분산 서비스 거부(DDoS) 공격은 온라인 서비스를 과부하시키고 중단하여 사용자가 접근하지 못하도록 하는 사이버 공격입니다. DDoS 공격은 분산된 장치 네트워크를 활용하여 대상 시스템에 과도한 요청을 보내 대역폭을 소모하거나 컴퓨팅 리소스를 소진시켜 시스템을 작동 불능 상태로 만듭니다. 이러한 공격은 보호되지 않은 사이트에 매우 효과적일 수 있으며, 공격자가 이를 실행하는 데 드는 비용도 비교적 저렴합니다. DDoS 공격은 가장 오래된 공격 유형 중 하나임에도 불구하고 아직도 지속적인 위협으로 남아 있으며, 주로 유명하거나 트래픽이 많은 웹 사이트, 서비스, 주요 인프라를 대상으로 합니다. Cloudflare는 2024년 초부터 1,450만 건 이상의 DDoS 공격을 완화했으며, 이는 시간당 평균 2,200건의 DDoS 공격에 해당합니다. (Cloudflare 2024년 3분기 DDoS 위협 보고서에서 더 많은 관련 통계를 확인할 수 있습니다)
지난 10년 동안 완화된 대규모 공격의 메트릭을 살펴보면, 그래프는 특히 최근 몇 년간 급격히 상승하는 기하급수적인 곡선을 나타내나요, 아니면 선형적으로 증가하는 것에 더 가까운가요? 분석 결과, 증가는 선형적이지 않고 기하급수적으로 이루어지며, Cloudflare가 살펴보는 메트릭에 따라 기울기가 달라집니다.
이 질문이 흥미로운 이유는 무엇일까요? 그 이유는 간단합니다. 이 질문에 대한 답은 공격자의 진화하는 전략, 이들이 사용하는 도구의 정교함, 방어 메커니즘의 준비 태세에 대한 귀중한 인사이트를 제공하기 때문입니다.
예를 들어, 초당 요청 수(rps)의 상승 곡선은 공격자가 더 많은 요청을 생성할 수 있도록 무언가를 변경하고 있음을 나타냅니다. 이러한 현상은 새로운 일이 일어나고 있는지 이해하기 위해 Cloudflare가 더 깊이, 더 많은 데이터를 조사하도록 유도합니다.
예를 들어, Cloudflare가 어느 한 시점에서 트래픽의 소스를 살펴본 결과, 가입자/기업 IP 주소 영역(IoT를 시사)을 사용하던 공격 트래픽이 클라우드 공급자 IP 주소 영역(VM을 시사)으로 전환되었음을 발견했고, 이를 통해 공격자가 사용하는 장치 유형과 기능에 변화가 있다는 사실을 알게 되었습니다.
또 다른 예로,HTTP/2 Rapid Reset 공격이 발생했을 때 당시 기록적인 초당 요청 수는 공격자들이 새로운 기술을 사용하고 있음을 시사했으며, 이에 Cloudflare는 신속하게 실행 중인 내용을 조사하고 방어를 조정할 수 있었습니다.
개별 공격의 정의
개별 공격을 시간적으로 구분하는 것은 예상 외로 모호합니다. 우선, 공격 분석은 OSI 모델의 서로 다른 계층에서 일관되지 않은 관찰 결과를 도출할 수 있습니다. 이러한 각기 다른 계층에서 관찰된 흔적은 동일한 공격에 대해 서로 다른 이야기를 전달할 수 있습니다. 그러나 일부 변수를 종합적으로 활용하면 지문(fingerprint)을 생성하여 일련의 이벤트를 그룹화하고, 이러한 이벤트가 동일한 개별 공격의 일부임을 확인할 수 있습니다. 그 예시로는 다음과 같은 질문들이 포함됩니다.
이 일련의 이벤트에서 동일한 공격 벡터가 사용되고 있는가?
모든 공격 이벤트가 동일한 대상에 초점을 맞추고 있는가?
이벤트의 페이로드가 동일한 서명을 공유하고 있는가? (특정 유형의 공격 또는 봇넷(예: Mirai)에서 사용되는 고유한 HTTP 요청 헤더나 패킷 구조와 같은 특정 데이터 페이로드 또는 요청 유형)
DDoS 공격 규모
지난 10년 동안의 DDoS 공격이 증가한 것에 대한 분석에 들어가기 전에, 일반적으로 공격을 측정하는 데 사용되는 메트릭인 초당 요청 수(rps), 초당 패킷 수(pps), 초당 비트 수(bps)를 먼저 살펴보겠습니다. 각 메트릭은 공격의 규모와 영향을 서로 다른 관점에서 포착합니다.
