교육과학기술부는 45억원의 예산으로 35개 기관을 대상으로 DDoS 대응체계를 구축할 예정입니다. DDoS 대응체계 구축 사업을 진행하는 5개 부처 중 시·도 다음으로 큰 규모입니다.

지난 7.7 DDoS 공격에서 교육과학기술 분야 주요 서비스에 대한 DDoS 공격은 발생하지 않았습니다.

현재 수준에서는 DDoS 방어 전용장비 도입이 안돼 있어 앞으로 공격이 발생한다면 대응이 어려운 상황으로 평가되고 있습니다.

가장 큰 문제는 액티브X 실행 등 사용자 부주의로 인해 DDoS 공격에 활용되는 좀비PC 감염 수치가 월등히 높은 수준이라는 데 있습니다. 중앙부처 중 1위라는군요. 

따라서 교육과학기술부는 이번 사업에서 DDoS 대응 장비 구축을 통한 업무(서비스) 연속성과 안정성 확보, 악성코드 근원지 추적, 좀비PC 감염현황 신속한 탐지·제거를 중심으로 대응체계를 수립하게 될 예정입니다.

대상기관은 16개 시·도 교육청, 10개 대학, 한국과학기술원, 한국원자역연구원 등 7개 기타·공공기관, 교육사이버안전센터(ECSC)·과학기술정보보호센터(S&T-SEC) 두 곳입니다.

RFP에 나와 있는 목표시스템 개념도를 보시죠. 시스템이 한눈에 들어옵니다. 

 

DDoS 대응시스템

DDoS 대응 전용장비는 백본 통신경로 선상에 설치하는 방식과 백본 통신경로 외에 설치하는 방식, 즉 인라인과 아웃오브패스 방식의 장비는 모두 사업 참여에 참여할 수 있습니다. 

인라인 방식은 로드밸런싱을 담당하는 L4 스위치와 무관하게 충분한 처리용량을 지원해야 하며, 하드웨어와 소프트웨어 장애에 대비한 이중화, 바이패스 기능 등 무중단 방안을 제시해야 합니다.

아웃오브패스도 백본 경로 상 통신흐름에 영향 없이 충분한 처리용량을 지원해야 합니다. 장애에 대비한 무중단 방안 제시는 역시 필수적입니다.

향후 IPTV 활성화나 인터넷 회선 대역폭이 증가할 경우를 위해 안정적으로 비정상 트래픽을 처리할 수 있도록 모듈을 추가하거나 업그레이드 등 확장 방안을 제시해야 한다는 점이 눈길을 끄는군요.

네트워크 및 보안통합관제와도 연계돼야 합니다.

10Gbps 이상의 트래픽 처리성능을 제공하는 DDoS 방어 장비도 많이 요구하고 있군요.(7식) 4Gbps 성능 장비는 3식, 1G 이상은 33식이 설치될 예정이네요.


좀비PC 탐지 및 제로데이 공격 차단 장비

PC에서 발생하는 웜·악성코드 관련 정보를 수집하고 실시간 모니터링·분석, 좀비PC를 발견할 수 있는 일체형 장비는 33식을 설치할 계획입니다.

방식은 오프라인 모드에서 미러(Mirror)된 트래픽을 가상머신을 이용해 악성코드 분석 및 제어기능을 제공해야 합니다. 가상머신을 통해 OS의 취약점 및 악성코드의 활성화 재현을 위한 분석기능과 활동내역을 자동 분석하는 기능을 제공해야 합니다. 일종의 ‘허니팟’ 같은 기능과 형태가 포함될 수 있겠습니다.

제로데이 공격 탐지시스템은 공격 패킷의 시그니처를 자동 생성, 실시간 실행코드 검증을 통한 악성코드 확인, 트래픽 모니터링을 수행하는 기능에 1Gbps 이상의 처리성능을 요구하고 있습니다.

방화벽과 침입방지시스템(IPS) 등과 연동해 적용할 수 있도록 해야 합니다.

세부사항은 표를 참조하세요.

2009/10/22 16:32 2009/10/22 16:32

트랙백 주소 :: 이 글에는 트랙백을 보낼 수 없습니다