익스플로이트 되면 실제적으로 TCP 서비스 원격 연결이 가능한 모든 원격 컴퓨터의 서비스 거부와 리소스 소비를 야기하는 TCP 프로토콜과 관련한 중요한 이슈들이 다시금 미국 내 보안 전문가들 사이에서 논의되고 있는 것으로 알려졌다.

TCP 관련 문제를 제기한 이들은 Outpost24의 CSO 로버트 리(Robert E. Lee)와 선임 보안 연구자 잭 루이스(Jack Louis)로, 이들은 이 이슈와 관련해 ‘Sockstress’라고 불리는 공격 프레임워크를 개발했다.

지금까지 상당수의 TCP 서버는 공격자들이 스푸핑된 IP 주소를 사용해 SYN 플러드 서비스 거부 공격을 시도하는 것을 방지하기 위해 SYN 쿠키라는 기술을 사용하고 있다. 해당 쿠키는 본래 선택된 TCP 이니셜 시퀀스 넘버로, 특정한 TCP 연결의 디테일을 반영하는 특정한 해시 메타데이터를 이용해 계산된다. 클라이언트가 올바른 패킷을 서버로 돌려놓으면 그 서버는 해당 클라이언트가 위조 IP 주소를 사용하고 있지 않다고 인식하게 된다.

그러나 Sockstress는 이른바 클라이언트 사이드 SYN 쿠키를 컴퓨팅하고 저장해 목적 포트와 IP 주소를 구체화할 수 있다는 것이다. 이와 관련해 이들은 현재 주요 라우터 업체 및 운영 시스템 공급 업체와 논의 중인 것으로 알려졌으나 아직까지 큰 진전은 없는 것으로 보인다.

한편, 외신들은 TCP관련 이슈는 사실 어제 오늘의 문제가 아니라 이미 2005년부터 알려져 왔던 이슈라며, 단순히 몇몇 업체 제품의 문제가 아니라 라우터, PC 및 기타 컴퓨터 기기들이 알려지지 않은 원격 기기들의 TCP 연결 요청을 처리하는 방법의 문제라고 지적했다.

[김동빈 기자(foregin@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>