오류 페이지를 캐시에 저장한 뒤 이를 반복적으로 나타나게 하는 공격

[이미지 = iclickart]

먼저 캐시란, 과거의 HTTP 응답들을 재활용함으로써 네트워크 트래픽을 줄여주는 역할을 한다. 동시에 애플리케이션들이 대규모로 확장될 수 있게 해주며 디도스 공격에 대한 일종의 방어 장치가 되기도 한다.

최근 콜론응용과학대학(Cologne University of Applied Sciences)과 함부르크대학(Unversity of Hamburg)의 연구원들이 이러한 캐시를 서버에서 생성된 오류 페이지를 통해 오염(poisoning)시키는 방법을 개발해냈다고 발표했다. 백서에 따르면 1개의 프록시 캐시 관련 제품과 5개의 CDN 서비스에 통하는 것도 확인했다고 한다.

“피해자의 웹사이트를 완전히 마비시키는 데 필요한 건 한 개의 간단한 요청뿐입니다. 게다가 지리학적으로 광범위한 곳에 영향을 미칠 수도 있습니다. 따라서 매우 심각한 위협입니다. 저희는 이 공격법을 캐시 포이즈닝 디도스 공격 즉, CPDoS(시피도스) 공격이라고 부릅니다. 보안 담당자라면, 이 공격의 존재와 원리를 미리 숙지하고 있어야 할 것으로 보입니다.” 전문가들의 설명이다.

시피도스 공격은 한 마디로 ‘여러 층위 시스템(layered system)’에 보편적으로 나타나는 문제를 공격하는 것이라고 한다. “같은 메시지를 연속적으로 처리할 때, 해석에 차이가 나타난다는 게 바로 여러 층위 시스템에서 나타나는 특징입니다. 예를 들어 공격자가 캐시 가능한 자원에 대한 요청을 HTTP로 보낸다고 했을 때, 어떤 경우는 부정확한 필드 값을 보고 무시하고, 어떤 경우는 오류 메시지를 응답으로서 내보내며, 어떤 경우는 그냥 통과시킨다는 겁니다.”

그러므로 어떤 경우 원 서버로부터 오류 페이지가 돌아올 때가 있다. 이 콘텐츠는 캐시로 간다. 그렇다는 건 서버가 생성한 오류 페이지로 인해 캐시가 변경(poison)됐다는 뜻이 된다. 이런 콘텐츠가 중첩되기 시작하면 사용자가 원하는 서비스에서 응답이 돌아오지 못하게 된다. “실험을 통해 이런 상태를 의도적으로 유발하는 게 가능하다는 걸 알게 됐습니다. 시피도스 공격이 성공하는 것이죠.”

실험 대상이 된 건 15개의 웹 캐싱 솔루션들이었다. 정확하지 않은 필드 값을 포함한 HTTP 요청들이 어떻게 처리되고 캐싱되는지 확인했다. 취약한 부분들이 발견됐고, 연구원들은 해당되는 제조사들에 문제를 알렸다.

“시피도스 공격은 두 개의 HTTP 엔진들 사이에서 발견되는 의미상의 간격(semantic gap)을 익스플로잇 하는 겁니다. 두 개의 엔진이란, 공유된 캐시에 있는 것과 원 서버에 있는 것을 말합니다. 이번 실험의 경우, 저희가 구축한 캐싱 시스템은 요청 처리에 보다 특화되어 있는 것들이었습니다. 즉 공격자들이 요청문을 통해 악의적인 헤더를 삽입하는 게 가능한 상태로 실험을 했다는 것입니다.”

원 서버에 있는 HTTP 엔진과 아무런 차이 없이 헤더들이 전달될 경우, 해당 요청은 아무런 문제없이 캐시를 통과한다. 그러나 이 과정에서 원 서버가 오류 메시지를 생성해낸다. 이 오류 메시지는 캐시에 저장되고, 다음에 오는 여러 가지 요청들에 대한 응답으로서 재사용된다. 백서에 의하면 “간단한 요청만으로 캐시에 있는 원래 콘텐츠를 오류 페이지로 바꾸는 게 가능하므로, 웹 애플리케이션 방화벽을 탐지하는 게 어렵다”고 한다.

수위가 낮은 시피도스 공격의 경우 이미지나 스타일과 관련된 자원이 로딩되는 걸 막기 때문에 애플리케이션의 시각적인 모습에 영향을 준다. 하지만 공격의 수위를 높이면 웹 애플리케이션이 아예 작동하지 않도록 할 수 있다. 심지어 패치나 펌웨어 업데이트도 배포되지 않게 할 수 있다고 한다. “비슷한 맥락에서 보안 경고 메시지도 차단할 수 있습니다. 이메일 애플리케이션에서 피싱 경고가 뜨지 않도록 할 수 있다는 것이죠.”

연구원들이 가장 강력하게 강조하는 건 공격이 매우 쉽고 간단하며 탐지의 리스크가 낮다는 것이다. 게다가 성공 가능성은 높으니 공격자들에게는 더없이 좋은 수단이 된다고 한다. 그러면서 이들은 세 가지 공격 시나리오를 제시했다.
1) HTTP 메소드 오버라이드(HMO) : 악성 클라이언트로부터 조작된 GET 요청이 사용된다.
2) TTP 헤더 오버사이즈(THO) : 악성 클라이언트가 원 서버에서 제한하는 것보다 크지만 캐시에 있는 것보다는 작은 헤더를 포함한 GET 요청을 보낸다
3) HTTP 메타 캐릭터(HMC) : 악의적인 메타 캐릭터를 포함한 요청 해더를 전송한다.

알렉사 탑 500 웹사이트 중 30% 가까이가 이 공격에 취약한 것으로 나타났다. 미국 국방부가 운영하는 웹사이트들 중 8개 역시 이 공격에 취약했다. CDN 서비스 제공업체들 중 취약한 곳은 아카마이(Akamai), CDN77, 파스틀리(Fastly), 클라우드플레어(Cloudflare), 클라우드프론트(CloudFront), 바니시(Varnish)였다. 전부 오류 페이지를 캐싱하는 방식을 가지고 있었다. “이 서비스를 활용한 웹사이트들의 경우 시피도스 공격이 가능한 곳이 많았습니다.”

3줄 요약

1. 캐시된 콘텐츠를 오류 페이지로 변경시키는 유형의 디도스 공격 발견됨.

2. 간단한 요청을 통해 서버에서 오류 페이지를 유발한 뒤 이를 계속 재사용하는 것임.

3. 탐지율 낮고 성공률 높아 공격자들에게 안성맞춤. 

[국제부 문가용 기자(globoan@boannews.com)]

[출처 : 보안뉴스(www.boannews.com), https://www.boannews.com/media/view.asp?idx=84040&page=1&mkind=1&kind=1]​