사이버 공격에는 해커가 네트워크를 방해하고 민감한 정보를 훔치기 위해 사용하는 다양한 전술이 있습니다. 이러한 방법 중 하나는 스머프 바이러스를 기반으로 하는 스머프 공격으로 알려져 있으며, 이는 대상 시스템에 심각한 피해를 입힐 수 있습니다.

이름과는 달리 스머프 공격은 작은 파란색 생명체와는 아무런 관련이 없습니다. 만화 캐릭터가 크기에 상관없이 큰 적을 쓰러뜨리는 것처럼, 이 공격은 작은 패킷을 사용하여 전체 시스템을 다운시킵니다. 사이버 보안에 대한 정보를 찾는 사람이든 가가멜에 대한 정보를 찾는 사람이든 상관없이 모든 사람이 스머프 공격이 실제로 무엇이며 어떻게 방어할 수 있는지 알아야 합니다.

스머프 공격이란 무엇인가요?

스머프 공격은 네트워크 계층에서 발생하는 분산 서비스 거부 공격으로, 피해자의 서버에 수많은 ICMP(인터넷 제어 메시지 프로토콜) 에코 요청을 전송하여 과부하를 일으켜 공격합니다. 이러한 ICMP 요청은 서버를 과부하시켜 서버가 들어오는 모든 트래픽을 처리할 수 없게 만듭니다. 해커는 “DDOS.Smurf”라는 바이러스를 사용하여 스머프 공격을 실행합니다.

분산 서비스 거부(DDoS) 공격은 여러 시스템을 사용하여 대상 웹사이트 또는 네트워크에 트래픽을 폭주시켜 사용자가 해당 웹사이트를 사용할 수 없게 만드는 사이버 공격입니다. 디도스 공격에서 공격자는 일반적으로 많은 수의 컴퓨터를 제어하고 이를 사용하여 공격 대상을 향한 대량의 방문자를 생성합니다.

DDoS 공격의 주요 목표는 너무 많은 트래픽으로 공격 대상을 압도하여 정상적인 요청을 처리할 수 없게 만들어 사용자가 웹사이트나 네트워크에 액세스하기 어렵거나 불가능하게 만드는 것입니다.

스머프 공격의 역사

최초의 스머프 공격은 1998년 미네소타 대학교에서 수행되었습니다. 이 공격을 수행하는 데 사용된 코드는 유명한 해커인 Dan Moschuk이 작성했습니다. 이 공격은 한 시간 이상 지속되었으며 미네소타 지역 네트워크(주 인터넷 서비스 제공업체)에 영향을 미쳤고, 그 결과 다른 대기업과 중소기업, 거의 모든 MRNet 고객에게 영향을 미쳤습니다.

ICMP 에코 요청이란 무엇인가요?

스머프 공격은 ICMP(인터넷 제어 메시지 프로토콜) 에코 요청에 의존하는데, 이것이 무엇을 의미하나요? ICMP 요청은 네트워크에서 한 디바이스에서 다른 디바이스로 전송되는 메시지 유형으로, 수신 디바이스의 연결 상태를 테스트하고 연결 가능 여부와 응답 여부를 확인하기 위해 전송됩니다. 이 요청을 시작하는 데 일반적으로 사용되는 명령어 때문에 핑 요청이라고도 합니다.

이 글도 확인해 보세요:  봇넷 공격을 탐지하고 완화하는 방법

ICMP 에코 요청이 전송되면 한 장치는 수신 장치에 ICMP 에코 요청 메시지가 포함된 패킷을 보냅니다. 수신 장치가 작동 중인 경우, 수신 장치는 송신 장치에 ICMP 에코 응답 메시지를 다시 보내 요청에 응답하여 연결 가능하고 응답할 수 있음을 알립니다.

ICMP 에코 요청 및 응답은 일반적으로 네트워크 관리자가 네트워크 연결 문제를 해결하고 문제를 진단하는 데 사용됩니다. 그러나 공격자가 네트워크에서 취약한 디바이스를 조사 및 스캔하거나 핑 플러드 또는 스머프 공격과 같은 DoS 공격을 실행하는 데 사용할 수도 있습니다.

스머프 공격은 어떻게 작동하나요?

스머프 공격은 수많은 ICMP 패킷/에코 요청을 사용하여 시스템에 대한 서비스 거부 공격을 일으킵니다. 스머프 공격은 핑 플러드와 비슷하게 들릴 수 있지만 훨씬 더 위험합니다.

