최근 해외 업체를 대상으로 한 DDoS 공격에 클라우드 컴퓨팅(Cloud Computing) 서비스로 제공하는 VM(Virtual Machine)을 좀비(zombie)로 활용하는 특이사항이 모니터링 되고 있다. 즉, 일반 유저의 PC 나 IDC내 취약한 서버를 해킹 후 좀비로 이용하는 것 아니라 IaaS 에서 제공하는 VM을 직접적인 DDoS 공격의 Zombie로 활용하기 시작했다는 것이다.  바야흐로 클라우드(Cloud) 기반의 DDoS 대응에서 이제는 Cloud를 직접적으로 이용한 DDoS 공격의 시대가 오고 있는 것이다. 

DDoS 공격자 입장에서는 많은 zombie 를 확보하여 봇넷(botnet)을 구축해야 효과적인 공격을 수행할 수 있는데, 이를 위해 통상적으로 많은 유저의 PC나 IDC내 서버를 감염시켜야 하지만 기술적으로 쉽지 않은 부분도 있을 뿐더러  만약 유저가 악성코드 감염을 인지하여 패치를 하거나 PC를 끄게 되면 더 이상 제어할 수 없는 등의 문제점이 있다.

반면에, Cloud 서비스는 신용카드로 즉시 또는 후불 결제만 하면 수분 이내에 여러 VM 인스턴스를 생성하여 즉시 사용이 가능하고,  필요하다면 Cloud 서비스 제공자의 고용량/고성능 네트워크와 시스템을 원하는 만큼 사용도 가능할 것이다.  

아울러 Cloud 사업자는 아시아 뿐 아니라 유럽, 미주등 전세계 곳곳에 흩어져 있기 때문에 공격 대상의 위치에 따라 적절히 사용할 수 있다는 장점도 있으며  대부분의 Cloud 서비스 사업자들은 많은 유용한 API를 제공하고 있기 때문에 CSB(Cloud Service Brokerage)와 같은 솔루션을 이용하면 곳곳에 흩어져 있는 다양한 Cloud 서비스 업체들의 VM들을 끄거나 켜고 VM에게 일괄 명령을 내리는 것등이 손쉽게 가능한 이유도 있을 것이다. 물론 공격자가 통합 관리하기 쉽도록 customizing 한 별도의 OS를 업로드하여 관리하는 것도 충분히 가능할 것이다.

또한 대부분의 보안 장비들이 단일IP(/32) 기준으로 rate-limit(비율제한)를 하여 차단하거나 제한하기 때문에 공격자는 이를 회피하기 위해 여러개의 IP를 활용하는 것으로 보인다.실제로 공격IP를 추출해 보면 Cloud 서비스 사업자들의 연속된 IP들이 많이 보이고 있다.

그럼, 공격자는 자신이 확보한 VM을 가지고 어떠한 형태의 공격을 시도할까?  일반적으로 Cloud 서비스의 경우 VM의 사용시간이나 리소스(메모리/CPU/ 디스크등) 사용량, outbound 트래픽등을 기준으로 과금을 하기 때문에 공격자 입장에서는 대용량 트래픽을 유발하는 UDP Flooding보다는 많은 시스템 리소스가 필요하지 않으면서도 트래픽도 적게 유발하는 GET Flooding이나 POST Flooding을 적극 활용하는 것으로 보인다. 실제로 Cloud 서비스 업체의 IP로부터 확인된 공격은 모두 Application 공격이었다.  
   
여기에서 한 가지 의문점이 생길 수 있는데, 그렇다면 공격자가 직접 Cloud 서비스 업체에 회원가입 후 자신의 카드로 결제를 할까?   당연히 공격자의 정보가 노출되기 때문에 역추적을 피하기 위해 tor나 proxy등을 경유하여 사이트 접속후 진행할 것이며  다양한 공격을 통해 확보한 타인의 신용카드를 이용할 것으로 추측된다. 또한 최근에는 Cloud 사업자들이 앞다투어 무상(시범) 서비스를 제공하고 있기 때문에 이러한 것들도 충분히 공격자에게는 달콤한 유혹이 될 수 있을 것이다.

아울러, 좀비로 확보한 IP를 조회해 보면 같은 시간대에 스팸메일의 발송지로 사용된 기록도 있는 것으로 보아 단지 DDoS로 뿐 아니라 스팸 발송등 다른 용도로도 적극 활용하고 있는 것으로 보인다.
 
