AI 요약
2026년 4월 30일 16:33 UTC경, 캐노니컬의 인시던트 모니터링 시스템에 blog.ubuntu.com의 서비스 중단이 기록되었으며, 곧이어 ubuntu.com 메인 사이트와 보안 패키지 관리용 API 등 핵심 인프라가 약 20시간 동안 마비되었습니다. 이번 공격의 배후를 자처한 '313 팀(Islamic Cyber Resistance in Iraq)'은 클라우드플레어의 보호를 우회하는 유료 DDoS 도구인 'Beamed'를 사용했다고 밝혔습니다. 충격적인 사실은 공격에 사용된 'Beamed'의 도메인들이 클라우드플레어의 AS13335 주소를 사용하고 있었으며, 피해자인 캐노니컬 역시 방어를 위해 클라우드플레어에 비용을 지불하는 고객이었다는 점입니다. 이는 보안 업체가 공격자에게는 인프라를 제공하고 피해자에게는 구제 비용을 받는 일종의 '보호비 갈취'와 같은 비즈니스 구조를 가지고 있다는 비판으로 이어졌습니다. 또한 공격 도구의 도메인 등록처인 Immaterialism Limited의 불투명한 운영 방식은 이러한 악용 사례를 방치하고 있다는 의혹을 심화시키고 있습니다.
핵심 인사이트
- 대규모 서비스 중단: 2026년 4월 30일부터 5월 1일까지 약 20시간 동안 우분투 보안 패치 API와 개발자 포털 등 캐노니컬의 공공 웹 서비스 전체가 마비됨.
- 공격 도구의 실체: 'Beamed(beamed.su, beamed.st)'라는 상업용 DDoS 서비스가 사용되었으며, 이들은 클라우드플레어의 'Bot Fight Mode'를 우회하는 기술을 공개적으로 광고함.
- 이해충돌 논란: 공격 도구인 Beamed와 피해 기업인 Canonical의 엔드포인트가 모두 클라우드플레어의 네트워크(AS13335)를 통해 서비스되고 있었음.
- 배후 세력: 친이란 성향의 해킹 그룹인 '313 팀(Islamic Cyber Resistance in Iraq)'이 이번 공격의 책임을 주장함.
주요 디테일
- 우회 기술: Beamed는 주거용 IP 로테이션과 원본 서버를 찾아내는 '엔드포인트 헌팅' 기법을 통해 클라우드플레어의 역프록시 보호를 무력화함.
- 법인 정보: Beamed의 도메인을 등록한 'Immaterialism Limited'는 영국 법인 번호 15738452로 등록되어 있으며, 코스타리카 출신의 Nicole Priscila Fernandez Chaves가 대주주로 확인됨.
- 인프라 공유: 공격 대상이 된 security.ubuntu.com과 공격 서비스인 beamed.su가 모두 클라우드플레어의 네임서버(tani.ns.cloudflare.com 등)를 공유함.
- 비즈니스 모델 비판: 보안 업체가 공격자의 프런트엔드를 무료로 보호해주면서, 공격을 받는 피해자에게는 방어 비용을 청구하는 구조가 '협박(Blackmail)'과 다름없다는 주장이 제기됨.
향후 전망
- 보안 업계의 책임론: CDN 및 보안 서비스 제공업체가 공격용 인프라를 호스팅하거나 보호하는 행위에 대해 더 엄격한 규제와 기술적 필터링이 요구될 것으로 보임.
- 법적 대응 가능성: 캐노니컬과 같은 대형 오픈소스 기업이 보안 업체의 미흡한 대응과 구조적 결함에 대해 법적 책임을 묻거나 서비스 전환을 검토할 가능성이 있음.