의 갔다와서 이어 쓰겠습니다.

-이어서--
DDOS 공격 방화벽은 뭐하고 있었나 ??
- 방화벽이라는 놈이 영화에서보면 2분많이 뚫리는 잉여 장비 지만, 운영하는 입장에서는 참 똑똑한 놈 입니다.
- 이놈은 LOG를 까볼 필요가 없이 실시간으로 '누가' '어떤행위를' '어디에' 하고있는지 실시간으로 보여줍니다.
(참고사진 첨부)
- 방화벽이라는 놈은 학습을 시킬 수 있습니다. A라는 애가 하루에 10번 사탕을 사러오면 사탕을 팔어, 하지만 1분에 10번 사러오면 부모님에게 혼날태니 팔지마. 이런 설정이 가능합니다.
- DDOS 공격 패턴도 마찬가지 입니다. 어떤 놈이 "해당 페이지 Refresh 반복요청(AhnGoon님 리플 참조)" 이런 짓을 하면
처음엔 당항 수 있습니다. DB가 잠기거나 다운이 될 수도 있죠.
- 하지만 일반적인 운영 인력이라면, 해당 공격이 들어왔을 대 방화벽 LOG만 가지고 공격 IP차단 및 공격 패턴 차단 이 가능합니다. 그 설정이 아무나 하기 어려운 방화벽 장비는 단 한번도 본적이 없습니다.

제가 생각 할 때의 이번사고의 문제점은!
그래~ 처음 다운을 당할 수 있다고 치다. 그런데 그다음은?? 운영팀은 DDOS 공격이라고 판단 했음에도 아무런 조치를 취하지 않았나? 입니다. 국가 관공소는 대게 SI 형대로 운영이 되고 있는 걸로 알고 있는데 ... 정말 이랬다면 SI업체 퇴출은 문제도 아니게 됩니다. 보안관제 비용을 지불한 이유가 없기 때문이죠.

자 그럼 방화벽 차단못한게 문제인가 ?
이것 또한 참 이해가 안되는 부분인데. 한 IP에서 이상하리만큼 많은 트래픽이나. 1초에 수십번의 접속 행위가 있으면 KT IDC는 보안 관리팀에서 바로 전화를 합니다. 지금 어떤 IP에서 어떤 패턴의 공격이 고고있습니다. 라고 정확히 보고를 합니다.
선관위에 방화벽이 있듯이 KT또한 상당히 좋은 장비로 보안관제를 하고 있습니다. 수십개의 대형모티처를 두고 24시간 감지하고 있습니다. 그리고! "선관위에서 IP차단을 하지 않아도 !! KT는 회선 사업자 이기 때문에 공격 패턴이 감지 되면 보고와 동시에 IP차단 준비를 합니다."

그런데 KT측의 그런 대응이 있었다는 내용은 없었죠.
리플에 보면 KT MRTG자료가 있는데. KT 측에선 투표 당일이니 당연히 2G는 들어오겠지 라고 생각했을 수도 있습니다.
총 회선 사용량의 반정도만 들어오니 공격으로 안볼 수도 있었겠죠.

KT도 감지 못한 DDOS를 선관위는 감지 했다고 ?? 이건 정말 미지수 입니다. 회선 사업자도 모르는 DDOS 라 정말 네트워크 설계가 잘못되어 2G에 뻣는 시스템이면 할 말이 없습니다.

마지막
내부 DB에 다이렉트로 공격이 가능해 ?
말을 다르게 해서 페이지 새로고침으로 DB에서 정보를 계속해서 호출하면 정말 DB가 뻣을까.

일단 답은 네 그럴수 있습니다. 입니다.
원래 그렇게 생겨먹은 DB에 왜 의문을제기하냐 라고 할 수 있지만.
이것 또한 위에서 말쓴 드린 내용으로 원천 차단이 가능합니다. 공격하는 놈이 있으면 막으면 됩니다. 막는데 5분이 안걸립니다.

근본적으로 DB서버는 private 망으로 구성되어 있기 때문에 외부에서 접근은 아예 불가능 합니다.
그럼 DB서버에게 공격을 하고 싶으면 어찌 할까요. DB에 담긴 정보를 호출하는 웹페이지를 계속 호출하는 방법이 있습니다.
이렇게 되면 DB를 직접 공격 하지 않아도 비슷한 효과를 볼수 있죠.
하지만 이건 DB를 느리게 하거나 멈추게 하는 효과는 있을지언정 DB자체 파괴 또는 데이터 파괴를 시키는 거 하곤 아주 거리가 먼 공격 방법입니다.
DB가 뻑나면 모든게 무너지는 것 같지만, DB데이터는 스토리지에 안전하게 보관되어 있고 스토리지 안의 DATA가 소실되지 않는 이상 DB
복구에 많은 시간이 필요가 없다고 생각합니다.

제가 금융회사 2년 현제회사 2년 반 정도 근무하면서 심심하면 DDOS 공격을 받았었습니다.
현장 경험상 DDOS 공격후 서비스 복구 까지 2시간이 걸려본적이 없습니다. 두시간이 걸리면 싸이트 접어야죠. 후폭풍 감당할 수 가 없습니다.

DDOS 대처 방법 플로어를 설명해 드리면

1. 공격 -> IDC (KT) 공격 감지 -> IDC 차단
2. 공격 -> IDC 공격 감지 못함 -> 선관위 방화벽 감지 -> 선광위 방화벽 차단
3. 공격 -> 아무도 감지 못함 -> 시스템 다운 -> 접속 및 공격 LOG 확인 -> 차단

위와 같은 패턴으로 복구를 진행 했으면 오묘한 시간대 두시간 서비스 정지라는 사태는 없었을 것 같습니다.
IT 밥 먹는 사람으로써 왜 두시간 동안 대응이 안됐는지 ... 의문 입니다. 음모론 소설을 쓰고 싶지만 주제와는 상관이 없는 것 같아 여기선 그 이야기를 풀지 않겠습니다.

마지막 결론
DDOS 공격은 서버 LOG 필요 없어
그냥 방화벽 첫 화면 캡처떠서 내놔~~

PGR에 숨어 있는 SE여러분들의 의견 교환이 활발이 이루어 졌으면 좋겠습니다.