아래는 최근, 실제 여행 관련 서비스를 제공하는 업체를 타깃으로 한 GET/POST 공격의 로그중 일부를 보여주고 있는데, 단일한 IP에서 GET과 POST를 번갈아가면서 웹서버에 부하를 유발하는 dynamic contents만을 호출하는 것을 알 수 있다. 또한 단일한 IP임에도 rate-limit 를 우회하기 위해 User-Agent가 수시로 변경되는 것도 알 수 있다. 
 
<SRC_IP; HTTP Response_Code; HTTP Version; Request URL; METHOD; Referrer; User-Agent> 
-xx.xxx.8.2;200;HTTP/1.1;http://www.example.com/secure/order/selectshop;
POST;http://www.example.com/secure/order/selectshop;Mozilla/5.0
(X11; Ubuntu; Linux x86_64; rv:13.0) Gecko/20100101 Firefox/13.0.1;HTTP/1.1

-xx.xxx.8.2;200;HTTP/1.1;http://www.example.com/secure/order/pax;
GET;http://www.example.com/secure/order/checkFare;Mozilla/5.0
(Macintosh; Intel Mac OS X 10_8_2) AppleWebKit/537.13 (KHTML, like Gecko)
Chrome/24.0.1290.1 Safari/537.13;HTTP/1.1

-xx.xxx.8.2;302;HTTP/1.1;http://www.example.com/secure/order/pax;
POST;http://www.example.com/secure/order/pax;Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:13.0)
Gecko/20100101 Firefox/13.0.1;HTTP/1.1

-xx.xxx.8.2;200;HTTP/1.1;http://www.example.com/secure/order/purchase;
GET;http://www.example.com/secure/order/pax;Mozilla/5.0 (Windows NT 5.1; rv:11.0)
Gecko Firefox/11.0;HTTP/1.1

-xx.xxx.8.2;200;HTTP/1.1;http://www.example.com/secure/order/selectshop;
GET;http://www.example.com/secure/order;Mozilla/5.0 (Macintosh; Intel Mac OS X 10.6; rv:9.0)
Gecko/20100101 Firefox/9.0;HTTP/1.1

-xx.xxx.8.2;302;HTTP/1.1;http://www.example.com/secure/order;
POST;http://www.example.com/secure/order;Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:13.0)
Gecko/20100101 Firefox/13.0.1;HTTP/1.1

-xx.xxx.8.2;200;HTTP/1.1;http://www.example.com/secure/order/selectshop;
GET;http://www.example.com/secure/order;Mozilla/5.0 (Windows NT 6.2; rv:9.0.1)
Gecko/20100101 Firefox/9.0.1;HTTP/1.1

-xx.xxx.8.2;302;HTTP/1.1;http://www.example.com/secure/order/purchase;
POST;http://www.example.com/secure/order/purchase;Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:13.0)
Gecko/20100101 Firefox/13.0.1;HTTP/1.1

-xx.xxx.8.2;200;HTTP/1.1;http://www.example.com/secure/order/confirmation;
GET;http://www.example.com/secure/order/purchase;Mozilla/5.0 (Macintosh; Intel Mac OS X 10.6; rv:9.0)
Gecko/20100101 Firefox/9.0;HTTP/1.1

-xx.xxx.8.2;200;HTTP/1.1;http://www.example.com/secure/order/checkFare;
POST;http://www.example.com/secure/order/checkFare;Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:13.0)
Gecko/20100101 Firefox/13.0.1;HTTP/1.1

-xx.xxx.8.2;302;HTTP/1.1;http://www.example.com/secure/order/selectshop;
POST;http://www.example.com/secure/order/selectshop;Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:13.0)
Gecko/20100101 Firefox/13.0.1;HTTP/1.1

-xx.xxx.8.2;200;HTTP/1.1;http://www.example.com/secure/order/pax;
GET;http://www.example.com/secure/order/checkFare;Mozilla/5.0 (Windows NT 6.1; WOW64)
AppleWebKit/534.24 (KHTML, like Gecko) RockMelt/0.9.58.494
Chrome/11.0.696.71 Safari/534.24;HTTP/1.1

-xx.xxx.8.2;200;HTTP/1.1;http://www.example.com/secure/order/purchase;
GET;http://www.example.com/secure/order/pax;Mozilla/5.0 (Windows NT 6.1; WOW64; rv:11.0)
Gecko Firefox/11.0;HTTP/1.1

이 공격에 사용된 좀비 IP는 총 600여 개이었으며 AM*을 포함, So*, Sa*등 전세계의 다양한 IaaS Cloud 서비스사업자의 vm들이 활용되었다. 

[글. 홍석범 씨디네트웍스 시스템 UNIT 부장 / antihong@gmail.com]

<★정보보안 대표 미디어 데일리시큐!★>