Ping of Death DDoS 공격으로부터 안전을 유지하는 방법

기술 발전과 함께 사이버 보안 공격과 위협 또한 증가하고 있습니다. 본 글에서는 공격자가 시스템 내 서비스를 방해하기 위해 사용할 수 있는 DDoS 공격 중 하나인 ‘죽음의 핑(Ping of Death)’ 공격과 이에 대한 대비책을 상세히 알아보겠습니다.

죽음의 핑이란 무엇인가?

‘죽음의 핑’ 공격은 공격자가 특정 서비스를 마비시키거나 다른 사용자의 접근을 차단하기 위해, 필요한 패킷 규격을 초과하는 대량의 데이터 패킷을 해당 서비스로 전송하는 서비스 거부(DoS) 공격의 일종입니다. RFC 791 규정에서는 표준 IP 패킷의 최대 크기를 65,535바이트로 정의하고 있습니다.

만약 이보다 큰 바이트의 패킷이 전송되면, 요청을 처리하는 과정에서 시스템에 과부하가 걸려 시스템이 멈추거나 충돌할 수 있습니다.

죽음의 핑은 어떻게 작동하는가?

출처: Wallarm

죽음의 핑 공격은 네트워크를 통해 전송되는 과도한 용량의 ICMP(인터넷 제어 메시지 프로토콜) 패킷으로 인해 발생합니다.

‘핑(Ping)’ 또는 ICMP 에코 응답은 특정 네트워크 연결을 테스트하여 네트워크가 정상적으로 작동하고 요청을 수락할 수 있는지 확인하는 데 사용됩니다. 이는 작은 데이터 조각인 핑을 보내고 이에 대한 응답을 받아보는 방식으로 진행됩니다.

이 응답을 통해 서비스의 정상 작동 여부를 판단할 수 있습니다.

죽음의 핑 DDoS 공격은 공격자가 65,535바이트의 유효한 IPv4 패킷 규정을 초과하는 거대한 패킷을 전송함으로써 발생합니다. 이러한 공격은 RFC791 인터넷 프로토콜을 위반하는 행위입니다.

공격자들은 이 크기를 초과하는 패킷을 직접 보낼 수 없으므로, 패킷을 여러 조각으로 나누어 전송합니다. 시스템이 이 조각들을 재조합하는 과정에서 최종 패킷 크기가 지나치게 커져 시스템이 마비되는 현상이 발생하며, 이로 인해 ‘죽음의 핑’이라는 이름이 붙게 되었습니다.

죽음의 핑 공격 사례

#1. DNC 캠페인 공격

2018년에는 미국 민주당 전국위원회(DNC)가 DDoS 공격을 받았습니다. 이 공격은 DNC와 DCCC가 모금 활동을 하거나 특정 후보의 인기가 상승하는 시점에 집중적으로 발생했습니다. 죽음의 핑과 같은 DDoS 공격은 혼란을 야기하고 경쟁 상황에서 무기로 활용될 수 있습니다.

#2. 호주 인구 조사 공격

호주 통계청(ABS)의 2016년 인구 조사 시스템은 DDoS 공격을 받아, 시민들이 온라인으로 인구 조사에 참여할 수 없게 되었습니다. 공격자들은 PoD 공격을 통해 네트워크를 과부하시키고, 호주 국민들이 인구 조사에 참여하는 것을 방해하려 했습니다.

#3. 백악관 패러디 사이트 공격

2001년에는 백악관 패러디 사이트인 whitehouse.org가 죽음의 핑 공격의 대상이 되었습니다. 공격자들은 실제 백악관 웹사이트인 whitehouse.gov를 공격하려 했으나, 실수로 유사한 이름의 패러디 사이트를 공격한 것으로 밝혀졌습니다.

