Subscribe to receive notifications of new posts:

Subscription confirmed. Thank you for subscribing!

2022년 2분기 DDoS 공격 동향

Loading...

DDoS attack trends for 2022 Q2

2022년 2분기 DDoS 보고서에 오신 것을 환영합니다. 이 보고서에는 Cloudflare 네트워크 전반에서 관찰된 DDoS 위협 환경에 대한 인사이트와 동향이 담겨있습니다. 이 보고서의 인터랙티브 버전을 Radar에서도 이용할 수 있습니다.

2분기에 우리는 Cloudflare에서 자동으로 감지하고 대처한 초당 2,600만 회의 요청이 이루어진 HTTPS DDoS 공격을 포함하여 사상 최대 규모의 공격을 경험했습니다. 또한, 우크라이나와 러시아에 대한 공격은 지속되고 있으며, 새로운 랜섬 DDoS 공격이 등장하였습니다.

주요 특징

우크라이나와 러시아에서의 인터넷

  • 지상에서의 전쟁은 정보 전파를 겨냥하는 공격과 함께 이루어집니다.
  • 2분기에 가장 많은 DDoS 공격이 이루어진 대상은 우크라이나의 방송매체 회사들이었습니다. 실제로, 가장 많은 공격을 받은 상위 5개 산업은 모두 온라인/인터넷 매체, 출판, 방송 분야에 속했습니다.
  • 반면, 러시아의 경우 온라인 매체는 가장 많은 공격을 받은 산업 순위에서 3위로 처집니다. 온라인 매체보다 순위가 높은 산업을 보면 러시아의 은행, 금융 서비스 및 보험(BFSI) 회사들이 2분기에 공격을 가장 많이 받았고, 전체 응용 프로그램 계층 DDoS 공격의 거의 45%가 BFSI 분야를 대상으로 했습니다. 두 번째로 공격을 많이 받은 것은 암호화폐 회사들이었습니다.

개방형 인터넷이 러시아로 계속 유입되도록 하고 공격이 외부로 유출되지 않도록 차단하기 위해 Cloudflare에서 어떤 일을 하는지 자세히 읽어보세요.

랜섬 DDoS 공격

  • 우리는 팬시 라자러스(Fancy Lazarus)라고 자칭하는 공격자들에 의한 랜섬 DDoS 공격이 급증하는 것을 목격했습니다.
  • 2022년 6월에는 랜섬 공격 건수가 올해 들어 최고 수준으로 늘어났습니다. DDoS 공격을 경험한 설문 응답자 5명 중 1명이 랜섬 DDoS 공격이나 기타 위협의 대상이 되었다고 응답했습니다.
  • 2분기 전체로 보면 랜섬 DDoS 공격의 비율은 이전 분기 대비 11% 증가하였습니다.

응용 프로그램 계층 DDoS 공격

  • 2022년 2분기에 응용 프로그램 계층 DDoS 공격은 전년 대비 72% 증가하였습니다.
  • 가장 많이 공격의 대상이 된 것은 미국의 조직들이었고, 키프로스, 홍콩, 중국이 그 뒤를 이었습니다. 키프로스 내 조직들에 대한 공격은 이전 분기 대비 166% 증가했습니다.
  • 2분기에 가장 많은 공격을 받은 산업은 항공우주 산업이었으며, 인터넷, BFSI, 그리고 4위의 게임/도박 산업이 그 뒤를 이었습니다.

네트워크 계층 DDoS 공격

  • 2022년 2분기에 네트워크 계층 DDoS 공격은 전년 대비 109% 상승하였습니다. 100Gbps 이상의 공격은 이전 분기 대비 8%, 3시간 이상 지속된 공격 횟수는 이전 분기 대비 12% 증가하였습니다.
  • 가장 많은 공격을 받은 산업은 이동통신, 게임/도박, 정보기술, 서비스 산업이었습니다.
  • 가장 많이 공격의 대상이 된 것은 미국의 조직들이었고, 중국, 싱가포르, 독일이 그 뒤를 이었습니다.

