FOCUS 후이즈 서비스 이용 통계 및 3.20 해킹사고 전후 이용량 분석 · 경우,...

Internet & Security Focus 2013 6월호 85

FOCUS

후이즈 서비스 이용 통계 및 3.20 해킹사고 전후

이용량 분석

FOCUS 4

라영선

I. 서론

II. 인터넷주소 할당 체계 및 후이즈 서비스 이용현황 분석

1. 인터넷주소

2. 인터넷주소할당

3. 로그분석을 통한 후이즈 서비스 이용통계 및 행태 분석

4. 3.20 해킹사고 전후 후이즈 이용량 분석

III. 결론

후이즈 서비스는 도메인주소와 IP주소의 등록정보를 누구나 열람할 수 있도록 공개하는 서비스다.

한국인터넷진흥원내 인터넷주소관리센터 설립(1999년)이래 후이즈 서비스도 역사를 같이하여

14년이 지났다. 그간 국내 도메인(“.kr”, “.한국”) 개수는 2013년 4월 19일 기준으로 1,192,431개,

IP개수는 112,258,560개가 되었다. 급증한 인터넷주소만큼이나 후이즈 조회건수도 크게 늘어 하루

평균조회건수가 812,133건이 되었다. 실로 많은 사람이 이용하고 있음을 알 수 있다. 후이즈 이용

행태에 대한 분석이 필요한 시점이다.

본 보고서는 로그분석을 통해 후이즈 서비스 이용행태를 분석하고자 한다. 주로 후이즈 이용량과

조회 방법별 이용량, 조회 대상(Target)별 이용현황, 이용주체(Source)별 이용현황에 대해 다룬다. 한편

후이즈는 사이버 공격 준비단계에서 네트워크 검색을 위해 이용될 수 있다. 2013년 3월 20일 발생한

3.20 해킹사고와 후이즈 이용에는 어떤 관계가 있는지 살펴본다. 이번 조사를 시작으로 후이즈에 대한

분석과 고찰은 계속될 것이며 추가로 도출하고 싶은 항목과 개선이 필요한 사항들은 다음번 조사에

반영될 것이다.

한국인터넷진흥원 IP주소팀 선임연구원([email protected])

Internet & Security Focus 2013 6월호86

FOCUS

I. 서론

2013년 3월 20일 오후 2시경 KBS, MBC, YTN 등 국내 주요 방송사와 신한은행, 농협 등

금융기관 전산망을 마비시킨 3.20 해킹사고가 발생했다. 높은 보안 수준이 요구되는 국가 기관

방송사와 금융기관들이 피해를 보았다는 점에서 그 충격이 더욱 컸던 사건이다. 사건발생 직후

3.20 해킹사고 근원지를 찾기 위해 감염 장비와 공격경유지 등에서 악성코드를 수집하였고 원인

규명을 위한 분석 작업들이 이루어졌다. 악성코드를 분석하다 보면 공격 출처로 추정되는

IP주소가 등장한다.

IP주소는 무엇인가? IP주소는 네트워크 장비나 서버, PC 등 통신에 참여하는 장치들을

식별하기 위해 부여된 고유 숫자를 말한다. 그러나 사실 숫자 자체만을 가지고는 어떠한 정보도

얻을 수 없으며 위치정보는 더욱이 알 수가 없다. 그런데 보도자료나 기사를 보면 중국 IP다 또는

북한 IP다 라는 말이 거론된다. 무엇을 근거로 하는 이야기인가? 바로 후이즈(Whois)를 이용한

IP주소의 등록정보를 보고 하는 말이다.

인터넷 이용고객들은 IP주소를 할당받고자 할 때 IP할당기관에게 자신의 정보들을 제공하게

되어 있다. 신청인(기관)의 이름, 네트워크 담당자, 주소, 연락처 등이 보내진다. 이처럼

주소할당기관을 통해 주소를 할당받고 후이즈 데이터베이스에 정보들이 등록되면 IP는 더이상

단순한 숫자들의 나열이 아니다. 의미가 부여된 정보가 된다.

후이즈 서비스는 도메인주소와 IP주소의 등록정보를 누구나 열람할 수 있도록 공개하는

서비스다. 3.20해킹사고와 같이 공격이 발생하거나, 각종 장애로 인터넷서비스가 원활하지 못할

때, 이를 조치하기 위한 정보들을 제공하는 것이 후이즈 서비스의 취지이다. 인터넷은 사람들이

직접 얼굴을 대면하지 않는 온라인상에서 이루어지고, 익명성을 보장받을 수 있다는 점에서

남용될 소지가 많으며, 짧은 순간에 큰 혼란을 유발할 수도 있다. 따라서 인터넷의 악용을

예방하기 위한 여러 제도적 조치가 마련되어야 한다. 후이즈는 그러한 조치 중 하나이며,

최소한의 조치일 것이다.


FOCUS

국내 인터넷주소할당기구인 한국인터넷진흥원내 인터넷주소관리센터 설립(1999년)이래

후이즈 서비스도 역사를 같이하여 14년이 지났다. 그간 국내 도메인 개수는 2013년 4월 19일

기준으로 1,192,431개, IP개수는 112,258,560개가 되었다. 급증한 인터넷주소만큼이나 후이즈

조회건수도 크게 늘어 하루 평균조회건수가 812,133건이 되었다. 실로 많은 사람들이 이용하고

있음을 알 수 있다.

그러나 많은 이용량에 비해 이용 행태에 대한 분석은 상대적으로 미비했다. 그간 늘어나는

트래픽을 수용하기 위해 시스템 보강, 이중화와 같은 하드웨어적 개선은 있었지만, 후이즈

서비스를 주로 누가 이용하며, 얼마나 이용하는지, 가비지(garbage) 트래픽은 없는지 알아보는

분석은 부족했다. 요즘 빅데이타가 붐이다. 연일 시스템들이 쏟아내는 수많은 데이터에서 의미

있는 정보를 뽑아내 새로운 가치를 창조하고자 하는 움직임이다. 본고도 이러한 추세와

함께하여 후이즈서비스 이용행태 분석이 향후 더 나은 서비스로 이어지기를 희망하며 후이즈

서비스에 대한 재조명의 시간을 갖고자 한다.


