누가 Cloudflare가 Canonical을 협박했는지 설명해줄 수 있나?

• Canonical 공개 웹 서비스는 2026년 4월 30일 16:33 UTC부터 약 20시간 중단됐고, Ubuntu 저장소 엔드포인트도 뒤늦게 장애에 들어감
• 공격 책임을 주장한 친이란 성향 그룹은 유료 DDoS 서비스 Beamed를 사용했다고 밝혔고, Beamed는 Cloudflare 우회와 주거용 IP 회전을 광고함
• Beamed 도메인과 관련 등록·라우팅 인프라는 Cloudflare AS13335, Immaterialism, AS39287, Materialism s.r.l. 기록으로 이어짐
• AS39287 재할당과 Canonical의 archive.ubuntu.com·security.ubuntu.com apex 인증서 갱신이 2026년 2월 27일 같은 24시간 안에 발생함
• Canonical은 공격 중 security.ubuntu.com과 archive.ubuntu.com만 Cloudflare로 옮겼고, 공개 기록상 몸값 대신 유료 구독이 이동한 구조가 됨

Canonical 장애와 Cloudflare 전환

• 2026년 4월 30일 16:33:37 UTC Canonical의 모니터링 시스템은 blog.ubuntu.com을 Service Down으로 표시했고, 약 10분 안에 ubuntu.com, 보안 권고 API, 개발자 포털, 기업 사이트, 교육 플랫폼 등 공개 웹 서비스가 함께 중단됨
• 장애는 약 20시간 이어졌고, 2026년 5월 1일 12:44 UTC에 Service Restored로 기록됨
• 공격 책임을 주장한 그룹은 자신들을 Islamic Cyber Resistance in Iraq 또는 313 Team이라고 소개한 친이란 성향 그룹이며, 유료 서비스를 사용했다고 밝힘
• 공격 도구로 지목된 Beamed 는 여러 TLD에서 판매되는 상업용 서비스 거부 제품으로, beamed.su는 마케팅·블로그 사이트, beamed.st는 고객 로그인 포털로 쓰임
• Beamed의 2026년 4월 블로그 글은 “Cloudflare 우회”를 광고하며, 주거용 IP 회전과 수동 “endpoint hunting”으로 원 서버를 찾는 방식을 포함한 세 가지 기법을 내세움
• 공격 일주일 뒤에도 beamed.su와 beamed.st는 온라인 상태였고, 둘 다 Cloudflare AS13335 주소로 해석됨
• Canonical의 두 저장소 엔드포인트인 security.ubuntu.com과 archive.ubuntu.com도 이후 Cloudflare AS13335 주소를 사용하게 됨

Beamed와 등록·라우팅 인프라

• Beamed의 소비자용 도메인은 Immaterialism Limited라는 등록기관을 통해 등록됐고, 이 등록기관은 고정 요금과 JSON API 기반 도메인 등록을 판매함
• Immateriali.sm은 Cloudflare 네임서버인 tani.ns.cloudflare.com과 trey.ns.cloudflare.com을 통해 프록시됨
• Immaterialism Limited는 영국 Companies House에 회사번호 15738452로 등록됐고, 2024년 5월 24일 설립됨
• 설립 당시 이사는 코스타리카의 Nicole Priscila Fernandez Chaves였고, 런던 Great Portland Street의 대량 우편함 주소를 사용함
• 2025년 4월 11일 Fernandez Chaves는 이사직에서 물러났지만 75% 이상 경제적 이해관계는 유지했고, 같은 주소에서 영국 거주자인 Naomi Susan Colvin이 후임 이사로 임명됨

2026년 2월 27일의 AS39287 재할당

• 2026년 2월 26일 Immaterialism Limited는 Companies House에 두 가지 변경을 같은 날 제출함
  • 등록 사무소를 85 Great Portland Street에서 167-169 Great Portland Street로 변경함
  • Fernandez Chaves의 person with significant control 세부 정보를 변경함
• 다음 날인 2026년 2월 27일, Beamed와 관련 서비스의 IP 공간을 알리는 라우팅 인프라가 관할권을 옮김
• Materialism의 주소 공간을 알리는 자율 시스템은 AS39287이며, RIPE가 2006년 1월 24일 이 AS 번호를 할당함
• AS39287의 라우팅 정체성은 계속 유지됐지만, 등록 운영자와 국가 기록은 두 차례 바뀜