이 보고서는 Cloudflare의 DDoS 방어 시스템에서 자동으로 감지되어 완화된 DDoS 공격을 기반으로 한 것입니다. 이 시스템의 원리에 대해 자세히 알아보려면 이 심층 블로그 게시물을 참고하세요.

우리가 네트워크에서 관찰된 DDoS 공격을 측정하는 방식

우리는 공격 동향을 분석하기 위해 “DDoS 활동” 비율을 측정합니다. 이는 우리의 전역 네트워크 또는 특정 위치 또는 특정 범주(예: 산업 또는 청구서 발행 국가)에서 관찰된 총 트래픽(공격 트래픽 + 정상 트래픽) 중 공격 트래픽의 비율을 의미합니다. 해당 트래픽 비율을 측정하면 데이터 포인트를 정규화하고, 예를 들어 더 많은 총 트래픽을 수신하면서 더 많은 공격을 받을 가능성이 있는 Cloudflare 데이터 센터에 대한 절대 수치에 편향이 반영되지 않도록 할 수 있습니다.

랜섬 공격

우리의 시스템은 지속해서 트래픽을 분석하면서, DDoS 공격이 감지되면 자동으로 완화 조치를 적용합니다. DDoS 공격을 당한 각 고객에게는 자동 설문이 표시되어 당사에서 공격의 특성을 보다 자세히 파악하고 완화에 성공하는 데 도움이 됩니다.

현재 2년 여에 걸쳐 Cloudflare는 공격을 받은 고객들을 대상으로 설문을 진행하고 있으며, 질문 중 하나로 DDoS 공격을 멈추는 대가로 돈을 요구하는 위협이나 랜섬 노트를 받았는지 물었습니다.

2분기에 위협이나 협박 메일을 받은 응답자의 수는 이전 분기 및 전년 대비 11% 상승하였습니다. 이번 분기 내내 우리는 지능형 지속 위협(APT) 집단 "팬시 라자러스"라고 자칭하는 공격자들이 실행한 랜섬 DDoS 공격을 완화해 왔습니다. 공격은 주로 금융기관과 암호화폐 회사에 집중되었습니다.

분기별 랜섬 DDoS 공격 그래프
랜섬 DDoS 공격을 받았거나 공격에 앞서 위협을 받았다고 답한 응답자의 비율.

2분기를 더 자세히 살펴보면, 6월에 응답자 5명 중 1명이 랜섬 DDoS 공격을 받았거나 위협을 받았다고 응답했습니다. 이는 2022년 들어 응답 비율이 가장 높은 한 달이었으며, 2021년 12월 이후 가장 높은 수치입니다.

월별 랜섬 DDoS 공격 그래프
월별 랜섬 DDoS 공격 그래프

응용 프로그램 계층 DDoS 공격

응용 프로그램 계층 DDoS 공격 중 특히 HTTP DDoS 공격은 주로 웹 서버가 합법적인 사용자 요청을 처리할 수 없도록 하여 웹 서버를 사용 불가능하게 만드는 것을 목표로 합니다. 서버가 처리할 수 있는 양보다 많은 요청이 쏟아질 경우, 해당 서버는 합법적인 요청의 처리를 중단하게 되고, 경우에 따라서는 충돌을 일으켜 성능이 저하되거나 합법적인 사용자의 서비스도 거부하게 됩니다.

합법적인 사용자에게 서비스를 거부하는 DDoS 공격 다이어그램
합법적인 사용자에게 서비스를 거부하는 DDoS 공격 다이어그램

월별 응용 프로그램 계층 DDoS 공격

2분기에 응용 프로그램 계층 DDoS 공격은 전년 대비 72% 증가하였습니다.

2분기 전체에 걸쳐 응용 프로그램 계층 DDoS 공격 건수는 전년 대비 72% 증가하였지만, 이전 분기 대비 5% 감소하였습니다. 5월은 이 분기 들어 가장 분주했던 달입니다. 전체 응용 프로그램 계층 DDoS 공격의 41% 가까이가 5월에 발생했으며, 공격 건수는 6월에 가장 적었습니다(28%).