당시 이 공격을 발견한 Brook Talley는 13시간 동안 해당 웹사이트에 대량의 ICMP 에코 요청이 쏟아졌다고 증언했습니다. 공격의 실제 목표는 whitehouse.gov 웹사이트에 서비스 거부(DoS)를 유발하는 것이었습니다.

죽음의 핑 공격으로부터 안전을 유지하는 모범 사례

공격자들은 시스템의 취약점이나 허점을 파고들어 접근 권한을 확보합니다. 모든 시스템과 서비스는 잠재적인 보안 결함을 점검하고, 시스템이 적절히 보호받고 있는지 지속적으로 확인해야 합니다. 다음은 시스템 보안을 유지하는 데 도움이 되는 몇 가지 모범 사례입니다.

시스템을 최신 상태로 유지

시스템에 최신 보안 패치와 업데이트가 설치되어 있는지 확인하는 것은 기본적인 안전 수칙입니다. 시스템 업데이트와 패치는 지속적으로 개발되고 있으며, 이를 통해 보안 문제를 해결합니다. 공격자들은 이러한 보안 취약점을 노리기 때문에, 시스템을 최신 상태로 유지하는 것만으로도 이러한 취약점을 효과적으로 차단할 수 있습니다.

패킷 필터링

죽음의 핑 공격은 패킷 전송을 활용합니다. 각 패킷 헤더에는 소스 IP 주소, 대상 IP 주소, 프로토콜, 포트 등이 포함되어 있으며, 데이터 페이로드에는 전송하려는 데이터가 담겨 있습니다.

패킷 필터링 방화벽을 설치하면 클라이언트에서 서버로 전송되는 패킷을 검사하여 설정된 규칙에 부합하는 패킷만 허용할 수 있습니다. 하지만 이 방법에는 시스템이 정상적인 요청까지 차단할 수 있다는 단점도 존재합니다.

네트워크 분할

DDoS 공격의 주된 목표 중 하나는 합법적인 요청을 처리하지 못하도록 서비스를 중단시키는 것입니다. 네트워크를 분할하는 것은 서비스 중단으로 인한 영향을 최소화하는 데 도움이 됩니다. 중요한 서비스와 데이터를 다양한 위치에 격리함으로써, 공격 발생 시 다른 리소스를 대체 수단으로 활용할 수 있습니다.

트래픽 모니터링

네트워크 트래픽과 로그를 지속적으로 모니터링하면 죽음의 핑 공격을 포함한 다양한 DDoS 공격을 초기에 감지할 수 있습니다. 이를 통해 시스템의 정상적인 트래픽 패턴을 파악하고, 비정상적인 트래픽 흐름을 조기에 감지하여 예방 조치를 취할 수 있습니다.

DDoS 솔루션 활용

여러 회사에서 이러한 공격을 완화하거나 조기에 탐지하는 데 도움이 되는 다양한 솔루션을 개발하고 있습니다. 시스템 내에 이러한 서비스를 통합하면 시스템을 더욱 안전하게 보호할 수 있습니다. 다음은 활용 가능한 몇 가지 솔루션입니다.

#1. 클라우드플레어(Cloudflare)

클라우드플레어는 DDoS 공격에 대한 효과적인 솔루션 중 하나입니다. 이 서비스는 시스템을 레이어 7(애플리케이션 레이어), 레이어 4(전송 레이어), 레이어 3(네트워크 레이어)의 3단계로 보호합니다.

클라우드플레어는 원치 않는 패킷 접근을 완화하기 위한 규칙과 정책을 설정할 수 있는 서비스형 방화벽을 제공합니다. 또한, 내장된 모니터링 시스템을 통해 모든 형태의 DDoS 공격에 대한 네트워크 활동을 지속적으로 감시합니다.

#2. 임페르바(Imperva)

임페르바는 죽음의 핑과 같은 DDoS 공격에 대한 솔루션을 제공하며, 악의적인 활동에 대한 즉각적인 알림, 네트워크 트래픽의 지속적인 모니터링, SEIM 도구와의 용이한 통합 기능을 제공합니다. 임페르바는 웹사이트, 네트워크, 개인 IP 보호 기능을 제공합니다.