• Privactually Ltd와 FLATTR-AS 시기

  • 2017년경부터 2020년경까지 AS39287은 키프로스 회사 Privactually Ltd가 보유했고, FLATTR-AS라는 이름으로 운영됨
  • Flattr는 The Pirate Bay 공동 창업자 중 한 명인 Peter Sunde Kolmosoppi의 마이크로페이먼트 프로젝트로 연결됨
  • 해당 등록 아래 프리픽스의 abuse 연락처는 abuse@shelter.st였음

• ab stract ltd 시기

  • 2020년부터 2026년까지 같은 AS 번호는 헬싱키 Urho Kekkosen katu 4-6E 소재 핀란드 회사 ab stract ltd로 재할당됨
  • RIPE 기록의 maintainer 객체는 BKP-MNT였고, 기록상 인물은 The Pirate Bay의 또 다른 창업자인 Peter Kolmisoppi였음
  • 운영자 도메인 abstract.fi의 권한 네임서버는 njalla.fo, njalla.no, njalla.in의 세 Njalla 네임서버였음
  • Njalla는 Peter Sunde가 만든 privacy-as-a-service 도메인 프록시이며, 세인트키츠 네비스의 1337 Services LLC를 통해 운영됨

• Materialism s.r.l. 재할당

  • 2026년 2월 27일 12:11:48 UTC RIPE는 세 번째 재할당을 기록했고, AS39287은 루마니아 부쿠레슈티 Bulevardul Metalurgiei 소재 Materialism s.r.l. 의 소유가 됨
  • 재할당에는 45.158.116.0/22, 2001:67c:2354::/48, 2a02:6f8::/32가 포함됐으며, 마지막 IPv6 프리픽스는 이전 체제에서 2008년 8월에 처음 할당됨
  • 세 전환 기간 내내 피어링 설정은 유지됐고, AS39287은 AS42708(Telia), AS37560(GTT), AS12552(GlobalConnect), AS34244(Voxility), AS54990와 동일 구성으로 import/export를 계속함
  • 같은 경로가 같은 upstream 네트워크로 나갔고, 공개 기록에서 바뀐 것은 보이는 운영자 이름뿐임
  • IANA의 공인 도메인 등록기관 목록에는 Immateriali.sm의 고객 기반에 Njalla 뒤의 거래 법인인 1337 Services LLC가 포함됨

같은 날 발생한 Canonical 인증서 회전

• Canonical 저장소 엔드포인트의 인증서 투명성 기록에는 라우팅 재할당이 일어난 같은 24시간 창 안에 여러 항목이 나타남
• 2026년 2월 27일 06:14:03 UTC Let’s Encrypt가 archive.ubuntu.com의 새 apex 인증서를 발급함
• 같은 날 19:13:35 UTC Let’s Encrypt가 security.ubuntu.com의 새 apex 인증서를 발급함
• security.ubuntu.com의 2026년 인증서 투명성 기록에서 이 항목 이전에는 지역 미러 인증서만 있었고, 보이는 로그에서 더 이른 apex 인증서는 나타나지 않음
• 같은 날 22:14:03 UTC clouds.archive.ubuntu.com의 새 인증서가 발급됨
• 이후 9일 동안 같은 패턴이 azure.archive.ubuntu.com, wildcard-gce.archive.ubuntu.com, wildcard-ec2.archive.ubuntu.com에서 반복됨
• 각각의 새 인증서는 지역 미러가 아니라 apex 호스트명에 발급됨
• apex 호스트명의 유효한 원본 인증서는 해당 호스트명을 콘텐츠 전송 네트워크 뒤에 두기 위한 전제 조건으로 다뤄짐
• 2026년 2월 27일에 발생한 라우팅 재할당과 Canonical 인증서 회전의 동시성은 공개 기록만으로 설명되지 않음

