구독해서 새 게시물에 대한 알림을 받으세요.

호주 대학 웹 사이트를 공격하고 더 많은 공격의 조짐을 보이고 있는 Killnet 및 AnonymousSudan DDoS 공격 - 대응 방법

2023. 03. 29.

7 분(소요 시간)
Killnet and AnonymousSudan DDoS attack Australian university websites, and threaten more attacks — here’s what to do about it

지난 24시간 동안, 호주의 대학 웹 사이트를 겨냥한 HTTP DDoS 공격이 Cloudflare에 관찰되었습니다. 최근 텔레그램 게시물에서 밝혀진 바와 같이, 친러시아 해커 그룹 Killnet, 그와 연계된 AnonymousSudan에서 공개적으로 겨냥한 여러 그룹 중 첫 번째에 대학이 속해 있습니다. 이 위협 행위자들은 3월 28일 화요일부터 호주의 8개 대학, 10개 공항, 8개 병원 웹사이트를 추가로 공격할 것임을 예고했습니다.

Killnet은 텔레그램을 통해 협업하며 대략적으로 모인 집단입니다. 친러시아 동조자들은 텔레그램 채널을 통해 서방의 이익에 반하는 사이버 공격에 참여하여 자발적으로 전문성을 드러내고 있습니다.

그림: 호주 내 조직의 DDoS 공격을 구성하는 트래픽 비율

Cloudflare에서 Killnet 활동을 보고한 것은 처음이 아닙니다. 2023년 2월 2일, 블로그에서 Killnet의 일원이라고 주장하는 친러시아 핵티비스트 그룹이 미국의 여러 의료 기관을 표적으로 삼고 있다고 언급했던 적이 있습니다. 2022년 10월, Killnet은 미국 공항 웹 사이트를 공격하도록 촉구했고, 다음 달에는 미국 재무부를 공격했습니다.

이 그룹에서 과거에 수행한 공격에서 볼 수 있듯, 최근의 공격은 하나의 봇넷으로 시작되지 않았으며 공격 방법과 출처가 다양해 기술 수준이 다양한 개별 위협 행위자 여러 명이 관여한 것으로 보입니다.

DDoS(분산 서비스 거부) 공격은 중요한 서비스를 중단시킬 수 있기 때문에 뉴스의 헤드라인을 장식하곤 합니다. Cloudflare는 최근의 발표에서 사상 최대 규모의 공격을 차단했다고 밝혔는데, 이 공격은 초당 7,100만 개의 요청(rps)으로 최고치를 기록했으며 과거 기록적인 공격이었던 2022년 6월보다 54% 높습니다.

DDoS 공격은 대량의 악의적 트래픽으로 네트워크를 압도하도록 설계되었으며, 제대로 실행될 경우 서비스를 중단시키거나 네트워크를 오프라인 상태로 만들 수 있습니다. 지난 몇 달 동안 이 공격의 규모, 정교함, 빈도는 늘어나고 있습니다.

Killnet과 AnonymousSudan이란?

Killnet 은 전통적인 해킹 그룹이 아닙니다. 구성원이 없고, 도구나 인프라도 없으며, 금전적 이득을 위해 활동하지도 않습니다. Killnet에서는 친러시아 성향의 "핵티비스트" 동조자들이 서방의 이익에 반하는 사이버 공격에 참여하여 전문성을 발휘합니다. 이와 같은 협업은 전적으로 텔레그램을 통해 공개적으로 이루어지며, 누구나 참여할 수 있습니다.

Killnet은 우크라이나의 IT군 직후(이에 대응한 것으로 보임) 형성되었으며, IT군의 전술을 모방하고 있습니다. 보통 Killnet 텔레그램 채널 관리자가 특정 대상을 공격할 지원자를 모집합니다. 참가자들은 공격 성공을 위한 여러 도구와 기법을 공유하며, 경험이 없는 사람은 경험이 많은 이에게 사이버 공격 방법을 코칭 받기도 합니다.

AnonymousSudan은 Killnet과 비슷한 또 하나의 비전통적인 해킹 그룹인데, 표면적으로는 수단인 "핵티비스트"로 구성되어 있습니다. 두 그룹은 최근 서방의 다양한 이해관계를 공격하기 위해 협력하기 시작했습니다.

이 두 그룹과 같은 공격자들은 조직의 규모와 범위 측면에서 점점 더 대담하게 목표를 겨냥하고 있습니다. 그러므로, 특히 사이버 리소스가 제한적인 기업의 취약한 네트워크에는 위협 수준이 늘고 있습니다.

규모가 어떠하든 모든 조직은 네트워크에 대규모 DDoS 공격이 수행될 경우에 대비해야 합니다. 공격 감지 및 완화 과정은 최대한 자동화된 방식으로 이루어지는 게 좋습니다. 실시간으로 방어하는 데 사람의 힘에만 의존하면 공격자에게 주도권이 생기기 때문입니다.

DDoS로부터 조직을 보호하려면 어떻게 해야 하나요?

