역대급 디도스 경계령...멤캐시드 DRDoS 안전지대 아니다

1테라비트(Tbps)가 넘는 대규모 분산서비스거부(디도스:DDoS) 공격 경계령이 내렸다. 국내 기업 상당수가 1Tbps가 넘는 대규모 디도스 공격에 무방비 상태다. 사이버 범죄자들이 기업 서비스에 대규모 디도스 공격 협박을 가하며 몸값을 요구한다.

최근 개발자 플랫폼 '깃허브'가 1.36Tbps에 달하는 디도스 공격을 받았다. 이름이 알려지지 않은 미국 회사에 1.7Tbps 규모 공격이 발생했다. 2016년 북미 인터넷을 마비시킨 '미라이 봇넷' 디도스보다 강력했다. 공격자는 깃허브에 디도스 공격 협박을 하며 암호화폐 50모네로(약 1만5000달러)를 요구했다.

ⓒ게티이미지뱅크
ⓒ게티이미지뱅크

국내도 1Tbps가 넘는 대규모 디도스 공격 안전지대는 아니다. 해커는 멤캐시드(memchached) 서버 취약점을 이용한 새로운 디도스 반사 공격 기법을 쓴다. 멤캐시드 분산 반사 서비스거부(DRDoS)라 부른다. 기존 디도스 공격은 좀비 PC를 만들어 표적에 한꺼번에 트래픽을 집중시킨다. 멤캐시드 DRDoS는 좀비 PC가 아닌 정상 응답을 증폭시켜 서비스를 마비시킨다. 추적과 대응이 어렵다.

멤캐시드 DRDoS란 멤캐시드 서버에서 발생하는 UDP(User Data Protocal) 반사 공격이다. 멤캐시드 서버는 분산 메모리 캐싱 시스템에 쓰는 유명 오픈소스 소프트웨어다. 멤캐시드 서버는 인증 기능이 없어 인터넷에 연결하지 않게 설계됐다. 하지만 인터넷에 연결된 멤캐시드 서버가 늘어나면서 디도스에 악용됐다. 취약한 멤캐시드 서버에 전송된 몇 바이트 요청이 표적 IP에 수만배에 달하는 대규모 응답을 유발해 강력한 디도스 공격이 발생한다.

깃허브 공격 발생 후 누군가 취약한 멤캐시드 서버 목록과 공격 도구를 인터넷에 공개했다. 사이버 범죄자가 이를 활용해 거대 사이트를 협박하는 용도로 이용하는 건 시간 문제다.

아카마이에 따르면 현재 9만개 이상 취약한 시스템이 멤캐시드 DRDoS에 노출됐다. 해커뉴스는 인터넷에 멤캐시드 DRDoS 공격도구 2개가 공개됐다고 보도했다. 첫 번째 도구는 C언어로 작성됐으며 인터넷에 노출된 취약한 멤캐시드서버 1만7000대 목록이 포함됐다. 두 번째 도구는 파이썬으로 개발됐으며 쇼단 검색엔진 API를 이용해 취약한 서버 목록을 받아온다.

멤캐시드 DRDoS에 대응하려면 멤캐시드 서버를 인터넷과 연결하지 않고 UDP 지원을 비활성화한다. 최신 멤캐시드 서버 1.5.6으로 업그레이드한다. 코레로 네트워크 시큐리티는 멤캐시드 서버를 이용한 DRDoS '킬스위치'를 발견했다. 공격 중인 멤캐시드 서버에 명령어(“shutdownrn” 또는 “flush_allrn”)를 반복해 보내 증폭을 공격을 막는다.

인승진 아카마이코리아 이사는 “멤캐시드 DRDoS 공격이 늘고 있다”면서 “공격자 추적이 어렵고 효과가 커 대응책 마련이 시급하다”고 말했다.

ⓒ게티이미지뱅크
ⓒ게티이미지뱅크

김인순 보안 전문기자 insoon@etnews.com