지난 12개월 동안 월별 응용 프로그램 계층 DDoS 공격의 연간 분포 그래프
지난 12개월 동안 월별 응용 프로그램 계층 DDoS 공격의 연간 분포 그래

산업별 응용 프로그램 계층 DDoS 공격

항공우주 산업에 대한 공격은 이전 분기 대비 493% 증가했습니다.

항공우주 산업은 2분기에 가장 많이 응용 프로그램 계층 DDoS 공격의 대상이 된 산업이었습니다. 인터넷 산업, 은행, 금융기관 및 보험(BFSI) 산업과 4위의 게임/도박 산업이 그 뒤를 이었습니다.

2022년 2분기의 산업별 HTTP DDoS 공격 분포 그래프
2022년 2분기의 산업별 HTTP DDoS 공격 분포 그래프

우크라이나와 러시아의 사이버 공간

우크라이나에서 가장 많이 공격 대상이 된 것은 미디어 및 출판 회사입니다.

지상, 공중, 바다에서 우크라이나 전쟁이 계속되고 있는 가운데, 사이버 공간에서도 전쟁이 계속되고 있습니다. 우크라이나 회사들을 겨냥하는 공격자는 정보 전파를 막으려 하는 것으로 추정됩니다. 우크라이나에서 가장 많이 공격받은 산업 5개는 모두 방송, 인터넷, 온라인 미디어, 출판업계에 속해 있습니다. 이는 우크라이나를 목표로 한 DDoS 공격 전체의 거의 80%에 달합니다.

2022년 2분기 우크라이나 산업에 대한 출처 국가별 HTTP DDoS 공격 분포 그래프
2022년 2분기 우크라이나 산업에 대한 출처 국가별 HTTP DDoS 공격 분포 그래프

반대편에서의 전쟁에서는 러시아의 은행, 금융기관 및 보험(BFSI) 회사들이 공격을 가장 많이 받았습니다. DDoS 공격 전체의 거의 45%가 BFSI 업계를 겨냥했습니다. 공격을 두 번째로 많이 받은 대상은 암호화폐 업계였고, 온라인 매체가 그 뒤를 이었습니다.

2022년 2분기 러시아 산업에 대한 출처 국가별 HTTP DDoS 공격 분포 그래프
2022년 2분기 러시아 산업에 대한 출처 국가별 HTTP DDoS 공격 분포 그래프

전쟁 당사자 양측에서 공격의 근원지가 매우 다양함을 확인할 수 있는데, 이는 전 세계에 걸쳐 봇넷이 사용되었음을 의미합니다.

공격 출처 국가별 응용 프로그램 계층 DDoS 공격

2분기에 중국발 공격은 78% 감소했으며, 미국발 공격은 43% 감소했습니다.

HTTP 공격의 출처를 파악하려면 공격 HTTP 요청을 생성한 클라이언트가 가진 소스 IP 주소의 지리적 위치를 살펴보아야 합니다. 네트워크 계층 공격 시와는 달리 HTTP 공격 시에는 소스 IP의 스푸핑이 불가능합니다. 특정 국가에서 DDoS 활동 비율이 높다는 것은 해당 국가에서 주도적으로 공격을 하고 있다는 것이 아니라 대개 해당 국가 내에서 봇넷이 작동 중임을 의미합니다.

2분기 연속으로 미국이 HTTP DDoS 공격의 주요 근원지 순위에서 1위를 차지했습니다. 미국 다음으로 2위에 중국, 3위와 4위에 인도와 독일이 각각 위치해 있습니다. 미국이 여전히 1위를 유지하고 있지만, 미국발 공격 건수는 지난 분기 대비 48% 감소하였으며, 다른 지역발 공격은 증가하였습니다. 브라질발 공격은 67%, 인도발 공격은 87%, 독일발 공격은 33% 증가하였습니다.

2022년 2분기 출처 국가별 HTTP DDoS 공격 분포 그래프
2022년 2분기 출처 국가별 HTTP DDoS 공격 분포 그래프

대상 국가별 응용 프로그램 계층 DDoS 공격

어느 국가가 가장 많은 HTTP DDoS 공격을 받았는지 파악하기 위해 우리는 고객의 청구서 발행 국가별로 DDoS 공격을 분류하고, 이를 모든 DDoS 공격 대비 비율로 분석합니다.

