LDAP DDoS 공격은 경량 디렉토리 엑세스 프로토콜의 약자로 사이버 위협이 내재되어 있는 환경에서 새로운 유형의 공격이며, DDoS 공격에서 악용될 수 있는 요소를 갖추고 있는 것으로 밝혀졌다.

LDAP은 네트워크에서 광범위한 디렉토리 정보를 접근하고 유지할 수 있도록 하는 개방형 표준 어플리케이션 프로토콜을 말한다.

지난 10월 30일에 DDoS 솔루션 제공업체인 Corero Network Security(코레로 네트워크 시큐리티)의 전문가들은 실제 침해사고 환경에서 LDAP DDoS 공격이 악용되는 것을 확인했다고 전했다.

해당 공격은 CLDAP 제로데이 취약점을 노렸으며, 유사한 공격들이 지난 주에 확인됐다. 또한 전문가들은 해당 방식이 온라인 상에서 해커가 유용하게 활용 할 수 있는 무기 중 하나 될 것이라고 예측했다.

LDAP 프로토콜의 악용은 증폭율을 46배로 특정 환경에서는 55배에 달하는 최고치에 달할 것으로 예상된다.

코레로의 전문가들은 공격자들이 위조된 주소(피해자 IP주소) 비연결성 LDAP 서비스를 지원하는 취약한 리플렉터로 요청을 보낼 수 있다고 설명하고 있다.

이 경우 CLDAP 서비스에서는 당연하게도 원본 쿼리보다 훨씬 더 커진 사이즈의 응답을 피해자(스푸핑된 IP주소)에게 전송하게 된다.

코레로의 블로그에서는 다음과 같이 언급하고 있다. “이 공격의 경우, 공격자가 CLDAP 서비스를 지원하는 취약한 리플렉터에 간단한 쿼리를 보내고 해당 쿼리가 예정된 희생자에게서 온 것으로 보이도록 주소 스푸핑을 사용한다. CLDAP 서비스에서는 스푸핑된 주소에 응답을 보내는데, 공격자의 타깃에게 원치 않은 네트워크 트래픽을 보낸다”고 설명한다.

또한 코레로 전문가는 “증폭 기술은 공격의 공격자가 공격 규모를 확장할 수 있도록 만들어 준다. LDAP 서버를 통해 발생한 응답은 공격자의 쿼리보다 훨씬 크기 때문이다. 이때 LDAP 서비스 응답은 아주 높은 대역까지 뻗칠 수 있으며 우리는 평균 증폭률이 46배이고 최고치가 55배인 것을 본 적이 있다”고 언급했다.

전문가들은 LDAP DDoS 공격은 심각한 피해를 발생시킬 수 있으며 전문가들은 다량의 트래픽에서 초당 수천 테라비트까지 이를 수 있다고 확신한다.

코레로 네트워크 시큐리티 CTO겸 COO인 Dave Larson은 “IoT 봇넷 같은 방식과 결합한다면 우리는 오래지 않아 공격이 엄청난 충격을 선사하는, 상상조차 하기 힘든 규모에 도달하는 것을 볼 수 있을 것이다. 테라비트 규모의 공격은 조만간 현실이 될 것이며 인터넷 가용성에 엄청난 충격을 선사할 것이다. 특정 지역에서는 가용성이 저하되는 일마저 발생할 것”이라고 경고했다.

이에 대해 KrCERT 침해사고대응단 상황관제팀은 “최근 IoT 봇넷을 이용한 Dyn의 1.2Tbps급의 DDoS 공격 사례로 보아 IoT 장비의 보안이슈 및 취약점에 대한 국가차원의 예방 및 조치가 시급하다”며 “추후 IoT를 악용한 DDoS공격 사례를 통해 사물인터넷기기 모니터링 시스템 구축 및 악성코드 감염기기 치료법 등 구체적인 방안 모색이 필요하다”고 강조했다. 

★정보보안 대표 미디어 데일리시큐!★