2009년에 발생한 7.7 DDoS 공격에 이어 2011년 3월 4일에도 주요 기관 사이트를 대상으로 대규모의 DDoS 공격이 발생하였다. 그리고 그 외에도 3.4 DDoS 공격과 같이 규모는 크지 않지만 크고 작은 DDoS 공격이 발생하였다. 중국발 6.9 성전, 폭로전문 웹사이트 위키리크스 공격, 경쟁 온라인게임 사이트 공격 등이 대표적인 사례이다. 이들 공격의 특징은 단순히 공격자 자신의 이득을 위해서 공격을 수행한 것이 아니고 사업화를 통한 돈을 버는 수단 또는 정치/문화적 이유, 개인적 이유, 핵티비즘 등 다양한 이유를 바탕으로 공격을 수행하였다는 점이다. 즉 DDoS 공격이 대중화 시대로 접어들었음을 의미한다. Netbot attacker, zeus와 같은 악성코드 제작 툴킷의 배포는 이러한 흐름을 더욱 앞당기고 있다.
악성코드 제작 툴킷의 배포로 누구나 쉽게 좀비 PC를 양산할 수 있게 되고 DDoS 공격기법이 지능화·고도화 되어 감에 따라서 DDoS 공격을 대응하는 보안담당자의 어려움은 점점 커져가고 있다. 단지 DDoS 공격 트래픽에 대한 방어에만 초점을 맞추고 있는 현 보안관제시스템만으로는 앞으로 발생할 DDoS 공격에 효과적으로 대응하기 어렵다. DDoS 공격을 수행하는 좀비 PC를 원천적으로 탐지하는 것이 필요하다. 즉 정상적인 pc가 악성코드에 감염되어 좀비 PC가 되는 것을 막기 위해서 pc를 대상으로 하는 보다 지능화되고 경량화 된 새로운 개념의 관제시스템의 도입 역시 절실히 필요하다.
본 논문은 좀비 PC 탐지시스템에서 필요한 좀비 PC 악성코드 수집요소에 대해 연구한다. 그리고 이를 반영한 실제 보안관제시스템의 구축과 운영 방안을 제시한다. 이를 통하여 국내 DDoS 공격 대응체계를 수동적에서 능동적인 대응체계로 전환한다.
최근 발생한 3.4 DDoS 공격은 2009년에 발생한 7.7 DDoS 공격보다 위력적이지 못한 것처럼 보일 수 있으나 공격위력은 7.7 DDoS 공격 때 보다 위력적이었다. 다만 3.4 DDoS 공격은 7.7 DDoS 공격과 비교했을 때 보다 효과적으로 대응하였을 뿐이다. 7.7 DDoS 공격과 비교했을 때 공격방식과 악성코드 제작기법은 전보다 훨씬 지능화·고도화되었다.
계속 진화하는 DDoS 공격에 효과적으로 대응하기 위해서는 지금처럼 단순히 DDoS 공격 트래픽에 대한 연구보다는 근원적인 문제인 좀비 PC를 사전 탐지, 차단하는 것이 중요하다. 이에 본 논문에서는 DDoS 공격을 수행하는 좀비 PC를 원천적으로 탐지할 수 있는 요소를 연구하고 능동적인 대응방안을 위한 보안관제시스템의 구축과 운영방안에 대해 연구한다.