FOCUS

II. 인터넷주소 할당 체계 및 후이즈 서비스 이용현황 분석

1. 인터넷주소

인터넷은 전 세계의 컴퓨터가 서로 연결되어 TCP/IP(Transmission Control Protocol/Internet

Protocol)라는 통신 프로토콜을 이용해 정보를 주고받는 컴퓨터 네트워크이다. 통신을 위해서는

통신에 참여하는 상호 주체를 찾아가기 위한 주소가 필요하다. 1981년 9월 RFC791에 의해

IPv4가 고안됐으며 IPv4는 전 세계적으로 사용된 첫 번째 인터넷 프로토콜이 된다. 이 표준에

의해 인터넷상에 등장하는 각각의 컴퓨터와 통신장비를 식별하기 위해 IPv4주소가 부여된다.

1) IPv4

IPv4주소는 32비트 길이의 식별자로 0.0.0.0부터 255.255.255.255까지 숫자의 조합으로

이루어진다. 8비트씩 4부분(‘.’ 으로 구분)으로 나누어 10진수로 표시한다.

10진수 표기 203 . 255 . 208 . 222

2진수 표기 11001011 . 11111111 . 11010000 . 11011110

[그림 1] IPv4 주소 길이 및 표기

IPv4 주소의 개수는 232개로 4,294,967,296개(약 43억개)이다.

2) IPv6

IPv6(Internet Protocol version 6)는 인터넷 프로토콜 스택 중 네트워크 계층의 프로토콜로써

IPv4를 대체하기 위해 제정된 차세대 인터넷 프로토콜을 말한다. 인터넷(Internet)은 IPv4

프로토콜로 구축됐으나 IPv4 프로토콜의 한계점으로 인해 지속적인 인터넷 발전에 문제가

예상되어 이에 대한 대안으로써 IPv6 프로토콜을 제정하였다. IPv6는 128비트의 주소공간을

제공함으로써 32비트의 주소공간을 제공하는 IPv4에 비해 풍부한 주소공간을 가지며 이로써

주소 부족 문제를 해결할 수 있게 되었다.


FOCUS

IPv6주소는 16비트씩 8부분(‘:’ 으로 구분)으로 16진수로 표시한다.

(예, 2001:dc2:0:40:135:72df:9e74:d8a3)

IPv6 주소의 개수는 2128개(약 43억 × 43억 ×43억 × 43억 개)이다.

2128 = 340,282,366,920,938,463,374,607,431,768,211,456 (340간, 2천823구,6천692양,938자,4천634해,6천337경,4천317억,6천821만,1천456) ※ 전세계 70억명에게 4.8 × 1025 개의 IP를 부여할 수 있음

[그림 2] IPv6 주소 길이 및 표기

3) 도메인주소

IP주소는 서버나 네트워크와 같은 기계가 인식하기 적합한 주소이다. 사람들은 IP주소를

기억하기가 어렵다. 그래서 사람이 쉽게 기억하고 입력할 수 있도록 문자로 된 인터넷주소,

도메인 주소가 등장한다.

[그림 3] IP주소와 도메인 주소

도메인의 종류로는 일반도메인과 국가도메인이 있다.

<표1 > 도메인주소 종류

일반도메인(gTLD, genertic Top Level Domain)

국가도메인(ccTLD, country code Top Level Domain)

영문 .com, .net, .org 등 (21개) .kr, .jp, .cn, .us 등 (247개)

다국어 .은행, .회사 등 (‘13년 생성예정) .한국, .中國 등


FOCUS

2. 인터넷주소할당

IP주소와 도메인주소와 같은 인터넷주소 할당은 ICANN(Internet Corporation for Assigned

Names and Numbers)이라고 하는 국제인터넷주소기구를 통해서 이루어진다. ICANN을

최상위로 나라별로 인터넷주소관리권한은 위임된다. 국내에서는 한국인터넷진흥원

인터넷주소관리센터에서 인터넷주소를 할당 및 관리한다. 한국인터넷진흥원은 도메인등록대행자와

IP관리대행자를 선정하여 도메인 주소와 IP주소관리 할당 및 관리 업무를 대행토록 하고 있다.

2013년 4월 기준 국내에는 30개의 도메인등록대행자와 119개의 IP관리대행자가 있다.

인터넷주소를 할당받고자 하는 신청인은 도메인등록대행자와 IP관리대행자를 통해

인터넷주소를 신청할 수 있으며 신청 시에 각종 등록인정보를 기입하게 된다.

[그림 4] 인터넷주소할당 체계도

1) 후이즈 서비스 제공 근거

후이즈 서비스는 인터넷주소할당 과정에서 등록된 인터넷주소 등록정보들을 공개하는

서비스이다. 인터넷상에서 공격, 장애 등이 발생할 때 이의 처리를 위하여 후이즈 검색을 이용할

수 있으며 도메인이름 등록인 및 연락처, 국내 IP 주소의 사용기관 및 연결 ISP에 대한 정보 등을

확인할 수 있다. 후이즈 서비스는 인터넷주소자원에 관한 법률과 동법 시행령, 그리고 준칙과

세칙을 근거로 한다.


FOCUS

< IP주소관리세칙 제3조 1항 >

①-5. 진흥원은 IP주소를 할당하는 경우 할당정보를 데이터베이스에 등록하고 진흥원에서 제공하는 WHOIS를 통해 공개한다.

< 도메인이름관리준칙 제25조 2항 >

② 제1항제1호의 도메인이름 검색서비스에서 제공하는 정보의 범위 다음 각호와 같다.1. 도메인이름2. 등록인 이름, 주소3. 관리책임자 이름, 전화번호, 전자우편 주소 4. 네임서버 정보5. 등록대행자 이름6. 등록일, 최근 정보 변경일, 사용 종료일

개인정보의 노출을 최소화하기 위해 IP등록관리시스템에서는 주소 할당신청 시에 신청자가

정보공개 여부를 선택할 수 있도록 하고 있다. ‘공개’와 ‘부분공개’ 중에 선택할 수 있으며,

부분공개를 선택할 경우 후이즈 조회 시 기관 상세주소 및 담당자명, 담당자 전화번호가

공개되지 않는다.

3. 로그분석을 통한 후이즈 서비스 이용행태 분석

후이즈 서비스가 어떻게 이용되고 있는가를 분석하기 위해서 2013년 1월부터 3월까지

3개월간의 후이즈 서버 로그를 분석했다. 분석항목은 1) 월별 이용량 및 일평균 이용량, 2) 조회

방법별(웹, Command, OpenAPI) 이용량, 3) 시간대별 이용분포, 4) 조회 대상별 이용분포 및

상위 20위, 5)이용주체별 이용분포 및 상위 20위이다.

