3일 아카마이코리아(대표 손부한 www.akamai.co.kr)는 디도스(분산서비스거부, DDoS) 반사 및 증폭 공격에 낙후돼 방치된 ‘라우팅 정보 프로토콜 버전 1(RIPv1)’의 사용이 증가하고 있다는 사이버보안 위협 경고를 발표했다.

아카마이 프로렉식 보안리서치 대응팀(PLXsert) 조사에 따르면, 공격자는 RIPv1 데이터베이스에서 많은 경로를 가진 라우터를 우선 공격 대상으로 삼는 것으로 나타났다.

또한 발견된 대다수의 공격을 분석한 결과, 정상적 RIPv1 요청 패킷의 크기가 24바이트인데 반해 단일 요청에서 504바이트 패킷을 다수 전송하는 것으로 나타났다.

따라서 적은 양의 요청으로도 다량의 트래픽을 발생시키는 것을 알 수 있다.

아카마이 프로렉식 보안리서치 대응팀은 올해 5월 16일 실제 아카마이 고객에게 발생한 공격을 조사했다.

이 공격에 대한 연구와 비침입 검사 결과 RIP 반사 공격에 이용된 기기는 엔터프라이즈급 라우팅 하드웨어를 사용하지 않은 것으로 밝혀졌다.

아카마이 보안 대응팀은 공격자가 반사 및 증폭 공격의 편의성을 위해 RIPv1을 지속적으로 이용하기 때문에 RIPv1에 대한 각별한 주의가 필요하다고 경고했다.

스튜어트 스콜리 아카마이 보안사업부 수석 부사장 겸 총괄 책임자는 “RIPv1은 지금부터 25여년 전 RFC1058로 처음 소개됐다. 1년 넘게 감지되지 않은 RIPv1 관련 공격이 재등장한 것은 매우 이례적이지만 공격자들이 방치된 것으로 여겨진 프로토콜을 디도스 공격에 적극 활용하고 있음이 분명하다”며 “디도스 반사 공격에 RIPv1 특성을 이용하는 것은 공격자에게는 매우 쉬운 일이다. 정상적인 브로드캐스트 쿼리를 이용해 악성 쿼리를 유니캐스트 요청 패킷으로 반사체(reflector)에 바로 전송할 수 있다. 그 후 공격자는 IP 주소 소스를 조작해 이를 공격 표적과 일치시킨다. 결국 네트워크에 피해를 발생시킨다”고 말했다.

RIPv1을 이용한 디도스 반사 공격을 피하기 위해서는 RIPv2 이후 버전으로 업그레이드하고 인증이 가능하도록 하며, 접근제어목록(ACL)을 사용해 인터넷에서 UDP(User Datagram Protocol) 소스 포트 520을 차단하면 된다.

또 RIPv1은 소규모 멀티 라우터 네트워크를 이용해 빠르고 쉽게 경로 정보를 동적으로 공유할 수 있는 방법이다.

일반적으로 요청 패킷은 RIP를 탑재한 라우터가 처음 설정됐거나 전원을 켰을 때 전송된다.

이 요청 패킷에 귀 기울이고 있는 기기는 브로드캐스트로 전송된 경로 및 업데이트 목록으로 응답한다.

아카마이는 RIPv1를 이용한 계속된 디도스 반사 공격을 지속적으로 모니터링하고 있다.

관련 위협 경고 보고서는 웹사이트(http://www.stateoftheinternet.com/ripv1-reflection-ddos)에서 다운받을 수 있다.

<김동기 기자>kdk@bikorea.net