"세계 48만여대 유비쿼티 장비, DDoS 유발 취약점 노출"

세계 48만5천여대가 깔린 기업용 네트워크장비 업체 '유비쿼티(Ubiquiti)'의 제품이 해커의 분산서비스거부(DDoS) 공격에 동원될 수 있는 보안취약점을 지녔다는 진단이 나왔다.

미국 지디넷은 지난 4일 미국 사이버보안업체 래피드7(Rapid7)이 수행한 인터넷 스캔 조사 결과 이같은 상황으로 파악됐으나 다만 이에 따른 실제 대규모 DDoS 공격 사례는 아직 발생하지 않았다고 보도했다. [원문보기 ☞ Over 485,000 Ubiquiti devices vulnerable to new attack]

보도에 따르면 래피드7은 인터넷에서 공격에 취약한 유비쿼티 네트워크 장비를 노린 공격자가 지난해 7월부터 취약점을 악용하려고 시도해 왔다고 지적했다. 제조사 유비쿼티는 새로 발견된 이 보안 문제를 해결 중이다.

대규모 취약점 악용 시도는 '뉴잉글랜드북부 뉴트럴인터넷익스체인지(NNENIX)'라는 인터넷연동인프라업체의 공동설립자 짐 트라우트만을 통해 지난주 처음으로 발견됐다. 트라우트만은 유비쿼티 장비 10001번 포트에서 돌아가는 서비스가 DDoS 증폭 공격에 악용됐다고 지적했다.

공격자의 DDoS 증폭 공격 시도 과정은 유비쿼티 장비 10001번 포트에 56바이트 패킷을 보내, 이게 표적의 IP 주소에 206바이트 크기 패킷으로 반사 및 중계되도록 만든 걸로 요약된다. 이는 본격적인 공격에 앞서 효율적인 방식을 찾아내기 위한 초기 단계의 움직임으로 평가됐다.

래피드7의 수석보안연구원 존 하트는 지난 1일 발행된 분석결과에서 공격자가 유비쿼티 네트워크 장비의 10001번 포트에서 작동하는 '탐색 서비스'를 악용코자 했다고 설명했다. 이 서비스는 제조사와 인터넷제공업체(ISP)가 인터넷과 내부망에 있는 유비쿼티 장비를 찾을 때 쓰인다.

그에 따르면 이 서비스를 통해 공격자가 전달한 패킷 크기를 30~35배까지 키울 수 있다. 이를 악용당하면 공격자가 초당 1테라비트(Tbps)를 넘는 대형 DDoS 공격을 수행할 수 있는 무기를 얻게 된다. 1Tbps는 웬만큼 보호 수준을 갖춘 인프라에도 문제를 일으킬 수 있는 공격 규모다.

그는 아직까지 서비스 프로토콜이 다중 패킷 응답에 시달리지는 않고 있다는 점을 근거로 공격자가 소규모의 DDoS 트래픽만을 일으킬 수 있는 상태라고 파악했다. 현시점에 취약점 존재 자체는 그리 해롭지 않지만, 그럼에도 유비쿼티는 지난주 패치를 준비 중이라 밝힌 상태다.

유비쿼티 측은 "현재 파악한 바로는 이 문제가 네트워크 장비의 제어권을 획득하거나 DDoS 공격을 수행하는 데 쓰일 수 없다"면서 "해결되기 전까지 이 문제를 해결할 임시 방편은 네트워크 운영자가 네트워크 경계(perimeter)에서 10001번 포트를 차단하는 것"이라고 설명했다.

하지만 래피드7의 하트 연구원은 지난해 7월 유비쿼티 장비의 탐색 서비스 악용 시도 흔적을 발견했다고 밝혔다. 일부 유비쿼티 장비 소유자가 제품의 SSH 서비스 접근에 발생한 문제를 제보했을 때였다. 이는 탐색 서비스가 DDoS 공격에 악용될 때 기기에 SSH 서비스를 통한 원격 접근이 차단되는 부작용을 염두에 둔 분석이다.

관련기사

DDoS 공격에 악용될 수 있는 유비쿼티 장비가 48만5천여대에 달한다는 추산은 어떻게 나왔을까. 래피드7 하트 연구원은 특정 포트의 취약점이 세계 각지 여러 종류 제품에 걸쳐 있다고 파악했다. 17만2천대의 '나노스테이션'과 13만1천대의 '에어그리드'와 4만3천대의 '라이트빔'과 4만대의 '파워빔' 등이다.

이 제품들은 대부분 와이파이 안테나, 브리지, 액세스포인트 등 무선 침입방지시스템(WIPS)을 구축한 네트워크에서 볼 수 있는 장비다. 하트 연구원은 미국, 스페인, 폴란드, 브라질 등에서 주로 10001번 포트 취약점을 품고 있는 제품이 다수 발견된다고 설명했다.