"PhoneHome" DDoS 공격 - 우리가 알아야 할 모든 것
[ 공격을 받고 있나요? 긴급 DDoS 방어 서비스가 필요하다면 여기 를 클릭하세요. ]
통신사 Mitel의 엔터프라이즈 협업 소프트웨어 모음 제품 MiCollab의 취약성이 DDoS(Distributed Denial-of-Service) 공격에 악용되어 그 증폭 가능성이 최고였던 적이 있었습니다.
무슨 일이 벌어졌나요?
2022년 2월 중순, 보안 연구원과 네트워크 운영자, 보안 벤더사들은 인터넷 서비스 공급업체, 금융 기관, 물류 회사, 기타 시장의 다양한 기업을 노리는 DDoS 공격 이 급증하는 현상을 목격했습니다.
Akamai는 InfoSec 커뮤니티의 다른 회원사들과 협력하여 이 공격에 대한 조사를 진행하였고 3월 8일에 상세 보고서를 발표했습니다. 이 공격은 Mitel의 MiCollab 및 MiVoice Business Express 제품들(고급 업무용 전화 시스템) 중 일부인 하드웨어 구성 요소(TP-240 VoIP 인터페이스 카드)로 역추적해볼 수 있었습니다.
조사 태스크 포스팀은 이 중 약 2,600대의 시스템이 악의적 공격자들로 하여금 인터넷을 통해 다른 네트워크에 DDoS 공격을 가할 수 있게끔 구성되어 있었다고 판단했습니다. “TP240PhoneHome”이라고 하는 이 취약성은 CVE-2022-26143으로 추적되는데, 악의적 공격자들에 의해 널리 악용되고 있습니다.
TP240PhoneHome DDoS 공격의 중대성은 어떤가요?
TP240PhoneHome은 그 증폭 가능성에 있어서 주목할 만한데, 이는 지금까지 알려진 모든 DDoS 공격의 증폭 가능성보다 높은 것입니다. 일반적으로 악의적인 행위자는 공격을 유지하기 위해 악용된 서버에 대한 네트워크 트래픽 스트림을 유지해야 할 것입니다. 그런데 이 공격에서는 악의적인 공격자가 공격을 시작할 때 적은 양의 네트워크 트래픽을 한 번만 전송하면 됩니다. 그런 다음, 악용된 서버는 목표 시스템에 증폭된 더 많은 양의 트래픽을 지속적으로 전송함으로써 시스템을 마비시키고 서비스 거부를 유발하여 사실상 서비스 중단을 일으킵니다.
지금까지 가장 규모가 큰 것으로 알려진 증폭기는 공격 트래픽을 51,000배로 늘릴 수 있었습니다. TP240PhoneHome은 이 수치를 40억 개 이상까지 높이는데, 악용된 서버로 단일 공격 개시 패킷 1개가 전송되면 공격 트래픽의 네트워크 패킷 4,294,967,296개가 생성되어 목표 네트워크로 전송됩니다. 이들 패킷이 다시 크기가 커지면서 트래픽이 2200억% 이상 증폭되게 됩니다.
TP240PhoneHome DDoS 공격이 얼마나 위험한가요?
그 답은 간단합니다. 이 공격의 놀라운 증폭 효율성에도 불구하고 견고한 DDoS 방어 수단을 갖추고 있는 기업들에게는 그 위험성이 낮습니다. 이러한 보호 레이어가 없는 기업의 경우에는 이 공격(그리고 기타 많은 DDoS 공격)이 시스템과 애플리케이션을 장기간 사용할 수 없게 만들어 심각한 피해와 업무 중단을 일으킬 수가 있습니다.
TP240PhoneHome 공격은 잘못 구성된 Mitel MiCollab 시스템을 겨냥하며, 조사 당시 이러한 시스템은 약 2,600개에 불과했습니다. 이로 인해 전체적인 볼륨이 제한되며 또, 공격이 병렬로 실행되지 않고 직렬로만 실행될 수 있다는 사실 때문에 추가적인 제한이 발생합니다.