초당 요청 수(rps): HTTP 또는 이와 유사한 프로토콜 요청이 초당 발생하는 수를 측정합니다. 이 메트릭은 특히 애플리케이션 계층 공격(계층 7)과 관련성이 높으며, 이 공격은 특정 애플리케이션이나 서비스의 요청 처리 과부하를 일으키는 것을 목표로 합니다. 단순한 데이터 전송량뿐만 아니라 요청량을 반영하므로 웹 서버, API, 애플리케이션을 대상으로 한 공격을 측정하는 데 유용합니다.
초당 패킷 수(pps): 패킷 크기와 상관없이 대상에 초당 전송된 개별 패킷의 수를 나타냅니다. 이 메트릭은 네트워크 계층 공격(계층 3 및 4)에서 중요하며, 네트워크 인프라가 패킷 처리 용량을 초과하도록 과부하를 유발하는 것을 목표로 합니다. pps 측정은 볼류메트릭 공격에 유용하며, 라우터, 스위치, 방화벽에 영향을 미치는 패킷의 양을 파악할 수 있습니다.
초당 비트 수(bps): 초당 전송되는 총 데이터양을 측정하며, 대상이나 업스트림 공급자의 대역폭을 포화 상태로 만드는 네트워크 계층 공격을 평가하는 데 특히 유용합니다. bps는 네트워크 대역폭을 포화시키는 것이 목표인 UDP 폭주와 같은 공격에서 계층 3 및 4 공격을 측정하는 데 널리 사용됩니다. 높은 bps 값(기가비트 또는 테라비트 단위로 측정되는 경우가 많음)은 대규모 DDoS 캠페인의 일반적인 목표인 대역폭 포화를 나타내므로 이 메트릭은 DDoS 공격에서 강조되는 경우가 많습니다.
지난 10년간 DDoS 공격 규모의 변화
그렇다면 지난 10년 동안 DDoS 공격의 규모는 어떻게 변했을까요? 이 기간에 DDoS 공격은 매년 점점 더 커지고 강력해졌으며, 그로 인해 더 파괴적인 잠재력을 보였습니다.
지난 10년 동안 관찰된 대규모 공격과 관련된 메트릭을 살펴보면, 그래프는 특히 최근 몇 년간 급격히 상승하는 기하급수적인 곡선을 나타내나요, 아니면 선형적으로 증가하는 것에 더 가까운가요? Cloudflare의 분석 결과 이러한 증가는 선형적이지 않고 기하급수적으로 이루어지며, 이를 뒷받침하는 이유를 살펴보겠습니다.
이 분석에서는 2010년부터 2022년까지 Google에서 관찰한 공격을 기준(그림 1)으로 삼았으며, 여기에 2023년과 2024년에 Cloudflare가 관찰한 공격 데이터(그림 2)를 추가했습니다.
2010년대 초반으로 돌아가 보면, 가장 큰 공격은 초당 기가비트(Gbps) 단위로 측정되었지만, 현재는 초당 테라비트(Tbps) 단위로 측정됩니다. 초당 요청 수(rps)와 초당 비트 수(bps)도 현재 훨씬 더 높은 수준을 기록하고 있습니다.
아래 그림 1에 표시된 Google의 과거 데이터에 따르면 2010년부터 2022년까지 DDoS 공격 중 관찰된 초당 요청 수(rps)는 증가하는 추세를 보였으며, 2020년에는 초당 600만 요청 수(Mrps)로 최고조에 달했습니다. 이러한 증가는 지난 10년 동안 공격량이 크게 증가했다는 것을 보여줍니다.
