●65배 강력한 ‘디도스 공격’이 포착됐다.
© 제공 : 지디넷코리아
제공: 지디넷코리아, DRDoS증폭공격방식(이미지=https://geneva.cs.umd.edu/posts/usenix21-weaponizing-censors/)(, 지디넷코리아, 임유경 기자) 모두 트래픽을 일으켜 타깃 시스템을 마비시키는 분산서비스거부(DDoS) 공격이 진화하고 있다. 이번에는 특정 컨텐츠를 필터링 하는데 넓게 사용되는 미들 박스를 악용 해, TCP 패킷을 반사·증폭시키는 새로운 공격 수법이 탐지되었다.
실제 사용되기 시작한 초기 공격기술에도 불구하고 공격 규모를 65배까지 증폭시킨 사례가 발견됐다. 이는 해커가 이 기술로 공격의 효율을 매우 쉽게 극대화할 수 있다는 뜻이다. 공격이 개시되는 기준점을 위험할 정도로 낮출 수 있다는 점이 이 공격의 진짜 위협이라는 분석이 나오고 있다.
글로벌 콘텐츠 전송 네트워크(CDN) 업체 아카마이의 보안 인텔리전스 대응팀은 1일(현지 시간) 블로그를 통해 TCP 미들박스 반사라는 새로운 기술을 이용한 분산반사서비스 거부(DRDoS) 공격이 실제 고객 시스템을 대상으로 발생했다고 밝혔다.일반적인 DDoS 공격은, 보트 넷(악성 코드에 감염된 좀비 PC)을 이용해 공격 대상으로 한 시스템에 과도한 트래픽을 일으킨다.
DRDoS는 여기서 한 단계 진화했다. 해커가 출발지 IP를 공격 대상 IP로 위조(스푸핑)한 후, 정상적인 서비스를 하고 있는 서버에 요청을 보내 되돌아오는 응답을 공격 대상이 받게 하는 공격이다. 인터넷으로 연결돼 외부의 요청에 정상적으로 응답하는 서버를 반사체로 공격에 이용하는 것이다. 반사체가 최대한 큰 응답을 하도록 유도해 공격 규모를 증폭시키기 때문에 해커는 비교적 적은 노력으로 공격력을 높일 수 있다.
어떠한 디바이스를 반사체로서 활용할 것인지, 어느 프로토콜을 활용할 것인지에 의해서 DRDoS 공격도 다시 세분화된다.이번에 탐지된 새로운 공격은 미들박스를 반사체로 해 TCP 프로토콜의 특성을 악용했을 경우이다.미들 박스는 네트워크 장치의 하나로서 전송중의 패킷을 모니터링, 필터링 하는 기능을 실시한다. 다른 네트워크 장치와 달리, 「딥 패킷 인스펙션(DPI)」를 사용해 TCP 패킷의 헤더 뿐만 아니라 payload까지 조사한다고 하는 특성이 있다.해커들은 미들박스와 TCP 프로토콜 사이의 이런 특성을 증폭 공격에 활용했다.이 공격 기술은 지난해 8월 메릴랜드대와 콜로라도대 연구원들이 공개한 논문에서 처음 실행 가능성이 이론적으로 제기됐다. 실제로 환경에서 공격이 탐지된 것은 이번이 처음이다.
■새로운 디도스 공격 벡터 된 TCP 미들박스 반사 … ●새로운 위협으로 떠오르나
이번 발견된 공격은 미들 박스의 약점을 악용 해 TCP 프로토콜 트래픽을 반사·증폭해, 공격 대상으로 한 시스템에 퍼부은 DRDoS 공격이다.
공격자들은 차단된 사이트의 도메인을 호스트 헤더로 사용해 다양한 TCP 패킷을 만들고 이들 패킷이 미들박스로 수신되도록 했다. 미들 박스는 HTTP 헤더와 전체 HTML 페이지에 응답하지만, 공격자가 타겟 시스템의 IP 를 스푸핑 했기 때문에, 결과적으로 응답 트래픽이 피해자의 시스템으로 향하게 된다.
지난해 8월 공개된 논문에서 저자들은 잘 알려진 UDP 기반 공격과 비교해 TCP 기반 증폭의 실행 가능성과 효율성을 설명했다. 저자들은 네트워크 미들박스에서 매우 효과적인 TCP 기반 반사 증폭 공격을 만들 수 있다는 결론을 얻었다.아카마이 연구원들도 실제 환경에서 33바이트의 페이로드가 포함된 SYN 패킷을 보내 2,156바이트 응답이 트리거된 것을 확인했다. 65배(6533%)나 늘어난 것이다. 이러한 증폭은 공격의 힘을 배가시킨다.
TCP 패킷에 대한 강력한 증폭 방법이 없었기 때문에 지금까지 TCP 프로토콜을 이용한 볼륨 공격이 적었지만 미들박스의 약점이 확인되어 해커에게 효과적인 공격 수단이 하나 더 생긴 것이다.논문 저자들에 따르면 세계적으로 이런 TCP 반사남용에 취약한 미들박스 시스템은 수십만에 이른다. 미들박스 시스템은 국가검열법과 기업의 콘텐츠 필터링 정책에 따라 인터넷 전체 네트워크에서 쉽게 찾을 수 있다는 설명이다.아카마이 연구원은 이런 방식의 공격이 시간이 흐를수록 강력해지고 있음을 확인했다. 당초에는 초당 비트수 기준으로 50Mbps의 공격이 최대였지만, 최근에는 초당 패킷수 기준으로 1.5Mbps, 초당 비트수 기준으로 11Gbps의 공격도 발견되었다.
아카마이 연구원은 이 같은 공격은 현재 비교적 작은 규모에 속하지만 공격자들이 미들박스 공격 기술을 채택해 디도스 공격을 위한 또 다른 도구로 활용하기 시작했음을 보여 준다고 설명했다.또 TCP 미들박스 반사가 실제 네트워크에서 검증됐기 때문에 공격자들의 채택으로 이어질 가능성이 높다며 공격자는 공격 능력과 전반적인 영향을 개선 확장하려고 시도할 가능성이 있다고 예상했다.
이런 유형의 공격이 DDoS 공격에 대한 기준을 위험할 정도로 낮춘다는 점에서 중대한 위협이 될 수 있다.아카아미 연구원들은 미들박스 반사공격은 새롭지만 매우 독특한 것은 아니다며 이 공격의 진짜 위협은 이를 활용하려는 공격자들에게 진입기준을 낮추는데 있다고 경고했다.임 유 경 기자 ([email protected]) (파옴)