> 뉴스 > 뉴스 > 보안
  • 트위터
  • 페이스북
  • 구플러스
  • 네이버밴드
  • 카카오스토리
     
“5G 이용 하이퍼스케일 디도스 등장할 것”
A10네트웍스 ‘1분기 디도스 무기 현황 보고서’…스마트 에너지 지원 IoT 기기, 공격에 악용
2019년 04월 18일 16:44:13 김선애 기자 iyamm@datanet.co.kr

스마트 에너지, 빌딩 자동화를 지원하는 IoT 기기가 디도스 공격에 이용될 수 있다는 경고가 나왔다. 또한 4G보다 100배 빠른 5G 통신 기술이 현실화되면서 급증하는 IoT 기기를 이용한 ‘하이퍼스케일(Hyperscale)’ 규모의 디도스도 등장할 수 있다는 지적도 나왔다.

A10네트웍스의 ‘전 세계 디도스 무기 현황보고서 2019년 1분기’에서는 ‘IoT는 디도스 봇넷의 온상’이라고 표현하며 IoT 보안 위협을 경고했다. 5G는 기하급수적으로 높아지는 데이터 속도와 낮은 지연시간을 토대로 급속한 확장을 가능하게 하는 주 동력원이 될 것이다. 서비스 제공업체는 이러한 위협 증가에 따라 빠르게 진화하고 지능적인 자동화를 채택해 몇 초 안에 보안 이상을 감지하고 완화해야 한다.

빠른 서비스 위해 IoT 보안 강도 약화해 공격 증가

IoT 업계에서는 빠른 서비스 출시를 위해 IoT 보안 강도를 약화했고, 수백만개의 IoT 장치가 쉽게 무기화 될 수 있다. 새로운 공격에 사용되는 CoAP(Constrained Application Protocol) 프로토콜은 UDP를 기반으로 하는 M2M 관리 프로토콜이며, 스마트 에너지 및 빌딩 자동화와 같은 응용 프로그램을 지원하는 IoT 장치에 배포된다. CoAP는 TCP와 UDP 모두에 대해 구현되는 프로토콜이며 작은 요청에 대해서 대용량 응답을 요구해야 하는 상황에서 인증을 요구하지 않아 디도스 공격에 이용될 수 있다.

보고서에서는 디도스 공격 빈도와 강도가 높아지고 있으며, 정교하게 설계된 공격도 증가하고 있다고 설명했다. 그러나 봇넷과 취약점을 가진 서버를 용해 대규모 볼륨공격을 수행하는 전통적인 방법은 변하지 않았다고 덧붙였다.

예를 들어 증폭반사공격은 디도스 볼륨공격으로 사용된다. 이 공격은 인터넷 상에 실수로 잘못 설정된 공개 서버로 스푸핑 된 UDP 기반 요청을 보내는 것으로, 스푸핑된 희생자 IP 주소를 가진 소량의 요청을 노출된 서버로 전송한다. 서버는 무의미한 희생자에게 크게 증폭된 응답을 가지고 응답한다.

잘못 설정된 공개 서버는 공격을 증폭시킬 수 있는 서비스를 제공할 수 있기 때문에 증폭 반사 공격 대상이 된다. 이러한 증폭 반사 공격을 위해서 여러 서비스를 활용할 수 있는데, 가장 일반적인 유형은 전 세계 수 백 만개 이상 공개 노출된 DNS, NTP, SSDP, SNMP, CLDAP UDP 기반 서비스를 활용하는 것이다. 이러한 공격으로 인해 멤캐시드(Memcached) 기반 깃허브로 1.3Tbp의 기록적인 대규모 공격이 발생했으며 디도스 공격의 대부분을 차지했다.

   

▲ A10네트웍스 ‘전 세계 디도스 무기 현황보고서 2019년 1분기’ 주요 통계

디도스 무기 정보·취약 서버 탐지해 디도스 방어

실용적인 디도스 무기 정보는 디도스 봇넷과 디도스 공격에 일반적으로 사용되는 취약한 서버 IP 주소에 대한 정확한 통보를 기반으로 블랙리스트를 작성해 선제적으로 디도스를 방어할 수 있다.

APT 공격은 탐지를 방지하기 위해 난독화(Obfuscation)를 사용하지만 디도스 공격은 대규모로 분산된 봇넷을 이용한다. 따라서 디도스 방어를 위해서는 공격자의 무기 위치에 초점을 맞춰 적극적인 방어 기법을 취해야 할 필요가 있다.

이 기간 동안 발견된 디도스 공격 무기 중 반사 증폭 무기(Reflected Amplification Weapons)는 UDP 프로토콜의 취약점을 이용, 대상IP 주소를 스푸핑한다. 서버로 요청을 할 경우 반사되는 응답(Reflected responses)을 하는 서버의 취약점을 악용한다. 이 전략은 초기 요청보다 훨씬 큰 볼륨의 서버 응답을 생성케 해 공격을 증폭시킨다.

디도스에 사용되는 봇넷 무기는 봇 허더(Bot herder)로 컨트롤하는 멀웨어를 사용해 컴퓨터, 서버, IoT 장치를 빠르게 감염시킨다. 감염된 장치는 봇넷으로, 상태 유지(Stateful) 비 상태 유지(Stateless) 기반 볼륨 네트워크 공격과 애플리케이션 공격을 위해서 사용된다.

A10네트웍스는 디도스 무기 정보와 실시간 위협 탐지, 자동화된 시그니처 추출 기능을 결합하면 조직은 여러 지역에서 발생하는 대규모 볼륨의 멀티벡터 공격도 방어 할 수 있다고 설명한다. 이어 A10네트웍스와 파트너 보안 연구원이 공격 스펙트럼 전체에서 디도스 보호를 달성할 수 있는 토합 시스템을 제공한다고 설명했다. 

김선애 기자의 다른기사 보기  
ⓒ 데이터넷(http://www.datanet.co.kr) 무단전재 및 재배포금지 | 저작권문의  

     

인기기사

  A10네트웍스, 디도스, 보고서, 5G, IoT, 보안
가장 많이 본 기사
인사·동정·부음
전체기사의견(0)  
 
   * 200자까지 쓰실 수 있습니다. (현재 0 byte/최대 400byte)
   * 욕설등 인신공격성 글은 삭제 합니다. [운영원칙]
전체기사의견(0)
사명: (주)화산미디어 | 주소: 서울시 강남구 강남대로 124길 26 유성빌딩 2층 | 전화: 070-8282-6180 | 팩스: 02-3446-6170
등록번호: 서울아03408 | 등록년월일: 2014년 11월 4일 | 발행년월일: 2003년 12월 17일 | 사업자등록번호: 211-88-24920
발행인/편집인: 정용달 | 통신판매업신고: 서울강남-01549호 | 개인정보관리 및 청소년보호 책임자: 박하석 | 호스팅 사업자: (주)아이네임즈
Copyright 2010 데이터넷. All rights reserved. mail to webmaster@datanet.co.kr