1) 월별 이용량 및 일평균 이용량

후이즈 조회 건수 조사결과 2013년 1사분기(3개월) 동안 총 73,091,995건의 질의가 있었다.

월별 이용량은 아래 표를 참조할 수 있으며 일평균건수는 812,133건으로 나타났다.

일평균건수를 기준으로 보면 하루 86,400초 기준 초당 약 9건씩 질의가 발생하는 수치이다.


FOCUS

<표 2> 월별 이용량 및 일평균 이용량

구분 건수 일평균건수

1월 24,368,895 786,093

2월 21,940,965 783,606

3월 26,782,135 863,940

총합 73,091,995 812,133

2) 조회 방법별 이용량

후이즈검색 조회방법은 세 가지로 나누어 볼 수 있다. 웹질의방식, 명령어입력방식, OpenAPI

이용방식이다. 웹질의방식은 후이즈 서비스 웹페이지에서 도메인, IP주소 등을 직접 입력하여

결과를 조회하는 방식이다.

http://whois.kisa.or.kr에 접속하여 조회대상(IP주소, 도메인주소)을 직접 입력

조회 결과 화면

[그림 5] 웹질의방식 후이즈 이용방법

명령어입력방식은 명령어입력창(Command Line)에 후이즈 명령어와 옵션, 대상을 입력하여

질의하는 방식이다. 반복적인 질의나 자동화된 질의를 위해서 스크립트를 작성하거나 별도

프로그래밍과 병행하여 질의하게 된다.


FOCUS

o 명령어를 통한 조회(유닉스, 리눅스 등)o $whois -h whois.kisa.or.kr [IP주소 또는

도메인주소] 예) $whois –h whois.kisa.or.kr kisa.or.kr

결과화면

[그림 6] 명령어입력방식 후이즈 이용방법

OpenAPI 이용방식은 한국인터넷진흥원이 제공하는 후이즈 OpenAPI를 이용하여 질의하는

방식이다. 명령어 입력방식과 마찬가지로 질의가 반복되거나 별도 프로그램과 병행하고 싶을

경우, 또는 이용하는 기관의 목적에 따라 데이터를 가공 및 커스터마이징(customizing) 하고

싶을 때 이용할 수 있다.

후이즈 검색 OpenAPI 이용등록을 위해서는 사용자 식별 key를 발급받아야 한다. 일련의

과정에 따라 사용자 식별 Key를 인증받은 후 후이즈 검색 OpenAPI 이용이 가능하다. 상세

이용방법은 후이즈 홈페이지(whois.kisa.or.kr) WHOIS Open API 메뉴를 통해 확인할 수 있다.

[그림 7] WHOIS 검색 OpenAPI 이용 방법


FOCUS

지금까지 설명한 세 가지 조회방법별로 구분하여 후이즈 서비스 이용량을 산출했다. 명령어

입력방식 질의가 64.58%, OpenAPI를 이용하는 방식이 30.2%, 웹질의 방식이 5.22%로

나타났다. 이 결과를 보면 인터넷사용자들이 웹을 통해 직접 질의하는 수치는 그다지 많은

비중을 차지하지 않는 것으로 드러났다. 명령어 입력방식과 OpenAPI 이용방식처럼 자동화된

시스템이나 프로그램을 이용하는 질의를 합친 비율이 94.78%로 대부분을 차지하고 있다. 이는

시스템관리자나 네트워크 관리자, 또는 프로그래머 등 IT 전문가들이 후이즈를 주로 이용한다는

것을 의미한다.

<표 3> 조회방법별 이용량

구분 건수 백분율

명령어입력방식 47,203,754 64.58%

OpenAPI 22,073,227 30.20%

웹질의방식 3,815,014 5.22%

총 합 73,091,995 100.00%

한편, 웹을 통한 후이즈검색 조회 건수는 3,815,014건으로 이는 시간당 1,766건 정도이다.

3) 시간대별 이용분포

하루 중 언제 후이즈 검색을 가장 많이 이용하는지를 분석하기 위해 시간대별 이용현황을

분석했다. 분석결과 후이즈 질의는 특정시간대에 집중되지 않고 비교적 하루 동안 골고루

분포된 것으로 나타났다. 그러나 근무시간대(9~18시)의 질의량이 비근무시간대(18시~09시)

질의량 보다는 높게 나왔다.

<표 4> 시간대별 이용량

구분(시간대) 건수 백분율

01 ~ 03시 7,426,630 10.16%

03 ~ 06시 5,977,093 8.18%

06 ~ 09시 8,192,389 11.21%

09 ~ 12시 11,167,016 15.28%

12 ~ 15시 11,115,934 15.21%

15 ~ 18시 10,718,790 14.66%

18 ~ 21시 9,653,389 13.21%

21 ~ 24시 8,840,754 12.09%

총합 73,091,995 100.00%


FOCUS

4) 조회 대상(Target)별 이용분포 및 상위 20위

사람들이 후이즈 검색으로 정보를 얻고 싶어 하는 대상이 무엇인지 조회대상별로 구분한다.

조회대상은 IP주소, 영문도메인, 한글도메인으로 구분했다.

조회 대상별 이용현황을 보면, IP주소에 대한 문의가 62.51%, 영문도메인 33.32%, 한글도메인

1.04%를 보였다. IP주소에 대한 질의가 도메인질의보다 2배가량 많다. 후이즈 서비스를 통해

주로 IP주소에 대한 정보를 조회하는 것으로 나타났다. 영문도메인과 한글도메인에 대한 질의를

합한 도메인주소에 대한 질의는 34.36%로 나타났다.

<표 5> 조회대상별 이용량


IP주소 45,687,705 62.51%

영문도메인 24,356,309 33.32%

한글도메인 760,265 1.04%

에러/기타 2,287,716 3.13%

총합 73,091,995 100.00%

이번에는 IP주소, 영문도메인, 한글도메인 조회대상별로 각각 가장 많이 질의한 상위 20위

정보를 살펴보자.

5) 가장 많이 질의한 IP주소 상위 20위

후이즈 이용고객들이 가장 많이 질의한 IP주소 상위 20위 정보이다. 해당 IP를 보유하고 있는

등록기관 기준으로 보면 국내 주요 ISP 3사 중에서는 KT의 IP주소가 1위, LG U+의 IP주소가

14위, SKB의 IP주소가 19위로 나타났다.