Mitel은 이 문제에 대해 통보를 받았으며 그 사이에 이 취약성을 제거하기 위해 보안 관련 조언 과 지침을 배포하였습니다. 시스템에 공격을 받게 되는 Mitel 고객사들은 음성 통신의 부분적 또는 전면적인 중단, 성능 및 기능 저하 같은 부수적인 피해를 입을 수 있습니다.
Akamai가 어떻게 도와줄 수 있나요?
DDoS 방어 솔루션인 Akamai Prolexic및 Akamai DDoS 방어 솔루션을 사용하고 있는 고객들은 이미 안전한 측에 속합니다. Prolexic이 TP240PhoneHome과 같은 증폭 공격에 대응하여 공격 트래픽이 네트워크와 서버에 접근하지 못하게 할 수 있기 때문입니다. Prolexic은 예상 볼륨을 쉽게 처리할 수 있으며 TP240PhoneHome 전용 방어 규칙으로 업데이트되었습니다. Prolexic은 0초 서비스 수준 협약(SLA)을 통해 서비스 중단이나 시스템의 성능 저하 없이 잠재적 공격을 즉시 방어할 수 있습니다.
Akamai Intelligent Edge Platform상의 고객 웹 애플리케이션(예: Akamai App & API Protector 또는 콘텐츠 전송 네트워크(CDN) 솔루션을 통해 서비스되는 트래픽을 이용하는 애플리케이션)은 이 플랫폼의 특성 때문에 기본적으로 이 같은 유형의 DDoS 공격으로부터 보호됩니다. Akamai의 플랫폼은 리버스 프록시로 설계되었으며 제대로 구성된 HTTP(S) 트래픽만 허용합니다. 모든 네트워크 레이어 DDoS 공격이 자동으로 차단됩니다. Prolexic은 오리진 서버를 직접 겨냥함으로써 Akamai 플랫폼을 우회하는 공격으로부터 방어해줄 것입니다.
Akamai는 DDoS 공격을 어떻게 탐지하여 방어하나요?
Akamai는 세계에서 가장 크고 복잡한 최신 DDoS 벡터로부터 방어하는 다양한 기능을 보유하고 있습니다. Akamai는 135개국에 약 365,000개의 서버를 통해 세계에서 가장 큰 규모이자 신뢰받는 클라우드 플랫폼을 구축하였으며, 타사에 비해 더 많은 네트워크 트래픽을 감시하고 분석하고 있습니다. Akamai 보안 인텔리전스 대응팀(SIRT)에서는 고객, InfoSec 커뮤니티의 다른 구성원, 제품 개발팀, 네트워크 운영팀 및 당사의 보안 운영 센터와 협력하여 위협 벡터를 탐지하고 이를 방어하여 비즈니스 크리티컬 서비스에 대한 최적의 보호 기능을 제공합니다.
DDoS 방어의 모범 사례에는 어떤 것이 있나요?
Akamai는 DDoS 위험을 관리하기 위한 여러 가지 모범 사례를 권장합니다. 가장 중요한 것은 Edge DNS나 Prolexic과 같은 DDoS 복구를 위한 클라우드 기반 솔루션을 구현하는 것입니다. 이를 통해 최고의 성공 확률로 이러한 공격을 소멸시키고 방어하는 역량을 갖출 수 있습니다.
둘째, 이러한 위협을 탐지하고 방어 계획을 제안하며 그 계획을 실행하여 비즈니스에 방해되지 않게 하면서 공격을 저지할 수 있는 전문성과 기술력을 갖춘 관리형 보안 서비스(MSS) 제공업체와 제휴를 맺을 것을 강력히 권장합니다. 위협 확인, 위험 평가, 그리고 운영 및 공격 대비 훈련을 정기적으로 수행한다면 사내 팀들의 부담이 빠르게 가중되므로, 사이버 보안 서비스 제공을 전문으로 하며 다양한 클라이언트의 위협 인텔리전스를 집계하고 활용할 수 있는 강력한 파트너와 함께 하는 것이 가장 좋습니다.
자세히 보기
Akamai Managed Security Service에 대해 자세히 알아보세요. 궁금한 점이 있다면 주저하지 마시고 Akamai에 문의 해주세요.
