디도스 트래픽 증폭시켜주는 멤캐시드, 공격 막는 법 나와
하지만 근본 문제는 보안 기본 수칙 지켜지지 않는 것

[보안뉴스 문가용 기자] 보안 업체 코레로 네트워크 시큐리티(Corero Network Security)가 최근 멤캐시드(Memcached)를 통한 디도스 공격의 킬스위치를 발견했다고 발표했다. 멤캐시드 서버를 통해 디도스 공격을 감행하면 기존의 디도스 공격보다 수십 배 큰 공격이 가능하게 된다.


코레로는 이러한 킬스위치 정보를 국가 기관에 제공했다고 하며, “멤캐시드 사태는 예상했던 것보다 훨씬 더 커다란 재앙으로 이어질 수 있다”고 경고했다. “멤캐시드 서버를 익스플로잇하면 공격자가 디도스 공격만이 아니라 데이터 변조 및 탈취 공격도 할 수 있습니다.”

멤캐시드는 오픈소스 메모리 캐싱 시스템으로 포트 11211을 통해 TCP나 UDP를 통한 연결도 지원한다. 즉, 인증 과정 없이 접근을 가능케 해주는 특성을 가지고 있다는 것이다. 그렇기 때문에 애초에 맴케시드는 인터넷 연결 없이 사용해야만 하도록 되어 있다.

하지만 2월말, 웹 보안 전문 기업들이 “사실 멤캐시드를 인터넷에 연결해놓는 곳들이 많다”며, “공격자들이 이를 파악하고 트래픽을 대량 증폭시키는 디도스 공격을 감행하고 있다”고 경고하기 시작했다. 그러더니 정말로 1.7Tbps에 달하는 사상 최대의 디도스 공격이 발생했다.

코레로는 “멤캐시드 서버를 통하면 트래픽을 5만 배나 부풀릴 수 있다”고 설명한다. 또한 “전 세계에 9만 5천여 개 멤캐시드 서버들이 현재 TCP나 UDP 포트로의 연결을 허용하고 있다”며 “디도스 신기록이 조만간 또 깨질 것”이라고 예측하기도 했다.

“인증 과정이 없기 때문에 공격자 입장에서는 간단한 디버그 명령만으로 데이터를 가져갈 수 있게 됩니다. 이 점을 잘 악용하면 데이터를 조작하거나 허위 데이터를 캐시에 주입할 수도 있게 됩니다. 단순히 디도스만이 문제가 아니라는 것이죠”

그래서 멤캐시드를 악용한 공격 자체를 막을 필요가 있다는 것이 코레로의 설명이자, 킬스위치 연구의 배경이다. “저희가 발견한 킬스위치는 명령을 공격 서버로 되돌려보내 디도스 익스플로잇을 억제하는 겁니다. 이렇게 함으로써 취약한 서버의 캐시를 무효화하는 건데요, 이 말은 곧 공격자가 심었을지도 모르는 악성 페이로드가 쓸모없게 변한다는 겁니다.”

코레로는 이 킬스위치를 이미 실험해봤다고 주장한다. “실제로 공격이 이뤄지고 있는 서버에 이 방법을 적용해봤고, 그 효과를 목격했습니다.” 코레로의 CEO인 애슐리 스티븐슨(Ashley Stephenson)의 설명이다.

하지만 멤캐시드 위협의 가장 근본적인 문제는 사용자들이 보안 설정에 소홀하다는 것이다. 인터넷에 연결되지 않도록 구성되어 있는 것을 모르고 ‘시스템 퍼포먼스 향상’만을 위해 쓰고 본다는 것이다. “멤캐시드 서버를 인터넷에 연결시킨다는 건, 대문을 열어놓고 외출하는 것과 똑같은데 말이죠.”

한편 또 다른 보안 업체인 디지털오션(DigitalOcean)은 지난 주 “멤캐시드를 로컬 인터페이스에 연결시켜놓고, UDP를 비활성화시키며, 기존 네트워크 보안 수칙을 지키면 얼마든지 방어가 가능하다”고 블로그를 통해 설명했다. 방화벽 업그레이드를 통해서도 방어가 가능하다는 전문가도 있었다.

멤캐시드와 킬스위치에 대한 보다 상세한 내용은 코레로 웹사이트(https://www.corero.com/company/newsroom/press-releases/corero-network-security-discovers-memcached-ddos-attack-kill-switch-and-also-reveals-memcached-exploit-can-be-used-to-steal-or-corrupt-data/?platform=hootsuite)에서 열람이 가능하다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>