이전글 - 정부기관 비인가접속 IP 차단 : https://www.sharedit.co.kr/qnaboards/26622
=====
안녕하세요. 네트워크/전산 관련 지식이 없는 일반 직원입니다.
몇달 전부터 특정 사이트에 계속 IP가 차단되는지 접속이 안되어 결국 KT 플렉스라인과 포티게이트 방화벽을 설치하여 사용하지 않는 오래된 내부 서버에서 과도한 트래픽을 만들고 있다는 것을 발견하게되어 해당 서버를 내리고 해결하였습니다.
다만 내부 서버가 문제라는 것을(트래픽 발견) 알아내기 전까지 또 사이트가 차단되었는데요.
관세청, 정부24, 국세청 같은 국가 정부기관에는 담당 부서에 연락하여 IP차단 해제신청서를 작성하고 정상적으로 이용이 가능해졌는데, BC카드와 현대모비스는 여전히 접속이 안되고 있습니다.
고객센터에 연락해서 전산/네트워크 담당 부서를 연결해달라고 해도 그런 부서는 없으니 도와줄 수 없고 자기들은 따로 IP차단같은걸 하지 않으니 저희 회사 내부적인 문제라는 반복적인 답변만 받고 있습니다.
이 현상을 해결할 수 있는 방법이 없을까요? ㅠㅜ 도움을 부탁드립니다.
-----
[ 요약 ]
1.사용하지 않는 내부 서버에서 무작위 목적지로 접속을 시도하는 트래픽 발견 ▶ 서버 차단으로 해결
2.1번 내용을 확인하는 동안 일부 사이트가 차단됨. 정부 기관은 관련 부서에 연락하여 IP 차단 해제 신청을 하여 조치함
3.그러나 BC카드, 현대모비스 등 일부 민간 기관은 전산/네트워크 담당 부서가 없으니 전화 연결을 해줄 수 없고, 자기들은 IP차단같은걸 하지 않으니 저희 회사가 문제라고 내부적으로 확인해보라고 함
-----
7개의 답변이 있습니다.
BC카드, 현대모비스 같은 큰 기업에는 전산 시스템 보안팀이 분명히 있을텐데요...
일반 고객센터 전화로는 해당 부서 접근이 어려운 상황인듯 싶네요....
고객센터는 시스템적인 내용을 상담하는 곳이 아니라, 서비스적인 부분을
상담하는 곳이라 그렇게밖에 대답을 못할 수도 있을 듯 합니다.
전산팀이 없다는게 말이 되나 ㅜㅜ
해당 회사 대표번호로 전화하셔서 시스템 보안 담당 부서로의 연결을 시도 해 보시는게
어떨까 싶네요....
종종 웹사이트가 HTTPS로 운영되고 있다면, SSL 인증서 문제로 브라우저가 접속을 차단하는 경우도 있는데 체크해보세요. 국세청 등 다른 사이트 접속된다면 아닐 가능성이 높아 보이지만 카드사는 또 다른 보안정책이 적용될 수 있으니...
이 문제는 결국 사용하지 않는 내부 서버를 찾아 차단하여 해결한 것 처럼 방화벽이나 네트워크 트래픽을 분석하여 찾아내는 방법과 문제가 의심되는 서버 및 네트워크 장비 차단, 또는 서비스 및 전원 오프 등의 방법으로 하나하나 체크하면서 찾아야 할것 같습니다.
이슈가 눈에 들어오지 않을때는 시간이 오래걸리지만 인터넷->라우터->방화벽->스위치->서버까지 구간 네트워크 트래픽 상태, 서비스 체크, 로그 분석 등 하나하나 해가면서 원인을 찾는 등 노가다를 해야하는 경우도 있습니다.
you got this! ^^
여러가지 상황이 있을거 같은데요.
1.사내 시스템에 DDos 등에 감염
2.DNS 등 환경 구성
등의 문제를 생각해 볼 수 있을거 같습니다.
위 2가지에서 아무런 문제가 없을 경우에...
문제를 해결하기 위해서 아래 방법을 시도해보는 것이 어떨까 합니다.
지금 상태에서는 내부 네트워크 문제로 보입니다.
네트워크 구간별 체크 방법인데요.