공격 타임라인

• 타임라인은 Canonical의 status.canonical.com 페이지에 있던 분 단위 장애 로그를 기반으로 하며, 4월 30일 약 22:52 UTC에 Ubuntu Discourse thread 81470에 스냅샷으로 남은 기록임

• 초기 10분: 공개 웹 전반 장애

  • 16:33:37: blog.ubuntu.com이 처음 Down으로 표시되고 Incident Start Time으로 기록됨
  • 16:34:10: canonical.com Down
  • 16:34:45: academy.canonical.com Down
  • 16:35:15: developer.ubuntu.com Down
  • 16:35:22: maas.io Down
  • 16:36:09: jaas.ai Down, Ubuntu Security API(CVEs) Down
  • 16:37:13: Ubuntu Security API(Notices) Down
  • 16:41:57: assets.ubuntu.com Down
  • 16:43:25: ubuntu.com Down
  • 보안 권고 피드는 시작 후 3분 안에 내려갔고, 마케팅 apex는 10분 안에 내려감
  • 이 시점에 아직 공격받지 않은 호스트는 security.ubuntu.com과 archive.ubuntu.com이었고, 두 엔드포인트는 모든 Ubuntu 설치에서 apt update 실패를 유발할 수 있는 저장소 엔드포인트임

• 3시간 뒤 저장소 엔드포인트 공격

  • 19:34:38: security.ubuntu.com이 처음 Down으로 표시됨
  • 19:40:01: archive.ubuntu.com Down
  • 저장소 엔드포인트는 공격 시작 약 3시간 뒤 장애에 들어감
  • 19:40 UTC부터 다음 70분 동안 두 저장소 엔드포인트는 상태판에서 Down과 Operational 사이를 반복함
  • 상태 로그에는 해당 기간 동안 security.ubuntu.com의 Down/Operational 전환이 5회, archive.ubuntu.com의 전환이 4회 기록됨
  • 이 패턴은 원본에서 속도 제한, 지역 필터, 트래픽 스크러빙 같은 완화를 시도했지만, 발표된 3.5 Tbps 규모의 지속 부하 아래 실패한 양상과 맞물림

• 20:50 UTC 이후 안정화

  • 20:50:29: archive.ubuntu.com Operational
  • 20:51:13: security.ubuntu.com Operational
  • 이 44초 간격 이후, 22:52 UTC까지 이어지는 캡처 스냅샷에서 두 호스트는 다시 Down으로 나타나지 않음
  • 플래핑은 멈췄고, 두 엔드포인트는 공격 시작 후 4시간 17분 시점에 1분 미만 간격으로 함께 안정화됨
  • security.ubuntu.com과 archive.ubuntu.com은 작성 시점에 104.20.28.246과 172.66.152.176으로 해석되며, 이 주소들은 Cloudflare가 AS13335에서 운영하는 주소임
  • 다른 영향 호스트인 ubuntu.com, canonical.com, launchpad.net, snapcraft.io, login.ubuntu.com은 여전히 Canonical의 AS41231 공간인 185.125.189.x와 185.125.190.x로 해석됨
  • ubuntu.com의 권한 네임서버는 여전히 ns1.canonical.com, ns2.canonical.com, ns3.canonical.com임

선택적 Cloudflare 전환

• Canonical은 공격자가 저장소 거부를 위해 겨냥한 security.ubuntu.com과 archive.ubuntu.com 두 A 레코드만 Cloudflare로 넘김
• 나머지 서비스는 Canonical의 자체 인프라에 남았고, 기존 완화책 아래 공격을 견딤
• 저장소가 아닌 호스트들은 스냅샷 끝까지 계속 플래핑했고, 이후 upstream 필터링과 공격 완화 또는 중단의 조합으로 복구됨
• Canonical의 첫 공개 인정은 5월 1일 07:13 UTC에 올라왔고, 이는 저장소 엔드포인트가 Cloudflare 뒤에서 안정화된 지 10시간 뒤였음
• 모든 구성요소의 완전 복구는 5월 1일 12:44 UTC에 확인됐고, 공격 시작 약 20시간 뒤였음

