Offcanvas

보안

대규모 DDoS 증폭 공격, 원인은 잘못 구성된 WSD

2019.09.24 Lucian Constantin  |  CSO
분산 서비스 거부(DDoS) 공격 증폭에 수십만 대의 기기가 악용될 수 있다는 우려가 나왔다. 인터넷을 통한 WSD 프로토콜 요청을 듣고 반응하도록 잘못 구성돼 있기 때문이다.
 
ⓒ Getty Images Bank

웹 서비스 동적 검색(WSD)은 UDP 기반 통신 프로토콜의 일종으로, 네트워크 내부에서 웹 기반 서비스를 자동 검색하는 데 사용된다. 프린터, 카메라 등 각종 장치는 물론 윈도우 비스타를 비롯한 다양한 윈도우 기기에 WSD가 사용된다. 벌써 10년도 더 된 이야기다.

범용 플레이 앤 플레이(UPnP), 단순 서비스 검색 프로토콜(SSDP), 단순 네트워크 관리 프로토콜(SNMP), WSD 등 자동 서비스 검색 및 구성 프로토콜은 대부분 로컬 네트워크상에서 사용되도록 설계됐다. 그런데 안전하지 않은 설정으로 이러한 프로토콜을 인터넷에 노출하는 기기가 많다. DDoS 반사 및 증폭 공격에 악용될 수 있는 빌미를 제공하는 것이다.

DDoS 반사란
TCP와 달리 UDP는 IP 소스 인증을 전혀 수행하지 않는다. 따라서 대부분의 UDP 기반 프로토콜은 IP 스푸핑에 기본적으로 취약하다. 공격자가 DDoS 트래픽 소스를 숨기기 위해 쓰는 수법은 이처럼 취약한 프로토콜을 이용해 반응하는 컴퓨터를 통해 DDoS 트래픽의 소스를 ‘반사’하는 것이다.

DDoS 반사는 다음과 같이 이루어진다. 먼저 공격자가 자신의 통제하에 있는 컴퓨터에서 다른 서버로 UDP 기반 프로토콜을 통해 쿼리를 전송하고 패킷 내부의 소스 IP 주소를 대상 피해자의 IP 주소로 설정한다. 그 결과, 쿼리를 전송받은 서버는 반응을 공격자의 컴퓨터로 되돌려 주는 것이 아니라 피해자에게 보내게 된다.

DDoS 반사는 원래 요청보다 반응이 클 때 특히 강력하다. 공격자가 사용할 수 있는 대역폭이 증폭되기 때문이다. 예를 들면, 10대 이상의 컴퓨터를 통제하는 공격자는 인터넷에 노출된 취약한 UDP 기반 서비스를 사용하는 장치 100대에 요청을 전송할 수 있다. 요청이 전송된 장치는 IP 스푸핑 때문에 대량의 반응을 피해자에게 전송한다. 따라서, 피해자는 공격자가 통제하는 10대의 컴퓨터가 아닌 100대의 중립적인 컴퓨터로부터 다수의 악성 패킷을 받게 된다.

WSD는 심각한 위협
보안업체 아카마이(Akamai)의 연구진이 최근 공개한 보고서에 따르면, 공격자는 이미 WSD를 DDoS 증폭 기법으로 악용하기 시작했고 공격을 확대하고 있다. 게이밍 업계의 한 아카마이 고객사가 최대 35Gbps의 WSD 폭주 피해를 보았다.

보고서는 “인터넷 전체에 걸쳐 기기에 대한 WSD 프로토콜 구현을 추가로 조사해 본 결과 심각하게 우려할만한 상황이다. 보안 정보 대응 팀(SIRT)은 원래 바이트 크기 대비 최대 1만 5,300%의 증폭율을 달성할 수 있었기 때문이다. 이 수치를 기준으로 하면 WSD는 최대 반사 증폭 인자 부분에서 DDoS 공격 중 4위에 해당한다”라고 분석했다.

