• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

오래된 프로토콜을 통한 디도스 공격, 2달 전부터 증가 2015.07.02

80년대 등장한 프로토콜에 인증기능 없는 걸 악용한 디도스 공격

두 번째 버전 나온 지도 오래되었지만 업데이트 안 된 곳 많아


[보안뉴스 문가용] 오래되어 이미 사람들의 기억 저편을 지난 것도 모자라 어디 낡은 책 구석에나 이름이 올랐을까 말까한 라우팅 프로토콜이 가장 최신의 디도스 공격 무기로 변신했다. 그것도 이미 두 달 전부터 말이다.

 

▲ 시도 때도 없이 찾아와 성묘해주는 이 기특한 것들.

아카마이에서 운영하는 PLXsert 팀은 오늘 RIPv1이라는 라우팅 프로토콜을 악용한 디도스 공격이 점점 늘어나고 있다는 보고서를 발간했다. RIPv1이란 라우팅 정보 프로토콜 버전 1(Routing Information Protocol version one)의 준말로 무려 27년 전에 처음 등장했으며 소규모 네트워크에서 라우팅 관련 정보를 공유할 수 있도록 해주는 기능을 가지고 있다. 그러나 최초 버전인 만큼 한계가 분명히 있기 때문에 그후 더 새롭고 안전한 버전으로 꾸준히 업데이트 되어 왔다. 다만 사용자들 중 RIPv1을 사용하는 경우가 여전히 많다는 것이 문제의 발단이다.


지난 두 달 간 발생했던 RIPv1 디도스 공격에 휘말린 SOHO 라우터는 2천여 개에 다다른다. 그러나 아카마이는 RIPv1을 사용하고 있는 라우터를 추가로 5만 3천여 대를 발견했다고 보고했다. 즉 이미 디도스 공격에 당한 2천여 개의 라우터가 금방 5만 3천여 대로 늘어날 가능성이 다분하다는 것이다. 그중 대다수는 모토롤라의 넷토피아 2000과 3000 시리즈인 것으로 밝혀졌다. 그리고 이 라우터를 제일 많이 사용하는 인터넷 공급 업체는 AT&T였다.


현재까지 알려진 가장 큰 규모의 RIPv1 디도스 공격 규모는 초당 12기가비트였다. “그것도 리소스를 전부 활용하지 않은 채 한 공격이 그 정도 규모였습니다. 만약 해커가 좀 더 욕심을 내서 라우터에 연결된 더 많은 기기나 리소스들에도 공격을 가한다면 꽤나 심각하고 큰 규모의 공격이 될 수 있습니다. 100기가 이상은 충분히 도달할 수 있을 겁니다.” 아카마이의 연구원인 조스 아티가(Jose Arteaga)의 설명이다.


“아직까지 밝혀진 바 특정 산업이나 기업을 겨냥한 공격은 없었습니다. 또한 대부분 공격은 유럽에서부터 시작됐고, 또한 직접 해킹을 하는 게 아니라 사람을 고용해서 돈을 주고 대행한 형태였습니다. 러시아가 39%로 제일 빈번하게 공격을 담당했고, 중국이 19%, 독일과 이탈리아가 각각 15%였습니다.”


RIPv2와 달리 RIPv1에는 인증기능이 존재하지 않는다. 즉 그 어떤 통신도 RIPv1을 거치면서 걸러지지 않는다는 것이다. 남용이 얼마든지 가능해지는 환경이다. 그러니 RIPv1을 악용한 공격이 지난 세월 동안 여러 번 존재했던 것이다. 아카마이의 PLXsert 팀은 RIPv1을 악용한 공격을 2년 전에도 발견한 바 있다. 다만 2년 전에는 쿼리 플러딩에 활용되는 게 거의 전부였다면 현재는 트래픽을 감염이 안 된 깨끗한 기기에서부터 네트워크 내 표적으로 우회시키는 반사공격에 많이 악용된다.


희소식이 있다면 최근 기업용 표준 라우터 중 RIPv1을 디폴트로 사용하고 있는 경우는 없다는 것이다. 문제는 대부분 가정용, SOHO 제품이다. “인터넷 제공 업체 측의 정책과 맞물린 문제가 있을 겁니다만 확실히 밝혀지지는 않았습니다. 하지만 여러 방면에서 가정용 제품이라고 해도 RIPv1을 사용할 당위성은 없어 보입니다.”


오늘날 발생하는 디도스 공격의 공통점은 UDP 프로토콜을 악용한다는 것이다. 모든 디도스 공격 중 무려 56%가 UDP를 활용해 발생하며, 그 중 8%는 사물인터넷 기기들에서 많이 차용하는 프로토콜, 게임 콘솔과 프린터 등에서 발견되는 SSDP를 악용하는 것으로 드러났다. “종류가 어찌됐던 결국 UDP를 활용하는 경우가 무척 많다는 게 핵심입니다. 왜냐하면 피해 라우터에서 요청을 거절할 방법이 없거든요.”


그렇다고 방어법이 아예 없는 건 아니다. 인터넷 제공 업체에서 UDP가 사용하는 520번 포트를 닫으면 된다. 그러면 반사공격 일체를 방어하는 게 가능해진다. 라우터 사용자들이라면 RIPv2를 굳이 찾아서 사용하는 수고 정도를 곁들이는 것도 좋은 방법이다.


디도스 공격 자체가 사라지는 미래란 존재하지 않을 가능성이 훨씬 높다. 이렇게 좋고 짜증나는 공격 방법을 해커들이 쓰지 않을 이유가 없다. 게다가 사물인터넷 시대가 본격적으로 오면 이는 더 심해지면 심해지지 나아지지는 않을 것으로 보인다. 그리고 그 통로는 옛 유물이라고 생각했던 것일 수도 있고, 내가 라우터 설정을 어떻게 하고 있는지 알아보려 하지도 않는 사용자의 안일함일 수도 있다. 아니면 둘 다이거나.

Copyrighted 2015. UBM-Tech. 117153:0515BC

[국제부 문가용 기자(globoan@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>