멤캐시드 악용 디도스, 구글-아마존도 노려

중국 치후360 보안 자회사 넷랩, 2월24일~3월8일 분석 결과

컴퓨팅입력 :2018/03/13 18:03    수정: 2018/03/13 18:04

지난 2월 미국에서 글로벌 소스코드 호스팅사이트 '깃허브(Github)' 운영장애를 유발한 사례와 동일 유형의 분산서비스거부(DDoS) 공격이 한국과 중국을 비롯한 세계 각지에서 동시다발적으로 발생한 것으로 드러났다. 보안업체 분석 결과 2월말부터 이달(3월)초까지 10여일간 적어도 인터넷 사이트 7천여곳을 대상으로 1만5천번에 달하는 DDoS 공격이 이뤄졌다.

중국 인터넷업체 치후360(Qihoo 360)의 자회사 넷랩(Netlab)은 지난 2월 24일부터 3월 8일까지 13일간 인터넷에서 멤캐시드(Memcached) 서버 보안허점을 악용한 DDoS 공격 탐지 내역과 분석 결과를 공식 블로그에 게재했다. 게재된 정보는 'DDoSMon'이라는 넷랩의 글로벌 DDoS 모니터링서비스를 통해 포착한 DDoS 공격 건수와 그 표적이 된 웹사이트 목록을 포함했다. [☞원문보기(영어)]

DDoS는 특정 웹사이트에 비정상 트래픽을 집중시켜 운영장애를 유발하는 사이버침해 행위의 일종이다. 그 자체는 인터넷에서 빈번하게 발생해 왔고, 이를 차단하기 위한 여러 대응수단도 다양하게 마련돼 있다.

다만 DDoS를 수행하기 위한 기법으로 최근 새롭게 부각된 게 멤캐시드 서버를 활용한 증폭(Amplification) 또는 UDP 반사(reflection) 기법이다. 멤캐시드는 동적으로 운영되는 웹사이트용 데이터저장소의 시스템 부하를 줄이기 위한 오픈소스 캐시 시스템이다. UDP 반사는 공격자가 인터넷에 연결된 멤캐시드 서버에 UDP 11211번 포트를 통해 가짜 요청을 보내, 표적 웹사이트에 증폭된 응답 트래픽을 전달하는 식으로 DDoS를 유발하는 수법을 가리킨다.

치후360 넷랩이 2018년 3월 8일 공개한 2월28일~3월8일까지의 일별 멤케시드 서버 기반 증폭 DDoS 공격 시도 건수 집계표.

이 수법으로 2월 28일 발생한 DDoS는 사상최대 규모인 초당 1.35테라비트(Tbps)짜리 공격으로 깃허브 운영장애를 초래했다. [☞관련기사] 이어 3월 5일 발생한 공격도 1.7Tbps로 사상최대 규모를 경신했다. [☞관련기사]

■ 깃허브뿐아니라 구글, 아마존 등 DDoS 표적 포함

넷랩 분석 결과, 이 새로운 수법을 활용한 DDoS 공격의 표적은 깃허브뿐만이 아니었다. 넷랩이 공개한 공격 대상 웹사이트 목록엔 구글, 아마존, QQ, 치후360 등 인터넷 또는 클라우드 서비스가 포함됐다. 게임업체, 보안업체, 포르노사이트 등 여러 업종도 대상이 됐다. 표적이 된 사이트 주요 소재지는 미국 외에 중국, 홍콩, 한국, 브라질, 프랑스, 독일, 영국, 캐나다, 네덜란드까지 아울렀다.

숫자만 놓고 보면 깃허브 운영장애 이후 발생한 DDoS 공격 추이가 그 이전보다 더 거셌다. 넷랩 통계에 따르면 2월 24일부터 깃허브 공격이 발생한 28일까지 5일간, 일평균 멤캐시드 서버 기반 DDoS 공격 발생 건수는 372건이었다. 이후 3월 1일부터 7일까지 1주일간 같은 기법으로 유발된 DDoS 공격은 일평균 1천758건에 달했다. 2월 24일부터 3월 8일까지 발생한 DDoS 공격은 도합 1만5천건이었다.

넷랩이 모니터링툴 ddosmon로 파악한 멤캐시드 서버 증폭 DDoS 공격 표적의 지역별 분포.

■ 한국 유명 인터넷커뮤니티도 공격 목록에 들어

넷랩은 1만5천여건의 DDoS 공격이 7천131개 IP주소를 대상으로 이뤄졌다고 밝혔다. 넷랩은 각 IP주소마다 그에 해당하는 도메인네임시스템(DNS) 이름을 찾아 대조했다. DNS 이름을 가진 사이트 중 글로벌 랭킹서비스 '알렉사(Alexa)'와 넷랩의 내부 랭킹시스템 '플롯(Float)' 기준 상위 100만랭킹 이내에 드는 도메인을 추려 목록화했다. 이 두 목록은 넷랩의 해당 분석 포스팅에서 텍스트 파일로 내려받을 수 있다.

공개된 목록에 따르면 알렉사와 플롯의 100만랭킹 안에 포함된 한국 사이트 가운데 오늘의유머, 인벤, 디씨인사이드, 일베 등 유명 인터넷커뮤니티가 이번 DDoS 공격에 노출됐다. 다만 각 웹사이트에 공격이 진행된 시점과 그 시점에 발생한 트래픽이 얼마였는지, 웹사이트 운영 환경이 그로 인해 시스템 오작동이나 운영장애 등 실제 피해를 입었는지까지는 확인되지 않았다.

■ 멤캐시드 UDP 반사 DDoS 어떻게 막을까

관련기사

누구나 이번 UDP 반사 DDoS 공격을 시도할 수 있는 공격툴마저 온라인에 공개된 상태다. 이런 상황에서 산업계의 UDP 반사 DDoS 공격 피해를 예방하려면 원칙적으로 공격에 악용될만큼 보안이 허술한 멤캐시드 서버를 없애야 한다. 이미 UDP 동작 설정값을 비활성화 상태로 변경해 악용 시도를 막은 멤캐시드 새 버전(1.5.6)이 배포되고 있다. 다만 모든 멤캐시드 운영환경의 관리자에게 업그레이드를 강제할 수는 없다는 현실적인 문제가 있다.

지난 8일 미국 지디넷 보도에 따르면, 피해를 예방해야 하는 웹사이트 및 IT운영자 입장에서 UDP 반사 DDoS 공격에 대응할 수 있는 방법도 존재한다. DDoS 방어솔루션 업체 코레로(Corero)는 IT운영환경에서 UDP 반사 동작으로 트래픽을 보내고 있는 서버로 '플러시 올(flush all)' 명령어를 보내는 방식으로 해당 멤캐시드 서버의 캐시를 무효화해 피해를 막을 수 있다고 설명했다. [☞원문보기]