미국의 콘텐츠 전송 네트워크(CDN) 대기업인 클라우드플레어(Cloudflare)의 대규모 장애가 전 세계 주요 웹사이트와 SNS를 다운시켰습니다. 이와 관련해 일부 웹사이트는 운영을 계속하기 위해 일시적으로 클라우드플레어의 서비스를 우회했으나, 이로 인해 방어가 약화되어 불법 침입이 발생할 가능성이 있다고 전문가들은 로그 등을 확인할 것을 촉구하고 있습니다.
클라우드플레어의 장애는 세계 협정시 기준 11월 18일에 발생했으며, 수 시간 동안 지속되어 ChatGPT, X, Spotify, Zoom, Microsoft Teams, Canva, Visa 등의 대형 서비스에도 영향을 미쳤습니다. 보안 기자 브라이언 크렙스(Brian Krebs)가 운영하는 블로그 'Krebs on Security'는 이번 장애가 조직에 예상치 못한 형태로 공격에 대한 내성이 시험되는 '네트워크 침입 테스트'가 되었을 가능성을 지적했습니다.
전문가에 따르면 클라우드플레어의 애플리케이션 방화벽(WAF)은 부정한 트래픽을 차단하고 정보 탈취를 목표로 하는 크로스사이트 스크립팅 공격, SQL 인젝션 공격, 봇 공격 등 일반적인 사이버 공격을 방지하는 역할을 합니다. 이러한 방식으로 클라우드플레어에 의해 보호받는 웹사이트의 다수는 이번 장애로 인해 클라우드플레어 포털에 접근할 수 없거나 DNS 서비스를 사용할 수 없게 되어 영향을 피할 수 없었습니다.
한편, 자사의 도메인을 일시적으로 클라우드플레어에서 분리하여 웹사이트 운영을 계속한 기업도 있었으나, 이로 인해 클라우드플레어의 방어가 무효화되어 인프라가 노출되었고 불법 침입이 발생했을 가능성이 있습니다.
IANS 리서치의 아론 터너(Aaron Turner) 씨는 "장애가 지속된 약 8시간 동안 여러 대형 사이트가 운영을 계속하기 위해 클라우드플레어를 우회한 것 같다"고 말하며, 이들 기업에 장애 시 WAF 로그를 철저히 확인하고 클라우드플레어의 방어가 다시 유효해질 때까지 침입의 흔적이 없는지 확인할 것을 권장했습니다.
장애 기간 동안 로그 양의 급증이 확인되었으며, 이것이 공격에 의한 것인지 아니면 단순한 노이즈인지 판단하려는 기업도 있습니다. 터너 씨는 "이번 장애는 클라우드플레어의 도움 없이 애플리케이션이나 웹사이트를 방어할 수 없을 가능성을 고객이 인식하는 기회가 되었다"고 언급했습니다.
사이버 범죄 집단도 이번 장애를 이용해 평소 노리던 목표가 클라우드플레어의 서비스를 중단한 틈을 타 침입하려 했을 가능성이 큽니다. 터너 씨는 "만약 내가 공격자라면, 클라우드플레어로 인해 목표에 침입할 기회가 없었으나 이번 장애가 발생하고 DNS 변경을 통해 목표가 클라우드플레어를 웹 스택에서 제거한 것을 알게 된다면, 보호층이 사라져 새로운 공격을 계속 시도할 수 있는 상태가 된다"고 설명했습니다.
미국의 사이버 보안 기업인 레플리카 사이버(Replica Cyber)의 니콜 스콧(Nicole Scott) 씨도 이번 장애가 의도했든 아니든 조직의 보안 대책이 시험되는 '무료의 책상 위 연습'이 되었다고 보고 있습니다. 조직에 대해서는, 대책이 약화되었던 동안의 트래픽을 조사할 뿐만 아니라, 긴급 조치로 DNS나 라우팅의 변경을 했는지, 직원의 개인 장치나 자택의 Wi-Fi, 미승인 SaaS 등을 사용했는지 등을 검증할 것을 권장하고 있습니다.