Cloudflare 고객은 DDoS 공격으로부터 보호 받고 있습니다. Cloudflare 시스템은 공격을 자동으로 감지하고 완화합니다. Cloudflare 팀은 상황을 지속 모니터링하고, 필요에 따라 대응책을 배포합니다.

추가 예방 조치로 교육, 여행, 의료 업계 고객은 아래 권장 사항을 따르는 것이 좋습니다.

  1. 모든 DDoS 관리형 규칙이 기본 설정(고감도 수준 및 완화 조치)으로 설정되어 있는지 확인하세요.
  2. 고급 DDoS를 사용하는 Enterprise 고객은 적응형 DDoS 방어 활성화를 고려하세요.
  3. 방화벽 규칙레이트 리미팅 규칙을 배포하여 포지티브 및 네거티브 보안 모델을 결합하여 적용하세요. 파악한 사용량에 따라 웹 사이트에 허용되는 트래픽을 줄이세요.
  4. Bot Fight 모드 또는 이와 같은 수준(SBFM, Enterprise 봇 관리)으로 이용 가능한 서비스를 켜세요.
  5. 원본이 공용 인터넷에 노출되지 않도록 하세요. 즉, Cloudflare IP 주소에만 액세스할 수 있도록 설정하세요.
  6. 캐싱을 최대한 활성화하여 원본 서버의 부담을 줄이고, Workers를 사용할 때는 필요 이상으로 많은 하위 요청으로 원본 서버에 과부하가 걸리지 않도록 하세요.
  7. DDoS 알림을 켜세요.

공격자들이 DDoS 공격을 더 쉽게 수행할 수 있게 된 만큼, Cloudflare는 모든 규모의 조직 내 방어자들이 모든 유형의 DDoS 공격으로부터 더욱 쉽게, 무료로 조직을 보호할 수 있도록 노력합니다. Cloudflare는 2017년부터 모든 고객에게 과금 없는 무제한 DDoS 방어 기능을 무료로 제공하고 있습니다. Cloudflare의 사명은 더 나은 인터넷을 구축하는 것입니다. 더 나은 인터넷은 모든 사람에게, 심지어 DDoS 공격이 수행될 때조차 더 안전하고 빠르며 신뢰할 수 있는 인터넷입니다.

주요 DDoS 동향을 자세히 알아보려면 Cloudflare DDoS 위협 보고서 를 다운로드하여 분기별 인사이트를 확인하세요.

Cloudflare는 전체 기업 네트워크 를 보호하고, 고객이 인터넷 규모의 애플리케이션을 효율적으로 구축하도록 도우며, 웹사이트 또는 인터넷 애플리케이션 을 가속하고, DDoS 공격 을 막으며, 해커의 침입을 방지 하고, Zero Trust로의 여정을 도와드릴 수 있습니다.

특정 기기에 관계없이1.1.1.1 에 방문해서 인터넷을 더 빠르고 안전하게 만드는 Cloudflare의 무료 앱을 시작해 보세요.

더 나은 인터넷을 만들겠다는 Cloudflare의 사명을 더욱 자세히 알아보려면, 이곳 을 확인해 보세요. 새로운 방향성을 제시하는 직업을 찾고 있다면, 채용 중인 직무 목록을 확인해 보세요.
Attacks (KO)Australia (KO)한국어

X에서 팔로우하기

Patrick R. Donahue|@prdonahue
Ben Munroe|@munrolo
Cloudflare|@cloudflare

관련 게시물

2024년 1월 09일 오후 2:00

2023년 4분기 DDoS 위협 보고서

Cloudflare DDoS 위협 보고서 제16호에 오신 것을 환영합니다. 이번 호에서는 2023년 4분기이자 마지막 분기의 DDoS 동향과 주요 결과를 다루며, 연중 주요 동향을 검토합니다...

2023년 10월 26일 오후 1:00

2023 3분기 DDoS 위협 보고서

지난 분기에는 DDoS 공격이 65% 급증했습니다. 게임 및 도박 회사에서 가장 많은 공격을 받았으며 Cloudflare에서는 수천 건의 대규모 볼류메트릭 DDoS 공격을 완화했습니다. 가장 큰 규모의 공격에서는 최고치가 2억 100만 rps에 이르렀습니다. 지난 분기에는 Cloudflare에서 HTTP/2 Rapid Reset 취약점을 노리는 수천 건의 대규모 볼류메트릭 공격을 완화하는 가운데 DDoS 공격이 65% 급증했습니다. 보고서를 읽고 각 지역 및 산업별 최신 DDoS 공격 동향에 대해 자세히 알아보세요...

2023년 10월 10일 오후 12:02

HTTP/2 Zero-day 취약성은 이전에 없던 기록적인 DDoS 공격으로 이어집니다

“HTTP/2 Rapid Reset” 공격은 HTTP/2 프로토콜의 약점을 이용하여 거대 하이퍼 볼류메트릭 DDoS 공격을 생성합니다. Cloudflare는 최근 몇 달간 이런 빗발치는 공격을 완화하였는데, 그중에는 이전에 우리가 목격한 규모보다 3배 더 큰 공격도 있었습니다...