• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

1.7 Tbps 디도스 공격, 세계 최고 기록 갱신 2018.03.06

미라이 통한 사물인터넷 봇넷 공격이 가지고 있던 기록 갈아치워
멤캐시드 서버를 사용한 증폭 공격...설정 올바르게 하면 방어 가능

[보안뉴스 문가용 기자] 2월 27일, 세 개의 디도스 방어 전문 업체인 아카마이(Akami), 클라우드플레어(Cloudflare), 아버(Arbor)가 디도스 공격이 급증하고 있다고 동시에 경고를 발령했다. 이들이 ‘조심하라’고 했던 디도스 공격은 멤캐시드(Memcached) 서버를 통해 증폭된 희귀한 형태였다. 이에 대해서는 본지가 ‘어마어마한 증폭 가능케 해주는 멤캐시드’라는 제목으로 보도한 바 있다.

[이미지 = iclickart]


그러더니 2월 28일 깃허브(GitHub)가 역사상 가장 큰 디도스 공격을 받았다. 이전까지의 최고 기록이었던 2016년 미라이 공격의 두 배를 훌쩍 뛰어넘는 1.3 Tbps였다. 이에 대해서는 역시 본지가 3월 1주차 뉴스쌈 기사를 통해 보도한 바 있다.

트래픽을 증폭시키는 ‘증폭 공격(amplification attack)’은 서버를 속여 쿼리보다 훨씬 큰 응답을 생성함으로써 발생한다. 요청을 보낸 IP가 스푸핑되면 반사(reflection) 현상이 나타난다. 이 두 가지를 조합하면, “다량의 서버들을 속여 대규모의 응답을 한 개의 IP로 보내는 것이 가능해진다”가 된다.

서버들 중에서도 특히 멤캐시드 서버들이 인터넷을 통해 접근 가능하도록 설정이 ‘잘못’ 되었을 경우 트래픽을 대규모로 증폭시키는 게 가능하다. 이론상 맴케시드는 인터넷을 통한 접근이 허용되면 안 되기 때문에 이러한 위험이 없어야 하지만, 실제로는 현재 약 5만~10만 대의 멤캐시드 서버가 잘못 설정되어 있다.

멤캐시드 서버의 목적은 사용된 데이터를 자주 저장해 내부망의 속도를 높이는 것이다. UDP를 통해 서비스 되는 것이 디폴트다. 하지만 침해가 매우 쉬워, 말 그대로 ‘내부용’으로만 사용되는 것이 올바르다. 보안 전문가들에 의하면 멤캐시드 서버는 요청보다 약 51000배 큰 응답을 내보낼 수 있다고 한다. 200바이트짜리 요청이 100메가바이트 응답으로 변환된다는 것이다.

깃허브 엔지니어링(GitHub Engineering) 팀은 목요일 멤캐시드 공격에 관하여 다음과 같이 설명했다. “수천 개의 다른 ASN으로부터 공격이 시작되어 수만 개의 고유 엔드포인트들로 퍼지고 있습니다. 깃허브의 네트워크 모니터링 팀은 트래픽에 수상한 점이 있음을 발견했습니다. 그리고 그 증폭률이 심상치 않음을 목격하고 5분만에 아카마이에 디도스 완화 서비스를 요청했습니다.”

아카마이는 즉시 이 사건에 대한 수사를 시작했다. 그리고 “비슷한 공격이 월요일에 여러 곳에서 발견됐다”며 “더 많은 공격이 올 것”이라고 경고했다. “현재 인터넷에 노출된 맴케시드 서버를 검색하는 비율이 굉장히 높아지고 있습니다.” 사상 최대의 디도스 공격이 몰려오고 있다는 뜻이다.

보통 사이버 범죄자들은 ‘작은’ 디도스 공격을 통해 경고를 보낸다. 그리고 업체나 조직에 ‘더 큰 공격을 받기 싫으면 돈을 내라’고 협박한다. 보안 업체 사이버리즌(Cybereason)은 “깃허브 역시 이러한 협박을 받았다”고 발표했다. “협박 편지는 침해된 깃허브 멤캐시드 서버로 유포된 파이선 코드 내에 있었습니다. 범인들이 요구한 건 50 모네로였습니다. 약 1만 5천 달러 정도 되는 금액입니다.”

보안 업체 주니퍼 네트웍스(Juniper Networks)의 사이버 보안 전략가인 닉 빌로고르스키(nick Bilogorskiy)는 “협박 편지를 코드 내에 심은 건 꽤나 영리한 움직임”이라고 설명한다. “추적을 통해 협박 편지가 전송된 곳을 찾아낼 수가 없기 때문입니다. 그런 의미에서 비트코인이 아니라 익명성이 더 강화된 모네로를 요청한 것도 이해가 가지요.”

지난 10년 동안 멤캐시드 공격이 한 번도 안 일어난 건 아니지만, 굉장히 드물었다. 그러나 보안 업체 치후 360(Qihoo 360)에 의하면 2017년 11월부터 하루에 100건 이상 멤캐시드 공격이 발생한다고 한다. 그것이 2월 24일에는 갑자기 하루 400건으로 훌쩍 뛰었고, 바로 다음날에는 700건을 기록했다.

여태까지 멤캐시드 서버를 공격하는 행위는 기술력이 뛰어난 해커들만 할 수 있는 것이었다. 그러나 그러한 공격법은 현재 다크웹 상에서 널리 퍼지고 알려져 아마추어들도 쉽게 따라할 수 있게 되었다. 이 역시 “앞으로 더 많은 멤캐시드 공격이 일어날 것”이라고 예상하게 되는 이유다. 그러나 희망은 있다. 멤캐시드 서버의 설정만 올바르게 해놓는다면 위협이 크게 줄어들기 때문이다.

현재까지 밝혀진 바 역사상 가장 큰 디도스 공격은 1.7Tbps였다. 멤캐시드 서버를 거친 공격이었다. 이 공격은 최근 디도스 방어 전문 업체인 아버(Arbor)의 고객사 중 한 곳에서 발생했다고 한다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>