김나영 이글루시큐리티 인프라사업본부 과장

[아이티데일리] 여러 대의 컴퓨터를 동시에 동작시켜 특정 사이트의 서버를 마비시키는 분산서비스거부 공격(DDoS: Distribute Denial of Service Attack, 이하 DDoS)은 더 이상 낯선 용어가 아니다. 쉽게 DDoS 공격을 할 수 있는 기술과 자동화 도구가 늘어나면서 누구나 마음만 먹으면 DDoS 공격을 시도할 수 있는 수준까지 도달했다.

DDoS 공격의 대표적인 흐름을 살펴보면 공격자는 DDoS 공격의 목적을 달성하기 위해 악성코드에 감염된 대량의 좀비PC를 확보하여 네트워크 대역폭 및 서버자원 고갈을 위한 DDoS 공격을 시도한다.

▲ 좀비PC를 이용한 DDoS 공격 흐름

이렇게 최근 몇 년 동안 DDoS 공격 흐름이 일반화되면서 안티바이러스, DDoS 전용장비, 사이버대피소, 싱크홀 등 다양한 대응기술을 통해 효과적인 방어체계를 구축하였지만 DDoS 공격 또한 시간이 지날수록 다양한 변화를 가져왔다.

그 중 첫 번째 DDoS 공격자 및 공격 목적의 변화이다.

최근 발생한 DDoS 공격은 국가, 산업, 국방 등 사회 전반에 걸쳐 발생하였으며 공격의 목적 또한 명확하고 조직적인 공격 형태로 나타나고 있다.

▲ 사이버침해사고 현황 (McAfee 분석보고서 중)

정치 및 사회적 목적을 위해 해킹을 감행하는 핵티비스트(Hactivist, 해킹을 통한 행동주의자)의 출현으로 공격 활동도 더욱 활발해졌다. 국내의 경우 정부정책에 대한 불만으로 정부 주요홈페이지에 대한 DDoS 공격 사례가 꾸준히 발생하고 있으며 최근에는 국제 해커그룹 어나니머스를 사칭한 모방형 사이버범죄가 발생하기도 하였다.

또한 사이버범죄 조직이 금전적 이익을 위한 비즈니스 수단으로 DDoS 공격을 사용하여 경쟁업체 업무방해를 목적으로 청부형태의 DDoS 공격이 발생하고 있다.

최근에는 국가간 사이버공격 및 사이버 수단을 활용한 첩보 등 국가 차원의 사이버활동이 이슈화되고 있는 가운데 DDoS 공격이 사이버 무기 형태로 사용되고 있으며, 사이버테러를 위한 국가 통신 인프라 공격 및 군사적 교란을 위해 DDoS 공격이 사용되기도 했다.

▲ 국가간 사이버공격 발생 현황

두 번째는 DDoS 공격방법의 진화이다.

과거 공격자는 악성코드에 감염된 좀비PC를 통해 DDoS 공격을 수행했다. 하지만 이러한 공격방법은 많은 시간과 노력이 요구되므로 공격자는 쉽고 빠른 DDoS 공격 방법을 적용하기 시작했다.

최근 DDoS 공격자는 전세계 네트워크에 연결되어 있는 서버자원을 좀비로 이용해 DDoS 공격에 사용하고 있다. 서버 자원을 이용한 DDoS 공격방법 중 DRDoS(Distributed Reflection Denial of Service)은 이미 지난 회에 소개되었는데, 2012년 9월 미국 주요 금융기관(BOA, JP모건 등)을 대상으로 발생한 DDoS 공격의 경우도 웹서버를 좀비로 이용한 BSS(Booter Shell Script)기반의 DDoS 공격 방법이 사용됐다.

공격자는 웹서버의 WebDAV 등 파일업로드 취약점을 이용하여 DDoS 전용 악성스크립트(Greenshell, Nogrod-pBot, DeLiRiUm’s 등)를 감염시켜 좀비 서버를 확보한다.

작년에 발생한 6.25 사이버공격은 악성코드 기반의 좀비PC를 이용한 DDoS 공격뿐만 아니라 스크립트 기반의 DDoS 공격 방법이 사용됐다. 이는 접속자가 많은 유명 커뮤니티 웹사이트에 DDoS 공격이 가능한 악성스크립트를 감염시킨 후 접속하는 사용자가 트래픽을 유발함으로써 공격자는 손쉽게 DDoS 공격이 가능했다.