일반적으로 외부 인터넷 망에서 방화벽, 라우터, 허브 등 네트워크 장비를 통해서 Server 라든가 PC 등으로 네트워크 케이블이 연결이 돼서 인터넷을 사용할수 있게 됩니다.
여기서 단계별로 체크를 해보는 것입니다.
외부 인터넷 망에 연결해서 접속 여부 체크 해보시고요.
다음으로 방화벽에 붙어서 접속 여부 체크 해보시는 방법으로 진행 해보시기 바랍니다.
만약에 처음부터 안된다고 하면 외부 문제로 봐야 겠지만요
방화벽 또는 라우터 이후 부터 안된다고 하면 방화벽 또는 라우터에 물려 있는 장비들을 하나하나 체크해 봐야 겠죠.
사내 시스템의 경우도 네트워크를 모두 해제한 후에 하나하나 연결 하면서 체크 하는 방법 뿐으로 생각이 됩니다.
BC카드와 현대모비스등 웹사이트를 사내 모든 PC 에서 접속이 안되시는건가요? 아니면 일부 PC만 그런걸까요?
전체가 다 안된다면 달고 나가는 대표IP (공인IP) 가 RBL 등록 된거 같은데, 각 기관들에 해제 요청을 해야할거 같구요.
특정 PC 만 그런다면 다른 방법을 찾아봐야 할 거 같구요.
jh.cho | 2달 전
답변 감사드립니다 선배님.
사내 모든 PC에서 접속이 안됩니다. BC카드는 VPN 우회를 해도 접속이 안되고, 현대모비스는 VPN 우회를 하면 접속이 되네요..
KISA-RBL 리스트를 확인해보니 블랙리스트에 등록되어있지 않은 IP라고 합니다 ㅜㅠ
제가 봤을 때, BC카드와 현대모비스쪽의 방화벽에서 차단하는건 아닌것 같고, 별도의 DNS 단에서 관리하는 곳이 있는데 거기서 차단되니까 일단 KISA에 문의해보시면 될것 같습니다.
보통 KISA에 문의해서 DDOS 증상으로 신고하고 조치받으면 처리해주는것으로 알고 있습니다.
jh.cho | 2달 전
고견 감사드립니다. KISA에 문의해보았으나 모르는 눈치였고, 답변을 줄 수 있을만한 담당자가 지금 부재 중이라고 하여 내일 다시 연락해볼 예정입니다ㅠ
내부 서버에 악성 코드가 감염되어 DDoS 에이전트로 사용되었다는 내용이네요.
서버 한대만 감염되어 문제가 있었던건지...
다른 내부 컴퓨터들도 감염되어 있어 계속적으로 트래픽을 유발하고 있는 상황은 아닌지도 명확하게 검토해 볼 필요가 있어 보이네요.
네트워크 보안 전문 회사에 의뢰해서 비용을 주고서라도 근본적인 대책 마련을 하는게 좋지 않을까 싶어 보이네요.
jh.cho | 2달 전
고견 감사드립니다. 포티게이트 로그를 확인해보니 이전처럼 1분에 2-3만개의 로그를 만드는 내부 PC는 이제 없습니다. 해당 PC(내부 서버)가 문제였다는건 거의 확실하여 조치 완료되었다는 가정하에 이제 접속이 불가능한 사이트의 차단 해제를 시도하고 이씃ㅂ니다.
차단IP 관리는 해당되는 정부기관의 각 사이트에서 관리할 수도 있지만
그렇지 않은 경우 DNS단에서 블랙리스크 차단되는 경우도 있습니다.
먼저 사용하시는 IP가 블랙리스트에 등록되어 있는지 조회 해보시고
등록되어 있다면 해제 요청하셔야 합니다.
https://whatismyipaddress.com/blacklist-check
또는 아래 국정원 해제 절차 참고해서 진행해보세요.
https://www.nirs.go.kr/ncia_MJS/board/dev/board/board.jsp?&mode=view&id=data_101&idx=1572&menu_num=3011
jh.cho | 2달 전
고견 감사드립니다.
RBL 차단은 일부 몇개 사이트에서 차단된 내용 확인하였고, 정부기관은 이제 차단되지 않고 있어 별다른 조치는 하지 않아도 될 것 같습니다.