새로운 디도스 공격의 통로, CLDAP의 놀라운 증폭률

경량 디렉토리 접근 프로토콜 통해 증폭률 크게 높일 수 있어
CLDAP, 꼭 열어두어야 할까? 이 점 검토부터 해야

[보안뉴스 문가용 기자] 요 몇 년 간 공격자들은 DNS, SNMP, NTP 등 다양한 서비스를 농락하며 디도스 공격을 실행해왔다. 최근에는 디도스 공격의 또 다른 방법이 개발되어 활발하게 사용되고 있다고 한다. 바로 Connectionless LDAP를 활용하는 것이다. LDAP란 경량 디렉토리 접근 프로토콜(Lightweight Directory Access Protocol)의 준말이며, Connectionless LDAP는 여러 기업들이 윈도우 액티브 디렉토리로부터 사용자 이름과 비밀번호에 접근할 때 주로 사용하는 버전이다. CLDAP라고 부르기도 한다.

보안 전문업체인 아카마이 네트웍스(Akamai Networks)는 이번 주 수요일 보고서를 통해 “작년 10월부터 CLDAP을 활용한 공격을 최소 50건 발견했으며, 이에 대한 조치를 취했다”고 발표했다. 이중 약 33%는 한 가지 경로를 통해 들어온 공격이었다. 즉 오로지 CLDAP만을 통해서 디도스 공격을 성공시켰다는 것이다.

CLDAP를 통한 디도스 공격이 특히나 위험한 건 인터넷을 통해 노출된 CLDAP 서비스를 악용했을 때 공격 볼륨이 크게 증폭된다는 것이다. 아카마이의 보안 첩보 팀에서 근무하고 있는 호세 아르티가(Jose Arteaga)는 “CLDAP 반사 공격의 원리는 다른 UDP 기반의 반사 공격의 그것과 동일하다”고 설명한다. “하지만 증폭이 월등하죠. CLDAP를 통한 디도스 공격의 증폭은 56%가 넘습니다.”

CLDAP만을 활용한 공격 중, 현재까지 기록된 가장 큰 대역폭은 초당 24 기가바이트였다. 이는 약 초당 2백만 패킷으로 환산할 수 있다. “CLDAP 디도스 공격의 평균 볼륨만 해도 초당 3 기가바이트입니다. 다른 디도스 혹은 반사 공격에 비해 굉장한 수치죠. 초당 3 기가만 해도 대기업들이 운영하지 않는 어지간한 중규모 웹사이트들은 금방 오프라인 될 겁니다.”

CLDAP는 통신할 때 TCP 대신 UDP를 활용한다. UDP는 출처 IP 주소를 확인하지 않는다는 특징을 가지고 있는데, 이 때문에 UDP를 활용하는 애플리케이션 층위의 프로토콜이 디도스 공격에 활용되기도 한다. 그런 프로토콜 중 하나가 CLDAP인 것.

UDP 반사 공격이나 증폭 공격은 보통 다음과 같은 절차로 이루어진다. 1) 공격자들이 특별히 제작된 패킷을 인터넷을 통해 여러 UDP 서버로 보낸다. 2) 이 패킷은 디도스 공격의 표적이 될 시스템의 IP로부터 나온 것처럼 보인다. 3) UDP 서버가 그에 대한 응답을 표적 시스템(피해 시스템)의 IP로 보낸다. 4) 이 때 그 응답은 1)번 단계의 패킷 조작을 통해 매우 용량이 커진 상태다. 5) 큰 용량의 응답을 받은 표적 시스템은 마비가 된다.

이러한 새로운 디도스 공격 경로에 대해 제일 먼저 밝힌 건 코레로네트워크시큐리티(Corero Network Security)라는 업체로, 역시 10월부터 자신들의 고객사에서 CLDAP와 관련된 디도스 현상들을 발견했다고 한다. 당시 코레로 측이 관찰한 증폭률은 46~55%였다고 한다.

이렇게 볼륨이 높은 공격이 가능한 건 CLDAP 서비스가 인터넷에 굉장히 많이 노출되어 있고, 스푸핑된 IP 주소로부터 온 쿼리들에 응답을 하기 때문이다. 이렇게 ‘열려 있는’ LDAP를 찾아나서는 재단이 있는데(셰도우서버재단, Shadowserver Foundation), 이곳에서 집계한 바로는 현재까지 약 73,380개의 IP 주소가 389번 포트를 통해 접속이 가능한 CLDAP가 내장된 기기에 할당되어 있다고 한다. 그 중 약 16,700대의 기기가 미국에만 위치해 있다. 5,411대는 브라질에, 3,459대는 프랑스에, 3,354대는 영국에 있는 것으로 알려졌다. 이 수 많은 기기들이 ‘잠재적으로’ 증폭 공격에 활용될 가능성에 놓여 있다고 셰도우서버재단은 설명한다.

DNS나 NTP와 달리 CLDAP를 인터넷에 노출시킬 이유는 사실 거의 없다고 아르티가는 설명한다. “물론 조직마다 사정이 다르긴 하겠지만, 아직까지 명확히 CLDAP를 열어두어야만 하는 이유를 잘 모르겠습니다.” 아카마이는 여태까지 디도스 증폭 공격에 활용되는 프로토콜을 십여 개 발견했는데, CLDAP는 13번째라고 한다. “UDP로 제공되는 서비스가 무엇이 있는지 파악하고, 정말로 인터넷에 노출시킬 필요가 있는지 검토해봐야 합니다. 안 그러면 사업이 마비될 수 있어요.”
[국제부 문가용 기자(globoan@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)