FTP Flooding이란?

🌊 FTP Flooding이란? – 접속만으로도 서버를 죽이는 조용한 폭주

한 회사의 FTP 서버가 갑자기 느려졌습니다.
접속은 되는데, 로그인도 오래 걸리고 파일 전송은 자꾸 실패합니다.
관리자는 의심합니다:

“트래픽은 별로 없어 보이는데 왜 이렇게 버벅이지…?”

그렇다면 지금 그 서버는 누군가에게 침묵의 공격(FTP Flooding)을 받고 있을 수 있습니다.

---

🧾 FTP란 무엇인가요?

FTP(File Transfer Protocol)는 가장 오래된 파일 전송 프로토콜 중 하나입니다.

• 일반적으로 포트 21을 사용하고,
• 사용자 인증 후 파일을 업로드/다운로드하거나,
• 디렉터리를 탐색할 수 있도록 해주는 서비스입니다.

하지만 오래된 프로토콜답게 보안이 약하고,
접속 처리 방식이 단순하면서도 무겁기 때문에 공격에 취약합니다.

---

💣 FTP Flooding이란?

FTP Flooding은 말 그대로 FTP 서버에 과도한 요청을 퍼붓는 공격입니다.

하지만 많은 분들이 잘못 이해하시는 게 하나 있습니다:

"파일을 막 업로드하거나 다운로드해서 공격하는 거죠?"

사실은 아닙니다.
파일을 꼭 전송하지 않아도,
단지 FTP 접속을 수백~수천 번 반복하는 것만으로도
서버를 마비시킬 수 있습니다.

---

📌 그럼 질문!

“접속만 해도 왜 서버가 죽을 수 있죠?”

바로 여기서 FTP Flooding의 진짜 핵심이 드러납니다.

---

⚙️ 접속 ‘요청’이 서버에 주는 부담: 단계별로 보기

🔹 1. TCP 연결 수립

• 클라이언트가 접속하면, 서버는 TCP 3-way 핸드셰이크를 수행합니다.
• 이 과정에서 소켓, 커널 리소스가 할당됩니다.

🔹 2. 로그인 처리

• 대부분 FTP 서버는 접속 직후 로그인 과정을 거칩니다.
• 익명 접속도 허용하는 서버가 많기 때문에, 공격자는 그냥 "USER anonymous"만 반복합니다.
• 서버는 계정 처리, 인증 시도, 실패 기록 등에 CPU와 메모리를 씁니다.

🔹 3. 세션 유지

• FTP는 연결을 유지하는 프로토콜입니다.
• 서버는 접속이 끊기기 전까지 일정 시간 동안 세션을 유지합니다.
• 이 상태로 아무 명령도 안 보내고 묵묵히 기다리기만 해도, 서버는 자원을 소비합니다.

 

🔹 4. 동시 접속 한도 초과

• 대부분 FTP 서버는 최대 동시 접속 수가 정해져 있습니다. (예: 100명)
• 공격자가 그 한계를 채우면,
  → 나머지 정상 사용자는 아예 접속이 불가능해집니다.
  → 서버는 응답이 느려지고, 때로는 다운됩니다.

---

🧪 실제 공격은 이렇게 일어납니다

• 해커는 봇 또는 스크립트를 사용해 FTP 서버에 수백~수천 개의 접속을 시도합니다.
• 각 연결은 로그인만 시도하고 그대로 유지합니다.
• 때로는 NOOP, PWD, LIST 같은 명령어를 반복해서 서버를 더 느리게 만듭니다.
• 파일 전송은 아예 안 하거나, 전송 도중 일부러 끊기도 합니다.

이 모든 과정은 "접속만 반복해도 공격이 가능하다"는 걸 증명합니다.

---

❌ 오해 금지: 꼭 파일을 퍼부을 필요는 없다

많은 분들이 “Flooding = 데이터 폭주”라고 생각하시지만,
실제로는 서버가 처리해야 할 연결 요청 자체가 ‘홍수’처럼 몰리는 것이 Flooding입니다.

• Ping을 반복해서 보내면 ICMP Flooding
• 웹페이지 요청을 반복하면 HTTP Flooding
• FTP 접속만 반복하면 FTP Flooding

즉, 내용물이 뭐든 간에 서버를 감당 못 하게 만들면 그게 Flooding입니다.

---

📉 피해 사례

• ✅ FTP 서비스가 느려지고, 정상 사용자 접속 거부
• ✅ 서버의 CPU 사용률과 메모리 사용률 급증
• ✅ 로그파일 폭증으로 저장소 고갈
• ✅ 내부 보안 장비 오탐/누락 발생

---

🔐 방어 방법

보안 방법	설명
접속 수 제한	클라이언트당 최대 세션 수 설정 (예: 2개 이상 차단)
Fail2Ban	반복 접속 IP 자동 차단
FTP 사용 금지	가능하다면 FTP를 끄고 SFTP, FTPS 등으로 대체
로그 모니터링	접속 수가 갑자기 증가하면 알람 발생
IDS/IPS	Flooding 패턴 탐지 및 차단

---

✅ 한 줄 요약

FTP Flooding은 서버에 의미 없는 접속 요청을 대량으로 보내, 리소스를 소모시키고 정상 서비스를 방해하는 공격입니다.
파일을 보내지 않아도, 접속 자체만으로 충분히 공격이 됩니다.

---

🔒 마무리하며

FTP는 오래됐고, 보안이 취약하며,
접속 관리도 허술한 경우가 많습니다.
그렇기 때문에 지금도 공격자들이 가장 먼저 노리는 서비스 중 하나입니다.

"접속만 한다고 공격이 되겠어?"라고 생각하는 순간,
서버는 이미 조용히 무너지고 있을지 모릅니다.