과도한 트래픽을 일으켜 타깃 시스템을 마비시키는 분산서비스거부(DDoS) 공격이 진화하고 있다. 이번에는 특정 콘텐츠를 필터링하는 데 널리 쓰이는 미들박스를 악용해 TCP 패킷을 반사·증폭시키는 새로운 공격수법이 탐지됐다.
최근에서야 실제로 쓰이기 시작한 초기 공격 기술임에도 공격 규모를 65배까지 증폭시킨 사례가 발견됐다. 이는 해커들이 이 기술로 공격의 효율을 매우 쉽게 극대화 할 수 있다는 의미다. 공격이 개시되는 기준점을 위험할 만큼 낮출 수 있다는 점이 이 공격의 진짜 위협이라는 분석이 나온다.
글로벌 콘텐츠 전송 네트워크(CDN) 기업 아카마이의 보안 인텔리전스 대응팀은 지난 1일(현지시간) 블로그를 통해 'TCP 미들박스 반사'라는 새로운 기술을 이용한 분산 반사 서비스 거부(DRDoS) 공격이 실제 고객 시스템을 대상으로 발생한 것을 확인했다고 밝혔다.
일반적인 DDoS 공격은 봇넷(악성코드에 감염된 좀비PC)를 이용해 공격 대상으로 삼은 시스템에 과도한 트래픽을 일으킨다.
DRDoS는 여기서 한 단계 진화했다. 해커가 출발지 IP를 공격 대상의 IP로 위조(스푸핑)한 뒤, 정상적인 서비스를 하고 있는 서버에 요청을 보내 되돌아 오는 응답을 공격 대상이 받게 하는 공격이다. 인터넷에 연결돼 외부 요청에 정상적으로 응답하는 서버를 반사체로 공격에 이용하는 것이다. 반사체가 최대한 큰 응답을 하게끔 유도해 공격 규모를 증폭시키기 때문에, 해커는 비교적 적은 노력을 공격력을 높일 수 있다.
어떤 장치를 반사체로 활용하는지, 어떤 프로토콜을 활용하는지에 따라 DRDoS 공격도 다시 세분화된다.
이번에 탐지된 새로운 공격은 미들박스를 반사체로 삼고, TCP 프로토콜의 특성을 악용한 경우다.
미들박스는 네트워크 장치 중 하나로 전송 중인 패킷을 모니터링, 필터링하는 기능을 수행한다. 다른 네트워크 장치와 달리 '딥 패킷 인스펙션(DPI)'을 사용해 TCP 패킷의 헤더뿐 아니라 페이로드까지 살펴본다는 특성이 있다.
해커들은 미들박스와 TCP 프로토콜사이 이런 특성을 증폭 공격에 활용했다.
이 공격 기술은 지난해 8월 메릴랜드대학과 콜로라도대학 연구원들이 공개한 논문에서 처음으로 실행 가능성이 이론적으로 제기됐다. 실제 환경에서 공격이 탐지된 것은 이번이 처음이다.
■새로운 DDoS 공격 벡터가 된 TCP 미들박스 반사...새로운 위협으로 떠오르나
이번에 발견된 공격은 미들박스의 취약점을 악용해 TCP 프로토콜 트래픽을 반사·증폭하고, 공격 대상으로 삼은 시스템에 퍼부은 DRDoS 공격이다.
공격자들은 차단된 사이트의 도메인을 호스트 헤더로 사용해 다양한 TCP 패킷을 만들고, 이러한 패킷이 미들박스로 수신되게 했다. 미들박스는 HTTP 헤더와 전체 HTML 페이지에 응답하는데, 공격자가 타깃 시스템의 IP를 스푸핑했기 때문에 결과적으로 응답 트래픽이 피해자의 시스템으로 향하게 된다.
지난해 8월 공개된 논문에서 저자들은 잘 알려진 UDP 기반 공격과 비교해, TCP 기반 증폭의 실행 가능성과 효율성을 설명했다. 저자들은 네트워크 미들박스에서 매우 효과적인 TCP 기반 반사 증폭 공격을 만들 수 있다는 결론을 얻었다.
아카마이 연구원들도 실제 환경에서 33바이트 페이로드가 포함된 SYN 패킷을 전송해, 2,156바이트 응답이 트리거된 사실을 확인했다. 65배(6,533%)나 증폭된 것이다. 이 같은 증폭은 공격의 힘을 배가 시킨다.
TCP 패킷에 대한 강력한 증폭 방법이 마땅하지 않았기 때문에 지금까지 TCP프로토콜을 이용한 볼륨 공격이 적었는데, 미들박스 취약점이 확인되면서 해커들에게 효과적인 공격 수단이 또 하나 생긴 것이다.
논문 저자들에 따르면 전 세계적으로 이런 TCP 반사 남용에 취약한 미들박스 시스템은 수십만 개에 이른다. 미들박스 시스템은 국가 검열법이나 기업의 콘텐츠 필터링 정책에 따라 인터넷 전체 네트워크에서 쉽게 찾을 수 있다는 설명이다.
아카마이 연구원들은 이 같은 방식의 공격이 시간이 지날 수록 더 강력해지고 있다는 사실도 확인했다. 초기에는 초당 비트수 기준 50Mbps 공격이 최대였으나, 최근에는 초당 패킷수 기준 1.5Mpps, 초당 비트수 기준 11Gbps의 공격도 발견됐다.
아카마이 연구원들은 "이런 공격은 현재 비교적 작은 규모에 속하지만, 공격자가 미들박스 공격 기술을 채택하고, DDoS 공격을 위한 또 다른 도구로 활용하기 시작했음을 보여준다"고 설명했다.
또 "TCP 미들박스 반사가 실제 네트워크에서 검증됐으므로, 공격자들의 채택이 이어질 가능성이 높다"며 "공격자는 공격의 능력과 전반적인 영향을 개선하고 확장하려고 시도할 가능성이 있다"고 예상했다.
관련기사
- DDoS 공격으로 우크라이나 정부 사이트 마비2022.02.24
- "DDoS 보안 시장, 2028년까지 연 14% 성장"2021.03.16
- AXA 아시아 지사, 랜섬웨어·DDoS 공격 당했다2021.05.17
- KT "통신장애 원인 DDoS 아니다...라우팅 오류 때문"2021.10.25
이 유형의 공격이 DDoS 공격에 대한 기준을 위험할 만큼 낮춘다는 점에서 중대한 위협이 될 수 있다.
아카아미 연구원들은 "미들박스 반사 공격은 새로운 것이지만 매우 독특한 것은 아니다"면서도 "이 공격의 진짜 위협은 그것을 활용하려는 공격자에게 진입 기준을 낮춰준다는 데 있다"고 경고했다.
