상세 컨텐츠

본문 제목

IoT 봇넷 DDoS, 그리고 Google Project Shield

국내외 보안동향

by 알약(Alyac) 2017. 2. 17. 10:57

본문

IoT 봇넷 DDoS, 그리고 Google Project Shield

How Google fought back against a crippling IoT-powered botnet and won


작년 9월 셋째주, 보안전문가 Brian Krebs가 운영하는 KrebsOnSecurity 블로그에 대규모 DDoS 공격이 들어왔습니다. 이 공격은 매초 620Gbps가 넘는 규모로, CDN 서비스 제공업체인 Akamai 역시 공격을 차단하는데 실패하였습니다. 하지만 3일후 , KrebsOnSecurity는 구글 Project Shield 보호 하에 정상적으로 서비스를 할 수 있게 되었습니다. 


Project Shield는 구글이 2013년에 처음 출시한 서비스로, 제 3의 웹페이지로 유입되는 DDoS 공격을 무료로 차단해주는 서비스 입니다. 구글은 자신들의 인프라기술을 이용하여 DDoS 트래픽을 리다이렉션, 완화 및 차단해 줍니다. Project Shield의 보호하에 있는 웹페이지들은 주로 자신들만의 보안장비를 구비하고 있지 않은 중소형 웹페이지들이며, 기자, 매체, 선거 및 인권과 관련된 웹페이지에 우선적으로 서비스를 제공합니다. 

(>> Google Project 홈페이지 바로가기)


구글의 보안연구원 Damian Menscher은 최근 Enigma 보안세미나에서, Krebs가 Project Shield에 웹페이지 보호요청이 들어왔고, 구글은 여러가지 요소들을 분석한 후 해당 Krebs의 Project Shield 입주를 허가하였다고 밝혔습니다. 


KrebsOnSecurity가 Project Shield의 보호하에 서비스가 정상화 되었지만, 정상화 된지 14분 후 또 다른 DDoS 공격이 시작되었습니다. 첫번째 공격은 초당 1억 3천만번의 syn flooding 공격이었으며, 구글은 가볍게 막아내었습니다. 1분 후 공격의 강도는 더 높아졌으며, 145,000개의 서로 다른 ip에서 초당 250,000번의 http request를 요청하였는데, 이는 mirai 봇넷의 특징을 갖고 있었습니다. 그 후에도 공격자는 146Gbps의 DNS 증폭공격, 매 초 400만개의 syn-ack 패킷을 보내는 SYN-ACK flooding 공격 등 다양한 방식을 이용하여 공격을 시도하였습니다. 


<이미지 출처 : https://arstechnica.com/security/2017/02/how-google-fought-back-against-a-crippling-iot-powered-botnet-and-won/>


공격이 시작된지 4시간 후 KrebsOnSecurity에는 175,000개의 각기 다른 IP에서 초당 450,000번의 http request를 요청받는 더 큰 규모의 공격이 진행됬지만 구글의 Project Shield 보호 하에 KrebsOnSecurity는 정상적으로 운영될 수 있었습니다. 


공격자는 2주동안 강력한 공격을 퍼부었으며, 공격자는 추가로 WordPress pingback 공격 기술을 공격에 새로이 추가하였습니다. 해당 공격은 목표 웹페이지에 대량의 request를 요청하여 웹페이지를 다운시키는 공격입니다. 하지만 해당 공격 시 요청하는 request 패킷 중 "WordPress pingback" 단어가 포함되어있었기 떄문에 Google은 효과적으로 해당 공격을 차단할 수 있었으며, Cache-Busting 공격 역시 효과적으로 차단하였습니다. 


지금까지 KrebsOnSecurity에 대한 DDoS 공격은 여전히 진행되고 있습니다. 잠깐씩 서비스가 끊기는 현상만 있으며, 서비스가 중단된 적은 없습니다. 


그렇다면, DDoS 방어업체인 Akamai가 KrebsOnSecurity에게 더이상 서비스를 제공하지 않겠다고 선언한 후, 왜 구글은 무료로 해당 서비스를 보호해 주었을까요?

Menscher은 다음과 같이 말했습니다. 


"만약, 이러한 봇넷들이 google.com을 타겟으로 공격한다면 어떠한 일이 발생할까요? 우리의 노력을 무의미하게 만들 수 있을까요? 이러한 가능성도 배재할 수는 없습니다. 만약 이러한 공격들이 구글을 무너뜨릴 수 있다면, 언젠간 이러한 공격들은 우리에게 잠재적인 위협요소로 남겨질 것입니다. 이러한 각도에서 생각하였을 때 우리는 어떠한 피해를 입지 않았더라도 적극적으로 대응해야 합니다. "


"우리는 규모경제 각도에서의 고려는 잠시 뒤로 미뤄놓고 생각했습니다. 왜냐하면 구글은 다양한 방면의 기술과 실력을 갖고있으며, 이러한 인프라 기술들을 통하여 효과적인 DDoS 방어체계를 만들 능력이 있습니다. 제가 생각하기에는 Akamai 역시 이러한 능력을 갖추고 있지만, 동시에 두번의 대규모 DoS 공격을 받았고, 공격자의 다양한 공격 앞에서 점점 그 방어능력이 소실되었을 것이라 생각합니다."





출처 :

https://arstechnica.com/security/2017/02/how-google-fought-back-against-a-crippling-iot-powered-botnet-and-won/

관련글 더보기

댓글 영역