미국에 본사를 둔 여러 회사에 대한 HTTP DDoS 공격 건수가 지난 분기 대비 67% 증가해 미국이 다시 응용 프로그램 계층 DDoS 공격의 주요 공격 대상 1위로 올라섰습니다. 중국의 회사들에 대한 공격은 지난 분기 대비 80% 급락해 해당 순위에서 중국이 1위에서 4위로 내려갔습니다. 키프로스에 대한 공격이 167% 증가하여 키프로스는 2분기에 두 번째로 많은 공격을 받은 나라가 되었습니다. 키프로스 다음에는 홍콩, 중국, 네덜란드가 위치합니다.

2022년 2분기 대상 국가별 HTTP DDoS 공격 분포 그래프
2022년 2분기 대상 국가별 HTTP DDoS 공격 분포 그래프

네트워크 계층 DDoS 공격

응용 프로그램 계층 공격이 최종 사용자가 액세스하려는 서비스(우리의 경우 HTTP/S)를 구동하는 응용 프로그램(OSI 모델의 계층 7)를 대상으로 하는 반면, 네트워크 계층 공격은 네트워크 인프라(예: 인라인 라우터 및 서버)와 인터넷 링크 자체를 마비시키는 것을 목표로 합니다.

월별 네트워크 계층 DDoS 공격

2분기에 네트워크 계층 DDoS 공격은 전년 대비 109% 증가하였으며, 100Gbps 이상의 볼류메트릭 공격은 이전 분기 대비 8% 증가하였습니다.

2분기에 네트워크 계층 DDoS 공격의 총 건수는 전년 대비 109%, 전 분기 대비 15% 증가하습니다. 이번 분기 들어 가장 분주했던 달은 6월로, 공격의 거의 36%가 6월에 발생하였습니다.

지난 12개월 동안 월별 네트워크 계층 DDoS 공격의 연간 분포 그래프
지난 12개월 동안 월별 네트워크 계층 DDoS 공격의 연간 분포 그래

산업별 네트워크 계층 DDoS 공격

2분기에 이동통신 회사에 대한 공격이 이전 분기 대비 66% 증가하였습니다.

2분기 연속으로 통신 산업이 네트워크 계층 DDoS 공격의 가장 큰 목표가 되었습니다. 또한, 이동통신 회사에 대한 공격이 지난 분기 대비 66% 증가하였습니다. 게임 업계가 2위였고 정보 기술 및 서비스 회사들이 그 뒤를 이었습니다.

2022년 2분기 산업별 네트워크 계층 DDoS 공격 바이트 수 분포 그래프
2022년 2분기 산업별 네트워크 계층 DDoS 공격 바이트 수 분포 그래프

대상 국가별 네트워크 계층 DDoS 공격

미국 네트워크에 대한 공격은 이전 분기 대비 95% 증가했습니다.

2분기에도 미국은 가장 공격을 많이 받은 국가였습니다. 미국 다음으로는 중국, 싱가포르, 독일이 이었습니다.

2022년 2분기 대상 국가별 네트워크 계층 DDoS 공격 바이트 수 분포 그래프
2022년 2분기 대상 국가별 네트워크 계층 DDoS 공격 바이트 수 분포 그래프

수신 국가별 네트워크 계층 DDoS 공격

2분기에 Cloudflare가 팔레스타인에서 관찰한 트래픽의 거의 1/3, 아제르바이잔에서 관찰한 트래픽의 거의 1/4가 네트워크 계층 DDoS 공격이었습니다.

네트워크 계층 DDoS 공격이 어디에서 발생했는지 파악하려고 할 때 응용 프로그램 계층 공격 분석에 사용하는 방법과 같은 방법을 사용할 수는 없습니다. 응용 프로그램 계층 DDoS 공격을 시작하려면 HTTP/S 연결을 설정하기 위해 클라이언트와 서버 간에 성공적인 핸드셰이크가 발생해야 합니다. 성공적인 핸드셰이크를 발생시키려면 공격은 소스 IP 주소를 스푸핑할 수 없습니다. 공격자는 봇넷, 프록시 등의 방법을 사용하여 ID를 난독화할 수 있지만, 공격하는 클라이언트의 소스 IP 위치는 응용 프로그램 계층 DDoS 공격의 소스를 충분히 나타냅니다.

