[정보보호]IoT 기기 SSDP 증폭 디도스 공격에 노출

관련 통계자료 다운로드 SSDP 공격 근원지 분포 현황

사물인터넷(IoT) 기기가 ‘단순 서비스 검색 프로토콜(SSDP)’을 악용한 분산서비스거부(DDoS) 공격에 노출됐다. 특히, 한국은 세계에서 세 번째로 많은 오픈 SSDP를 가진 국가로 공격이 성공하면 여파가 크다.

한국인터넷진흥원(KISA·원장 백기승)은 지난해 말부터 SSDP 증폭 DDoS 공격이 증가해 주의를 요구했다.

SSDP는 네트워크 상의 서비스나 정보를 찾는 프로토콜이다. 프린터나 스캐너, IP카메라, 스마트TV 등 IoT 기기가 네트워크를 탐색할 때 SSDP를 쓴다. 악성코드를 감염시켜 좀비PC를 만드는 DDoS와 달리 프로토콜 취약점을 악용한다. 과정은 간단하지만 효과는 크다.

1분기 KISA DDoS 사이버대피소로 발생된 SSDP 증폭 공격
1분기 KISA DDoS 사이버대피소로 발생된 SSDP 증폭 공격

지난 1월부터 3월까지 1분기 동안 KISA DDoS 사이버대피소로 발생된 SSDP 증폭 공격 사례만 해도 8회에 이른다. SSDP 공격 근원지별로 보면 미국(42%), 중국(35%), 한국(10%) 순이다.

쉐도우서버재단에 따르면 오픈 SSDP가 많은 국가는 중국이며, 미국, 한국 순이다. 국내는 110만개에 달하는 공개된 SSDP가 있다. 공격자가 원격에서 이들 오픈 SSDP를 찾아 증폭 공격을 시도할 수 있다.

KISA DDoS 사이버대피소로 발생된 SSDP 공격 IP의 근원지 분포 자료:KISA
KISA DDoS 사이버대피소로 발생된 SSDP 공격 IP의 근원지 분포 자료:KISA

자료:KISA

공격자는 의도적으로 SSDP 취약점을 악용해 DDoS 공격을 한다. 이 프로토콜은 기기가 네트워크에 연결된 다른 기기를 찾고 통신할 수 있게 허용한다. 공격자는 SSDP 취약점을 이용해 시스템에 지속적으로 패킷을 보낸다. 이런 공격은 손쉽게 50기가바이트(GB) 이상 트래픽을 발생시킨다. 웹사이트나 네트워크 중단 사태를 일으킨다.

SSDP 증폭 공격은 대응이 어렵다. 공격에 악용되는 기기는 가정용 인터넷 단말기가 많다. 무선공유기나 IP카메라 등 가정 사용자가 보안 취약점을 패치하기 어려워 일일이 사람이 찾아가 펌웨어를 업데이트해야 한다. 아예 제조사에서 취약점 예방조치를 해야 피해를 줄일 수 있다. SSDP 증폭 공격은 IP 추적도 쉽지 않다. 기존 DDoS 장비에서 대응도 어렵다.

정현철 KISA 침해사고분석단장은 “공격자는 보다 더 쉽고 빠르며 효과적인 공격으로 빠르게 진화한다”며 “지난해 NTP를 악용한 DDoS에 이어 올해는 SSDP 증폭 공격이 증가하고 있어 주의가 요구된다”고 덧붙였다.

김인순기자 insoon@etnews.com