임페르바는 ‘Imperva 스크러빙 센터’를 통해 들어오는 모든 트래픽을 검사하여 악성 트래픽을 차단하고, 합법적인 요청만 처리되도록 보장합니다.

죽음의 핑(PoD)과 스머프 또는 SYN 플러드 공격의 차이점

SYN 플러드 공격은 ICMP를 공격 대상으로 하는 PoD와 달리 TCP 핸드셰이킹 과정을 공격 대상으로 삼는 DDoS 공격입니다. 이 공격은 공격자가 스푸핑된 소스 IP 주소를 사용하여 대량의 TCP SYN(동기화) 패킷을 보내는 방식으로 이루어집니다.

시스템은 이러한 응답을 처리하고 리소스를 할당하며, 실제로 전송되지 않을 클라이언트의 ACK(승인)을 기다립니다. 이는 시스템 자원을 고갈시켜 새로운 요청 처리를 방해합니다.

반면, 스머프 공격은 ICMP와 IP 브로드캐스트 주소를 활용하는 DDoS 공격으로, 피해자의 IP 주소를 원본으로 하여 다수의 ICMP 패킷을 네트워크에 브로드캐스팅함으로써 네트워크를 마비시키는 공격입니다.

PoD 공격 발생 시 조치 방법

만약 PoD 공격이 성공했다면, 시스템을 최대한 빠르게 복구하기 위한 조치를 즉시 시작해야 합니다. 시스템/서비스가 장기간 중단될수록 PoD 공격은 시스템 평판에 더 큰 손상을 입힙니다. 다음은 이러한 상황 발생 시 고려해야 할 몇 가지 사항입니다.

시스템 분리

시스템의 여러 부분을 분리할 수 있는 것이 중요합니다. 모든 공격의 목표는 전체 시스템에 대한 접근 권한을 제공하는 단일 취약점을 이용하는 것입니다. 이를 확인하고 제때 처리하지 않으면 공격이 시스템에 더 오래 지속되고 더 큰 피해를 입힐 수 있습니다.

공격 근원지 파악

모니터링은 시스템 내의 이상 현상을 식별하는 데 필수적입니다. 공격이 발생하는 경우, 공격의 근원지를 최대한 빨리 식별하여 더 이상의 피해를 막아야 합니다. 공격 근원지가 오래 노출될수록 피해 규모는 커집니다.

시스템 업데이트

공격 이후에는, PoD가 주로 시스템 취약점을 이용한다는 점을 고려하여, 시스템에 아직 적용하지 않은 업데이트와 패치가 있는지 확인해야 합니다. 이러한 패치와 업데이트는 일반적으로 해당 취약점을 수정하기 위해 개발됩니다.

향후 공격 대비 및 모니터링

공격 발생 시 대응 계획은 조직이 사고 발생 시 따라야 할 활동 목록을 준비하는 데 도움이 됩니다. 이는 사고 발생 시 어떻게 해야 할지 모르는 부담을 줄여줍니다. 또한, 이러한 공격을 조기에 탐지하기 위해서는 지속적인 모니터링이 중요합니다.

사고 보고

공격에 대한 모든 정보를 당국에 보고하는 것은 공격자를 찾고 추적하는 데 매우 중요합니다.

결론

점점 더 많은 서비스가 클라우드로 이동함에 따라 보안은 필수적이며 성공의 중요한 열쇠 중 하나입니다. 서비스를 제공하는 조직들은 시스템 내부에서 공격자에 의한 정보 유출을 방지하기 위해 필요한 모든 조치를 취해야 합니다.

다음으로는 중소기업 웹사이트를 위한 최고의 클라우드 기반 DDoS 보호에 대해 알아보실 수 있습니다.