온라인 콘텐츠 및 비즈니스 애플리케이션을 전송·최적화·보호하는 클라우드 서비스 선두 기업 아카마이코리아(대표 손부한, www.akamai.com/kr)는 공격자가 줌라(Joomla) 서버에 설치된 구글 지도 플러그인 취약점을 이용, 서비스형 소프트웨어(SaaS) 업체들의 서버를 디도스(분산서비스거부, DDoS) 공격을 위한 수단으로 사용한 것이 발견됐다고 3일 밝혔다. 줌라는 오픈소스 웹 콘텐츠 관리 시스템(CMS)이다. 아카마이의 프로렉식 보안리서치 대응팀(PLXsert)은 피시랩스(PhishLabs)의 R.A.I.D 부문과 협력해 이 디도스 공격을 발견했다.

구글 지도 플러그인 취약점을 이용한 디도스 공격

줌라용 구글 지도 플러그인에서 발견된 취약점은 플러그인 자체를 프록시(Proxy)로 동작하게 만든다. 프록시는 요청을 대신 처리해 결과를 돌려주는 중간 서버로, 공격자들은 요청 소스를 조작해 거짓 결과를 프록시로부터 공격 대상에 전송시킨다. 공격 트래픽이 줌라 서버에서 발생된 것처럼 보여 공격의 실제 소스를 알기 어렵다.

아카마이는 다수의 줌라 사이트에서 발생한 디도스 트래픽을 비교해 줌라 플러그인 취약점이 디도스 공격의 한 유형인 웹 부하 반사 공격(Get Flood Reflection)에 대거 이용되고 있음을 확인했다. 또한 공격 트래픽 및 데이터를 분석한 결과 이 같은 디도스 공격이 디도스포하이어(DDoS-for-hire) 사이트에서 발생하고 있다는 내용을 발견했다.

아카마이는 인터넷에서 15만개 이상의 잠재적 줌라 반사체(reflector)를 찾아냈다. 상당수의 줌라 서버에는 패치가 적용되었거나 변경 혹은 잠금 상태였다. 플러그인이 설치되지 않은 상태였지만 디도스 공격에 취약한 서버 역시 다수 파악됐다. 디도스 공격 제어 지난해 11월 아카마이 프로렉식 보안리서치 대응팀이 차단한 고객의 디도스 공격 유형을 살펴보면 대부분의 공격 인터넷 프로토콜(IP) 주소는 독일이었다. 디도스 공격을 감행한 IP 주소가 호스팅, 엔터테인먼트, 소비재 분야의 고객을 상대로 한 디도스 공격에도 관여한 사실이 확인됐다.

다계층 디도스 공격 제어 방식으로 디도스 반사 공격 보호

2014년 4분기 아카마이가 발표한 보고서에 따르면 반사 기술을 사용하는 디도스 공격은 전체 디도스 공격의 39%에 이른다. 이 공격은 공격자가 인터넷 프로토콜 및 애플리케이션 취약점을 이용해 써드파티 서버와 기기에서 악의적 트래픽을 반사시키기 때문에 신분을 숨긴 채 공격 트래픽을 증폭시킬 수 있다.

클라우드 기반 디도스 공격 제어 방식은 위와 같은 문제를 해결하고 기업을 악의적 트래픽으로부터 보호한다. 에지(edge) 영역에서 보안·방어 센터를 운영함으로써 고객의 웹사이트와 데이터센터가 피해를 입기 전 디도스 공격을 차단할 수 있다.

스튜어트 스콜리(Stuart Scholly) 아카마이 보안사업부 수석 부사장은 “SaaS 업체가 호스팅하는 웹 애플리케이션의 취약점은 공격자들에게 지속적으로 총탄을 제공하는 셈이다. 공격자들은 줌라 플러그인의 취약점을 이용해 새로운 디도스 공격과 디도스포하이어 툴을 개발하고 있다. 줌라 플러그인의 취약점은 수많은 웹 애플리케이션의 취약점 가운데 하나며, 기업은 클라우드 기반 SaaS 서버에서 발생하는 공격을 막기 위해 디도스 보안 정책을 마련해야 한다”고 설명했다.

이번 보안 위협 경고 전문은 웹사이트(www.stateoftheinternet.com/joomla-reflection)에서 무료로 다운받을 수 있다.