김나영 이글루시큐리티 사이버위협분석팀 과장
[아이티데일리] 지난 칼럼에서는 최신 DDoS 공격 트렌드를 통해 쉽고 빠른 DDoS 공격으로 최대의 공격효과를 얻기 위한 공격 방법들을 살펴봤다.
이번 칼럼에서는 전 세계 웹사이트의 22.3%를 차지하는 오픈소스 기반의 설치형 블로그 워드프레스(Wordpress)를 이용한 DDoS 공격을 알아보겠다.
올해 3월 162,000개의 워드프레스를 이용한 DDoS 공격을 시작으로 7월에는 어나니머스 해커그룹이 노르웨이 금융사를 대상으로 대규모 DDoS 공격을 감행했다.
워드프레스를 이용한 DDOS 공격은 핑백(Pingback; 외부 콘텐츠 링크 시 상대방에게 알림) 및 트랙백(Trackback; 외부 사용자가 콘텐츠 링크 시 관리자에게 알림) 기능을 지원하는 XML-RPC 취약점을 이용해 DDoS 공격이 가능하다. 해당 취약점은 과거 2007년에 공개되었으며 디폴트로 활성화되어 많은 워드프레스가 DDoS 공격에 사용될 수 있다.
핑백 기능은 워드프레스의 /xmlrpc.php에 의해 처리되며 [그림 2]와 같이 취약한 워드프레스(http://reflector)와 공격대상자(http://victim)에 대한 요청코드 생성 후 전달하게 되면 GET Flooding 형태의 DDoS 공격을 수행한다.
경유지로 이용된 워드프레스의 경우 [그림 3]과 같은 웹로그를 확인 할 수 있다.
DDoS 공격을 받은 대상자의 경우 [그림 4]와 같은 대량의 GET 요청 웹로그를 확인 할 수 있다.
공격자는 대량의 DDoS 공격트래픽 생성을 위해서 무엇보다 취약한 워드프레스의 확보가 중요하며 [그림 5]와 같이 구글 검색 또는 자동화된 워드프레스 핑백 스캐너를 통해 손쉽게 취약한 워드프레스를 찾을 수 있다.
워드프레스가 DDoS 경유지로 사용되는 것을 막기 위해서는 [그림 6]과 같이 핑백 기능을 비활성화해야 한다. 현재 워드프레스의 경우 많은 플러그인을 제공하며 핑백 해제 및 보안 기능 향상을 위한 다수의 플러그인을 지원하고 있다.
▶ 핑백 비활성화를 위한 플러그인
- Disable XML-RPC Pingback
- BulletProof Security
- All In One WP Security & Firewall
또한 자신이 운영하는 워드프레스 점검을 통해 취약성 여부를 확인 할 수 있으며 크롬의 확장 프로그램 PostMan을 이용하여 [그림 7]과 같이 공격코드 요청에 대한 응답 값을 확인함으로써 취약성 여부를 판단할 수 있다.
지금까지 워드프레스를 이용한 DDoS 공격을 알아보았으며 공격자는 전 세계 워드프레스를 활용한 DDoS 공격이 가능하다. 따라서 사용하지 않는 핑백 기능의 비활성화로 워드프레스를 이용한 DDoS 공격을 최소화 할 수 있을 것이다.