美서 사상최대 1.7Tbps 규모 디도스 공격 발생

운영장애 겪은 1.35Tbps 깃허브 공격 기록 경신

컴퓨팅입력 :2018/03/07 07:41    수정: 2018/03/07 08:08

최근 깃허브 운영장애를 초래했던 초당 1.35테라비트(Tbps) 규모 분산서비스거부(DDoS) 공격의 '사상최대' 기록이 깨졌다. 그로부터 1주일 뒤 한 미국 서비스제공업체에 쏟아진 DDoS 공격 규모가 1.7Tbps를 기록했기 때문이다.

미국 지디넷은 6일(현지시간) 깃허브를 오프라인 상태에 빠뜨렸던 역대 최대 규모 DDoS 공격과 동일한 기법의, 그보다 규모가 큰 공격이 익명의 미국 서비스제공업체를 겨냥해 사용됐다고 보도했다. [☞원문보기]

보도는 지난 5일 게재된 DDoS 방어솔루션 업체 아버네트웍스의 공식 블로그를 인용했다. 아버네트웍스는 회사 고객 중 한 곳인 미국 소재 서비스제공업체가 1.7Tbps 규모 DDoS 공격을 받고 살아남았다고 밝혔다. [☞원문보기]

앞서 아버네트웍스, 클라우드플레어, 아카마이는 공격자가 인터넷에 노출된 멤캐시드 서버에 위조된 IP주소로 UDP 프로토콜을 통해 요청 메시지를 보내면 최고 5만배에 달하는 데이터 증폭 트래픽을 퍼부을 수 있음을 경고했다.

실제로 소스코드 공유사이트 깃허브에 이처럼 무방비 상태의 멤캐시드 서버를 악용한 DDoS 공격이 발생해 사이트가 약 10분간 운영장애에 빠졌던 사례가 발생했다. 해당 DDoS 공격은 1.35Tbps로 전례없는 대규모 트래픽을 발생시켰다. [☞관련기사]

DDoS 방어솔루션을 제공하는 아버네트웍스가 공개한, 미국소재 고객사 한 곳의 사이트 공격 트래픽 추이.

멤캐시드는 외장스토리지나 데이터베이스에 의존하는 웹사이트의 성능을 최적화하는 캐시 시스템이다. 원래 이 시스템은 인터넷에 노출돼선 안되지만 보안업체 래피드7에 따르면 그런 시스템이 10만대 이상에 달한다. 이들은 권한이 없는 사용자에게 악용될 수 있다. 공격방식은 단순하다. 공격자가 인터넷에 노출된 멤캐시드서버의 기본 UDP 포트에 요청을 입력할 때, 자신이 아니라 표적으로 삼은 웹사이트의 IP주소를 써넣기만 하면, 이후 과도하게 증폭된 멤캐시드서버의 응답결과가 허위입력된 표적 웹사이트로 전달된다.

관련기사

아버네트웍스의 카를로스 모랄레스 글로벌세일즈 엔지니어링 및 운영담당 부사장은 "인터넷 공동체가 외부에 노출된 수많은 멤캐시드 서버 접근을 차단하기 위해 협력하고 있지만 공격자들은 여전히 노출된 상태로 운영되는 수많은 서버를 끝까지 악용할 것"이라고 지적했다.

아버네트웍스 측의 진단에 따르면 멤캐시드 DDoS 공격은 과거 어느정도 숙련된 공격자만이 수작업을 동원해야 쓸 수 있는 기법이었지만, 이제는 부터(booter)나 스트레서(stressor)같은 임대형 봇넷으로 자동화됐다. 그리고 멤캐시드 서버를 악용한 공격 가능성은 지난해(2017년) 11월 중국 연구자들에 의해 제기됐지만, 외부에 노출되 그런 공격에 악용될 수 있는 멤캐시드서버는 그보다 꽤 이전인 지난 2010년부터 세계 각지에 확산해 왔다.