Home > 전체기사

디도스 공격, 사물인터넷과 모바일로 넘어가는 중

  |  입력 : 2020-03-16 09:48
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
공격 도구 호스팅 된 곳은 중국, 미국, 한국, 인도 등...인터넷 인프라 좋은 곳
사물인터넷 장비들의 잘못된 설정 통해 트래픽 쏟아내는 공격 늘어나


[보안뉴스 문가용 기자] 사이버 범죄자들이 공격 전략을 시시때때로 바꾼다는 건 잘 알려져 있다. 그러한 변화 속에서도 꾸준히 살아남는 공격 기법이 하나 있는데, 바로 디도스다. 변화가 있다면 모바일과 사물인터넷 장비를 노린 디도스 공격이 증가하고 있다는 것이다.

[이미지 = iclickart]


보안 업체 A10 네트웍스(A10 Networks)는 600만 개의 디도스 공격용 무기들을 추적 및 분석해 ‘디도스 무기와 공격 경로(DDoS Weapons and Attack Vectors)’라는 보고서를 발표했다. 어떤 무기들이 사용되고 있으며, 공격의 발현지가 어디이고, 어떤 서비스들이 익스플로잇 되고 있으며, 어떤 기술들이 유행하고 있는지가 상세하게 기술되어 있다.

디도스 무기들은 전 세계 곳곳에 퍼져 있는 것으로 나타났다. 하지만 인터넷 연결성이 좋은 국가들에서 디도스 공격이 시작되는 사례가 가장 많았다(2019년 4사분기 기준).
1) 중국 : 739223건
2) 미국 : 448169건
3) 한국 : 440185건
4) 인도 : 268864건
5) 러시아 : 253609건
6) 대만 : 199656건

디도스 공격에서 가장 많이 활용되고 있던 건 SNMP와 SSDP 프로토콜이었다. 이 두 가지 프로토콜은 역사와 전통을 자랑하는 디도스 공격의 원천으로, 지난 4사분기 동안 SNMP를 무기화한 경우가 140만 건, SSDP를 무기화 한 경우가 120만 건인 것으로 나타났다. 그 다음은 이른바 ‘WS-디스커버리(WS-Discovery)’라는 이름의 공격이 많이 나타났다. 1, 2위는 예전부터 존재해왔던 디도스 공격 기법의 강자라면 WS-디스커버리는 갑자기 3위로 뛰어오른 공격 수단이라고 한다.

A10 네트웍스 측은 “이러한 현상이 나타나는 건, 설정이 잘못된 사물인터넷 장비를 통해 디도스 공격을 증폭시키는 기술이 공격자들 사이에서 크게 인기를 끌고 있기 때문”이라고 분석하고 있다. 이를 ‘반사 증폭(reflected amplification)’이라고도 부르는데, “공격자들이 WS-디스커버리 프로토콜을 기반으로 한 사물인터넷 장비가 점점 더 늘어나고 있다는 사실을 인지하고 있다”는 것이다.

WS-디스커버리는 UDP를 기반으로 한 멀티캐스트 통신 프로토콜로, 인터넷에 연결된 서비스들을 자동으로 탐지해내는 기술이다. IP 출처 확인을 실시하지 않으며, 따라서 공격자들이 피해자의 IP 주소를 스푸핑하기 쉬운 구조를 가지고 있다는 게 문제다. 공격자들은 이 점을 활용해 피해자의 근처에 있는 사물인터넷들로부터 데이터를 마구 전송할 수 있게 된다.

이런 식의 반사 증폭 공격은 “효율이 매우 높다”고 A10 네트웍스 측은 설명한다. “그렇기 때문에 디도스 공격의 주류 기법으로 올라선 것이겠죠.” 또한 이러한 반사 증폭 공격을 실시하게 해주는 도구들은 대부분 베트남, 브라질, 미국, 한국, 중국에서 발견되기도 했다. “앞으로 5G 네트워크가 도입되면서 사물인터넷 장비가 늘어날 것으로 전망되기 때문에, 이런 식의 IoT 기반 디도스 공격은 계속해서 증가할 것이 분명합니다.”

모바일 생태계도 문제다. A10 네트웍스는 보고서를 통해 “2019년 말부터 모바일 장비를 통한 디도스 공격이 심각한 수준으로 급상승하기 시작했다”고 경고했다. 특히 통신사들에 디도스 무기를 호스팅한 사례가 점점 늘어나고 있는데, 중국의 광동 모바일 커뮤니케이션(Guangdong Mobile Communication Co.)이 반사 증폭 공격에 가장 많이 활용되는 것으로 나타났다. 멀웨어에 감염된 드론을 가장 많이 보유한 건 브라질의 모바일 기업인 클라로(Claro)였다.

또한 자율 시스템 번호(autonomous system number, ASN)나 IP 주소 범위와 관련된 공격 트렌드를 분석해보니, 디도스 무기를 가장 많이 호스팅 한 건 광동 모바일 커뮤니케이션, 차이나넷(Chinanet), 한국의 KT인 것으로 나타났다.

3줄 요약
1. 디도스 공격, 점점 모바일로 확대되고 있음.
2. 사물인터넷 장비의 WS-디스커버리 프로토콜을 악용하는 사례도 급증하는 중.
3. 인터넷 잘 되는 나라에서 디도스 공격 출발하는 사례 많고, 한국도 그 중 하나임.

Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 6개월 2021년7월1~12월31일 까지엔사인 파워비즈 2021년6월1일~11월30일 까지2021 전망보고서위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2021년 주요 보안 위협 트렌드 가운데 올해 말까지 가장 큰 위협이 될 것으로 전망되는 트렌드 한 가지만 꼽아주신다면?
산업 전반에 영향 미치는 타깃형 랜섬웨어 공격 증가
다크웹/딥웹 등을 통한 기업 주요 정보 유출 및 판매 피해 급증
북한/중국/러시아 등 국가지원 해킹그룹의 위협 확대
코로나 팬더믹 등 사회적 이슈 악용한 사이버 공격
서드파티 SW나 조직 인프라 솔루션을 통한 공급망 공격 증가
업무 메일로 위장한 정보유출형 악성코드 활개
기타(댓글로)