Open in app

Sign in

Write

Sign in

스텔스 MTD - “실전에도 강한 타입”(4/4)

chaning
StealthSolution
Published in
5 min readDec 6, 2021

안녕하세요! 기획마케팅팀의 막내 사원 Chaning이 벌써 MTD의 네 번째 이야기로 돌아왔습니다.

지금까지 ‘스텔스 MTD’ 기술이 무엇인지, 어떤 기술들로 구성되어 있는지 설명드렸습니다.

이전 게시글을 읽으셨던 독자 분들은

“기술이 좋은 건 알겠고, 그럼 그 기술이 어디서 쓰일 수 있는데?”

하는 생각이 드셨을 겁니다!(강요)

그래서 여러분이 아실 수도 있는 네트워크 공격으로 준비해봤습니다.

DDoS 공격과 내부자 위협입니다.

잠깐! 이전 게시글을 아직 읽어보지 않으셨다면?

아래의 게시물도 읽고 봐주시면 이해하시기에 수월하실거에요.

스텔스 MTD(1/4)

스텔스 MTD(2/4)

스텔스 MTD(3/4)

그럼 시작하겠습니다!

1. DDoS 공격 (디도스 공격)

10월 말, KT에서 통신장애가 일어난 원인을 ‘DDoS 공격’이라고 지목했던 일이 있었습니다.

사실 DDoS 공격은 아니었지만,

DDoS 공격이 무엇이길래 통신장애의 원인으로 지목했던 걸까요?

  • DDoS 공격이란?

특정 인터넷 사이트가 소화할 수 없는 규모의 접속 통신량(트래픽)을 한꺼번에 일으켜 서비스 체계를 마비시킨다. 불특정 다수의 컴퓨터에 악성 코드인 ‘좀비(Zombie)’를 퍼뜨린 후 DDoS(Denial of Service) 공격에 이용하는 게 특징이다. 좀비에 감염된 수많은 컴퓨터가 일시에 특정 사이트를 공격(접속)하는 트래픽에 동원되는 구조이다.

여러분이 머리가 아프실 것 같아 또 그림을 준비했습니다.

DDoS 공격

마치 게임에서의 좀비 숙주처럼 불특정 다수를 좀비PC로 만들고 조종해서 특정 사이트에 동시에 접속하게 만듭니다.

그렇게 되면 일시적으로 거대한 트래픽이 몰려서 서버가 먹통이 되는 것이죠.

디도스 공격은 아니지만 백신을 예약하는 사이트에 순간적으로 16만명이 몰려 사이트가 제 기능을 할 수 없던 것과 비슷합니다.

모두를 마음 졸이게 했던 ‘그 사이트’

DDoS 공격임을 판단하는 기준은

사이트를 먹통으로 만들려는 의도가 있었는지 없었는지의 차이라고 보시면 되겠습니다.

그렇다면 여기서! ‘스텔스 MTD’가 이 공격을 어떻게 예방할 수 있는지 설명해드릴게요.

위의 설명에서 “특정 사이트”를 공격한다고 되어 있었습니다.

지난 시간 동안 설명드린 것과 같이 “특정 사이트”의 주소가 일정 주기마다 지속적으로 바뀐다면?

주소가 하나만 탐지되지 않기 때문에 공격자는 공격 목표로 트래픽을 집중시킬 수 없습니다.

이해가 가시나요?

DDoS 공격은 공격의 대상지(주소)를 특정해야 사용할 수 있는데, ‘스텔스 MTD’는 외부에 노출된 주소를 변이시키는 기술이기 때문에 공격 시도를 실패하게 만들어 DDoS 공격을 예방합니다.

물론 액티브 스캐닝을 통해 극히 낮은 확률로 실제 서버의 물리 주소를 찾았다고 하더라도 공격자는 가짜 서버로 연결되기 때문에 실제 서버에는 문제가 생기지 않습니다.(지난 포스팅에 잘 설명되어있습니다😉)

공격 대상의 정보를 모으거나 취약점을 찾아내는 네트워크 스캐닝부터 방지하는 기술이니

DDoS 공격은 시도하기 어렵겠죠?

DDoS 공격 가능성을 크게 낮출 수 있는 ‘스텔스 MTD’입니다.

2. 내부자 공격

외부에서 감행하는 공격도 위험하지만

그보다 더 알아차리기 어렵고 막기 어려운 것은 ‘내부자’의 공격입니다.

실제 내부자든 공격자가 내부자로 위장하든 내부자가 누구인지 특정하기가 힘듭니다.

누가 스파이일까?

왜 그럴까요?

내부자 위협은 누가 정보에 접근했는지 특정 하는 데에 많은 시간이 소요됩니다.

보안 시스템이나 데이터 위치를 알고 있기 때문에 접속했던 흔적을 지워 추적이 힘들게 만들기 때문입니다.

그렇다면 ‘스텔스 MTD’가 내부자 위협이나 탈취를 어떻게 다룰까요?

우선 ‘스텔스 MTD’는 실제 접속을 위한 주소가 공개되어 있지 않기 때문에 사용자, 공격자, 내부자 모두 직접 서버로 연결할 수 없습니다.

접속을 하기 위해서는 오직 ‘스텔스 MTD’의 정책 서버에서 인증을 받아야 합니다.

관리자조차도 매번 인증을 통해서만 서버의 주소를 알 수 있습니다.(엄격)

만약 비정상적인 접속이나 침투 시도가 있을 경우 인증을 받고 접속한 접속자들의 이력정보를 분석하여 외부 접속은 물론 내부자들로부터 오는 위험요소에 효과적으로 대응할 수 있습니다.

내부자가 누군지 특정하여 인지하고 대응하는 데까지 오랜 시간이 소요되는 기존의 보안 시스템과 달리 ‘스텔스 MTD’는 기록된 접속 이력을 분석을 통해 효과적인 대응부터 공격자를 특정할 수 있습니다.

이렇게 ‘스텔스 MTD’ 시리즈가 마무리 됐습니다!

지금까지 읽어주셔서 감사드려요.(애정합니다.)

앞으로 게시될 포스팅에는 다양한 보안 이슈를 담아 작성해볼 예정입니다.

많은 관심 부탁드려요.(🙏🙏)

안녕!

저는 다음 포스팅으로 돌아오겠습니다.

기대해주세요!

Moving Target Defense
Ddos Attack
Insider Threat
Network Security
Security Platform

--

--

chaning
StealthSolution

Written by chaning

1 Follower
Editor for

Help

Status

About

Careers

Press

Blog

Privacy

Terms

Text to speech

Teams