디도스 공격을 이용해 서버를 다운시키려면 취약 서버에 초당 4만 패킷 가량을 보내야 한다. 올해 일어난 디도스 공격은 도메인 네임 서비스 제공자인 딘(Dyn)이나 프랑스 웹 호스팅 업체인 OVH 등을 대상으로 했다. 기존 디도스 공격보다 대규모인 초당 1테라비트 이상 공격을 해 화제를 모았다.

이런 가운데 제한된 자원 밖에 없는 단 한 명이 시스코나 다른 제조사의 방화벽으로 보호 중인 대규모 서버를 오프라인으로까지 공격한다는 놀라운 내용이 나와 눈길을 끈다. 덴마크를 거점으로 활동 중인 보안 운영 센터 TDC는 자원 없이도 서버를 다운시킬 수 있는 공격 위협을 발견하고 이를 블랙너스(BlackNurse)라고 명명했다.

디도스 방어 솔루션이 감지한 이 공격은 트래픽 속도가 느려 초당 패킷량은 크지 않았지만 고객의 운영 시스템을 다운시켰다고 한다. 블랙너스는 라우터와 다른 네트워크 장치가 이용하는 ICMP 기반 데이터를 이용한다. ICMP 패킷을 전송해 특정 유형 방화벽이 설치된 서버의 CPU에 빠르게 부담을 주는 것이다. 15Mbps에서 18Mbps 한계를 넘는 패킷을 전송해 대상 방화벽을 넘어 서버를 인터넷에서 끊어지게 할 수 있다고 한다.

TDC 측은 단일 노트북으로 180Mbps 패킷을 전송하는 블랙너스 기법도 발견했다. 블랙너스에선 인터넷 접속이 초당 1기가비트일 필요가 없다. 이 공격 영향은 CPU에 대한 고부하다. 공격이 실행되는 동안 사이트는 인터넷에 연결할 수 없으며 더 이상 트래픽을 송수신할 수 없게 된다. 모든 공격이 끝나고 나면 방화벽은 회복된다.

TDC에 따르면 자사 고객을 대상으로 한 ICMP 프로토콜을 이용한 공격을 지난 2년 동안 95건이었다고 한다. 이들 공격이 모두 블랙너스 기반이라는 건 아니다. 블랙너스는 시스코와 팔로알토네트웍스, 소닉월, 자이젤 같은 업체의 방화벽을 타깃으로 하고 있다고 한다. 관련 내용은 이곳에서 확인할 수 있다.

이석원 기자  lswcap@techholic.co.kr

<저작권자 © 테크홀릭, 무단 전재 및 재배포 금지>