아카마이 SIRT는 WSD 프로토콜뿐만 아니라 기기 내 다양한 구현 방식을 연구한 결과, 공격자가 최초의 요청 페이로드를 대폭 줄여 엄청난 증폭 인자로 반응을 촉발할 수 있는 방법을 발견했다. 예를 들어, 보통의 WSD 탐색은 783바이트인데 아카마이 연구진은 이를 170바이트로 줄이면서도 여전히 3,445바이트의 유효한 WSD 반응을 촉발할 수 있었다.

여기서 그치지 않았다. 공격자가 WSD 오류를 촉발할 기형 페이로드를 전송하는 것이 더 유리한 것으로 드러났다. 이러한 오류 반응은 유효한 탐색 반응만큼 크지는 않지만 크기를 늘릴 방법이 존재하며 오류 반응을 촉발하는 요청은 유효한 탐색에 비해 훨씬 작다. 한 제조업체의 장치 약 2,151대에서 발견된 시스템 취약점의 경우 29바이트, 심지어 18바이트짜리도 있었다.

18바이트 공격으로 악용 가능한 기기는 한정돼 있지만, 인터넷에 노출돼 29바이트 페이로드에 반응하는 기기는 훨씬 많다. 그 경우에 100Mbs로 연결된 공격자는 2,599바이트 반응을 촉발하고 8,900% 증폭률로 8.73기가비트의 공격을 생성하는 29바이트 페이로드를 이용해 초당 42만 건의 요청을 전송할 수 있게 된다. 아카마이 연구진은 “10개의 노드가 확보되면 87Gbps 공격이 가능하다”라고 말했다.

유효한 탐색과 낮은 증폭 인자를 가정하더라도 WSD 기법은 여전히 매우 심각한 위협이다. 아카마이는 193% 중간값 증폭 인자로 WSD 탐색에 다시 반응한 인터넷상의 장치 80만 2,115대를 확인했다. 이들 중 다수가 CCTV 카메라와 디지털 녹화기였다.
 
WSD 기법으로 인한 위협 완화 조치
기업이 원하지 않는 WSD 트래픽이 자체 서버에 도달하지 못하도록 자체 게이트웨이 장치와 방화벽에서 UDP 소스 포트 3702를 차단할 수 있다. 그러나, 원하지 않는 WSD 트래픽이 기업 라우터에서 사용 가능한 대역폭을 정체시키는 일은 여전히 가능하다.

따라서, 완벽한 완화 조치를 위해서는, WSD가 노출된 것으로 알려진 기기로부터의 트래픽을 차단하는 접근 통제 목록(ACL)을 시행해야 한다. DDoS 완화 조치 제공업체는 그러한 접근 통제 목록을 관리하고 있을 가능성이 높다. DDoS 반사와 증폭에 악용될 수 있는 취약한 DNS, NTP, SNMP, UPnP 등의 서비스를 사용하는 기기에 대해서도 접근 통제 목록을 관리하고 있기 때문이다.

아카마이 연구진은 “WSD는 우리가 반복해서 목격해 온 바로 그 문제에 시달리고 있다. 본래 WSD는 LAN 범위에 한정된 기술로 설계됐고 인터넷 환경을 고려한 것이 아니었다. 그러나 제조업체가 이러한 서비스를 (부적절하게) 구현한 하드웨어를 마구 만들어내고 사용자가  이 하드웨어를 인터넷에 연결하면서 본의 아니게 새로운 DDoS 반사 벡터가 도입됐다. 그리고 이제 이를 악용하는 사례가 하나둘씩 나오고 있다. 현재로서 할 수 있는 일은 예상 수명이 10년 내지 15년인 이들 기기가 사장되기를 기다린 후 안전한 버전으로 교체되기를 기대하는 것밖에 없다”라고 말했다. ciokr@idg.co.kr
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.