반면에 네트워크 계층 DDoS 공격을 시작하려면 대부분의 경우 핸드셰이크가 필요하지 않습니다. 공격자는 공격 소스를 난독화하고 공격 속성에 임의성을 도입하기 위해 소스 IP 주소를 스푸핑할 수 있습니다. 그럴 경우 단순한 DDoS 방어 시스템으로는 공격을 차단하기가 더 어려워질 수 있습니다. 따라서 스푸핑된 소스 IP를 기반으로 소스 국가를 파생시키면 '스푸핑된 국가'가 됩니다.

이러한 이유 때문에 네트워크 계층 DDoS 공격 소스를 분석할 때는 (잠재적으로) 스푸핑된 소스 IP가 아니라 트래픽이 수집된 Cloudflare 데이터 센터 위치별로 트래픽을 버킷팅하여 공격이 어디에서 발생했는지 파악합니다. 전 세계 270여 개 도시에 Cloudflare 데이터 센터가 있기 때문에 보고서에 지리적 위치를 정확하게 나타낼 수 있습니다. 그러나 이 방법도 100% 정확하지는 않습니다. 비용 절감, 혼잡, 장애 관리 등 다양한 이유로 트래픽이 백홀되고 다양한 인터넷 서비스 공급자 및 국가를 통해 라우팅될 수 있기 때문입니다.

네트워크 계층 DDoS 공격 비율이 가장 높은 Cloudflare 지역 측면에서 팔레스타인이 2위에서 1위로 상승하였습니다. 팔레스타인 다음으로는 아제르바이잔, 한국, 앙골라가 위치합니다.

2022년 2분기 출처 국가별 네트워크 계층 DDoS 공격 분포 그래프
2022년 2분기 출처 국가별 네트워크 계층 DDoS 공격 분포 그래프
2022년 2분기 출처 국가별 네트워크 계층 DDoS 공격 분포 지도
2022년 2분기 출처 국가별 네트워크 계층 DDoS 공격 분포 지도

모든 지역 및 국가를 보려면 인터랙티브 지도를 참고하세요.

공격 벡터

2분기에는 DNS 공격의 건수가 증가하여 두 번째로 흔한 공격 방법이 되었습니다.

공격 벡터는 공격자가 DDoS 공격을 실행하기 위해 사용하는 방법, 즉 IP 프로토콜, TCP 플래그 같은 패킷 속성, 폭주 등의 방법을 설명하는 용어입니다.

2분기에 전체 네트워크 계층 공격의 53%는 SYN 폭주 공격이었습니다. SYN 폭주는 여전히 가장 흔한 공격 방법입니다. 이 공격은 스테이트풀 TCP 핸드셰이크의 초기 연결 요청을 남용합니다. 초기 연결 요청 시에 서버에는 이 새로운 TCP 연결에 대한 어떠한 정보도 존재하지 않아 올바르게 보호되어 있지 않으면 수많은 초기 연결 요청의 폭주를 완화하는 데 어려움을 겪을 수 있습니다. 이에 따라 공격자는 보호되지 않은 서버의 리소스를 쉽게 소모시킬 수 있습니다.

DNS 인프라를 겨냥하는 SYN 폭주에 이어 TCP 연결 흐름을 남용하는 RST 폭주와 UDP를 통한 일반적인 공격이 있습니다.

2022년 2분기 상위 네트워크 계층 DDoS 공격 벡터 그래프
2022년 2분기 상위 네트워크 계층 DDoS 공격 벡터 그래프

새롭게 떠오르는 위협

2분기에 새로 등장한 위협으로는 CHARGEN, Ubiquiti, 멤캐시드를 통한 공격이 있었습니다.

주요 공격 벡터를 식별하면 조직에서 위협 환경을 파악하는 데 도움이 됩니다. 그에 따라 이러한 위협으로부터 보호하기 위해 조직의 보안 상태를 개선하는 데 도움이 될 수 있습니다. 마찬가지로, 아직 공격의 상당 부분을 차지하지 않는 새로운 위협에 대해 학습할 경우 해당 공격이 상당한 위력을 발휘하기 전에 공격을 완화하는 데 도움이 될 수 있습니다.  