특이사항으로는 TOP20 목록 중에 구글이 총 6번, KT가 총 3번 중복하여 등장했다. 한편,

대부분 국내 IP인 가운데 해외 IP로는 미국(구글)과 중국(차이나 유니콤) IP가 보인다.


FOCUS

<표 6> 후이즈 검색대상(Target) IP부문 상위 20위

NO IP 해당 IP등록기관 건수 비고

1 ***.87.161.*** KT 192,235 KORNET

2 **.249.77.** 구글(미국) 189,555

3 ***.154.142.*** KT 176,969 KORNET

4 ***.95.199.***

149011901(Central Employment

InformationManagement Agency)

150,919

5 **.249.77.** 구글(미국) 127,662 리스트내 중복(2)

6 ***.50.169.*** 차이나 유니콤(중국)103,487

7 **.251.108.**Internap Network Services

Corporation(미국)91,499

8 ***.103.55.*** 사용자 할당정보 없음 87,245 IP관리대행자 KT

9 **.249.77.*** 구글(미국) 86,807 리스트내 중복(3)

10 ***.63.15.*** 브레인넷 83,050

11 ***.126.63.* KT 79,854 공개용 DNS서버

12 ***.229.145.** 사용자 할당정보 없음 72,345 IP관리대행자 KT

13 ***.145.31.*** 사용자 할당정보 없음 68,261 IP관리대행자 KT

14 ***.97.192.*** 주식회사 엘지유플러스 67,403

15 **.249.77.*** 구글(미국) 65,314 리스트내 중복(4)

16 **.249.77.*** 구글(미국) 65,221 리스트내 중복(5)

17 **.249.77.* 구글(미국) 59,927 리스트내 중복(6)

18 ***.149.12.*** 대우조선해양(주) 56,766

19 ***.212.39.*** SK Broadband(주) 55,861

20 ***.229.145.** 사용자 할당정보 없음 54,193 IP관리대행자 KT

※ 시스템 보호를 위해 IP주소는 일부 주석(*) 처리함

6) 가장 많이 질의한 영문도메인주소 상위 20위

후이즈 이용고객들이 가장 많이 질의한 영문도메인주소 상위 20위 정보이다. 이중

불완전도메인(co.kr, go.kr 등)과 존재하지 않는 오류도메인 질의가 상위 20위 중 9개가

존재한다. 자동화 혹은 프로그래밍 된 후이즈 조회 중 문맥오류가 상당수 존재하는 것으로

나타났다.


FOCUS

<표 7> 후이즈 검색대상(Target) 영문도메인부문 상위 20위

NO 영문도메인 등록인(기관) 건수 비고

1 CO.KR - 148,826 불완전 도메인

2 SBS.CO.KR SBS 콘텐츠 허브 135,529

3 GO.KR - 74,382 불완전 도메인

4 CLOUDN.CO.KR LG U+ 74,025

5 BRANDSCREEN.KR 지선소프트 71,566

6 T2SYM-SIMT2013 - 68,362 오류도메인

7 ADCRM.CO.KR 이디엠소프트(주) 61,453

8 OR.KR - 61,012 불완전 도메인

9 IA9-KR - 54,807 오류도메인

10 IM9-KR - 54,650 오류도메인

11 AC.KR - 54,350 불완전 도메인

12 KAIST.AC.KR 한국과학기술원 47,074

13 IA5-KR - 46,485 오류도메인

14 OSEN.CO.KR 후이즈 도메인 관리자 41,895

15 IM12-KR - 40,199 오류도메인

16 PPOMPPU.CO.KR 후이즈 도메인 관리자 35,080

17 ABOUT.CO.KR 이베이코리아 33,868

18 NASMEDIA.CO.KR ㈜나스미디어 29,618

19 NOWCDN.CO.KR (개인 실명으로 삭제) 27,830

20 MK.CO.KR 매일경제신문사 27,374

7) 가장 많이 질의한 한글도메인주소 상위 20위

후이즈 이용고객들이 가장 많이 질의한 한글도메인주소 상위 20위 정보이다. 영문도메인에

비해 한글도메인 질의는 건수가 현저히 적다. 특이사항으로는 지적재산권, 상표, 특허,

특허사무소 관련 도메인이 상위 20위 중 7번 리스트에 올라있다는 점이다.


FOCUS

<표 8> 후이즈 검색대상(Target) 한글도메인부문 상위 20위

NO 한글도메인 건수 비고

1 아산쪽.CO.KR 380 오류도메인

2 성인용품.KR 156

3 특허.KR 152 미등록도메인

4 상표등록.KR 147

5 특허사무소.KR 143

6 특허등록.KR 142

7 특허출원.KR 141

8 한국인터넷진흥원.KR 135

9 실용신안.KR 124

10 카톡.KR 122 미등록도메인

11 뉴젠투어.KR 120

12 미친.한국 117 미등록도메인

13 봉침.KR 108 미등록도메인

14 다움.KR 107

15 뷰티.KR 98

16 요실금.KR 97

17 행정사.KR 96

18 상표권.KR 94

19 한옥교육.KR 93

20 바나나몰.KR 92

오류도메인은 존재하지 않는 도메인주소로 표기상 오류를 범하고 있다. 오류도메인은

등록하여 사용할 수 없다. 한편 미등록도메인은 말 그대로 아직 등록되어 있지 않은

도메인주소로 표기문법상 오류가 없는 도메인이다.


FOCUS

8) 이용주체(Source)별 이용분포 및 상위20위

후이즈 검색을 주로 누가 이용하는지 알아보기 위해 이용주체들을 공공, 민간(개인포함),

교육, 금융 4가지 카테고리로 구분했다. 카테고리별 분류를 위해서는 아래 표의

분류기준(검색어)을 등록기관명에 포함하는 경우로 기준으로 삼았다.