▲ 6.25 사이버공격 DDoS 스크립트(안랩 자료)

최근에는 인터넷 서비스를 이용한 DDoS 공격방법도 공개되고 있다. 이글루시큐리티 자체 분석에 따르면 소셜네트워크 서비스인 페이스북의 노트 기능에 <img> 태그를 사용하여 공격이 가능하다. 페이스북은 이미지를 외부 서버에서 읽어와 캐시에 저장하는데 <img> 태그를 이용하여 랜덤값을 설정할 경우 페이스북이 해당 이미지를 캐시하기 위해 DDoS 공격을 유발할 수 있다.

▲ 페이스북을 이용한 DDoS 공격 태그(이글루시큐리티 보고서 중)

또한 설치형 블로그서비스인 워드프레스를 이용한 DDoS 공격 사례도 공개되었다. 워드프레스에 구현된 XML-RPC(XML 기반의 원격 프로시져 호출)을 취약점을 이용하여 핑백(외부 콘텐츠 링크시 상대방에게 알림), 트랙백(외부 사용자가 콘텐츠 링크 시 관리자에게 알림) 기능을 이용하여 DDoS 공격을 수행한다. 해당 취약점은 2007년에 공개되었으며 워드프레스의 ‘XML-PRC’ 기능을 활성화할 경우 어떠한 워드프레스 사이트도 DDoS 공격에 사용될 수 있다.

▲ 워드프레스를 이용한 DDoS 공격 코드(이글루시큐리티 보고서 중)

마지막으로 공격트래픽의 증가 및 새로운 DDoS 공격의 출현이다.

2013년 3월 미국의 스팸하우스를 타깃으로 300Gbps의 DDoS 공격트래픽이 발생한지 불과 1년만인 2014년 2월, 유럽 전반에 역대 최대 규모인 400Gbps의 공격이 발생했다. DDoS 공격 트래픽은 2012년 이후 급격하게 증가하여 대규모화 되었는데 공격자가 DRDoS와 같은 공격 기술을 사용하였기에 가능하였다.

▲ 최근 DDoS 공격 트래픽 (Arbor Networks 분석보고서 중)

또한 새로운 DDoS 공격유형도 지속적으로 출현하고 있다. 과거 대규모 트래픽 발생을 위한 ICMP/UDP Flooding 공격은 앞서 설명한 DRDoS 공격으로 발전했고, TCP 프로토콜을 이용한 Syn flooding, Session Flooding 등의 공격이 일반화 되면서 HTTP 프토토콜을 이용한 GET Floodoing 및 프로토콜 취약점을 이용한 RUDY, Slowloris와 같이 쉽고 빠르게 서버자원 고갈이 가능한 DDos 공격유형으로 발전했다.

최근에는 Apache, Mysql 등 소프트웨어 취약점을 이용한 DoS 취약점이 주로 공개되고 있다. 소프트웨어 취약점을 이용한 DDoS 공격은 트래픽 및 세션을 이용한 DDoS 공격과 달리 소프트웨어 개발과정에서 발생한 버그를 기반으로 원격에서 DDoS 공격이 가능하다.

▲ DDoS를 유발하는 Exploit 코드(exploit-db.com)

지금까지 최근 발생한 DDoS 공격 사례 및 공격기술을 바탕으로 트렌드를 살펴본 결과 DDoS 공격은 과거에 비해 공격 목적이 명확해졌으며 공격방법 또한 쉽고 빠른 형태로 진화하여 고대역폭 공격 또는 취약점을 이용한 새로운 DDoS 공격이 발생하고 있다는 사실을 확인했다.

이에 따라 우리는 빠르게 변하는 DDoS 트렌드에 맞춰 새로운 공격방법 및 공격유형에 대한 대응방안을 수립해야 하며 DDoS 공격에 대비한 대응체계 점검 및 개선을 통해 대응력 향상과 예방중심의 DDoS 대응체계를 마련해야 할 것이다.

 

저작권자 © 아이티데일리 무단전재 및 재배포 금지