2분기에 새로 등장한 위협 상위권에는 문자 생성기 프로토콜(CHARGEN)을 남용하는 증폭 공격, 노출된 Ubiquiti 디바이스에서 트래픽을 반사하는 증폭 공격, 악명 높은 멤캐시드 공격이 있습니다.

2022년 2분기 주요 신흥 네트워크 계층 DDoS 공격 위협 그래프
2022년 2분기 주요 신흥 네트워크 계층 DDoS 공격 위협 그래프

CHARGEN 프로토콜을 남용해 증폭 공격 시행하기

2분기에는 CHARGEN 프로토콜을 남용한 공격이 이전 분기 대비 378% 증가하였습니다.

RFC 864(1983)에서 최초로 정의된 문자 생성기(CHARGEN) 프로토콜은 인터넷 프로토콜 스위트 상의 서비스로, 이름 그대로 임의의 문자를 생성하고 클라이언트가 연결을 닫기까지 해당 문자를 클라이언트에게 전송하는 것을 중지하지 않는 역할을 합니다. 이 서비스의 초기 개발 목적은 테스트와 디버깅 목적이었지만, 쉽게 남용해 증폭/반사 공격을 만들어낼 수 있기 때문에 거의 사용되지 않습니다.

공격자는 피해자의 소스 IP를 스푸핑해 전 세계에서 이 프로토콜을 지원하는 서버를 속여 임의의 문자로 이루어진 문자열을 피해자의 서버로 "되돌려보내도록" 만들 수 있습니다. 이 공격을 증폭/반사 공격이라고 합니다. 충분한 양의 CHARGEN 흐름이 존재한다면 피해자의 서버는 보호되지 않은 경우 폭주하게 되어 정상적인 트래픽을 처리할 수 없게 되며 따라서 서비스 거부 이벤트가 발생하게 됩니다.

Ubiquiti Discovery 프로토콜을 남용하는 증폭 공격

2분기에는 Ubiquity를 통한 공격이 이전 분기 대비 327% 증가했습니다.

Ubiquiti는 미국에 기반을 두고 소비자와 기업에 네트워킹 및 사물 인터넷(IoT) 장치를 제공하는 회사입니다. Ubiquiti 장비는 UDP/TCP 포트 10001를 사용해 Ubiquiti Discovery 프로토콜을 이용하는 네트워크에서 찾아볼 수 있습니다.

CHARGEN 공격 방식과 유사하게 여기에서도 공격자가 소스 IP를 피해자의 IP 주소로 스푸핑해 포트 10001이 열린 상태의 IP 주소를 살포할 수 있습니다. 이들 주소는 그 뒤 피해자의 IP에 반응해 충분한 양이 존재한다면 그 포트를 폭주하게 만듭니다.

멤캐시드 DDos 공격

2분기에 멤캐시드 DDoS 공격은 이전 분기 대비 287% 증가했습니다.

멤캐시드는 웹사이트와 네트워크의 속도를 향상시키기 위한 데이터베이스 캐싱 시스템입니다. CHARGEN과 Ubiquiti의 경우와 유사하게 UDP를 지원하는 멤캐시드 서버를 남용해 증폭/반사 DDoS 공격을 실행할 수 있습니다. 이 경우에는 공격자가 캐싱 시스템 상의 콘텐츠를 요청하고 UDP 패킷의 소스 IP를 피해자의 IP 주소로 스푸핑합니다. 이 경우 피해자는 최대 51,200배 증폭될 수 있는 멤캐시 응답으로 과부하가 걸리게 됩니다.

공격 비율별 네트워크 계층 DDoS 공격

100Gbps 이상의 볼류메트릭 공격이 지난 분기 대비 8% 증가했습니다.

L3/4 DDoS 공격의 규모를 측정하는 방법은 여러 가지입니다. 하나는 공격 트래픽의 양을 비트 전송률(초당 테라비트 또는 초당 기가비트 수)로 측정하는 방법입니다. 또 하나의 방법은 총 패킷의 개수를 패킷 전송률(수백만 단위의 초당 패킷 수)로 측정하는 것입니다.

