DDoS 공격은 대량의 좀비 PC를 활용해 타깃 사이트가 감당할 수 없는 트래픽 공격으로 결국 사이트를 마비시키는 공격이다.
 
하지만 우리는 몇 대의 PC로도 DoS 공격이 가능하다는 것을 간과하고 있다. Qualys Security Labs 보안전문가 Sergey Shekyan은 지난해 말 ‘Slow HTTP DoS’라는 개념을 통해 단 몇 대의 PC로 웹사이트를 셧다운 시킬 수 있다는 것을 증명해 보였다.
(관련 사이트=community.qualys.com/blogs)
 
그가 말하는 ‘Slow’라는 방법은 한 서버가 HTTP를 요청하는데 있어 아주 느리게 반응하도록 한다는 것이다. 이러한 공격 방법을 사용한다면 DoS 공격을 위해 많은 좀비PC가 필요치 않다.
 
그는 이 공격 방법을 다음과 같이 설명한다. “햄버거 가게를 상상해 보라. 한 고객이 점원 앞에서 햄버거를 주문하는데 오랜 시간이 걸린다면 뒤에 줄을 선 고객들은 엄청난 불만이 생길 것이고 이는 가게 비즈니스에 큰 타격을 주게 된다”며 “만약 주문하기 전에 미리 햄버거 종류를 결정하라는 표시가 있다면 더욱 빠르게 주문이 진행될 것이다. 하지만 한 고객이 수백개의 햄버거를 주문했다고 가정해보자. 그 라인은 다시 긴 줄로 변할 것이다. 왜냐하면 수백개 햄버거를 주문한 고객이 자신의 차로 가져갈 수 있는 햄버거의 수는 고작 5개 정도다. 그 동안 뒷줄의 고객들은 기다릴 수밖에 없다. 이 상황은 미리 주문할 햄버거를 결정했다 하더라도 해결될 문제가 아니다. 이 슬로우 공격은 이와 같은 방식의 공격이다”라고 설명했다.
 
그는 이러한 공격은 인기 웹서버 소프트웨어인 아파치의 디폴트 구성에 있어서는 치명적이라고 말한다. 또한 Nginx HTTP 서버와 Lighttpd 웹서버의 취약점이라고 밝혔다.
 
이 공격은 인터넷 TCP의 특성을 공격한 것으로, 타깃 서버가 서버의 반응들을 느리게 읽도록 네트워크 접속을 만드는 방식이다.
 
슬로우 리드 공격(The Slow Read attack)은 Shekyan이 개발한 오픈소스 ‘slowhttptest tool’로 가능하며 기존 슬로우 공격(Slowloris)과는 다른 접근방식을 취하고 있다.
 
기존 ‘Slowloris’ 공격방식은 2009년 이란 대통령 선거에 항거하기 위해 이란 정부 사이트를 공격했던 방식으로 HTTP 요청을 일부만 받도록 해 웹서버 네트워크 포트들을 차단하도록 하는 방식이었다.
 
반면, 슬로우 리드 공격방식은 완전한 요청을 서버에 보낸다. 하지만 그것을 아주 느리게 읽도록 해서 서버가 반응할 수 없도록 만드는 방식이다. 여기에는 TCP 프로토콜의 알려진 취약점이 사용되며 이를 통해 공격자는 데이터의 흐름을 통제할 수 있고 전송을 느리게 할 수 있다.
 
그는 이 공격에 대책으로 웹서버의 구성 룰을 다시 설정함으로써 방어할 수 있다고 한다. 비정상적으로 작은 데이터의 접속을 거부하고 개인이 요청할 수 있는 시간을 제한하도록 설정해야 한다는 것이다.   
[데일리시큐=길민권 기자]