최근 대규모 분산서비스거부(DDoS) 공격에 취약점을 드러낸 P2P 파일공유서비스 비트토렌트의 취약점이 패치됐다.
미국 지디넷은 28일(현지시각) 사용자를 DDoS공격에 동원할 수 있다던 비트토렌트 프로토콜의 취약점이 빠른 대응으로 해결됐다고 보도했다. (☞링크)
해당 취약점은 지난 17일 미국 워싱턴D.C. 유즈닉스 컨퍼런스 현장에서 영국 런던시티대학교 연구팀이 유토렌트(μTorrent), 메인라인(Mainline), 부즈(Vuze) 등에서 발견해 공개한 것이다. 당시 연구팀은 이 취약점이 분산반사서비스거부(DRDoS) 공격에 쓰일 수 있다고 밝혔다.
DRDoS 공격은 좀비PC를 동원하는 DDoS 공격의 일종이지만, 웹사이트나 서비스에 연결된 도메인네임시스템(DNS) 서버를 경유해 추적을 피하면서 공격효과를 높이는 방식이다. DNS서버증폭 DDoS공격이라고도 불린다. 이는 2013년 6.25 사이버테러를 통해 국내에도 알려졌다. (☞관련기사)
당시 연구팀은 마이크로전송프로토콜(μTP), 분산해시테이블(DHT), 메시지스트림인크립션, 비트토렌트싱크(BTSync) 모두 취약점 공격 대상이며, 단일 공격자가 실제 갖고 있는 컴퓨팅 자원보다 훨씬 강력한 수준의 공격을 수행할 수 있다고 경고했다. (☞관련기사)
크리스찬 에버릴 비트토렌트 커뮤니케이션 부사장은 27일 공식블로그를 통해 "해당 비트토렌트 프로토콜 취약점을 악용한 방식의 공격은 발생하지 않았으며, 연구팀의 공개 시연에 앞서 그 내용이 비트토렌트 팀에 전달된 덕분에 공격 가능성을 예방할 수 있었다"고 밝혔다. (☞링크)
유토렌트와 비트토렌트 소속 소프트웨어 엔지니어 프란시스코 데 라 크루즈는 자신의 개발팀들이 해당 취약점의 위험성을 낮추기 위해 취한 조치 과정과 해당 공격방법에 대한 상세 분석을 수행해 비트토렌트 엔지니어링 블로그에 게재하기도 했다. (☞링크)
설명에 따르면 일반 가정에서 비트토렌트 클라이언트가 작동할 때 libμTP라는 도구는 자동화된 네트워크 정체현상 탐지와 자동 사용량 조절을 할 수 있게 해 주는데, 이 때 패킷 데이터를 받는 숫자에 따라 접속 요청 횟수를 제어하는 방식이 '트래픽 어뷰징'의 관문으로 작동한다.
공격 목표에 얼마나 많은 트래픽을 직접 향하게 만들 수 있느냐를 나타내는 '대역폭증폭인자(BAF)'가 높을수록 DRDoS 공격의 성공률이 높아지는데, 이 수치를 줄이고 보안 문제를 억제하기 위해 비트토렌트 엔지니어들은 트래픽이 도착할 때 그 고유 수치를 확실히 파악할 수 있도록 만들었다.
관련기사
- 비트토렌트 취약점 발견...DDos 공격 주의2015.08.30
- 비트토렌트 P2P 브라우저 '마엘스톰' 공개2015.08.30
- "IoT에 비트코인 아키텍처 넣자"2015.08.30
- 엿볼 수 없는 메신저, 비트토렌트 '블립'2015.08.30
데 라 크루즈는 "8월 4일부터 libμTP를 사용하는 유토렌트, 비트토렌트, 비트토렌트싱크 클라이언트가 이제 접속을 개시하는 곳으로부터 유효 승인 건을 받았을 경우에만 접속 상태로 전환하게 될 것"이라며 "이는 어떤 패킷이든 허용 수준을 넘어설 경우에도 (공격)피해를 유발하지 않게 되고 따라서 libμTP 수준에서나 이를 기반한 메시지스트림암호화(MSE)같은 다른 회사의 프로토콜을 통한 위험성이 경감된다는 의미"라고 설명했다.
BTSync에 대해서는 어떨까. 비트토렌트 측은 해당 취약점의 위험성 역시 줄어들었다고 밝혔다. 공격자가 이 취약점을 악용하려면 그 기능을 사용하는 사람을 파악하기 위해 식별자를 공개된 상태로 만들어야 하는데, 그 프로토콜은 비트토렌트에서 접속자들의 공유를 제한할 수 있도록 설계됐다. 이는 잠재적인 공격 위험을 낮게 유지해 준다. 이는 대규모 공격의 원천이 되는 일을 막아 준다.