<표 9> 후이즈 이용주체(Source) 분류 기준

구분 대분류 분류기준(검색어)

1 공공 군청, 구청, 군수, 시의회, 도의회, 시청, 경찰, 파출소, 지구대

2 민간(개인포함) 5개 타 카테고리에 포함되지 않는 나머지 전체

3 교육 고등학교, 중학교, 초등학교, 대학교, 도서관, 교육청, 전문학교, 학원

4 금융 은행, 보험, 금융, 증권

※ 데이터베이스에 등록된 등록기관명을 검색하여 상기 항목으로 재분류함. 이 과정에서

분류기준(검색어)에 포함되지 못하여 누락된 업체명이 존재할 수 있으며 이 경우 민간부문으로

속하게 됨

이용주체별 이용현황 분석결과, 민간분야 질의가 97.99%로 1위, 교육분야가 1.4% 2위,

공공분야가 0.56% 3위를 차지했다. 분석결과 민간분야 질의가 대다수를 차지하므로 향후

후이즈 이용행태 분석시 ‘민간’ 항목을 더욱 세밀하게 분류할 필요가 있다고 판단된다.

<표 10> 후이즈 이용주체(Source)별 이용량


공공 402,530 0.56%

민간/개인 71,622,135 97.99%

교육 1,025,963 1.40%

금융 41,205 0.06%

기타(오류 등) 162 0.00%

총합 73,091,995 100.00%

이번에는 이용주체별로 각각 후이즈 검색을 가장 많이 하는 상위 20위를 살펴본다.


FOCUS

9) 후이즈 질의를 가장 많이 하는 민간(개인) 상위 20위

후이즈 서비스를 가장 많이 이용한 민간부문은 LG U+로 나타났다. 총 4,535,642번 조회했다.

상위 20위는 대부분 인터넷서비스제공사업자(Internet Service Provider)로 채워졌다. 해외

IP로는 유일하게 중국 차이나 텔레콤이 3위에 올라있다.

<표 11> 후이즈 이용주체(Source) 민간부문 상위20위

NO 기관명 건수 비고

1 LG U+ 4,535,642

2 스마일서브 2,358,533

3 차이나 텔레콤 1,969,962 중국

4 에스케이브로드밴드 1,677,962

5 NHN(주) 1,676,776

6 씨앤앰강남케이블티브이 996,489

7 지앤제이 886,986

8 주식회사 아이네임즈 755,214

9 LG U+ 740,009 리스트내 중복(2)

10 LG U+ 738,206 리스트내 중복(3)

11 LG U+ 738,173 리스트내 중복(4)

12 LG U+ 737,436 리스트내 중복(5)

13 에스케이브로드밴드 710,504 리스트내 중복(2)

14 NHN(주) 656,054 리스트내 중복(2)

15 ㈜영남일보 628,403

16 에스케이브로드밴드 625,831 리스트내 중복(3)

17 아이네트호스팅 586,556

18 아이네트호스팅 575,151 리스트내 중복(2)



10) 공공기관, 교육기관, 금융기관 상위 20위

공공기관 중에서는 서울시청이 16,438번으로 1위를 나타냈다. 서울시청은 상위 20위 중

10번이나 리스트에 등장했다. 교육기관의 경우 고려대학교가 426,796건으로 1위를 나타냈다.

금융기관 중에서는 우리은행이 15,710건으로 후이즈를 가장 많이 이용한 것으로 나타났다.


FOCUS

<표 12> 후이즈 이용주체(Source) 공공/교육/금융부문 상위20위

NO 공공기관 건수 교육기관 건수 금융기관 건수

1 서울특별시청 16,438 고려대학교 426,796 우리은행(구 한빛은행)

15,710

2 서울특별시청(2) 5,666 울산광역시교육청 119,800 금융결제원 3,419

3 서귀포시 1,631 서울여자대학교 102,097 신한은행 3,107

4 서울특별시청(3) 331 연세대학교 99,928 대한재보험 3,104

5고양시

청소년수련관264 건국대학교 33,176

스탠다드차타드

은행

(구 제일은행)

2,152

6 서울특별시청(4) 200 서울여자대학교 32,246 국민은행본점 1,164

7울산광역시 울주군청

71 서경대학교 22,830 한국주택금융

공사1,069

8부산광역시 기장군청

70 강원대학교병원 21,045 동원증권(주) 880

9 안양시청 46 전남대학교 8,840 금융결제원(2) 795

10 화성시청 40 고려대학교 3,938 국민은행본점(2) 735

11 서울시 양천구청 36 잠실고등학교 3,405 우리은행(구 한빛은행)(2)

586

12 광주시청 34 한경대학교 3,333 한국산업은행 565

13 서울특별시청(5) 34 서울시 동작교육청 3,192 우리투자증권 430

14 서울특별시청(6) 31 연세대학교 2,766 건강보험심사

평가원355

15 서울특별시청(7) 26 건국대학교 2,531 ㈜전북은행 340

16 강남구청 26 웨스트민스터

신학대학원대학교2,239 금융결제원(3) 335

17 서울특별시청(8) 25 대구시교육청 2,098 대신증권 261

18 서울특별시청(9) 25 경희대학교국제캠퍼스

1,790 한국증권

선물거래소237

19 화성시청 25 한양대학교 1,452 한국증권금융 224

20 서울특별시청(10) 25 부산대학교 1,417 굿모닝신한증권 202

※ 기관명 옆 괄호( )안 숫자는 리스트내에서 중복해서 나타난 수

지금까지 공공기관, 민간기관, 교육기관, 금융기관 등 이용주체별로 후이즈 질의 상위 20위

정보를 살펴보았다.


FOCUS

4. 3.20 해킹사고 전후 후이즈 이용량 분석

해커가 사이버 공격을 범행하기 위해서는 사전 준비활동들을 수행한다. 풋프린팅(foot

printing), 스캐닝(scanning), 목록화(enumeration) 등이 이러한 준비활동에 속한다. 풋프린팅은

신문, 게시판, 네크워크 검색, 포털 검색 등을 통해 공격대상의 IP블록, 서버정보를 수집하는

초기과정이다. 스캐닝은 핑(ping), 포트스캔(port scan), 운영체제 확인 등을 통해 시스템 종류,

IP주소, 서비스 등을 알아내어 세부적인 정보를 수집하는 과정이다. 목록화는 라우팅

테이블정보 등 좀 더 실용적인 정보를 수집하여 시스템 취약성 분석 및 공격방법 결정을 위한

지표를 작성하는 과정이다.

이와 같이 사이버 공격 준비단계에서 네트워크 검색을 위해 후이즈검색이 이용될 수 있다.

2013년 3월 20일 발생한 3.20 해킹사고와 후이즈 이용에는 어떤 관계가 있는지 살펴보자.

본고에서 분석하고 있는 후이즈 로그 기간이 1월부터 3월까지인 관계로 3.20해킹사고 전후로

후이즈검색 이용량에 변화가 있었는지 파악해 보았다.