스머프 공격과 핑 플러드 공격의 차이점은 전자는 증폭을 사용하여 피해자를 향한 트래픽의 양을 증가시키는 동시에 피해자가 공격의 출처를 탐지하기 어렵게 만든다는 점입니다.

스머프 공격에서 사이버 범죄자는 피해자의 주소와 일치하는 스푸핑된 소스 IP 주소를 사용하여 네트워크의 브로드캐스트 주소로 수많은 ICMP 에코 요청을 보냅니다. 네트워크의 브로드캐스트 주소는 해당 네트워크의 모든 호스트에게 메시지를 보내는 데 사용되는 특수 주소입니다.

이러한 요청이 브로드캐스트되면 네트워크의 모든 호스트가 요청을 수신하고 차례로 ICMP 에코 응답으로 응답한 다음 피해자의 IP 주소로 다시 전송됩니다.

원래 ICMP 에코 요청의 소스 IP 주소가 피해자의 IP 주소와 일치하도록 스푸핑되었으므로 네트워크의 호스트에서 생성된 모든 ICMP 에코 응답이 피해자에게 전달됩니다. 이로 인해 피해자를 향한 트래픽의 양이 공격자가 원래 전송한 양보다 훨씬 많아지는 상당한 증폭이 발생합니다.

따라서 공격자가 각각 100개의 호스트를 포함하는 브로드캐스트 주소에 100개의 ICMP 에코 요청을 보내면 피해자의 IP 주소는 10,000개의 ICMP 에코 응답을 받게 됩니다. 이러한 증폭 효과로 인해 스머프 공격은 상대적으로 적은 양의 트래픽으로도 피해자의 네트워크 또는 서버를 압도할 수 있기 때문에 특히 효과적이고 위험합니다.

이 글도 확인해 보세요:  제로 트러스트 보안 모델을 도입해야 하는 5가지 이유

스머프 공격 예방 방법

스머프 공격을 예방하고 방어하려면 네트워크의 트래픽을 모니터링하는 효과적인 전략을 사용하는 것이 중요하며, 이를 통해 악의적인 행동을 시작하기 전에 탐지하고 억제하는 데 도움이 될 수 있습니다. 스머프 공격에 대한 몇 가지 다른 예방 조치는 다음과 같습니다:

⭐ 모든 네트워크 라우터에서 IP 방향 브로드캐스트를 비활성화합니다. 이렇게 하면 공격자가 이를 사용하여 공격을 증폭하는 것을 막을 수 있습니다.

⭐ 일반적으로 ICMP 트래픽을 제한하거나 허용하지 않도록 네트워크 장치를 구성합니다.

⭐ 네트워크에서 시작되지 않은 핑을 허용하지 않도록 방화벽을 재구성합니다.

⭐ 맬웨어 방지 및 침입 탐지 소프트웨어 사용.

웹사이트를 방문했는데 제대로 로딩되지 않는다면 디도스 공격으로 인해 다운되었을 수 있습니다. 아니면 정기적인 유지보수 때문일 수도 있습니다. 사이트가 제대로 작동하지 않는 데에는 여러 가지 이유가 있을 수 있으므로 잠시 기다렸다가 다시 방문하고 소셜 미디어에서 다운타임에 대한 공지가 있는지 확인하세요.

조직의 보안 태세 강화

스머프 공격과 같은 사이버 공격을 예방하려면 비즈니스의 보안 태세에 대한 정기적인 평가와 평가를 수행하는 것이 중요합니다. 이를 통해 시스템의 약점을 정확히 찾아내고 보안을 수정 및 개선하여 보안을 강화할 수 있습니다. 또한 사이버 공격이 발생할 경우 사전 예방적인 사고 대응 계획을 실행해야 합니다.

사이버 보안의 우선순위를 정하고 보안 조치를 지속적으로 개선하면 조직의 중요한 데이터와 시스템을 더 잘 보호할 수 있습니다.

By 김민수

안드로이드, 서버 개발을 시작으로 여러 분야를 넘나들고 있는 풀스택(Full-stack) 개발자입니다. 오픈소스 기술과 혁신에 큰 관심을 가지고 있고, 보다 많은 사람이 기술을 통해 꿈꾸던 일을 실현하도록 돕기를 희망하고 있습니다.