2018년 2월 28일 17시 28분(GTM 기준) 아카마이 고객사인 한 소프트웨어 개발사를 대상으로 1.3 Tbps 규모의 DDoS공격이 발생했습니다. 멤캐시드(memcached) 반사 기반 공격으로 지금까지 아카마이가 관찰한 가장 큰 공격 규모입니다. 지난 2016년 9월 발생한 미라이(Mirai) 봇넷을 이용한 공격 규모보다 2배 이상 크기 때문에 공식적으로 발표된최대 규모의 DDoS 공격일 가능성이 높습니다. 하지만 멤캐시드 반사 기법의 특성을 고려했을 때 이 기록은 오래 유지되지 않을 것 같습니다.
2월 27일 아카마이와 다른 기업들은 새로운 반사 및 증폭 기법인 멤캐시드(memcached)가 발견됐다고 발표했습니다. 멤캐시드는 데이터를 캐싱하고 메모리 집약적인 서비스가 유발하는 부하를 줄이는 역할을 합니다. UDP와 TCP 모두에 대해 리스너(listener) 모드를 유지할 수 있고 별도의 인증을 요구하지 않습니다. UDP는 쉽게 스푸핑(spoofing)할 수 있기 때문에 멤캐시드는 반사기(reflector)로 사용될 수 있습니다. 또한 멤캐시드의 증폭 계수는 5만이 넘기 때문에 203바이트의 요청이 100메가바이트의응답을 발생시킬 수 있습니다.
아카마이는 Prolexic 플랫폼을 기반으로 멤캐시드가 디폴트로 사용하는 UDP 포트 11211에서 발생하는 모든 트래픽을 필터링함으로써 이 공격을 방어했습니다. 2월 26일(월)부터 유사한 반사 공격이 많은 기업들을 타겟으로 발생하고 있으며 아카마이는 더 큰 규모의 공격이 앞으로 보다 빈번하게 발생할 것으로 예상하고 있습니다. 이 공격을처음 발견한 이후 오픈된 멤캐시드 서버를 스캐닝하는 활동이 눈에 띄게 증가했습니다.
멤캐시드는 대규모 공격을 일으킬 수 있기 때문에 앞으로 멤캐시드 반사 기법을 하나의 툴로 이용하는 공격자들이 급증할 수 있습니다. 또한, 공격자들은 사용 가능한 반사기리스트를 만들고 있기 때문에 공격 효과가 상당히 커질 가능성도 존재합니다. 포트 11211에서 발생하는 트래픽에 대해 임계치를 설정(rate limit)하고 이 트래픽이 자사 네트워크로 유입∙유출되지 못하도록 차단하는 방법이 도움이 될 수 있지만 이를 실행하는 과정은 시간이 소요됩니다.
아카마이는 IT 업계의 다른 기업 및 파트너들과 협력하며 기업들이 우수모범사례(Best Common Practice)를 도입하고 멤캐시드에 대한 적절한 조치를 통해 리스크를 줄여나갈 수 있도록 지원하고 있습니다.
* 아카마이 DDoS 방어 솔루션 살펴보기: https://www.akamai.com/kr/ko/products/cloud-security/