<표 13> 후이즈 일별이용량

일자 건수

3월 10일 587,049

3월 11일 761,190

3월 12일 1,059,463

3월 13일 784,178

3월 14일 737,773

3월 15일 852,418

3월 16일 887,242

3월 17일 790,130

3월 18일 1,279,484

3월 19일 1,625,075

3월 20일(사고발생일)

911,773

3월 21일 899,502

3월 22일 838,269

3월 23일 910,756

3월 24일 711,246

3월 25일 906,963

3월 26일 1,185,480

3월 27일 1,002,181

3월 28일 1,089,146

3월 29일 1,166,336

3월 30일 818,342

3월 31일 775,544


FOCUS

사건 발생 1~2일 전에 후이즈 이용량이 증가한 것을 확인할 수 있었다. 3개월 동안 후이즈

일평균 질의가 812,133건인 것에 비해 사건 발생 하루 전에는 1,625,075건으로 2배 가량

질의양이 늘었다. 더욱 특이한 점은 웹질의방식, OpenAPI이용방식, 명령어입력방식 세가지

조회방법 중에 가장 이용량이 적었던 웹질의방식이 급증했다는 점이다.

[그림 8] 2013년 3월 후이즈 일일질의량(조회방법별 구분)

위 그래프에서 파란색 라인이 웹질의방식(WWW)의 수치를 보이고 있다. 3월 18일과 3월

19일 수치가 눈에 띄게 증가했다. 수치를 보면 3월 17일 웹질의방식 질의량이 19,453건에서

18일 364,772건, 19일 719,586건으로 수 십 배 가량 증가했다. 이에 비해 OpenAPI 이용방식과

명령어 입력방식은 큰 변화가 없었다.

3월 19일 웹을 통한 후이즈 질의를 도메인질의와 IP질의로 구분해 본 결과 타겟은 IP에

집중됐다. 웹을 통한 IP조회가 평소와 다르게 대량 발생했다.


FOCUS

<표 14> 후이즈 웹질의방식 일별이용량

일자웹을 통한 후이즈 질의 건수

(도메인질의 + IP질의 + 기타)도메인 질의 IP질의 기타

20130315 32,118 3,283 28,584 251

20130316 19,700 1,724 17,921 55

20130317 19,453 1,497 17,916 40

20130318 364,772 3,829 360,397 546

20130319 719,586 3,466 715,867 253

20130320 41,547 4,292 36,803 452

20130321 39,237 5,563 33,274 400

20130322 41,308 3,259 36,886 1,163

20130323 23,768 1,055 22,437 276

20130324 21,920 1,733 20,048 139

대량으로 증가한 후이즈 검색이 도메인주소가 아닌 IP주소로 집중됐음을 확인하기 위해

아래에서 보는 바와 같이 피해기관 도메인 이름(shinhan.com, nonghyup.co.kr, imbc.com 등)에

대한 3월 후이즈 질의양을 추출했다. 예상했던 바와 같이 도메인 주소에 대한 대량의 질의

급증은 없었다. 1~2건에서 수십 여건으로 적은 양을 보였다.


FOCUS

[그림 9] 3.20 해킹사고 피해기관 도메인 대상 2013년 3월 후이즈 질의량

사건 발생 당일(3.20) 해당 피해기관에 대한 도메인질의가 일부 증가했으나, 이는 공격을 위한

질의라고 할 만큼의 대량은 아니었다. 해킹사고 발생에 대한 보도 이후 사람들이 관심이

집중되면서 순수한 질의가 발생한 것으로 보인다.

3.20해킹사고 전일인 3월 19일 트래픽을 대량으로 증가시킨 원인을 파악하기 위해 3월 19일

하루 동안의 후이즈 질의 중 질의건수가 많은 순으로 소스 IP와 타겟 IP를 카운팅하여

내림차순으로 소팅하였다.

1) 후이즈 이용과 3.20 연관성 분석을 위한 추가분석

후이즈 이용과 3.20 연관성 분석을 위한 추가분석을 시행하였다. 앞서 봤듯이 평소와 다르게

웹질의가 급증한 점과 대상이 IP주소인 것에 특화하여 조사했다.


FOCUS

<표 15> 후이즈 이용과 3.20 연관성 분석을 위한 추가분석 조건 및 내용

분석조건 3월 19일, 질의형태는 웹질의(www), 타겟이 IP주소인 것

분석내용

1) 3.19일 질의를 많이 유발한 소스 IP조사2) TOP3 소스IP 소유기관 정보 3) 소스 IP Top3의 타겟 분포4) 피해기관을 타겟으로 한 질의 5) 3.19 질의를 많이 받은 타겟 IP조사

(1) 3.19일 질의를 많이 유발한 소스 IP 조사

3.19일 질의를 많이 유발한 소스 IP조사를 위해 카운트별로 소팅하였다. 추출 결과 상위 3개의

IP가 눈에 띄도록 많은 질의를 발생시켰다.

<표 16> 3월 19일 질의를 가장 많이 유발한 소스 IP 상위 Top10

날짜 랭킹 소스 IP 질의수

20130319 1 49.*.*.* 64631

20130319 2 182.*.*.* 21162

20130319 3 218.*.*.* 11029

20130319 4 114.*.*.* 4103

20130319 5 121.*.*.* 1498

20130319 6 210.*.*.* 1478

20130319 7 210.*.*.* 1437

20130319 8 211.*.*.* 1420

20130319 9 210.*.*.* 1410

20130319 10 210.*.*.* 1405

(2) TOP3 소스IP 소유기관 정보

IP 소유기관 추적 결과 모두 인터넷서비스업체로 드러났다. 연락결과, 후이즈 검색 사실은

인정하였으나 어떠한 사유로 후이즈 검색을 시행하였는지에 대한 구체적인 답을 얻을 수는 없었다.


FOCUS

(3) Top3 소스 IP의 타겟 분포

대량의 질의를 유발한 상위3개 소스 IP가 어떠한 IP들을 검색했는지 분석했다. 즉, 소스 IP와

타겟 IP와의 연관성 분석을 위해 앞서 도출된 소스 IP Top3의 타겟 분포를 조사했다.

Top1 IP주소(49.*.*.*)의 타겟 분포는 아래 표(결과 중 일부만 발췌)에서 보는 바와 같으며

결과적으로 스캐닝한 흔적이 발견됐다. 타겟 IP만 변경해가며 골고루 1번씩 질의했다.

