바운스 공격(Bounce Attack)

바운스 공격(Bounce Attack)은 주로 두 가지 네트워크 및 통신 영역에서 사용되는 보안 위협 용어입니다. **이메일 바운스 공격(Backscatter)**과 FTP 바운스 공격이 있으며, 두 방식 모두 정상적인 서버의 자동 응답 또는 전송 메커니즘을 악용하여 제3자(피해자)에게 피해를 준다는 공통점이 있습니다.

---

1. 이메일 바운스 공격 (Email Bounce Attack / Backscatter)

가장 흔하게 접할 수 있는 바운스 공격 형태로, 스팸 발송자가 메일 서버의 자동 반송(NDR, Non-Delivery Report) 기능을 악용하여 피해자의 이메일함을 공격하는 서비스 거부(DoS) 공격의 일종입니다.

• 동작 원리 (Step-by-Step):
  1. 발신자 위조 (Spoofing): 공격자는 대량의 스팸이나 피싱 메일을 작성한 뒤, 메일의 '보낸 사람(From)' 주소를 타겟 피해자의 이메일 주소로 위조합니다.
  2. 무작위 발송: 위조된 메일을 수천 개 이상의 무작위 주소(존재하지 않거나 오타가 있는 주소 등)로 발송합니다.
  3. 자동 반송 (Bouncing): 메일을 수신한 각 서버들은 해당 수신자가 존재하지 않음을 확인하고, 메일 표준 프로토콜에 따라 '보낸 사람'에게 "메일 전송 실패(NDR)" 안내 메일을 자동 생성하여 반송합니다.
  4. 피해 발생: '보낸 사람'이 피해자로 위조되어 있었으므로, 전 세계 메일 서버에서 생성된 수만 통의 반송 메일이 피해자의 이메일함으로 일제히 쏟아지게 됩니다.
• 구체적 예시:
  • 공격자가 발신자를 admin@yourcompany.com으로 조작하여 100만 통의 스팸을 발송합니다. 이 중 10만 개의 주소가 없는 주소라면, admin@yourcompany.com 메일함에는 본인이 보내지도 않은 10만 통의 "Delivery Status Notification (Failure)" 메일이 도착하여 업무가 마비됩니다.
• 방어 대책:
  • 메일 인증 프로토콜 (SPF, DKIM, DMARC): 발신 도메인이 실제 서버와 일치하는지 검증하여, 수신 측 서버가 위조된 메일에 대해 반송 메일을 생성하기 전에 아예 폐기하도록 설정합니다.
  • BATV (Bounce Address Tag Validation): 송신하는 정상 메일 봉투(Envelope)에 암호화된 서명 태그를 추가합니다. 반송되어 돌아온 메일에 이 태그가 없으면 위조된 메일에 대한 반송으로 간주하고 차단합니다.

---

2. FTP 바운스 공격 (FTP Bounce Attack)

FTP(File Transfer Protocol)의 구조적 취약점을 이용한 네트워크 수준의 공격입니다. 공격자가 취약하게 설정된 FTP 서버를 '경유지(Middleman)'로 삼아 자신의 IP 주소를 숨기고, 타겟 시스템의 포트를 스캔하거나 방화벽을 우회합니다.

 

이 과정을 통해 공격자는 피해자 시스템에 직접 접근하지 않고도 특정 포트의 상태를 파악할 수 있으며, 방화벽에 의해 외부 접근이 차단된 내부 시스템의 포트를 스캔하는 데 악용될 수 있습니다.

• 동작 원리 (Step-by-Step):
  1. 제어 연결: 공격자가 정상적이거나 취약점이 있는 FTP 서버에 접속합니다.
  2. 명령어 조작 (PORT): 기존의 능동 모드(Active Mode) FTP는 클라이언트가 데이터 전송을 받을 IP와 포트를 서버에 알려주는 PORT 명령어를 사용합니다. 공격자는 이 명령어에 자신의 IP가 아닌 **'타겟 피해자의 IP 및 스캔할 포트 번호'**를 입력합니다.
  3. 데이터 전송 트리거: 공격자가 FTP 서버에 파일 목록 출력(LIST)이나 전송(RETR) 명령을 내립니다.
  4. 포트 스캔 (Port Scanning): FTP 서버는 데이터 전송을 위해 공격자가 지정한 피해자의 IP와 포트로 연결을 시도합니다. 연결이 성공하는지, 거부되는지(응답 코드 확인)를 통해 공격자는 방화벽 내부에 있는 피해자 시스템의 특정 포트가 열려 있는지 은밀하게 파악할 수 있습니다. 피해자 입장에서는 공격자가 아닌 정상 FTP 서버의 접근만 로그에 남습니다.
• 구체적 예시:
  • 외부 접근이 차단된 사내망 데이터베이스(포트 3306)를 확인하고 싶은 공격자가, 사내망에 접근 권한이 있는 취약한 FTP 서버에 접속한 뒤 PORT 피해자IP, 3306 명령을 내려 FTP 서버가 대신 DB 포트를 찌르도록(Bounce) 유도합니다.
• 방어 대책:
  • 수동 모드(Passive Mode) FTP 사용: 능동 모드 지원을 비활성화하고, 클라이언트가 데이터 연결 방향을 제어할 수 없는 수동 모드만 허용합니다.
  • PORT 명령어 검증 (Anti-Bounce): FTP 서버 시스템 설정에서, 최초 제어 연결을 맺은 클라이언트의 IP와 PORT 명령어에 명시된 IP가 일치하지 않으면 요청을 거부하도록 차단 규칙을 적용합니다.
  • 보안 프로토콜 전환: 보안 취약점이 있는 일반 FTP 대신 SSH 암호화 기반의 SFTP를 사용합니다.

---

💡 요약 비교표

구분	이메일 바운스 공격 (Backscatter)	FTP 바운스 공격
공격 목표	이메일 시스템 과부하 및 서비스 거부 (DoS)	포트 스캔, 방화벽 우회, 익명성 확보
악용되는 프로토콜	SMTP (이메일 반송 메커니즘)	FTP (능동 모드의 PORT 명령어)
피해자의 체감	스팸메일함에 수많은 반송(NDR) 알림이 도배됨	로그 상 정상적인 FTP 서버의 접속 기록만 남음
핵심 방어책	SPF/DKIM/DMARC 설정, BATV 적용	수동(Passive) 모드 사용, PORT 명령어 IP 검증, SFTP 도입