Memcached 증폭 (Memcached Amplification) 공격

핵심 인사이트 (3줄 요약)

초거대 증폭 계수: UDP 11211 포트의 Memcached 서버를 악용하여 단 15바이트의 요청으로 수십 메가바이트의 응답을 유도하는 최대 5만 배 증폭이 가능한 극강의 DDoS임.
반사형 테라비트 공격: 2018년 GitHub를 대상으로 발생한 1.35Tbps 규모의 공격을 통해 실질적인 위협을 증명한 최신형 볼류메트릭 공격 기법임.
설정 오류의 치명성: 원래 내부망용인 Memcached가 공인 IP에 노출되고, 인증 없는 UDP 접근이 허용된 설정 미비점을 파고드는 공격임.

Ⅰ. 개요 (Context & Background)

개념: 분산 메모리 캐싱 시스템인 Memcached의 UDP 프로토콜을 반사판으로 사용하여, 위조된 출발지 IP(희생자)로 거대한 응답 패킷을 쏟아붓는 공격임.
배경: 고성능 처리를 위해 도입된 UDP 기반 인터페이스가 증폭 공격의 도구로 전락함. (CVE-2018-1000115 관련)

Ⅱ. 아키텍처 및 핵심 원리 (Deep Dive)

1. Memcached 증폭 메커니즘

단계: 1) 공격자가 대량의 데이터를 Memcached에 미리 저장. 2) 희생자 IP로 위조하여 'get' 요청 전송. 3) Memcached가 응답 전송.

[ Memcached Amplification Flow ]
1. Attacker stores large value: SET 'A' (size 1MB)
2. Attacker sends forged GET 'A' (UDP 11211)
   [Src: Victim IP | Dst: Memcached IP]

+-----------+   Forged Request (Small)  +---------------+
|  Attacker | ------------------------> | Memcached Srv | (Reflector)
+-----------+                           +---------------+
                                                |
      ^                                         | 3. Massive UDP Response
      |                                         |    (Amplification factor: 51,000x)
      |                                         V
      |                                  +-------------+
      +--------------------------------- |    Victim   | (Target)
                                         +-------------+

2. 왜 이렇게 강력한가?

데이터 크기 제약 없음: Memcached는 수 메가바이트 크기의 값을 저장할 수 있어, 요청 패킷 대비 응답 패킷의 비대칭성이 다른 프로토콜(DNS, NTP)보다 압도적임.
인증 부재: 기본 설정상 외부에서의 접근 시 별도의 인증 절차가 없음.

Ⅲ. 융합 비교 및 다각도 분석 (Comparison & Synergy)

비교 항목	Memcached 증폭	DNS 증폭 (DRDoS)	NTP 증폭
증폭 배수	최대 51,000배	약 50배	약 500배
핵심 기법	대형 객체 Get 요청	ANY/EDNS0 질의	monlist 명령
발생 가시성	매우 높음 (Terabit 급)	높음 (전통적)	보통
근본 해결	UDP 비활성화, ACL 설정	Anycast, Rate Limit	설정 변경, 업데이트

Ⅳ. 실무 적용 및 기술사적 판단 (Strategy & Decision)

대응 전략:
1. UDP 비활성화: Memcached 설정에서 UDP(--listen 127.0.0.1 및 UDP 포트 0으로 설정)를 끄고 TCP만 사용 권장.
2. 방화벽 설정: UDP 11211 포트의 외부 접근을 전면 차단하고 내부망 허용 IP만 필터링.
3. 버전 업데이트: 취약점이 보완된 최신 버전으로 업데이트하여 기본적으로 UDP를 비활성화함.
기술사적 판단: 1.35Tbps 공격은 단일 서버의 성능이 아닌 분산된 인프라의 취약한 설정이 합쳐졌을 때의 위력을 보여줌. 이는 시스템 구축 시 '기능 중심'이 아닌 '보안 기본값(Secure by Default)' 설정이 얼마나 중요한지 시사함.

Ⅴ. 기대효과 및 결론 (Future & Standard)

기대효과: 인프라 전반의 위협 수준을 낮추고 대규모 트래픽 폭주에 의한 ISP 망 마비를 예방함.
결론: Memcached 공격은 설정 오류 하나가 전 세계 인터넷 생태계에 위협을 가할 수 있음을 보여준 사례로, 향후 모든 신규 서비스 배포 시 보안 점검 항목이 강화되어야 함.

📌 관련 개념 맵 (Knowledge Graph)

상위 개념: DDoS, Reflection Attack, Volumetric Attack
기술적 요소: UDP 11211, Memcached GET/SET
보안 표준: OWASP Cloud Security, CIS Benchmarks

👶 어린이를 위한 3줄 비유 설명

나쁜 사람이 중국집에 미리 1,000인분의 음식을 주문해서 창고에 쌓아두는 거예요.
그리고 나중에 "내 친구네 집으로 그 1,000인분 다 배달해!"라고 전화를 끊어버리죠.
배달 오토바이 수백 대가 한꺼번에 친구네 집으로 몰려가서 길을 꽉 막아버리는 것과 같아요.