<표 17> 3월 19일 질의를 가장 많이 유발한 소스 IP의 타겟 분포(일부 발췌)

날짜 소스 IP 타겟 IP 질의수

20130319 49.*.*.* 1.0.156.0 1

20130319 49.*.*.* 1.0.157.0 1

20130319 49.*.*.* 1.0.170.0 1

20130319 49.*.*.* 1.0.185.0 1

20130319 49.*.*.* 1.0.218.0 1

20130319 49.*.*.* 1.0.220.0 1

20130319 49.*.*.* 1.0.241.0 1

20130319 49.*.*.* 1.0.244.0 1

20130319 49.*.*.* 1.0.246.0 1

20130319 49.*.*.* 1.1.142.0 1

20130319 49.*.*.* 1.1.144.0 1

20130319 49.*.*.* 1.1.155.0 1

20130319 49.*.*.* 1.1.201.0 1

20130319 49.*.*.* 1.1.224.0 1

20130319 49.*.*.* 1.1.247.0 1

20130319 49.*.*.* 1.11.117.0 1

20130319 49.*.*.* 1.11.117.112 1

20130319 49.*.*.* 1.11.117.128 1

20130319 49.*.*.* 1.11.117.144 1

20130319 49.*.*.* 1.11.117.16 1

20130319 49.*.*.* 1.11.117.160 1

20130319 49.*.*.* 1.11.117.176 1

20130319 49.*.*.* 1.11.117.192 1

20130319 49.*.*.* 1.11.117.208 1

Top2 IP주소(182.*.*.*)와 Top3 IP주소(218.*.*.*)의 타겟 분포 역시 Top1 IP주소와 유사했으며

스캐닝한 흔적을 발견할 수 있었다.


FOCUS

(4) 피해기관을 타겟으로 한 질의수 조사

피해기관을 타겟으로 한 질의수를 조사하였다. 앞서 스캐닝 흔적을 발견했듯이 타겟은 어느

한곳으로 다량 집중되지 않고 골고루 분포될 것으로 예상됐으며, 아래 결과에서 이 같은 예상을

확인할 수 있었다. 피해기관 중 IP대역을 진흥원에서 보유하고 있는 일부 기관만 조사했으며

결과표는 일부만 발췌했다.

<표 18> 3월 19일 피해기관의 IP대상 후이즈 질의수

< MBC > < KBS > < 농협 >

다시 한 번 결과가 보여주듯이 피해기관을 타겟으로 한 질의가 다량으로 집중되지는 않았다.

(5) 3.19 질의를 많이 받은 타겟 IP조사

4)번 항목은 피해기관만 대상으로 타겟 IP의 질의수를 조사했지만 5)번 항목은 3.19일 질의를

많이 받은 타겟 IP를 전체를 내림차순으로 목록화하였다. 특정 대상을 타겟으로 질의가

집중되는 현상은 없었다. 참고로 질의수 상위 1~3위의 IP는 모두 구글이 보유한 IP이다.

타겟 IP 질의수

203.*.*.* 96

203.*.*.* 53

203.*.*.* 39

203.*.*.* 28

203.*.*.* 8

203.*.*.* 8

203.*.*.* 8

203.*.*.* 7

203.*.*.* 7

203.*.*.* 6

타겟 IP

210.*.*.* 3

210.*.*.* 2

210.*.*.* 1

210.*.*.* 1

타겟 IP

59.*.*.* 1

59.*.*.* 1

59.*.*.* 1

59.*.*.* 1

59.*.*.* 1

59.*.*.* 1

59.*.*.* 1

220.*.*.* 1

220.*.*.* 1

220.*.*.* 1

220.*.*.* 1

220.*.*.* 1

220.*.*.* 1


FOCUS

<표 19> 3월 19일 타겟 IP 질의수 상위 탑20

날짜 타겟 IP 질의수 비고

20130319 66.*.*.* 308 구글

20130319 66.*.*.* 288 구글

20130319 66.*.*.* 278 구글

20130319 182.*.*.* 220

20130319 220.*.*.* 174

20130319 116.*.*.* 171

20130319 66.*.*.* 167

20130319 119.*.*.* 132

20130319 211.*.*.* 122

20130319 208.*.*.* 115

20130319 180.*.*.* 112

20130319 211.*.*.* 112

20130319 122.*.*.* 110

20130319 203.*.*.* 96

20130319 211.*.*.* 92

20130319 121.*.*.* 92

20130319 121.*.*.* 90

20130319 211.*.*.* 88

20130319 198.*.*.* 85

20130319 223.*.*.* 84

지금까지 후이즈 이용과 3.20 연관성 분석을 위한 추가분석 내용을 살펴보았다. 3.20 사고

발생 전일 후이즈 조회 급증과 스캐닝 현상이 발생했음을 확인할 수 있었다. 그러나 스캐닝을

수행하거나 과다한 트래픽을 유발한 기관이 3.20 해킹사고를 일으킨 근원지와 직접적인 연관이

있는지는 확인할 수 없었다.

앞으로 대량의 트래픽을 유발한 소스 IP의 소유기관을 대상으로 특이사항이나 해킹사고와의

연관성을 추가 분석할 필요가 있다. 이를 위해서는 3.20해킹사고 수사기관과 협력이 필요하며

상호 보유하고 있는 IP주소를 공유하여 대조해볼 필요가 있다. 이 밖에도 여러 정황을


FOCUS

복합적으로 살펴봐야 하기 때문에 의미 있는 결과 도출에는 어느 정도 시간이 소요될 것으로

예상된다.

또한, 단순히 질의량이 많다는 사실만으로 악의적인 목적을 가진 사용자로 단정할 수 없다.

후이즈 조회는 앞서 언급한 데로, 정보 수집단계에서 많이 이용되기 때문에 다수에게 질의를

골고루 보내는(1:N) 특성을 가진다. 특정 대상으로 대량의 트래픽을 보내는 DDoS

공격(N:1)과는 차이가 있다. 따라서 대량의 후이즈 검색을 받았다는 사실만으로는 해킹사고와

직접적인 연관이 있다고 판단할 수는 없다. 따라서 좀더 세밀한 준비와 분석이 필요하다.

국내에는 1억 개가 넘는 IP가 존재한다. 또한, 공격자는 소스 IP를 스푸핑하여 속일 수도 있다.