비트 전송률이 높은 공격은 인터넷 링크를 포화시킴으로써 서비스 거부 이벤트를 발생시키려는 시도이며, 패킷 전송률이 높은 공격은 서버, 라우터, 기타 인라인 장비를 마비시키려는 시도입니다. 이러한 장비는 각각의 패킷을 처리하기 위해 일정량의 메모리와 연산 능력을 할당합니다. 따라서 장비에 많은 패킷을 퍼부으면 처리를 위한 리소스를 완전히 고갈시킬 수 있습니다. 이러한 경우에는 패킷의 "드롭(drop)", 즉 해당 장비가 패킷을 처리할 수 없는 상황이 발생합니다. 그 결과 사용자는 서비스 중단 및 서비스 거부를 경험하게 됩니다.

패킷 전송률별 분포

네트워크 계층 DDoS 공격은 대부분 초당 50,000패킷 미만으로 유지됩니다. 50kpps는 Cloudflare의 규모에서는 스펙트럼의 아래쪽에 위치하지만, 여전히 보호되지 않는 인터넷 자산을 손쉽게 중단시키고 표준 기가비트 이더넷 연결까지도 혼잡하게 만들 수 있습니다.

2022년 2분기 패킷 전송률별 네트워크 계층 DDoS 공격 분포 그래프
2022년 2분기 패킷 전송률별 네트워크 계층 DDoS 공격 분포 그래프

공격 규모의 변화를 살펴보면 50kpps 이상의 패킷에 집중하는 공격 건수가 2분기에 감소해 소규모 공격 건수가 4% 증가하였음을 확인할 수 있습니다.

2022년 2분기 전분기 대비 패킷 전송률별 네트워크 계층 DDoS 공격 분포의 변화 그래프
2022년 2분기 전분기 대비 패킷 전송률별 네트워크 계층 DDoS 공격 분포의 변화 그래프

비트 전송률별 분포

2분기에는 네트워크 계층 DDoS 공격이 대부분 500Mbps 미만으로 유지되었습니다. 이 또한 Cloudflare의 규모에서 보면 아주 작은 티끌에 지나지 않지만, 용량이 작고 보호되지 않은 인터넷 자산을 빠르게 마비시키거나 심지어는 표준 기가비트 이더넷 연결의 경우에도 최소한 혼잡을 발생시킬 수 있습니다.

2022년 2분기 비트 전송률별 네트워크 계층 DDoS 공격 분포 그래프
2022년 2분기 비트 전송률별 네트워크 계층 DDoS 공격 분포 그래프

흥미롭게도 500Mbps에서 100Gbps 사이의 대규모 공격은 이전 분기 대비 20~40% 감소하였지만, 100Gbps 이상의 볼류메트릭 공격은 8% 증가하였습니다.

2분기 이전 분기 대비 비트 전송률별 네트워크 계층 DDoS 공격 분포의 변화 그래프
2분기 이전 분기 대비 비트 전송률별 네트워크 계층 DDoS 공격 분포의 변화 그래프

지속 시간별 네트워크 계층 DDoS 공격

2분기에 3시간 이상 지속된 공격은 9% 증가했습니다.

Cloudflare에서는 시스템에서 공격이 처음으로 감지 및 확인된 시점과 해당 공격 서명이 관찰된 마지막 패킷 사이의 간격을 기록하여 특정 타겟을 노리는 공격의 지속 시간을 측정합니다.

2분기에는 전체 네트워크 계층 DDoS 공격의 51%가 10분 미만 지속되었습니다. 40%는 10~20분 동안 지속되었습니다. 나머지 8%에는 20분부터 3시간 이상까지 지속된 공격이 포함됩니다.

한 가지 유의할 점은 공격이 몇 분 동안만 지속되더라도 공격이 성공하면 그 영향이 초기 공격 지속 시간보다 훨씬 더 오래 지속될 수 있다는 것입니다. 공격이 성공리에 끝나면 IT 직원은 서비스를 복구하는 데 몇 시간, 심지어 며칠까지 작업을 해야 할 수도 있습니다.

