김나영 이글루시큐리티 인프라사업본부 과장

[아이티데일리] 분산서비스거부(DDoS) 공격은 해가 갈수록 증가하고 있으며, 공격량 또한 기하급수적으로 증가하고 있다. 미국의 네트워크 보안회사인 클라우드플레어(Cloudflare)와 아버네트웍스(Arbornetworks) 등에 따르면 지난 2월초 유럽 전반에 걸쳐 최대 400Gbps 규모로 감행된 DDoS 공격이 이른바 분산반사서비스거부(Distributed Reflector Denial of Service, 이하 DRDoS)라는 진화된 공격의 일종으로 밝혀졌다.

 

DRDoS 공격은 별도의 에이전트 설치 없이 네트워크 통신 프로토콜 구조의 취약성을 이용해 정상적인 서비스를 운영하고 있는 시스템을 DDoS 공격의 에이전트로 활용한다. 따라서 DRDoS 공격은 상대적으로 해커들이 사용하기 쉽고 공격을 당한 사이트의 복구도 어려운 것으로 알려져 있다. DRDoS 공격은 최근 해외를 중심으로 나타나고 있으며 이전에 발표된 역대 최대 DDoS 공격 트래픽 역시 DRDoS에 의해 발생된 공격이었다.

발생일시

대상국가

주타겟

경유지서버

최대공격트래픽

14년2월10일

유럽

프랑스(OVH 등)

NTP서버

400Gbps

13년5월27일

미국

금융기관

DNS서버

167Gbps

13년3월19일

미국

스팸하우스

DNS서버

300Gbps

OVH:세계 최대 웹서비스 사업자(프랑스, 캐나다에 데이터센터 보유)

이처럼 증가하는 DRDoS 공격에 대응하기 위해 일부 국가들이 분주한 움직임을 보이고 있는데 미국의 경우 국토안보부 산하 US-CERT가 작년 3월 DNS 증폭 공격에 따른 경보를 발령했고 올해 2월에는 NTP 취약점 및 UDP 기반의 모든 DRDoS 공격에 대한 위험 경보를 발령했다.

DRDoS 공격은 UDP프로토콜을 사용하는 DNS, NTP, SNMP, CHARGEN 서비스 등의 구조적 특성을 이용하며 크게 반사(Reflection)와 증폭(Amplification) 공격형태로 나뉜다. 공격자는 출발지IP를 공격대상IP로 변조하여 취약한 서비스를 사용하는 서버에게 대량의 요청 메시지를 보내고, 서버는 요청에 대한 응답 메시지를 공격대상IP에 반사 시도를 한다. 이때 반사된 응답 메시지는 대량의 트래픽으로 증폭되어 공격 대상에게 전달된다.

 

 

공격자는 대량의 트래픽을 만들기 위해 좀비PC 등을 활용하지 않고 외부에 공개된 서버를 경유지로 사용하여 공격이 가능하며, 피해자는 공격자가 아닌 경유지 서버로부터 대량의 트래픽이 유입되어 서비스거부를 일으킨다.

서비스

공격 내용

DNS

DNS 질의 시(타입: ANY, TXT 등)과 같이 많은 양의 레코드 정보 제공을 요구하여 공격대상자에게 대량 트래픽 유발

NTP

NTP 서버에 최근 접속한 NTP 서버 목록을 요청(monlist)하여 공격대상자에게 대량 트래픽 유발

SNMP

SNMP Agent에 MIB과 같은 정보를 대량 요청(GetBulkRequest)하여 공격대상자에게 대량 트래픽 유발

CHARGEN

CHARGEN 서버에 접속시 대량의 문자열(abcd....)을 전송을 유도하여 공격대상자에게 대량 트래픽 유발

국내의 경우 증폭 공격에 의해 발생된 공식적인 DRDoS 공격사례는 아직 없다. 하지만 2월초 유럽 전반에 걸쳐 400Gbps의 대규모 공격이 발생할 당시 공격자는 전세계적으로 외부에 공개된 4,529대의 취약한 NTP 서버를 경유지로 이용하였고 1,298개 대역의 다른 네트워크에서 DRDoS 공격을 수행하였다고 밝혔다.

자체 분석 결과 공격 발생 당시 국내에 존재하는 NTP 서비스를 대상으로 트래픽이 증가한 것이 확인되었다. 또한 출발지IP가 공격자에 의해 변조된 IP로 프랑스를 비롯한 유럽 국가의 대역으로 확인되었으며 대량의 응답메시지가 증폭되어 서비스거부공격을 수행하였다. 따라서 국내의 많은 서버가 DRDoS 공격의 경유지로 사용된 것으로 보인다.

 

이러한 공격 징후를 탐지하기 위해서는 DRDoS 공격 경유지에 사용될 수 있는 서버에 대한 트래픽 모니터링이 필요한데 유입(Inbound) 트래픽에 대한 PPS 증가와 유출(Outbound) 트래픽에 대한 BPS 증가가 급격하게 발생할 경우 이상 징후를 탐지할 수 있다.

또한 공격을 위해서는 서버가 경유지로 사용되는 만큼 DRDoS 공격에 이용되는 DNS, NTP, SNMP, CHARGEN 등의 프로토콜 특성을 이해하고 서비스에 대한 영향도를 고려하여 대응방안을 수립하는 것이 중요하다.

아직 국내를 대상으로 대량의 DRDoS 공격은 발생되지 않았지만 최근 해외를 중심으로 DRDoS 공격사례와 공격량이 급증하고 있다. 분단국가의 특수성과 해커에게 악용될 여지가 많은 국내 IT 환경을 감안하면 보안담당자들은 이제부터라도 국내 DRDoS 공격에 대해 각별히 주의할 필요가 있다.

 

저작권자 © 아이티데일리 무단전재 및 재배포 금지