“협박” 여부를 둘러싼 구조

• 공개적으로 확인되는 경로에서 몸값 지급은 이동하지 않음
• 해당 규모의 암호화폐 흐름도 공개 기록에 나타나지 않음
• 요구서도 공개되지 않았고, 협상이 있었다면 비공개로 진행됐을 가능성이 큼
• 공개 기록상 이동한 것은 유료 구독임
• Canonical의 가장 가치 높은 두 엔드포인트, 즉 자동 보안 업데이트의 전 세계 실패를 만들 수 있는 저장소 엔드포인트가 Cloudflare와의 서비스 관계로 전환됨
• 동시에 Cloudflare의 다른 현재 고객에는 Canonical을 공격하던 booter 운영체가 포함됨
• Beamed가 계속 고용 가능한 상태로 남아 있고 Canonical 인프라의 장애 시간이 마감시한처럼 작동하면서, 별도의 공개 요구 없이 거래가 성립한 구조로 해석됨
• 보호자는 양쪽에서 수익을 거두면서도, 각 순간에는 콘텐츠 중립적이고 서비스 약관의 문언 안에 머무르는 형태가 됨

경마 통신망 독점과의 비교

• 1930년대 Moses Annenberg의 General News Bureau는 미국 전역의 bookmaker에게 경마장 결과를 신속하게 판매함
• 구독한 bookmaker는 살아남았고, 구독하지 않은 bookmaker는 구독한 경쟁자 때문에 배당률 설정 능력을 잃었다는 비교가 붙음
• Annenberg의 수익은 경마 결과 검증에 대한 독점에 의존했고, 이 독점은 비공식 bookmaker가 운영을 위해 그의 wire에 의존하게 만듦
• 연방정부는 1939년 세금 기소 로 이 독점을 깼고, 후속 wire service들은 1940년대까지 단속됨
• 1942년 Mayor LaGuardia 관련 보도 에는 뉴욕, 뉴저지, Westchester, Nassau County의 경마 도박업자와 poolroom bookmaker를 위한 “연 100만 달러 wire service” 단속으로 9명이 체포됐다는 내용이 담김
• 오늘날의 DDoS 보호 시장은 booter 시장과의 관계에서 비슷한 위치에 놓인다는 비판으로 이어짐
• Cloudflare의 수익은 공개 인터넷에서 서비스가 도달 가능한지 검증하는 위치에 의존하고, 같은 회사가 booter의 호스팅 제공자이기도 할 때 위협과 보호 역할이 하나의 수익 흐름으로 합쳐짐

공개 기록에 남은 흔적

• 이 사건의 흔적은 여러 레지스트리와 기업 공시에 나뉘어 남아 있음
• Companies House에는 기업 서류가 있고, RIPE 데이터베이스에는 라우팅 재할당이 있으며, 인증서 투명성 로그에는 apex 인증서 회전 날짜가 있고, Canonical의 상태 페이지에는 레코드가 바뀐 시각이 남음
• 2026년 2월 27일에는 세 가지 준비가 같은 달력 창 안에서 완료됨
  • Materialism s.r.l. 가 AS39287과 그에 딸린 오래된 IPv6 프리픽스 소유권을 가져감
  • Immaterialism Limited가 Companies House 서류를 제출함
  • Canonical 쪽에서는 나중에 콘텐츠 전송 네트워크 뒤로 이동될 두 apex 호스트명이 원본 인증서를 갱신함
• 공격 시작부터 Canonical 저장소 호스트명에 Cloudflare 주소가 나타날 때까지의 4시간 간격은 구매 결정이 이동한 구간으로 해석됨
• 2026년 4월 30일 20:50:29 UTC에 새 고객 관계가 공개적으로 보이게 됨