구글 지도플러그인 악용, DDoS 주의보

구글 지도 기능을 지원하는 플러그인에서 발견된 취약점을 악용, 클라우드 기반 소프트웨어(SaaS) 업체를 통한 분산서비스거부(DDoS) 공격 수법이 발견돼 주의가 요청된다.

3일 콘텐츠전송(CDN) 전문회사인 아카마이가 오픈소스로 공개된 콘텐츠관리시스템(CMS)인 '줌라(Joomla)'를 악용한 DDoS 공격을 발견했다. 특히 이번에 발견된 기법은 대규모 분산서비스거부(DDoS) 공격까지 발생할 수 있어 주의가 요구된다.

줌라는 워드프레스, 드루팔과 함께 전 세계에서 가장 많이 활용되고 있는 CMS 툴 중 하나다.

아카마이에 따르면 공격자는 줌라 서버에 설치된 구글 지도 관련 플러그인 취약점을 악용, SaaS 업체들의 서버를 DDoS 공격을 위한 수단으로 써온 것으로 확인됐다.

줌라용 구글 지도 플러그인에서 발견된 취약점은 플러그인 자체를 '프록시(Proxy)'로 동작하게 만든다. 프록시는 PC와 웹사이트 사이에서 중간 경유지 역할을 하는 서버다. 공격자가 SaaS 업체들이 구축해 놓은 줌라 플러그인을 거쳐 대규모 트래픽을 공격 대상에게 전송하는 방식을 썼다. 공격 트래픽이 줌라 서버를 거치는 탓에 실제 공격이 어디서 시작했는지를 추적하기 어렵다.

아카마이는 다수의 줌라 사이트에서 발생한 DDoS 트래픽을 비교해 줌라 플러그인 취약점이 '웹 부하 반사 공격(Get Flood Reflection)'에 대규모로 악용되고 있다는 점을 확인했다고 밝혔다. 또한 공격 트래픽 및 데이터를 분석한 결과, 이 같은 공격은 경쟁사를 대상으로 DDoS 공격을 수행하는 대신 댓가를 받는 서비스(DDoS-for-hire)를 통해 발생하고 있다고 덧붙였다.

아카마이는 인터넷에서 15만개 이상 DDoS 공격에 악용될 수 있는 줌라 서버(reflector)를 발견했으며 다행히 대부분 보안패치가 적용됐거나 잠금상태로 설정돼 있었다고 설명했다.

지난해 11월 아카마이 프로렉식 보안리서치 대응팀이 차단한 DDoS 공격 유형을 살펴보면 대부분의 공격에 쓰인 IP주소가 독일 소재인 것으로 확인됐다. 해당 공격을 감행한 IP주소가 호스팅, 엔터테인먼트, 소비재 분야의 고객을 목표로 삼았다는 점도 파악됐다.

지난해 4분기 아카마이가 발표한 보고서에 따르면 줌라에 쓰인 것과 같은 공격유형은 전체 DDoS 공격 중 39%에 달하는 것으로 나타났다. 인터넷프로토콜, 애플리케이션 취약점 등을 악용, 협력업체 서버와 기기에 악의적인 트래픽을 반사시키는 수법으로 추적을 피하면서 공격 규모를 키웠다.

스튜어트 스콜리 아카마이 보안사업부 수석 부사장은 SaaS 업체가 호스팅하는 웹애플리케이션 취약점은 공격자들에게 지속적으로 총탄을 제공하는 셈이라며 공격자들은 줌라 플러그인 취약점을 악용해 새로운 DDoS 공격은 물론 DDoS-for-hire 툴을 개발하고 있다고 밝혔다.