그림 1. 2010~2022년 동안 관찰된 가장 큰 DDoS 공격(출처: Google)
아래 그림 2에서는 다양한 메트릭에 따른 추세를 확인할 수 있습니다. Google 통계에서 나타난 증가 추세는 2023년과 2024년에 Cloudflare가 관찰한 대규모 완화 DDoS 공격 데이터에서도 확인할 수 있으며, 2024년 9월에는 초당 201Mrps(녹색 선)을 기록했습니다. 파란색 선으로 표시된 초당 패킷 수(pps)는 시간이 지남에 따라 약간의 기하급수적 증가를 보이며, 2015년 230Mpps에서 2024년 2,100Mpps로 증가하며 공격자들이 더 높은 처리량을 달성하고 있음을 나타냅니다. 초당 비트 수(bps)도 2013년의 309Gbps 공격에서 2024년의 5.6Tbps(5,600Gbps) 공격으로 급격한 상승 곡선(빨간색 선)을 그리며 기하급수적인 증가를 나타냅니다.
지난 10년 동안 이러한 지표들을 주도한 공격은 다음과 같은 상당한 증가율을 기록했습니다.
초당 비트 수(bps)는 2013년부터 2024년 사이 20배 증가
초당 패킷 수(pps)는 2015년부터 2024년 사이 10배 증가
초당 요청 수(rps)는 2014년부터 2024년 사이 70배 증가
그림 2. 그림 1의 데이터에 2023~2024년 Cloudflare가 관찰한 대규모 공격 데이터를 추가한 결과.
표 1에 나열된 블로그 게시물은 2021년부터 2024년까지 관찰된 일부 공격 사례를 강조합니다.
월 | 공격 규모 | 블로그 게시물 |
2021년 8월 | 17.2Mrps | |
2022년 4월 | 15Mrps | |
2022년 6월 | 26M rps | |
2023년 2월 | 71Mrps | |
2024년 9월 | 3.8Tbps | |
2024년 10월 | 4.2Tbps | |
2024년 10월 | 5.6Tbps |
표 1. 2021년부터 2024년까지 Cloudflare가 관찰한 주요 DDoS 공격.
2018년 Memcached 악용 공격과 2023년 HTTP/2 “Rapid Reset” 공격을 포함하여 지난 10년간 발생한 다른 주요 대규모 DDoS 공격에 대한 개요는 Cloudflare 학습 센터에서 확인할 수 있습니다.
공격 지속 시간 메트릭
공격 지속 시간은 공격의 강도를 평가하기 위한 효과적인 지표가 아닙니다. 그 이유는 단일 공격이나 캠페인의 지속 시간을 규명하는 것이 어렵기 때문인데, 이는 공격이 간헐적으로 발생할 수 있는 특성, 동시에 여러 공격 벡터가 사용될 가능성, 시간 경과에 따라 서로 다른 방어 계층이 활성화되는 방식 때문입니다.
공격 패턴도 상당히 다를 수 있습니다. 일부는 단일 대규모 스파이크로 이루어진 반면, 다른 일부는 밀집된 여러 스파이크로 구성되거나, 일정 기간 동안 지속적으로 부하를 유지하며 변화하는 특성을 보이기도 합니다.
공격 유발에 사용되는 장치 유형의 변화 추세
DDoS 공격은 점점 IoT 기반 봇넷에서 더 강력한 VM 기반 봇넷으로 전환되고 있습니다. 이러한 변화는 클라우드에 호스팅된 가상 머신의 연산 및 처리량의 향상 덕분으로, 공격자는 이를 통해 훨씬 더 적은 장치로 대규모 공격을 실행할 수 있습니다.
이러한 전환은 여러 요인에 의해 촉진됩니다. VM 봇넷은 IoT 봇넷보다 더 쉽게 구축할 수 있습니다. 이는 IoT 봇넷처럼 광범위한 맬웨어 감염이 반드시 필요하지 않기 때문이며, 공격자가 데이터 유출이나 Magecart 공격을 통해 도난당한 결제 정보를 사용하여 VM 봇넷을 익명으로 클라우드 공급자의 인프라에 배포할 수 있기 때문입니다.
이러한 추세는 DDoS 전술이 발전하고 있음을 나타냅니다. 공격자는 VM의 처리 능력과 클라우드 리소스의 익명 접근성을 모두 활용하여, IoT 장치 집합을 감염시키고 관리하는 복잡한 과정 없이도 규모는 작지만 효율적인 봇넷으로 대규모 공격을 수행할 수 있습니다.
Cloudflare는 DDoS 공격으로부터 보호하는 데 어떻게 도움이 될까요?
