![퀘이사존](https://img2.quasarzone.com/editor/2024/07/08/d5b1cbf1e2de6cc54bfbf1fafab15cdc.webp)
지난 4월, 대용량 라우터 그룹이 납치되어 클라우드 제공업체에 기록적인 DDoS 공격을 가한 것으로 보입니다.
이번 공격은 프랑스에 본사를 둔 OVHCloud를 대상으로 하여 초당 8억 4천만 패킷에 도달했습니다. 이 숫자는 2020년에 해커가 유럽의 은행을 공격하려 했을 때 DDoS 보호 제공업체인 아카마이가 경험한 초당 8억 9백만 패킷(Mpps) 공격을 능가합니다.
DDoS 공격은 인터넷 서비스를 트래픽으로 압도하여 온라인 상태를 유지할 수 없게 만듭니다. 수년에 걸쳐 사이버 범죄자들은 초당 테라비트의 데이터 또는 수백만 건의 요청을 소환할 수 있는 다양한 방법으로 DDoS 공격을 실행해 왔습니다.
OVHCloud의 경우, 공격자는 단순히 사용 가능한 대역폭을 고갈시키는 것이 아니라 웹 속성의 네트워킹 장치에 대한 패킷 처리 엔진을 과부하시키는 "패킷 속도 공격"을 활용했습니다.
![퀘이사존](https://img2.quasarzone.com/editor/2024/07/08/8c0ce20cdfdffb1cf08250618fac81ae.webp)
"일반적인 아이디어는 대상 서비스 앞에 있는 인프라(예: 로드 밸런서, DDoS 방지 시스템 등)를 마비시켜 큰 인프라에 부수적인 피해를 입히는 것입니다. 간단히 말해, DDoS 방지 시스템의 허점을 찾으려고 하는 대신, 그것들을 무너뜨리는 것입니다."라고 OVHCloud는 말했습니다.
대부분의 패킷 속도 공격은 많은 컴퓨팅 파워가 필요하기 때문에 보통 100Mpps 이하로 진행됩니다. 하지만 지난 18개월 동안 OVHCloud는 100Mpps를 넘는 패킷 속도 공격의 증가를 감지했습니다. "우리는 매주 몇 건씩 완화하던 것에서 매주 수십 또는 수백 건까지 완화하게 되었습니다."라고 회사는 밝혔습니다.
4월에 발생한 초당 840Mpps에 달하는 공격은 5,000개의 IP 주소에서 시작되었습니다. OVHCloud는 공격이 무엇을 목표로 했는지 밝히지 않았지만, 충분한 인터넷 용량을 확보하여 공격을 방어할 수 있었다고 전했습니다.
공격의 출처를 조사하기 위해 OVHCloud는 100Mpps에서 500Mpps 범위의 DDoS 공격을 분석했습니다. 그 결과, 일부 활동이 고용량 MikroTik 라우터 그룹에서 비롯되었을 가능성을 추적했습니다.
OVHCloud는 MikroTik 라우터가 과거에 취약점으로 고통받았음을 지적했습니다. 많은 영향을 받은 장치들은 HTTP를 통해 공개적으로 접근 가능한 인터페이스로 운영되고 있습니다. 또한 OVHCloud는 현재 온라인 상태이며 높은 패킷 속도 공격을 실행할 수 있는 99,382개의 MikroTik 라우터가 존재한다는 증거를 발견했습니다.
"이 장치들이 왜 DDoS 공격에 연루되었는지 아직 확실하지 않지만, 하나의 가설은 RouterOS의 '대역폭 테스트' 기능일 수 있습니다."라고 회사는 덧붙였습니다. "이 기능은 관리자가 패킷을 제작하고 스트레스 테스트를 수행하여 라우터의 실제 처리량을 테스트할 수 있게 합니다."
OVHCloud는 잠재적 위협에 대해 MikroTik에 연락하려고 했지만, 라우터 제조업체는 아직 회사의 피드백 요청에 응답하지 않았습니다.
한편, OVHCloud는 이러한 라우터들이 해킹에 취약한 상태로 남아있는 한 사이버 범죄자들이 이를 계속 악용할 것이라고 우려하고 있습니다. 이는 이론적으로 초당 22억 8천만 패킷에 달하는 더 강력한 DDoS 공격으로 이어질 수 있습니다.
※ 퀘이사존 공식 기사가 아닌 해외 뉴스/기사를 번역한 것으로, 퀘이사존 견해와 주관은 포함되어 있지 않습니다. |