2023년 10월, Cloudflare에서는 zero-day 웹 서버, 웹 앱 등의 HTTP 리소스에 대한 대량 DDoS 공격을 허용하는 HTTP/2 프로토콜의 취약점을 공개하는 것을 주도했습니다. 해당 취약점이 발견된 지 몇 주 만에 공격자들은 이 취약점을 악용하여 수백 건의 기록적인 공격을 감행했습니다.
보안 리더들은 이와 같은 '기록적인' 및 '혁신적인' 발표를 무수히 많이 접하지만, 일반적으로 대부분의 발표를 신중하게 받아들이는 편입니다. 그러나 이번 사례는 여러 가지 이유로 다르며 전반적인 위협 환경이 변화하고 있음을 나타냅니다.
이러한 변화를 성공적으로 헤쳐 나가기 위해 보안 리더들은 클라우드 마이그레이션의 주요 측면을 가속화하고 전체 고객 대면 웹 인프라의 위험에 대한 가시성을 확보해야 합니다.
2010년대에는 가장 규모가 크고 영향력이 컸던 DDoS 공격 중 상당수가 OSI 모델의 계층 3 및 4를 악용했습니다. 공격자들은 비교적 신뢰할 수 있는 전술이 있다는 것을 깨닫고 이를 반복해서 사용했습니다. 유명한 사례로는 2013년의 SpamHaus 공격, 2016년의 Dyn 공격, 2019년의 Wikimedia 공격이 있으며, 이 중 두 번째 공격에서는 1.3Gbps 이상의 악의적인 트래픽이 생성되었습니다.
물론 조직에서는 시간이 지나면서 적응해 나갔습니다. 클라우드 도입률이 증가하면서 조직에서는 보호해야 할 자체 네트워크 인프라가 줄어들었고, 대규모 네트워크 DDoS 공격을 완화하기 위해 설계된 전문 기술에 투자했습니다.
역사는 반복되므로, 공격자들이 전술을 바꾸는 것은 놀라운 일이 아닙니다. 최근 몇 년 동안 주목할 만한 여러 DDoS 공격에서 계층 7 프로토콜을 악용하면서 새로운 추세가 드러났습니다. 이러한 공격은 다음과 같았습니다.
대규모 볼류메트릭 크기
트래픽 크기(각 패킷, 요청의 대역폭 등)보다는 트래픽 양(일정 기간 동안의 요청 속도 및 양)에 더 중점을 둠
zero-day, 오래된 기술을 새로운 방식으로 재활용, 특정 산업 및 조직을 겨냥 등 보다 복잡한 전술을 기반으로 함
새로운 HTTP/2 취약점은 이러한 추세를 보여주는 대표적인 사례이며, 조직에 몇 가지 고유한 과제를 제시합니다. 그 이유를 이해하려면 취약점이 어떻게 작동하는지에 대한 간략한 설명이 필요합니다.
이 zero-day 취약점은 HTTP/2의 스트림 취소 기능을 악용하므로 'Rapid Reset'이라는 별칭이 붙었습니다.
HTTP/2 프로토콜에서 스트림은 클라이언트와 서버 간의 요청과 응답의 시퀀스입니다. 결정적으로, 요청자가 일방적으로 스트림을 설정하거나 취소할 수 있습니다. 이 기능을 사용하는 정당한 이유는 많지만, 'Rapid Reset' 공격에서 위협 행위자는 공격 대상 서버의 일반적인 레이트 리미팅을 우회하는 악의적인 취소 요청을 대량으로 생성합니다. (이 익스플로잇에 대한 자세한 기술 분석은 여기를 참조하세요.)
2023년 8월부터 Cloudflare에서는 공격자들이 이 방법을 사용하여 강력한 효과를 얻는 것을 관찰했습니다. 이 기간에 수백 건의 'Rapid Reset' 공격이 발생하여 초당 7,100만 건(rps)의 악의적 요청을 기록했던 Cloudflare의 이전 기록을 넘어섰습니다. 이 기간 중 최대 기록은 이전 기록의 세 배에 달했습니다.
이것이 왜 걱정스러울까요?
한 가지 이유는 공격자의 인프라 때문입니다. 이 기록적인 공격에는 2만 대의 머신 봇넷이 사용되었는데, 최신 봇넷의 기준으로 보면 2만 대는 비교적 적은 숫자입니다. Cloudflare에서는 수십만 대, 심지어 수백만 대의 컴퓨터로 구성된 봇넷을 정기적으로 감지합니다.
또한 취약점 자체가 매우 광범위하게 퍼져 있습니다. 전체 인터넷 트래픽의 약 62%가 HTTP/2 프로토콜을 사용하며, 이는 대부분의 웹 앱과 서버가 본질적으로 보안에 취약하다는 것을 의미합니다. Cloudflare의 초기 조사에 따르면 HTTP/3도 취약할 가능성이 있으며, HTTP/1.1은 영향을 받지 않는 유일한 프로토콜입니다. 하지만 최신 인터넷의 대부분은 HTTP/2와 HTTP/3의 성능 개선에 의존하고 있으므로 HTTP/1.1로 돌아가는 것은 현실적인 선택이 아닙니다.
이는 이 취약점이 향후 몇 달 또는 몇 년 내에 변형되어 악용될 가능성이 매우 높다는 것을 의미합니다. 더 많은 리소스를 가진 새로운 공격 그룹이 이를 실험함에 따라 또 다른 DDoS 기록이 수립되는 것을 상상하는 것은 무리가 아닙니다.