Cloudflare의 클라우드 연결성은 전 세계에 걸친 광범위한 Anycast 전역 네트워크를 기반으로 구축되어, 자동화된 감지, 트래픽 분산, 신속한 대응 기능을 활용하여 DDoS 공격을 방어하는 데 중요한 역할을 합니다. Cloudflare가 DDoS 방어를 강화하는 방법은 다음과 같습니다.
자동화된 공격 감지 및 완화: Cloudflare의 DDoS 방어는 자동화에 크게 의존하며, 머신러닝 알고리즘을 통해 실시간으로 의심스러운 트래픽 패턴을 식별합니다. 이를 통해 Cloudflare는 감지 프로세스를 자동화하여 DDoS 공격을 빠르게 인식하고 차단할 수 있으며, 이는 대응 인력이 감당하기 어려운 대량 공격에서 매우 중요합니다.
IP Anycast를 활용한 글로벌 트래픽 분산: Cloudflare의 네트워크는 전 세계 330개 이상의 도시에 걸쳐 있으며, DDoS 트래픽은 여러 데이터 센터에 분산됩니다. Cloudflare는 IP Anycast를 통해 이러한 글로벌 네트워크 전반에 트래픽을 분산시킬 수 있으며, 이러한 광범위한 분산은 공격 트래픽이 단일 지점으로 집중되지 않도록 하여 개별 서버와 네트워크에 가해지는 부담을 줄이고 대규모 공격을 흡수하고 완화하는 데 도움이 됩니다.
계층적 방어: Cloudflare의 클라우드 연결성은 네트워크(계층 3), 전송(계층 4), 애플리케이션(계층 7) 등 여러 계층에 걸친 방어를 제공합니다. 이 계층화된 접근 방식을 이용하면 공격 유형에 따라 맞춤형 방어 전략이 가능하므로 복잡하고 다층적인 공격도 효과적으로 완화할 수 있습니다. 계층 3, 4, 7에서의 DDoS 방어에 대해 자세히 알아보려면 Cloudflare의 DDoS 방어 문서를 참조하세요.
무제한 DDoS 완화: Cloudflare는 2017년부터 인터넷 보안을 보장하기 위해 이 접근 방식을 선구적으로 도입해 왔으며, 무제한 DDoS 방어 기능을 제공합니다. 즉, 공격 중에도 고객이 대역폭이나 비용 제한을 걱정하지 않고 보호받을 수 있음을 의미합니다. 이러한 접근 방식을 통해 기업은 규모나 예산에 관계없이 강력한 DDoS 방어의 이점을 누릴 수 있습니다.
Cloudflare의 분산 클라우드 인프라와 고급 기술은 DDoS 공격을 감지, 흡수, 완화할 수 있도록 확장 가능하고 신속한 대응을 지원합니다. 이를 통해 다운타임을 방지하고 서비스 안정성을 유지할 수 있으며, 전통적인 옵션에 비해 증가하는 DDoS 공격의 강도와 빈도에 효과적으로 대처할 수 있는 강력한 솔루션을 제공합니다.
DDoS 공격에 대한 방어는 모든 규모의 조직에 필수적입니다. 이러한 공격은 사람이 시작하지만 봇에 의해 수행되므로, 봇 기반 위협을 효과적으로 방어하려면 자동화된 도구가 필요합니다. 인간의 개입에만 의존하면 방어자가 불리한 위치에 놓일 수 있으므로 실시간 감지와 완화는 가능한 한 자동화되어야 합니다. 공격자가 새로운 방어 장벽에 적응하고 공격 벡터, 트래픽 행동, 페이로드 서명 등을 변경하여 예상치 못한 시나리오를 생성할 수 있고, 이로 인해 일부 수동 설정은 무용지물이 될 수 있기 때문입니다. Cloudflare의 자동화 시스템은 고객을 대신해 지속적으로 DDoS 공격을 식별하고 차단하여, 개별 요구 사항에 맞춘 맞춤형 방어 기능을 제공합니다.
Cloudflare는 더 나은 인터넷 환경을 구축하는 것을 사명으로 하며, DDoS 위협에 맞서는 회복력을 제공하는 것도 이러한 사명을 실현하는 데 중요한 부분입니다.
Cloudflare DDoS 방어에 대해 더 자세히 알아보려면 Cloudflare 공개 기술 문서를 읽어보세요.