[디지털데일리 최민지기자] 최근 오픈소스 소프트웨어 개발 커뮤니티인 깃허브를 대상으로 대형 디도스(DDoS) 공격이 발생했다. 사물인터넷(IoT) 디바이스를 이용한 미라이 공격을 뛰어넘었을 뿐 아니라, 지금까지 발생한 디도스 공격 중 가장 큰 규모인 1.35Tbps를 기록했다.
이번 공격은 멤캐시드(memchached) 서버에서 발생한 UDP(User Datagram Protocol) 반사 공격으로, 현재 9만개 이상의 취약한 시스템이 이 공격에 노출됐다.
인승진 아카마이코리아 이사는 “아카마이에서 확인한 규모만 1.35Tbps에 달하니, 다른 곳까지 합하면 디도스 규모는 더욱 커질 것”이라며 “이보다 더 큰 디도스 공격도 발생할 수 있으며 좀비PC를 넘어 IoT 기기·클라우드 등을 모두 악용할 수 있다”고 말했다.
◆역대 최대 디도스 공격=이번 공격의 경우 서버들을 속여 패킷을 대량 발생시키고, 공격 대상 IP로 대규모 응답을 보내는 방식으로 웹서비스를 다운시킨 것으로 보인다.
멤캐시드는 캐싱 기능이 올라간 소프트웨어 모듈로, 서버가 매번 디스크를 읽고 프로세싱을 하지 않아도 된다. UDP 반사공격에서는 공격대상 서버가 마치 서버에 요청한 것처럼 주소를 바꿔서 보낸다. 훨씬 큰 응답을 생성하는데, 다량의 서버를 속이게 되면 계속해서 대규모 트래픽이 쏟아지게 된다.
약 10만대에 달하는 멤캐시드 서버들이 인터넷을 통한 접근이 가능하도록 잘못 설정돼 있는데, 이 경우 트래픽을 대규모로 증폭시킬 수 있다.
인 이사는 “10배에서 50배가량 큰 결과가 답변이라고 계속해서 날라오는 셈”이라며 “캐싱 메모리를 쓰는 소프트웨어 포트를 통해서 왔다”고 설명했다.
이어 “취약점이 알려지기 시작하면서 이를 악용하는 공격들이 많아지고 있다”며 “깃허브 말고 다른 쪽에서 비슷한 유형의 공격이 일어나고 있다”고 부연했다.
◆디도스 공격 재부상=이번 공격이 주는 메시지는 ‘디도스의 재부상’이다. 2016년 미라이 봇넷 이후 디도스와 같은 트래픽 공격 규모는 줄어드는 추세였다. 공격자들은 랜섬웨어처럼 수익과 관련된, 복잡하고 디도스보다 작은 규모의 공격에 집중했다.
인 이사는 “공격 규모가 다시 커지기 시작했고, 공격방식이 쉬워지면서 더 큰 디도스 출현도 예상된다”며 “좀비PC는 클린업을 하면 사용하지 못하고 계속해서 관리해야 하는 불편함이 있는데, 클라우드와 IoT 기기·각종 봇들이 나타나면서 이 자리를 대신하게 될 것”이라고 말을 보탰다.
클라우드와 IoT 기기를 악용해 디도스 규모는 더욱 커질 것이라는 전망이다. 클라우드 서비스가 많아지고 있고, 봇을 서비스로 내놓는 곳들이 생기면서 공격 방법도 다양해지고 있다.
좀비PC 대신 클라우드와 IoT 기기들을 활용하게 되면서 감염을 빠르게 확산시키고 그 규모도 빠르게 확장할 수 있게 된 것이다.
특히, 이러한 디도스는 해외에서 발생해 국내에서 들어올 때 더 큰 문제로 나타난다. 국내에서 발생해 국내에서 나타나는 경우, 분산구조 등을 실시간으로 모니터링하고 있고 ISP 등을 통해 일정 부분 막고 있다.
인 이사는 “해외에서 발생해 국내 한 사이트에 대규모 트래픽이 집중된다면 ISP도 감당하기 어려울 수 있다”며 “국제 구간은 국내 구간에 비해 비용이 더 비싸기 때문에 디도스에 대비한 규모로 평소에 커버하기 어렵다”고 말을 보탰다.
평상시 100여명이 쓸 수 있도록 준비했는데, 언제 발생할지 예측할 수 없는 디도스 때문에 10만명 규모로 설정할 수 없는 노릇이다. 해외 구간은 해저케이블, 위성 등 다양한 방법으로 연결해야 해 비용이 더 들어간다. 10만명 규모로 늘리게 되면 디도스가 발생하지 않는 평소에는 그만큼 돈을 버리게 되는 셈이다.
인 이사는 “클라우드에서 디도스 방어 서비스를 제공하는 기업들이 늘어나고 있다”며 “대규모 디도스 공격에 대응할 수 있는 자구책을 마련하는 한편, 클라우드 기반 디도스 방어 솔루션을 통해 공격을 분산시켜야 한다”고 전했다.