미국 연방 수사국(이하 FBI)가 네트워크 프로토콜을 악용하는 대규모 분산 서비스 거부 공격(이하 DDoS)에 대해 경고하고 나섰다.
이번에 FBI가 경고한 DDoS 공격은 ▲CoAP(Constrained Application Protocol) ▲WS-DD(Web Services Dynamic Discovery) ▲ARMS(Apple Remote Management Service)의 3가지 네트워크 프로토콜과 젠킨스(Jenkins) 웹 애플리케이션을 악용한다.
우선 CoAP 프로토콜은 낮은 사양의 IoT 기기에 사용되는 프로토콜이다. 트렌드마이크로에 따르면 CoAP 프로토콜은 IP 스푸핑에 취약하며, 최대 32x의 증폭 계수를 가져 해커들이 이를 DDoS 공격에 악용할 수 있다. 특히 지난 2019년을 기준으로 대부분의 CoAP 장치는 중국에 위치하고 있는 것으로 나타났다.
다음으로 WS-DD 프로토콜은 주로 카메라, 프린터 등에 사용되는 프로토콜이다. 이 프로토콜을 통하면 DDoS 공격은 최대 100배까지 증폭될 수 있고, 현재까지 관찰된 WS-DD 공격 중 일부는 초당 350 기가비트 규모를 넘어선 것으로 알려져 있다.
ARMS는 애플의 원격 PC 제어(MAC) 기능을 활성화 할 때 사용되는 프로토콜이며, 이 서비스는 3283 포트에서 원격 애플 디바이스로 들어오는 명령을 수신하는데, 해커는 이를 악용해 DDoS 공격을 증폭할 수 있다.
마지막으로 젠킨스란, 소프트웨어 개발을 위한 오픈소스 자동화 서버다. 보안 기업 라드웨어(Radware) 연구진에 따르면 해커는 인터넷에 연결된 1만 2천 개 이상의 젠킨스 서버를 DDoS 공격에 악용할 수 있고, 공격은 100배까지도 증폭될 수 있다.
FBI는 사이버 범죄자들이 해당 프로토콜을 지속적으로 악용할 것이라며, 다음과 같은 조치를 통해 DDoS 공격을 완화하고 예방할 것을 당부했다.
- DDoS 공격을 완화할 수 있는 보안 서비스에 등록할 것
- 현지 ISP(인터넷 서비스 제공 업체)와 협력해 네트워크를 공격하는 트래픽을 제어할 것
- 모든 네트워크 장치, 특히 IoT 장치의 기본 사용자 이름과 비밀번호를 변경할 것.
- 네트워크 장치들의 기본 사용자 이름 또는 암호를 변경할 수 없는 경우, 해당 장치에 인터넷 액세스를 제공하는 장치가 강력한 암호와 다단계 인증 혹은 종단 간 암호화와 같은 다계층 보안으로 보호되고 있는지 확인할 것
- 승인되지 않은 IP 주소를 차단하고, 포트 전달 비활성화하며, 네트워크 방화벽을 구성할 것
- 모든 네트워크 장치의 버전이 최신 상태인지 확인하고, 최신 보안 패치를 설치할 것
*이 기사는 글로벌 정보 보안 블로그 ‘시큐리티 어페어즈(Secutiry Affairs)’의 설립자이자 유럽네트워크정보보안기구(ENISA) 소속 보안 전문가 피에루이지 파가니니(Pierluigi Paganini)와의 공식 파트너십을 통해 작성되었습니다.