그렇다면 보안 리더와 팀원들은 자체 보호를 위해 무엇을 해야 할까요?
모든 보안 관행에는 기술과 프로세스의 성공적인 조합이 필요하며, 차세대 애플리케이션 계층7 DDoS 공격에 대응하는 것도 이와 다르지 않습니다.
기술적인 측면에서 보안 리더는 다음 단계의 우선순위를 정해야 합니다.
계층 7 DDoS 완화 기능을 데이터 센터 외부로 이전. 아무리 강력한 DDoS 완화 하드웨어라도 'Rapid Reset'와 같은 대규모 볼류메트릭 공격에는 무력화될 수 있습니다. 조직에서 계층 7 DDoS 완화 기능을 클라우드로 이전하는 것을 고려해왔다면 지금이 바로 실행에 옮길 때입니다.
복원력을 위해 클라우드 기반 계층 7 DDoS 완화 공급자를 보조적으로 두는 것을 고려. 미래의 공격 규모를 정확하게 예측하는 것은 어렵지만, 이는 특히 중요한 웹 앱의 일반적인 모범 사례인 경우가 많습니다.
웹 서버와 운영 시스템 패치가 모든 인터넷 연결 웹 서버 전반에 걸쳐 배포될 수 있도록 하십시오. 또한 Terraform 빌드 및 이미지와 같은 자동화 작업에 패치를 모두 적용하여 이전 버전의 웹 서버가 실수로라도 보안 이미지를 통해 프로덕션에 배포되지 않도록 하십시오.
기술만으로는 충분한 보호 기능을 제공할 수 없습니다. 한 가지 이유는 패치와 관련이 있는데, 패치 작업은 개별적으로는 간단하지만, 시간이 지남에 따라 일관되게 수행되도록 운영하기는 더 어렵습니다. 이 안타까운 진실의 한 예로, 앞서 언급한 Log4J 취약점이 공개되고 패치가 배포된 지 1년이 지난 후에도 대다수의 조직이 여전히 부분적으로 노출되어 있다는 점을 생각해 보세요.
또한 최신 웹 애플리케이션은 파트너십과 타사 통합에 대한 의존도가 그 어느 때보다 높으며, 이 역시 보안에 취약할 수 있습니다. 따라서 보안 리더가 다음과 같은 추가 단계의 우선순위를 정하는 것도 마찬가지로 중요합니다.
파트너 네트워크의 외 부 연결성을 이해. 해당 파트너 및 타사에서 취약점을 완전히 인지하고 있나요? 이들이 앞서 언급한 기술적 조치를 취하고 있나요?
공격을 감지 및 대응하고 네트워크 문제를 해결하기 위한 기존 프로세스와 관습을 이해. 공격이 시작되기 전에는 팀의 복원력과 효율성을 평가할 시간이 없습니다. 지금이야말로 사고 관리, 패치 적용, 보안 보호 기능의 진화를 지속적인 프로세스로 전환해야 할 때입니다.
이러한 프로세스 개선을 통해 조직에서는 향후 발생할 수 있는 'Rapid Reset' 악용 가능성에 대비해 더욱 신중한 자세를 취하고, 광범위한 DDoS 환경의 다른 변화에도 대비할 수 있습니다.
Cloudflare는 이 zero-day를 최초로 파악한 조직 중 하나이며, 조직이 보호될 수 있도록 업계 전반에 걸쳐 지속해서 이 zero-day의 진화를 추적하고 있습니다. 이러한 노력에는 이 공격을 차단하고 향후 다른 대규모 공격을 완화할 수 있는 Cloudflare 네트워크의 능력을 더욱 향상하기 위해 특별히 설계된 새로운 기술을 개발하고 출시하는 것이 포함됩니다.
이러한 개선 노력은 조직에서 대규모 공격으로부터 스스로를 보호할 수 있도록 지원하는 기존 Cloudflare의 다음과 같은 장점을 기 반으로 합니다.
네트워크 용량의 321 Tbps%를 초과하여 대량의 악의적 트래픽을 흡수
전 세계에 걸쳐 분산된 완화 기능 덕분에 트래픽 백홀링으로 인해 고객 경험이 저하되지 않음
독보적으로 광범위한 위협 인텔리전스를 기반으로 하는 머신 러닝 모델을 통해 많은 zero-day가 발표되기 전에 감지
Cloudflare는 주요 클라우드 연결성 기업입니다. Cloudflare에서 지원하는 조직에서는 복잡성과 비용을 줄이면서 직원, 애플리케이션, 네트워크를 어디에서든 더 빠르게 하고 더 안전하게 보호할 수 있습니다. Cloudflare의 클라우드 연결성은 클라우드 네이티브 제품 및 개발자 도구로 구성된 가장 완전한 기능의 통합 플랫폼을 제공하므로 모든 조직에서는 업무, 개발, 비즈니스 가속화에 필요한 제어 능력을 확보할 수 있습니다.
이 글은 오늘날의 기술 의사 결정자에 영향을 주는 최신 동향 및 주제에 대한 시리즈 중 일부입니다.
다운타임 방지: DDoS 방어 모델 가이드 전자책에서 DDoS 완화에 대해 자세히 알아보세요.
이 글을 읽고 나면 다음을 이해할 수 있습니다.
"Rapid Reset" 취약점 악용이 대규모 DDoS 공격으로 이어지는 과정
공격자가 전술을 조합하여(예: DDoS 및 zero-day) 조직을 겨냥하는 방법
해당 취약점으로부터 조직을 보호하려면 어떻게 해야 할까요?