보안 / 윈도우

“6월 초 MS 365 서비스 먹통 사태, 원인은 디도스(DDoS) 공격”

Hans-Christian Dirscherl | PCWorld 2023.06.20
마이크로소프트는 6월 5일 아웃룩, 원드라이브, 팀즈, 애저 등 마이크로소프트 365 서비스에서 발생한 장애가 디도스(DDoS) 공격에 따른 것이라고 발표했다. 해커는 디도스 공격으로 마이크로소프트 서버에 트래픽을 폭주시켰다. 디도스 공격에 따라 서버로 전송되는 트래픽이 엄청나게 증가해 요청을 처리할 수 없게 됐고, 결국 마이크로소프트의 서비스가 중단됐다. 
 
ⓒGetty Images Bank

마이크로소프트 고객이 아웃룩에서 새 이메일을 검색하거나 작성할 수 없었다는 의미다. 팀즈 사용도 중단됐고, 캘린더도 동기화되지 않았다. 원드라이브 웹 포털이 다운되고, 다양한 애저 서비스도 사용할 수 없었다. 

마이크로소프트는 “2023년 6월 초부터 일부 서비스에서 일시적으로 가용성에 문제를 야기하는 트래픽 급증을 확인했다. 즉시 조사를 시작했고, ‘Storm-1359’로 추적하는 위협 행위자의 디도스 활동을 탐지했다”라며, “이 공격은 임대 클라우드 인프라, 개방형 프록시, 디도스 도구와 함께 여러 VPS(가상 사설 서버) 액세스를 통해 이뤄졌을 가능성이 높다”라고 밝혔다. 
 

“고객 데이터는 안전”

이어 마이크로소프트는 “고객 데이터가 유출되거나 침해됐다는 증거는 발견되지 않았다”라고 강조했다. 

아울러 해커는 이른바 ‘레이어 7 디도스(Layer 7 DDoS)’ 공격을 사용했다고 회사 측은 언급했다. 레이어 7 디도스 공격에서, 해커는 애플리케이션 수준에서 작업을 수행하고, 표적이 된 온라인 서비스에 더 이상 요청을 처리할 수 없을 정도로 엄청나게 많은 요청을 전송해 서비스를 중단시킨다. 또 해커는 HTTP(S) 플러드 공격, 캐시 우회, 슬로로리스를 포함해 여러 유형의 레이어 7 디도스 공격을 활용해 마이크로소프트 서비스를 공격했다고 회사 측은 설명했다. 

HTTP(S) 플러드 공격은 대량의 분산된 HTTP(S) 요청과 SSL/TLS 핸드셰이크로 타깃 시스템을 폭주시킨다. 목표는 애플리케이션 백엔드의 CPU와 메모리 리소스를 고갈시켜 응답하지 않게 하는 것이다. 캐시 우회 공격은 CDN 계층을 우회해 원본 서버를 중단시키는 것을 목표로 한다. 공격자는 생성된 URL로 특정 쿼리를 전송해 모든 요청이 캐시된 콘텐츠를 활용하는 대신 원본 서버로 전달되도록 한다. 슬로우로리스 공격에서는 클라이언트가 웹 서버에 리소스를 요청하지만, 고의적으로 다운로드를 지연시키거나 승인하지 않는다. 이렇게 하면 웹 서버는 연결을 계속 열어두고 요청된 리소스를 메모리에 보관하게 된다. 

마이크로소프트는 레이어 7 디도스 공격을 방지하는 가장 효과적인 방법은 레이어 7 웹 애플리케이션 방화벽(WAF) 보호 서비스를 설치하는 것이라고 전했다. 회사에 의하면 애저 프론트 도어(Azure Front Door) 및 애저 애플리케이션 게이트웨이(Azure Application Gateway)와 함께 사용할 수 있는 애저 WAF(Azure WAF)는 웹 애플리케이션을 보호한다. 
 

“수단의 해커 그룹으로 추정”

위에서 언급한 것처럼 마이크로소프트는 해커 그룹 ‘Storm-1359’를 공격의 배후로 파악했다. 이 그룹은 스스로를 ‘익명의 수단(Anonymous Sudan)’이라고 부르기도 한다. ‘Storm-1359’은 수단에 반대하는 모든 국가에 공격을 가하겠다고 선언한 바 있다. 

블리핑 컴퓨터(Bleeping Computer)는 해당 해커 그룹이 2023년 1월부터 알려졌다고 전했다. ‘익명의 수단’은 이미 전 세계의 다양한 기업과 정부기관을 공격해 오프라인 상태로 만들거나 데이터를 훔쳤다. 수단은 현재 내전 중이다. 한편 러시아가 ‘익명의 수단’과 밀접한 관련이 있을 수 있다는 의혹도 제기되고 있다. 
editor@itworld.co.kr
 
Sponsored
IDG 설문조사

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.