DDos의 새로운 기법

최근 보안 관련 최대 이슈는 단연 DDoS(Distributed Denial of Service).

올해 국내에서도 유명포털, 금융사, 쇼핑몰, 게임사이트 등이 DDoS 공격으로 인한 피해를 입었다. 특히 DDoS 공격을 돈벌이로 이용하는 사례가 늘어나면서 기업들에게 더욱 위협적인 요소가 되고 있다.

과거의 DDoS 공격은 많은 양의 트래픽을 생성하여 네트워크 자원을 고갈시키는 것에 초점이 맞추어져 있었다. 그러나 최근 공격은 적은 양의 트래픽으로 공격 대상을 서비스 불가능 상태로 만들어버리는 방법에 초점이 맞추어져 있다.

 

또한 새롭고 복합적인 공격이 지속적으로 출현하면서 보안 담당자들을 곤혹스럽게 만들고 있다.
이 글에서는 지난 10월 한국침해사고대응협의회 주최로 열린 ‘Anti-DDoS 대작전’ 세미나에서 소개된 DDoS 신종 공격 기법에 대해 소개하고자 한다.

CC (Cache Control) 공격

CC 공격은 HTTP User-agent 헤더에 Cache-Control 값을 비정상적으로 조작하여

직접 공격대상의 URL을 호출하는 방법을 이용한 것이다.
Cache-Control은 웹 페이지의 캐싱을 위해 정의되는 값으로 보통 서버가 클라이언트에게 페이지를 제공할 때 캐싱을 요청하기 위해 사용되며 클라이언트가 서버에게 페이지를 요청할 때는 통상적으로 사용되지 않는 값이다.

 

하지만 RFC 문서에서는 클라이언트와 서버 측 모두 사용되어 있도록 정의되어있다.

클라이언트가 서버에게 페이지를 요청할 때 캐싱을 요청하지 않으면 해당 서버는 비정상적으로 동작하여 서비스 불능 상태에 빠질 수 있다.
현재 대부분의 DDoS 공격 도구들이 CC 공격을 지원하며 간단한 쉘 프로그래밍으로도 쉽게 공격이 가능하다.

HTTP 파이프라인(Pipeline) 공격

HTTP 파이프라인 공격은 웹 서버 자원을 고갈시키는 방법으로 이용되고 있다.
HTTP 파이프라인은 다수의 HTTP 요청(Request)를 하나의 소켓에 전송하는 방법으로

HTTP/1.1에서 처음 지원된 기술이다.

이 방법을 사용하면 페이지 로딩 시간을 줄일 수 있다.

 

또한 다수의 요청을 하나의 패킷에서 처리하므로 전체 네트워크 대역폭을 줄일 수 있다.

일반적으로 이 기술을 사용하지 않아도 웹을 사용하는 것에는 큰 지장이 없기 때문에

실제 IE 7.0과 같은 브라우저는 이 기술을 사용하지 않고 있다.

하지만 다수의 HTTP 파이프라인 패킷은 웹 서버 자원을 고갈시키는데 사용될 수 있다.

최근에 실제로 이러한 기술을 악용하는 공격이 발견되었으며

정상적인 요청과 유사하기 때문에 DDoS 공격 여부를 판단하기가 쉽지 않다.

PDoS(Permanent DoS) 공격

PDoS는 네트워크를 기반으로 하는 펌웨어(Firmware)를 원격 업데이트 할 때

그 안에 악성 소프트웨어를 삽입시켜 목표 시스템을 다운시키는 서비스 거부 공격 방법이다.
이 기법은  “Phlashing”이라고도 알려져 있으며 지난 6월 유럽공동체 보안 회의(EUSecWest Security Conference)에서 HP의 시스템보안 연구소장인 리치 스미스(Rich Smith)씨가 시연해 보임으로써 공개된 것이다.

만약 펌웨어 업데이트 도중 악성코드가 삽입되면 이 악성코드는 펌웨어 이미지 및 하드웨어에 영구적인 손상을 입게 된다.

아직은 이론적인 상태로만 증명된 방법이지만 앞으로는 거의 모든 기기가 펌웨어를 내장할 것이기 때문에 그 영향이 갈수록 증가할 것으로 전망된다.

그러나 PDoS의 공격 목표는 기존의 DDoS가 지향하는 공격 목적과는 약간 다르다.

DDoS 공격은 그 공격 대상을 서버 또는 애플리케이션으로 삼는데 반해서 펌웨어를 업데이트하는 모든 기기 자체를 대상으로 삼고 있다.

 

또한 금전적 목표보다는 사용기기를 사용 불능상태로 빠트리는 것이 주요 목적을 두고 있다고 보여진다.
따라서 PDoS 공격을 방어하기 위해서는 원격 업데이트시 제공자와 소스의 신뢰도 확인이 반드시 필요하다.

특히 사회공학적 수법을 이용하는 악성정보에 현혹되지 않도록 주의해야 한다.