영세 및 중소기업 디도스 사이버대피소

소개

2009년 7 ‧ 7 디도스 대란 이후 정부가 구축한 중소 ‧ 영세기업 대상 디도스 방어 시스템으로, '중소기업 홈페이지 보안강화'로도 불린다. 디도스 방어 솔루션과 서비스는 대규모 조직뿐 아니라 중소규모 조직, 보안조직이 없는 소규모 기업에서 도 사용할 수 있도록 다양한 라이선스 모델을 제공하고 있지만, 보안예산을 쉽게 마련하지 못하는 영세·소 규모 기업에게는 큰 부담이 될 수 있다. 영세 및 중소기업 디도스 사이버대피소는 홈페이지를 안전하게 운영하기 위한 정보보호 전문지식이나 웹서버 보안 관리 인력이 없는 중소기업을 대상으로 웹취약점 점검 및 웹보안 강화도구(휘슬·캐슬) 서비스를 무료 제공하는 서비스이다. 한국인터넷진흥원(KISA)에서 운영하는 사이버 대피소는 디도스 공격을 받았을 때 기업 DNS의 웹서버 IP 정보를 대피소 IP로 바꾸기만 하면 악성 트래픽은 사이버 대피소에서 차단하고 정상 사용자만 서비스를 이용할 수 있다.

대상

ICT 중소기업, 침해사고 발생 또는 서비스가 필요한 중소기업(중소기업기본법 제2조^[1]에 해당하는 중소기업에 한함)을 대상으로 한다. 중소기업 확인서가 있는 기업이라면 누구나 사용 가능하며, 사전에 보호할 웹사이트를 등록한 후 디도스 공격 발생 시 사이버 대피소로 DNS를 변경하면 즉시 디도스 공격 대응 서비스를 받을 수 있다. 사전에 등록하지 않은 사이트가 디도스 공격을 받았다면 긴급 적용 서비스를 먼저 받아 대응할 수 있다.

사업내용

웹취약점 점검

웹 취약점 점검 서비스는 SQL INJECTION, CROSS SITE SCRIPTING(XSS) 등의 웹취약점을 원격으로 점검해 드리는 서비스로 이행점검, 이력관리 등 기업 스스로 자율 점검이 가능하다. 점검 결과는 보고서로 제공되며 발견된 취약점을 보완하여 웹사이트의 보안을 강화할 수 있다.

휘슬(Whistl)

휘슬이란, 웹 서버 해킹에 사용되는 웹셸(Webshell) 파일 및 악성 URL 등을 탐지해주는 프로그램이다. 휘슬을 이용하여 서버관리자들이 웹 서버 해킹에 사용되는 웹셸 파일 및 악성코드를 쉽게 탐지할 수 있다. 신종 웹셸 탐지를 위한 최신 패턴 업데이트, 점검 예약설정·로그 확인·웹셸 신고가 가능하다.

휘슬을 동작시키기 위해서는 웹 서버에 휘슬을 설치해야 한다. 만약 점검 대상 서버가 다수인 경우라면 각각의 서버에 모두 프로그램을 설치해야 한다. 휘슬은 설치한 서버 내의 점검대상 디렉토리에 존재하는 모든 웹문서 파일의 소스코드를 점검하는 방식으로 동작한다. Apache, IIS 등 웹서버의 종류에 상관 없이 모든 웹서버에서 사용 가능하며 설치 전에 Java JDK(8u161 이상). .NET Framework(3.5 이상)이 필요하다.

휘슬은 정보보호 전문기술이나 인력이 부족한 중소기업을 지원하기 위해 개발되었다. 따라서, 중소기업기본법, '제2조' 에 해당하는 중소기업에게만 제공되며, 개인사용이나 연구용으로는 제공되지 않는다.

캐슬(Castle)

캐슬이란, 홈페이지를 대상으로 한 공격 시도를 탐지, 차단하는 웹방화벽 서비스이다. 캐슬을 통해 주요 웹취약점 탐지정책 관리, 탐지·차단 로그 확인이 가능하다. 웹방화벽은 홈페이지 내 발생할 수 있는 취약점(SQL 인젝션, 크로스사이트스크립팅 등) 공격을 탐지한다. 방화벽과 웹방화벽의 차이점은, 방화벽은 비인가자를 구분하는 등의 접근제어를 할 수 있다면 웹방화벽은 누구나 접근할 수 있는 홈페이지에 발생하는 공격을 탐지할 수 있다. 방화벽과는 집중 탐지 관점이 다르기 때문에, KISA에서는 홈페이지를 운영하는 기업이라면 웹방화벽도 사용할 것을 권고하고 있다.

