2024-03-28 18:20 (목)
깃허브, 1.35테라 규모 DDoS 공격 받아...역사상 가장 큰 공격
상태바
깃허브, 1.35테라 규모 DDoS 공격 받아...역사상 가장 큰 공격
  • 길민권 기자
  • 승인 2018.03.05 15:10
이 기사를 공유합니다

sever-3100049_640.jpg
깃허브(Github)를 타깃으로 순간 트래픽이 1.35테라bps에 달하는 DDoS 공격이 발생했다. 이는 지금까지 발생했던 DDoS 공격들 중에서 가장 큰 규모의 DDoS 공격으로 조사됐다.

지난 2월 28일 오후 12시 15분 대규모 디도스 공격이 시작되면서, 깃허브는 공격을 저지하려 노력했지만 간헐적으로 사이트가 끈기는 현상이 발생했다. 10분 내, 깃허브는 DDoS 보안장비업체인 아카마이에 도움 요청을 했으며, 8분 뒤 공격자는 공격을 철회했다.

이번 공격으로 사이버 공격 규모가 점점 커지고 있다는 것을 알 수 있다. 작년에 DNS 서비스 업체인 Dyn이 받은 DDoS 공격과 비교해 볼 수 있는데, 당시 공격의 순간 트래픽은 1.2테라bps였다.

깃허브가 공격 받은 후 아카마이 관계자는 "방어 장비를 설계할 때 지금까지 발생했던 DDoS 공격의 5배로 설계했기 때문에, 이번 공격을 막을 수 있다고 자신했다. 하지만 순간 트래픽이 1.5테라bps 이상인 공격은 한번도 본 적이 없다"고 말했다.

아카마이는 이번 공격에 대응하기 위해 여러 방법을 사용했다. DDoS 장비 이외에 최근 새롭게 개발한 '멤캐시드(Memcached)' 서버 DDoS 공격에 대응하는 수단을 사용한 것이다.

네트워크 속도를 향상시키는 멤캐시드 서버는 원래 공용 네트워크에 공개되면 안된다. 왜냐하면 모든 사람들이 쿼리를 날릴 수 있고, 그 쿼리에 대한 모든 답을 멤캐시드가 해주기 때문이다. 하지만 현재 네트워크상에 10만대가 넘는 기업과 중소형 멤캐시드 서버가 어떠한 보호장치가 되어있지 않은 채 노출되어 있다. 이는 즉, 공격자가 멤캐시드를 이용하면 매우 규모가 큰 공격이 가능하게 되는 것이다.

이번 공격이 다른 DDoS 공격과 다른 점은 멤캐시드 DDoS 공격은 봇넷이 필요하지 않다는 점이다.

공격자는 피해자의 IP와 매칭 되는 스푸핑 된 IP 주소를 사용해 타깃 멤캐시드 서버 포트 11211로 위조 된 요청을 보내는 방식을 사용한다. 이러한 쿼리는 가장 최대폭의 응답을 받을 수 있도록 설계된다. 그렇기 때문에 매 멤캐시드 시스템은 쿼리에 대한 50배가 넘는 응답을 하게 된다.

이러한 DDoS 공격 방식을 'Amplification Attack'이라고 하는데, 이 방식의 공격은 처음이 아니다. 네트워크 업체들은 최근 몇 주 동안 멤캐시드 DDoS 공격이 점점 많이 발생하고 있다고 밝혔으며, 모든 멤캐시드 서버에서 발생하는 패킷들을 차단했다고 밝혔다.

깃허브는 블로그를 통해 “이 공격은 수 만개의 고유한 엔드포인트에서 수 천개의 서로 다른 ASN(자율 시스템)을 통해 발생했다. 멤캐시드 기반 접근 방식을 사용했으며, 초당 1억개가 넘는 패킷을 이용해 1.35Tbps를 기록했다”고 밝혔다.

보안전문가들은 앞으로 더욱 강력한 DDoS 공격이 이루어질 것으로 예상하고 있다. 또 증폭 공격은 새로운 것은 아니지만, 이 공격 벡터는 수 천대의 잘못 구성 된 멤캐시드 서버들을 사용하도록 발전 되었다. 이들 중 많은 서버들은 아직도 인터넷 상에 노출 되어 있으며, 또 다른 대규모 공격에 악용될 수 있다고 경고하고 있다.

한편 멤캐시드 서버가 악용 되는 것을 예방하기 위해서는 방화벽을 설치하거나 포트 11211로부터의 UDP를 차단하거나 속도를 제한하고 사용하지 않을 경우 UDP 지원을 완전히 비활성화 해 둬야 한다고 조언한다. [정보. 이스트시큐리티]

★정보보안 대표 미디어 데일리시큐!★


■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★