디도스 공격, 사물인터넷과 모바일로 넘어가는 중

입력 : 2020-03-16 09:48

공격 도구 호스팅 된 곳은 중국, 미국, 한국, 인도 등...인터넷 인프라 좋은 곳
사물인터넷 장비들의 잘못된 설정 통해 트래픽 쏟아내는 공격 늘어나

[보안뉴스 문가용 기자] 사이버 범죄자들이 공격 전략을 시시때때로 바꾼다는 건 잘 알려져 있다. 그러한 변화 속에서도 꾸준히 살아남는 공격 기법이 하나 있는데, 바로 디도스다. 변화가 있다면 모바일과 사물인터넷 장비를 노린 디도스 공격이 증가하고 있다는 것이다.


보안 업체 A10 네트웍스(A10 Networks)는 600만 개의 디도스 공격용 무기들을 추적 및 분석해 ‘디도스 무기와 공격 경로(DDoS Weapons and Attack Vectors)’라는 보고서를 발표했다. 어떤 무기들이 사용되고 있으며, 공격의 발현지가 어디이고, 어떤 서비스들이 익스플로잇 되고 있으며, 어떤 기술들이 유행하고 있는지가 상세하게 기술되어 있다.

디도스 무기들은 전 세계 곳곳에 퍼져 있는 것으로 나타났다. 하지만 인터넷 연결성이 좋은 국가들에서 디도스 공격이 시작되는 사례가 가장 많았다(2019년 4사분기 기준).
1) 중국 : 739223건
2) 미국 : 448169건
3) 한국 : 440185건
4) 인도 : 268864건
5) 러시아 : 253609건
6) 대만 : 199656건

디도스 공격에서 가장 많이 활용되고 있던 건 SNMP와 SSDP 프로토콜이었다. 이 두 가지 프로토콜은 역사와 전통을 자랑하는 디도스 공격의 원천으로, 지난 4사분기 동안 SNMP를 무기화한 경우가 140만 건, SSDP를 무기화 한 경우가 120만 건인 것으로 나타났다. 그 다음은 이른바 ‘WS-디스커버리(WS-Discovery)’라는 이름의 공격이 많이 나타났다. 1, 2위는 예전부터 존재해왔던 디도스 공격 기법의 강자라면 WS-디스커버리는 갑자기 3위로 뛰어오른 공격 수단이라고 한다.

A10 네트웍스 측은 “이러한 현상이 나타나는 건, 설정이 잘못된 사물인터넷 장비를 통해 디도스 공격을 증폭시키는 기술이 공격자들 사이에서 크게 인기를 끌고 있기 때문”이라고 분석하고 있다. 이를 ‘반사 증폭(reflected amplification)’이라고도 부르는데, “공격자들이 WS-디스커버리 프로토콜을 기반으로 한 사물인터넷 장비가 점점 더 늘어나고 있다는 사실을 인지하고 있다”는 것이다.

WS-디스커버리는 UDP를 기반으로 한 멀티캐스트 통신 프로토콜로, 인터넷에 연결된 서비스들을 자동으로 탐지해내는 기술이다. IP 출처 확인을 실시하지 않으며, 따라서 공격자들이 피해자의 IP 주소를 스푸핑하기 쉬운 구조를 가지고 있다는 게 문제다. 공격자들은 이 점을 활용해 피해자의 근처에 있는 사물인터넷들로부터 데이터를 마구 전송할 수 있게 된다.

이런 식의 반사 증폭 공격은 “효율이 매우 높다”고 A10 네트웍스 측은 설명한다. “그렇기 때문에 디도스 공격의 주류 기법으로 올라선 것이겠죠.” 또한 이러한 반사 증폭 공격을 실시하게 해주는 도구들은 대부분 베트남, 브라질, 미국, 한국, 중국에서 발견되기도 했다. “앞으로 5G 네트워크가 도입되면서 사물인터넷 장비가 늘어날 것으로 전망되기 때문에, 이런 식의 IoT 기반 디도스 공격은 계속해서 증가할 것이 분명합니다.”

모바일 생태계도 문제다. A10 네트웍스는 보고서를 통해 “2019년 말부터 모바일 장비를 통한 디도스 공격이 심각한 수준으로 급상승하기 시작했다”고 경고했다. 특히 통신사들에 디도스 무기를 호스팅한 사례가 점점 늘어나고 있는데, 중국의 광동 모바일 커뮤니케이션(Guangdong Mobile Communication Co.)이 반사 증폭 공격에 가장 많이 활용되는 것으로 나타났다. 멀웨어에 감염된 드론을 가장 많이 보유한 건 브라질의 모바일 기업인 클라로(Claro)였다.

또한 자율 시스템 번호(autonomous system number, ASN)나 IP 주소 범위와 관련된 공격 트렌드를 분석해보니, 디도스 무기를 가장 많이 호스팅 한 건 광동 모바일 커뮤니케이션, 차이나넷(Chinanet), 한국의 KT인 것으로 나타났다.

3줄 요약
1. 디도스 공격, 점점 모바일로 확대되고 있음.
2. 사물인터넷 장비의 WS-디스커버리 프로토콜을 악용하는 사례도 급증하는 중.
3. 인터넷 잘 되는 나라에서 디도스 공격 출발하는 사례 많고, 한국도 그 중 하나임.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

문가용기자 기사보기

• “
•  SNS에서도 보안뉴스를 받아보세요!! 
• ”

• 조회순
• 추천순
• 스크랩순

• 1

  인공지능의 자원 소모 문제, 이제는 직시해야...

• 2

  라자루스·안다리엘·김수키까지 北 해커조직 총...

• 3

  EvilQueen 해커조직, 온라인 쇼핑몰 ...

• 4

  [이슈인터뷰] 과기정통부 심주섭 과장 “상반...

• 5

  ‘2024년 과학기술·정보통신의 날’ 기념식...

• 1

  사이버 보안 전문가 자격을 나라에서 직접 주...

• 2

  VPN 겨냥한 비밀번호 분사 공격 유행하고 ...

• 3

  EvilQueen 해커조직, 온라인 쇼핑몰 ...

• 4

  인공지능의 자원 소모 문제, 이제는 직시해야...

• 5

  [보안 상장기업 주간 주가동향] 시장 기대치...

• 1

  한국형 전투기 KF-21 자료 유출하려다 걸...

• 2

  집 앞에 우편물 도착안내서가? 신종 보이스피...

• 3

  국가정보원, 국정원장 사칭 이메일 유포 주의...

• 4

  에스원, 출력물보안 서비스로 인쇄 출력물 통...

• 5

  2023년 가장 주목받은 사이버 위협 커뮤니...