사이버대피소

사이버대피소는 피해 웹사이트로 향하는 DDOS 트래픽을 대피소로 우회하여 분석하고 차단함으로써 홈페이지가 정상적으로 운영될 수 있도록 하는 서비스이다.

서비스 절차

'서비스신청 → 중소기업 유무확인 → 서비스 안내 및 제공'의 순서로 진행된다. 서비스 신청은 보호나라(www.boho.or.kr) 홈페이지를 통해서 가능하며 신청 후 해당 서버가 서비스 대상으로 적합한지 적격 여부 검토 후 서비스 제공 여부를 결정하고, 신청서에 기입한 전화 또는 이메일로 설정 및 이용방법, 점검결과 등을 안내받을 수 있다. 웹취약점 점검 및 웹보안 강화도구 서비스 점검결과는 오탐·미탐의 가능성이 있으며, 어떠한 경우에도 증빙자료로 활용할 수 없다.

1. 사전등록 신청서 작성 사전등록 신청서는 공란이 발생하지 않도록 상세히 기록해야 하며, 공란이 발생할 경우 사유(미사용, 해당 없음, 모름 등 기입할 수 없는 사유)를 꼭 기입해야 한다. 호스팅 서비스를 이용하고 있는 경우 반드시 호스팅 업체를 통해 내용을 확인해야 한다.
2. 인증서 및 키파일 제출(SSL 통신을 사용할 경우) 서비스 대상 웹사이트가 인증서를 사용하는 경우, 대상 웹사이트의 공개키 인 증서와 개인키 파일을 대피소로 제출해야 한다. (개인키 비밀번호에 특수문 자가 존재하는 경우 서비스 적용 불가) 대피소는 검증 절차를 통해 인증서 파일의 이상 유무를 확인하고, 검증 결과에 문제가 없는 경우 443 port에 대한 방어서비스도 제공한다. ※ 80 또는 443 port 이외 port에 대한 서비스는 별도의 협의를 거쳐 서비스가능 여부를 판단
3. 대피소 사전등록 후 테스트 신청자는 대피소로부터 사전등록완료를 통보받은 후, hosts 파일 수정을 통하여 신청자 웹사이트의 사전등록 결과를 직접 테스트할 수 있다. 대피소에서 테스트를 마친 후 사전등록완료를 통보하지만, 상품주문 등과 같은 세부적인 서비스는 실제 운영자의 테스트가 필요하다. 구체적인 테스트 방법은 사전등록 완 료 후 전달받게 되는 사전등록 완료 통보 내역서를 참고하면 된다.
4. 방어서비스 적용 신청 사전등록 절차는 원활하고 신속한 서비스 적용을 위한 준비단계에 불과하다. DDoS 공격 발생으로 서비스 적용이 필요한 경우, 대피소 서비스 담당자에게 유선으로 서비스 적용을 신청해야 한다. 방어서비스 적용 신청 시 대피소 서비스 담당자의 안내에 따라 DNS CNAME 처리(일반적인 경우) 또는 DNS A Record 변경(해외에서 유입되는 트래픽의 차단이 필요한 경우) 절차를 진행하게 되며, DNS 정보의 변경이 완료된 시점 부터 방어서비스 적용이 시작된다.

이용현황

사이버 대피소 이용 기업은 2010년 처음 개설 후 연 평균 56.7%의 증가율을 기록하며 2021년 기준 7271개 기업 이 이용하고 있다. 대피소에서 처리한 디도스 공격은 2020년 235건을 포함, 11년간 총 1351건의 공격을 방어해 중소기업의 피해를 최소화했으며, 디도스 공격 모의훈련도 지원해 대상 기업의 디도스 방어체계를 점검할 수 있게 했다.^[2]

관련 국외 기관 및 제도

Cybersecurity and Infrastructure Security Agency (CISA)

미국 CISA는 연방 사이버 보안의 운영자이자 중요한 인프라 보안 및 복원력을 위한 국가 조정자로, CISA는 협업 및 파트너십을 위해 설립되었다. 국가의 사이버 및 물리적 인프라에 대한 위험을 줄이기 위해 사이버 및 물리적 인프라의 위험을 이해, 관리 및 줄이기 위한 국가적 노력을 주도한다.

CISA는 2021년에 솔라윈즈(SolarWinds) 소프트웨어 침해 사건의 후속 조치로 방어지침을 발표했으며, 공급업체 및 기업을 위한 구체적인 권장사항을 제시했다.^[3]

참고문헌

https://www.kisa.or.kr/1020402

https://www.boho.or.kr/kr/subPage.do?menuNo=205012

https://www.cisa.gov/about