• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

어마어마한 증폭 가능케 해주는 멤캐시드, 새로운 위협 2018.02.28

대규모 디도스 공격, 최근부터 발견되기 시작...멤캐시드 활용
원래는 인터넷에 연결되면 안 되지만, 실제 현장에서는 어겨져

[보안뉴스 문가용 기자] 다수의 보안 업체들이 멤캐시드(Memcached) 서버들을 제대로 보호하지 않을 경우 대규모 표적형 디도스 공격이 가능하다고 일제히 경고했다. 먼저는 독일의 디도스 보호 전문 업체인 링크11(Link11)이 새로운 보고서까지 발표해가며 “최근 멤캐시드 서버들을 겨냥한 대규모 UDP 공격이 발견됐다”고 설명했다.

[이미지 = iclickart]


링크11이 관찰한 대규모 공격 중 하나는 2월 후반부에 발생했으며 규모가 100 Gbps를 넘었고, 최대 400 Gbps까지 기록했다. 이러한 공격이 수일 동안 지속됐으며, 한 번 공격이 발생할 때마다 평균 10분 유지됐다.

그 다음은 아카마이 테크놀로지스(Akamai Technologies)다. 지난 월요일 190 Gbps가 넘는 공격을 발견했고, 역시 멤캐시드 서버들이 관련되어 있었다고 한다. 1초에 1천 7백만 개가 넘는 패킷이 생성됐다고 아카마이는 발표했다.

클라우드플레어(Cloudflare) 역시 멤캐시드 서버에 관한 소식을 전달하고 있다. 어제와 그제, UDP 공격이 급증하고 있음을 발견했으며, 그 공격이 UDP 포트 11211을 통해 진행되고 있다는 내용이다. UDP 포트 11211은 멤캐시드 서버와 연결되어 있는 것으로 알려져 있다. 최고치는 약 260 Gbps였다고 한다.

멤캐시드는 오픈소스 소프트웨어로 많은 서버에 설치되어 있다. 서버의 속도를 높여주기 때문이다. 시스템 메모리 내의 데이터를 임시 저장하는 방식으로 속도를 높이는데, 철저하게 방화벽 안쪽에서만 이러한 작업을 할 수 있도록 설계되어 있다.

하지만 링크11의 CTO인 카스텐 데슬러(Karsten Desler)는 “많은 조직들이 멤캐시드를 공공 인터넷으로 접근 가능하도록 구축하고 있다”고 지적한다. “공격자 입장에서는 그저 이러한 호스트들을 찾아 디도스 트래픽을 발생시키기만 하면 되는 겁니다.”

데슬러에 의하면 “최소 5000개의 멤캐시드 서버들이 인터넷을 통해 접근이 가능한 상태이며, 전부 익스플로잇 할 수 있는 상태”라고 한다. “이러한 서버들을 통해 디도스 공격을 감행하면, 작은 대역폭만을 가지고도 어마어마하게 큰 디도스 트래픽을 생성할 수 있게 됩니다. 멤캐시드를 통하면, DNS를 통하는 것보다 수백 배나 트래픽을 증폭시킬 수 있습니다.”

DNS를 통해 트래픽을 증폭시키면 1kb 요청을 가지고 약 50kb의 트래픽을 만들 수 있다고 한다. 하지만 멤캐시드를 사용하면 100 바이트만 가지고도 100MB~500MB의 트래픽을 만들 수 있다. 데슬러는 “이론상 무제한으로까지 증폭시키는 게 가능하다”고 설명한다.

보안 전문가들은 이전에도 인터넷에 멤캐시드 서버를 노출시킬 경우 여러 가지 문제가 발생할 수 있다고 경고한 바 있다. 하지만 실제로 디도스 공격에 활용되기 시작한 건 최근부터다. 왜 이제야 공격에 활용되는 것일까? 데슬러는 “공격자들이 그저 멤캐시드에까지 관심을 가지지 않았기 때문”이라고 설명한다. 멤캐시드의 익스플로잇이 기술적으로 어려운 일은 아니라는 것이다.

아카마이의 보안 첩보 엔지니어인 채드 시먼(Chad Seaman) 역시 “실제 디도스 공격에 멤캐시드가 활용된 것은 처음본다”고 말하며 “여태까지는 이론상으로만 존재하던 공격이었다”고 한다. “하지만 멤캐시드는 설계상 인터넷과 연결되지 않는 요소였고, LAN 환경에서만 사용되어야 하는 요소였습니다. 공격자들의 관심 밖에 있는 것이 당연한 거였죠.”

결국 보안 연구자나 해커들 모두 기존 설계와 무관한 사용자들의 구축 행위를 계산에 넣고 있지 않았다는 것이다. 시먼은 “문득 깨닫고 보니 멤캐시드가 인터넷에 마구 연결되어 있었고, 그것이 새로운 공격의 수단이 되고 있는 것이 지금 현상”이라고 설명한다. “뭔가 조치가 취해지기 전에 해커들이 더 빨리 손을 쓴 것이죠.”

멤캐시드를 겨냥한 공격이 더 걱정스러운 것은 전 세계 수많은 서버들에 설치되어 있기 때문이다. 그만큼 다양한 대역폭과 자원, 하드웨어를 공격자가 활용할 수 있게 된다는 뜻이다. 보통의 반사 공격이 정적인 페이로드를 사용하는 것과 반대로 멤캐시드를 활용해 반사 공격을 실시하면 페이로드를 훨씬 유연하게 가져갈 수 있게 된다. “공격이 유연해진다는 건 피해가 커진다는 뜻입니다.”

현재 시점에서 멤캐시드를 통한 공격을 막거나 완화하려면 11211 포트로부터의 트래픽을 차단하는 것이 최선이라고 아카마이의 보안 전문가 도밍고 폰스(Domingo Ponce)는 설명한다. “또한 어지간한 디도스 공격 정도는 흡수할 수 있는 대역폭을 확보하고 있어야 정상적인 서비스 제공을 지속시킬 수 있습니다. 인프라 자체를 든든하게 키우는 것이 가장 안정적인 디도스 방어법입니다.”
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>