또한, IP를 계속 바꿔가면서 공격이나 공격을 위한 준비과정을 수행할 수도 있다. 이처럼

해킹사고와 후이즈 연관성을 도출하는 것을 어렵게 하는 요소들은 너무나 많다.

이처럼 3.20 해킹사고와 사고발생 전 후이즈 이용량 증가가 어떠한 연관관계를 갖는지 쉽게

결론을 내릴 수 없으며, 도출된 일부 데이타를 가지고 섣불리 판단할 수도 없다. 단 한 차례의

사이버공격 사례만으로는 더욱 그렇다. 앞으로도 3.20 해킹사고와 유사한 사고가 발생할 경우,

후이즈 조회량의 변화를 지속해서 분석하고, 반복적인 데이터가 축적되어야 연관성이 있는지

없는지 판단할 수 있게 된다. 후이즈 질의량이 증가하는 일이 반복된다면, 해커가 공격에 앞서

대상들의 물색하기 위한 사전작업은 아닌지 조심스레 유추해볼 수 있을 것이다. 하지만 이것은

지속적인 모니터링으로 반복되는 패턴이 있는지 지켜봐야 할 사항이다.

III. 결론

지금까지 후이즈 서비스 이용에 관한 각종 통계와 이용행태에 관해 살펴보았다. 요약해보면,

후이즈는 하루 평균 812,133건의 질의양이 발생하는 대국민서비스로 애용되고 있음을 알 수

있으며, 조회방법으로는 명령어 입력방식(64.58%)과 OPEN API방식(30.2%)이

웹질의방식(5.22%)에 비해 주로 이용되고 있었다. 질의대상은 IP주소(62.51%)가

도메인(34.36%)에 비해 두 배 정도 많았으며, 이용주체를 보면 민간부문이 대부분(97.99%)을

차지했다. 또한 3.20해킹사고를 앞두고는 후이즈 검색량이 평소보다 2배가량 증가하는 것을


FOCUS

관측할 수 있었다.

그간 후이즈 이용에 관한 분석이 거의 없었던 점을 고려하면 이번 통계 정보들도 나름의

의미를 전해주고 있다. 그러나 이번 분석보고서에서 아쉬웠던 점이 있다면 주로 통계적 수치

전달에 그쳤다는 점이다. 이러한 통계들이 왜 도출됐는지 그리고 어떤 의미를 가지는지

도출하는 데는 한계가 있었다. 그러나 금번 조사를 시작으로 후이즈에 대한 분석과 고찰은

계속될 것이며 이번에 미진했던 사항과 추가적으로 도출하고 싶은 항목들은 다음번 조사에

반영될 것이다.

후이즈와 사이버 공격과의 연관성을 파악하기 위해서는 이번 조사의 데이터만으로는

부족하다. 앞으로도 동일한 패턴이 발생하는지 분석하기 위해서 데이터들이 축적되어야 한다.

또한 후이즈 서비스 이용주체를 국내․외로 구분하고 해외의 이용주체를 한층 상세하게 분석해

볼 필요가 있는 것으로 파악됐다.

또한 후이즈 이용주체별 이용분포 조사 결과, 민간(개인)부문의 이용률이 97.99%로 절대

다수를 차지했다. 향후에는 민간부문을 보다 상세하게 재분류하여 조사가 필요하다. 이용주체를

구분하기 위한 방법으로, 지금은 한글기관명을 검색하여 분류하는 방식을 사용하고 있지만,

보다 근본적으로 이를 개선하기 위해서는 후이즈 정보를 데이터베이스에 기록할 때 기관의

업태나 업종을 별도로 기록하는 방법도 고려해볼 수 있다.

후이즈는 웹을 통한 조회보다 명령어입력방식이나 OpenAPI를 이용하여 주로 조회되고 있다.

이는 시스템관리자나 네트워크 관리자, 또는 프로그래머 등 IT 전문가들이 후이즈를 주로

이용한다는 것을 의미한다. 이들은 반복적인 질의를 위해 스크립트나 별도의 프로그래밍을

동반한다. 그런데 이 과정에서 발생하는 실수는 후이즈의 비정상 질의가 반복해서 발생하게

하는 원인이 된다. 본문에서 보았듯이 영문도메인주소 질의 상위 20위 중 9개가 비정상

도메인임이 드러났다. 도메인 주소 뿐만 아니라 IP주소에 대한 질의에서도 비정상 트래픽이

상당 수준 있을 것으로 추정된다. 그런데 또다른 문제는 악의든 실수든 이러한 질의가

프로그래밍 되어 있기 때문에 비정상 질의가 앞으로도 지속될 가능성이 높다는 점이다. 후이즈

서비스를 위한 시스템의 가용 자원이 한정되어 있는 만큼 정상적인 후이즈 이용자를 위해

가비지 트래픽에 대한 정화작업이 필요하다.


FOCUS

앞으로도 후이즈 이용행태의 지속적인 분석과 더불어 후이즈 서비스 개선방안에 대한 고민을

계속적으로 가져갈 계획이다. 인터넷과 역사를 같이하여 어느덧 30년이 지난 지금, 후이즈는

새로운 환경에 직면해 있다. 개인정보보호법률 시행에 따라 개인정보 노출을 최소화하려는

각계의 움직임이 분주하다. IP주소와 도메인주소의 등록인 정보를 가지고 있는 후이즈서비스도

이러한 추세에 따라 정보의 노출을 최소화할 필요가 있다. 후이즈 서비스는 앞으로 날이 갈수록

다양해지는 이용자의 요구사항과 법적・제도적 변화에 맞도록 개선될 것이다. 하지만 그러한

변화속에서도 후이즈 서비스는 인터넷의 악용을 막기 위한 수단으로써의 역할은 유지될 것이다.

인터넷이 지속되는 한 후이즈 서비스 또한 더불어 존재할 것이며 인터넷주소 추적을 위한

선봉장의 역할도 계속되어 선의의 사용자를 보호하는 역할은 변함없을 것이다.

[출처]

인터넷프로코콜주소관리준칙/인터넷프로토콜주소관리세칙

도메인이름관리준칙

http://whois.kisa.or.kr

http://isis.kisa.or.kr

FOCUS 후이즈 서비스 이용 통계 및 3.20 해킹사고 전후 이용량 분석 · 경우,...

Documents

Transcript of FOCUS 후이즈 서비스 이용 통계 및 3.20 해킹사고 전후 이용량 분석 · 경우,...