원격으로 리눅스 시스템 감염시켜 디도스 공격 지시하는 'XOR 디도스' 강도 ↑
게임·교육기관 공격 잦아…윈도우 서버 공격보다 더 자주 발생[아시아경제 한진주 기자] 아카마이코리아는 리눅스를 노린 XOR 디도스(분산서비스거부) 공격 강도가 강해지고 있고, 90%가 아시아에서 집중돼있다고 14일 밝혔다.아카마이 보안 인텔리전스 대응팀(SIRT)은 리눅스 하이재킹용 트로이 목마 악성코드인 XOR 디도스 공격 대역폭이 한 자릿수에서 시작해 150Gbps 이상의 공격으로 진화했다고 밝혔다. 대부분 기업 시스템에서는 방어하기 어려운 수준이다. 심지어 179Gbps에 달하는 공격이 발견되기도 했다.
가장 많은 공격을 받은 분야는 게임이며, 교육기관이 그 뒤를 이었다. XOR 디도스에 감염된 봇넷은 하루 평균 20곳의 표적을 공격했고 전체 표적의 90%는 아시아에 집중됐다.
XOR 디도스는 공격자가 원격으로 리눅스 시스템을 감염시켜 온디맨드(On-demand) 디도스 공격을 실시하도록 지시하는 트로이 목마다. 공격자는 무차별 공격을 실행해 시큐어 쉘(Secure shell) 비밀번호를 알아낸다. 이후 루트 권한을 획득해 배시 쉘 명령어(Bash shell script)를 구동시키고 악성코드 다운로드를 실행한다. 공격자들은 봇넷의 IP 주소를 위장하는 스푸핑(Spoofing) 기법을 간헐적으로 사용하는 치밀함을 보이기도 했다. 스푸핑 기법이란 해커가 임의로 호스트의 IP 주소나 e메일 주소를 바꿔 해킹하는 공격 방식이다.
위장된 IP 주소는 감염된 호스트와 같은 /24 혹은 /16 주소에서 발생된 것처럼 보인다. IP주소의 세 번째 혹은 네 번째 마디만 바꾸는 이 기법은 인터넷 서비스 사업자가 uRPF(unicast Reverse-Path Forwarding) 보안 네트워크에서 스푸핑 트래픽을 차단하는 것을 막는데 활용된다.
아카마이는 현재 XOR 디도스 공격을 지속적으로 모니터링하고 있다. XOR 디도스 공격은 악성파일이 삭제되면 재설치할 정도로 지속적으로 발생한다. 악성코드를 제거하기 위해서는 ▲두 개의 디렉토리에서 악성코드 감염 파일 식별 ▲메인 공격 프로세스를 지원하는 공격 프로세스 식별 ▲악성 프로세스 제거 ▲악성코드 감염 파일 제거 등 4단계 조치가 필요하다.
스튜어트 스콜리 아카마이 보안사업부 수석 부사장은 "지난 1년간 XOR 디도스 봇넷은 대형 디도스 공격을 감행할 정도로 성장했다"며 "XOR 디도스는 공격자들이 윈도우에서 리눅스 시스템으로 초점을 옮기고 있음을 보여주는 사례이며, 최근 리눅스를 겨냥한 디도스 공격은 과거 윈도우 공격보다 더 자주 발생한다"고 말했다.
XOR 디도스 공격과 위험 완화 방법에 대한 자세한 정보는 웹사이트(www.stateoftheinternet.com/xorddos)에서 확인할 수 있다.
한진주 기자 truepearl@asiae.co.kr
<ⓒ투자가를 위한 경제콘텐츠 플랫폼, 아시아경제(www.asiae.co.kr) 무단전재 배포금지>