2022년 2분기 지속 시간별 네트워크 계층 DDoS 공격 분포 그래프
2022년 2분기 지속 시간별 네트워크 계층 DDoS 공격 분포 그래프

대부분의 공격은 정말 짧았지만, 20~60분 사이의 공격 건수가 15% 증가하였음을, 그리고 3시간 이상 지속된 공격은 12% 증가하였음을 확인할 수 있습니다.

2022년 2분기 이전 분기 대비 지속 시간별 네트워크 계층 DDoS 공격 분포의 변화 그래프
2022년 2분기 이전 분기 대비 지속 시간별 네트워크 계층 DDoS 공격 분포의 변화 그래프

짧은 공격은 감지되지 않은 채 지나갈 수 있으며, 막대한 수의 패킷, 바이트 또는 요청을 몇 초 안에 집중시켜 대상을 공격하는 버스트 공격은 특히 감지가 어렵습니다. 이 경우, 보안 분석을 통한 수동 완화에 의존하는 DDoS 방어 서비스로는 적시에 공격을 완화할 방법이 없습니다. 단지 공격 후 분석에서 이를 확인한 다음 해당 공격 지문을 필터링하는 새로운 규칙을 배포하고 다음을 기약할 수 있을 뿐입니다. 마찬가지로, 보안팀이 공격 진행 도중에 트래픽을 DDoS 공급자에게 리디렉션하는 "주문형" 서비스도 비효율적입니다. 해당 트래픽이 주문형 DDoS 공급자에게 라우팅되기 전에 이미 공격이 끝나버리기 때문입니다.

기업들에게는 트래픽을 분석하여 실시간 핑거프린팅을 빠르게 적용함으로써 단기 공격을 막아낼 수 있는 자동화된 상시 가동 DDoS 방어 서비스를 사용하는 것을 권장합니다.

요약

Cloudflare의 사명은 더 나은 인터넷 환경을 구축하는 데 힘을 보태는 것입니다. 더 나은 인터넷이란 더 안전하고 빠르며 믿을 수 있는 인터넷입니다. DDoS 공격이 발생하더라도 말입니다. 이 사명의 일환으로 2017년부터 우리는 모든 고객에게 무료로 무제한 DDoS 방어 기능을 제공하고 있습니다. 여러 해가 지나면서 공격자들이 DDoS 공격을 실행하기가 점점 더 쉬워지고 있습니다. 그렇지만 공격 실행이 더 쉬워졌을지라도, 우리는 모든 조직 역시 그 규모와 상관없이 모든 종류의 DDoS 공격에 맞서 스스로를 더 쉽게 무료로 보호할 수 있도록 하려 합니다.

아직 Cloudflare를 사용하지 않으시나요? 지금 우리의 Free 및 Pro 요금제에 가입해서 귀사의 웹 사이트를 보호하거나 당사에 문의해서 네트워크 전체에 대한 포괄적인 DDoS 방어를 제공하는 Magic Transit을 이용해 보세요.

We protect entire corporate networks, help customers build Internet-scale applications efficiently, accelerate any website or Internet application, ward off DDoS attacks, keep hackers at bay, and can help you on your journey to Zero Trust.

Visit 1.1.1.1 from any device to get started with our free app that makes your Internet faster and safer.

To learn more about our mission to help build a better Internet, start here. If you're looking for a new career direction, check out our open positions.

DDoS (KO) DDoS 보고서 공격 동향 Cloudflare Radar (KO)

Follow on Twitter

Omer Yoachimik |@OmerYoahimik
Cloudflare |Cloudflare

Related Posts

January 10, 2022 5:19PM

2021년 4분기 DDoS 공격 동향

2021년 전반기에는 대대적인 랜섬웨어 및 랜섬 DDoS 공격 캠페인이 전세계 주요 인프라(미국 내 최대 송유관 시스템 운영업체의 인프라도 포함)를 공격했고 IT 관리 소프트웨어의 취약점을 노려 학교, 공공기관, 여행업체, 신용조합 등을 공격한 사례들도 잇따랐습니다....