[기사 분석3] 보안뉴스_클레이스왑 해킹으로 드러난 BGP Hijacking 공격기법, 도대체 뭐길래?

제목 : 클레이스왑 해킹으로 드러난 BGP Hijacking 공격기법, 도대체 뭐길래?

 

기사 요약

사고 배경

2022년 2월 3일 11:31:41경 Klayswap UI를 통해 암호화폐가 공격자의 특정 지갑으로 전송되는 이상 트랜잭션이 실행됨.

카카오 SDK(Software Development Kit)라는 파일을 사용하는 서비스(카카오 QR 체크인, 카카오맵, 다음 등)에서 접속이 되지 않거나 지연되는 문제 발생.

 

사고 원인

외부 네트워크망 공격에 BGP Hijacking 기법이 활용됨.

공격자는 BGP Hijaking을 통해 네트워크 흐름을 조작함으로써 사용자가 악성 SDK 파일을 통해 악성코드를 다운받도록 구성.

 

Klaywaps 사용자가 아닌 경우에도 접속 장애가 일어난 이유 : 접속 시 HTTP 헤더의 Refere 값을 확인하여 Klayswap을 통해 접속한 사용자에게는 악성코드를 유포하였고, 아닌 경우에는 서버 쪽 에러로 반환 시킴.

 

BGP Hijacking이란

AS(Autonomous System)간에 라우팅 테이블을 공유하는 BGP(Border Gateway Protocol) 프로토콜을 악용하여 공격자가 임의로 설정한 라우팅 테이블을 인접한 AS에 퍼뜨리는 것. 이러한 방법이 가능한 이유는 BGP 프로토콜은 신뢰도를 고려하지 않고 가장 빠른 경로만을 따라가기 때문에 공격자는 공격 대상의 라우팅 경로를 분석한 후, 원하는 경로로 네트워크의 흐름을 변경해 공격자의 의도대로 공격이 가능해진다.

 

기사의 내용은 S2W에서 발간한 리포트를 요약한 것이기에 사고 배경, 원인 정도로만 요약하였다. 이와 관련된 개념들은 https://scorchingnraining.tistory.com/entry/%EA%B8%B0%EC%82%AC%EB%B6%84%EC%84%9D3-%EA%B4%80%EB%A0%A8-%EA%B0%9C%EB%85%90-%EC%A0%95%EB%A6%ACSW2Post-Mortem-of-KlaySwap-Incident-through-BGP-Hijacking-%EB%B3%B4%EA%B3%A0%EC%84%9C%EB%A5%BC-%EA%B8%B0%EB%B0%98%EC%9C%BC%EB%A1%9C 이 글을 참고하면 된다.

---

- Post Mortem of KlaySwap Incident through BGP Hijacking 정리 및 공부

- KLAYswap Incident Report (Feb 03, 2022) 정리