Google, Amazon, Microsoft 및 Cloudflare는 이번 주에 8월과 9월에 클라우드 인프라에 대해 대규모의 기록적인 분산 서비스 거부 공격을 시작했다고 밝혔습니다. DDoS 공격은 공격자가 정크 트래픽으로 서비스를 압도하여 크롤링 상태로 만들려고 시도하는 전형적인 인터넷 위협이며, 해커는 서비스를 더 크거나 더 효과적으로 만들기 위해 항상 새로운 전술을 개발합니다.

그러나 이번 공격은 해커들이 기본 네트워크 프로토콜의 취약점을 악용했다는 점에서 특히 주목할 만하다. 이는 패치 작업이 잘 진행되고 있는 동안 이러한 공격이 완전히 근절되려면 패치가 전 세계 모든 네트워크 서버를 기본적으로 포괄해야 함을 의미합니다.

'HTTP/2 빠른 재설정'으로 알려진 이 취약점은 서비스 거부에만 사용될 수 있으며, 공격자는 원격으로 서버를 장악하거나 데이터를 훔칠 수 없습니다. 그러나 큰 문제를 일으키기 위해 공격이 화려할 필요는 없습니다. 중요한 인프라에서 중요한 정보에 이르기까지 모든 디지털 서비스에 액세스하려면 가용성이 매우 중요합니다.

Google Cloud의 Emil Kiner와 Tim April은 이번 주에 다음과 같이 썼습니다. "DDoS 공격은 비즈니스 손실 및 미션 크리티컬 애플리케이션의 가용성을 포함하여 피해자 조직에 광범위한 영향을 미칠 수 있습니다. DDoS 공격에서 복구하는 데 걸리는 시간은 공격이 종료되는 시간을 훨씬 초과할 수 있습니다."

상황의 또 다른 측면은 취약점의 원인입니다. RapidReset은 특정 소프트웨어에 존재하는 것이 아니라 웹 페이지를 로드하는 데 사용되는 HTTP/2 네트워크 프로토콜의 사양에 존재합니다. IETF(Internet Engineering Task Force)에서 개발하고 약 8년 동안 사용된 HTTP/2는 기존 인터넷 프로토콜인 HTTP의 더 빠르고 효율적인 후속 버전입니다. HTTP/2는 모바일 장치에서 더 잘 실행되고 더 적은 대역폭을 사용하므로 널리 채택됩니다. IETF는 현재 HTTP/3을 개발 중입니다.

Cloudflare의 Lucas Pardue와 Julien Desgats는 이번 주에 다음과 같이 썼습니다. 이 공격은 HTTP/2 프로토콜의 잠재적인 약점을 악용하기 때문에 우리는 HTTP/2를 구현하는 모든 공급자가 취약할 것이라고 믿습니다. RapidReset의 영향을 받지 않는 구현이 소수 있는 것으로 보이지만 Pardue와 Desgats는 이 문제가 "모든 최신 웹 서버"와 광범위하게 관련되어 있다고 강조했습니다.

Microsoft가 패치한 Windows 취약점이나 Apple이 패치한 Safari 취약점과 달리 프로토콜의 결함은 각 웹 사이트가 자체 방식으로 표준을 구현하기 때문에 중앙 기관에서 수정될 가능성이 낮습니다. 주요 클라우드 서비스와 DDoS 방어 제공업체는 서비스에 대한 수정 사항을 만들 때 인프라를 사용하는 모든 사람을 보호하는 데 큰 도움이 됩니다. 그러나 자체 웹 서버를 운영하는 조직과 개인은 자체적인 보호 조치를 개발해야 합니다.

오랫동안 오픈 소스 소프트웨어에 참여해 온 소프트웨어 공급망 보안 회사인 ChainGuard의 CEO인 Dan Lorenc는 이러한 상황을 오픈 소스의 가용성과 코드 재사용의 확산(항상 처음부터 모든 것을 구축하는 대신)이 얼마나 장점인지 보여주는 사례로 지적했습니다. 왜냐하면 많은 웹 서버가 바퀴를 재발명하는 대신 다른 곳에서 HTTP/2 구현을 복사했을 수 있기 때문입니다. 이러한 프로젝트가 유지되면 빠른 재설정 수정 사항을 개발하여 사용자에게 출시할 것입니다.

하지만 이러한 패치가 완전히 채택되려면 아직 몇 년이 걸릴 것이며, 다른 곳에서는 패치를 사용할 수 없는 자체 HTTP/2를 처음부터 구현하는 일부 서비스가 여전히 있을 것입니다.

Lorenc는 "대형 기술 기업이 이 문제를 발견하면 적극적으로 악용되고 있다는 점을 기억하는 것이 중요합니다."라고 말했습니다. "운영 기술이나 산업 제어와 같은 서비스를 마비시키는 데 사용될 수 있습니다. 무섭습니다."

최근 Google, Cloudflare, Microsoft 및 Amazon에 대한 DDoS 공격이 급증하면서 그 규모가 엄청나기 때문에 경각심을 불러일으켰지만, 회사는 궁극적으로 지속적인 피해를 입히지 않고 공격을 완화했습니다. 그러나 해커들은 공격을 감행함으로써 프로토콜 취약점의 존재와 이를 악용하는 방법, 즉 보안 커뮤니티에서 '불타버린 제로데이'로 알려진 인과관계를 드러냈다. 패치 프로세스에는 시간이 걸리고 일부 웹 서버는 오랫동안 취약한 상태로 유지되지만 공격자가 취약성을 악용하여 카드를 공개하지 않았을 경우보다 이제 인터넷은 더 안전합니다.

Lorenc은 다음과 같이 말했습니다. "이런 취약점이 표준에 나타나는 것은 드문 일입니다. 이는 새로운 취약점이며 이를 처음 발견한 사람에게는 귀중한 발견입니다. 그들은 이를 보관하거나 팔아서 큰 돈을 벌 수도 있었습니다. 누군가가 이 취약점을 '소각'하기로 결정한 이유가 항상 궁금했습니다."