지난 24시간 동안, 호주의 대학 웹 사이트를 겨냥한 HTTP DDoS 공격이 Cloudflare에 관찰되었습니다. 최근 텔레그램 게시물에서 밝혀진 바와 같이, 친러시아 해커 그룹 Killnet, 그와 연계된 AnonymousSudan에서 공개적으로 겨냥한 여러 그룹 중 첫 번째에 대학이 속해 있습니다. 이 위협 행위자들은 3월 28일 화요일부터 호주의 8개 대학, 10개 공항, 8개 병원 웹사이트를 추가로 공격할 것임을 예고했습니다.
Killnet은 텔레그램을 통해 협업하며 대략적으로 모인 집단입니다. 친러시아 동조자들은 텔레그램 채널을 통해 서방의 이익에 반하는 사이버 공격에 참여하여 자발적으로 전문성을 드러내고 있습니다.
Cloudflare에서 Killnet 활동을 보고한 것은 처음이 아닙니다. 2023년 2월 2일, 블로그에서 Killnet의 일원이라고 주장하는 친러시아 핵티비스트 그룹이 미국의 여러 의료 기관을 표적으로 삼고 있다고 언급했던 적이 있습니다. 2022년 10월, Killnet은 미국 공항 웹 사이트를 공격하도록 촉구했고, 다음 달에는 미국 재무부를 공격했습니다.
이 그룹에서 과거에 수행한 공격에서 볼 수 있듯, 최근의 공격은 하나의 봇넷으로 시작되지 않았으며 공격 방법과 출처가 다양해 기술 수준이 다양한 개별 위협 행위자 여러 명이 관여한 것으로 보입니다.
DDoS(분산 서비스 거부) 공격은 중요한 서비스를 중단시킬 수 있기 때문에 뉴스의 헤드라인을 장식하곤 합니다. Cloudflare는 최근의 발표에서 사상 최대 규모의 공격을 차단했다고 밝혔는데, 이 공격은 초당 7,100만 개의 요청(rps)으로 최고치를 기록했으며 과거 기록적인 공격이었던 2022년 6월보다 54% 높습니다.
DDoS 공격은 대량의 악의적 트래픽으로 네트워크를 압도하도록 설계되었으며, 제대로 실행될 경우 서비스를 중단시키거나 네트워크를 오프라인 상태로 만들 수 있습니다. 지난 몇 달 동안 이 공격의 규모, 정교함, 빈도는 늘어나고 있습니다.
Killnet과 AnonymousSudan이란?
Killnet 은 전통적인 해킹 그룹이 아닙니다. 구성원이 없고, 도구나 인프라도 없으며, 금전적 이득을 위해 활동하지도 않습니다. Killnet에서는 친러시아 성향의 "핵티비스트" 동조자들이 서방의 이익에 반하는 사이버 공격에 참여하여 전문성을 발휘합니다. 이와 같은 협업은 전적으로 텔레그램을 통해 공개적으로 이루어지며, 누구나 참여할 수 있습니다.
Killnet은 우크라이나의 IT군 직후(이에 대응한 것으로 보임) 형성되었으며, IT군의 전술을 모방하고 있습니다. 보통 Killnet 텔레그램 채널 관리자가 특정 대상을 공격할 지원자를 모집합니다. 참가자들은 공격 성공을 위한 여러 도구와 기법을 공유하며, 경험이 없는 사람은 경험이 많은 이에게 사이버 공격 방법을 코칭 받기도 합니다.
AnonymousSudan은 Killnet과 비슷한 또 하나의 비전통적인 해킹 그룹인데, 표면적으로는 수단인 "핵티비스트"로 구성되어 있습니다. 두 그룹은 최근 서방의 다양한 이해관계를 공격하기 위해 협력하기 시작했습니다.
이 두 그룹과 같은 공격자들은 조직의 규모와 범위 측면에서 점점 더 대담하게 목표를 겨냥하고 있습니다. 그러므로, 특히 사이버 리소스가 제한적인 기업의 취약한 네트워크에는 위협 수준이 늘고 있습니다.
규모가 어떠하든 모든 조직은 네트워크에 대규모 DDoS 공격이 수행될 경우에 대비해야 합니다. 공격 감지 및 완화 과정은 최대한 자동화된 방식으로 이루어지는 게 좋습니다. 실시간으로 방어하는 데 사람의 힘에만 의존하면 공격자에게 주도권이 생기기 때문입니다.
DDoS로부터 조직을 보호하려면 어떻게 해야 하나요?
Cloudflare 고객은 DDoS 공격으로부터 보호 받고 있습니다. Cloudflare 시스템은 공격을 자동으로 감지하고 완화합니다. Cloudflare 팀은 상황을 지속 모니터링하고, 필요에 따라 대응책을 배포합니다.
추가 예방 조치로 교육, 여행, 의료 업계 고객은 아래 권장 사항을 따르는 것이 좋습니다.
- 모든 DDoS 관리형 규칙이 기본 설정(고감도 수준 및 완화 조치)으로 설정되어 있는지 확인하세요.
- 고급 DDoS를 사용하는 Enterprise 고객은 적응형 DDoS 방어 활성화를 고려하세요.
- 방화벽 규칙 및 레이트 리미팅 규칙을 배포하여 포지티브 및 네거티브 보안 모델을 결합하여 적용하세요. 파악한 사용량에 따라 웹 사이트에 허용되는 트래픽을 줄이세요.
- Bot Fight 모드 또는 이와 같은 수준(SBFM, Enterprise 봇 관리)으로 이용 가능한 서비스를 켜세요.
- 원본이 공용 인터넷에 노출되지 않도록 하세요. 즉, Cloudflare IP 주소에만 액세스할 수 있도록 설정하세요.
- 캐싱을 최대한 활성화하여 원본 서버의 부담을 줄이고, Workers를 사용할 때는 필요 이상으로 많은 하위 요청으로 원본 서버에 과부하가 걸리지 않도록 하세요.
- DDoS 알림을 켜세요.
공격자들이 DDoS 공격을 더 쉽게 수행할 수 있게 된 만큼, Cloudflare는 모든 규모의 조직 내 방어자들이 모든 유형의 DDoS 공격으로부터 더욱 쉽게, 무료로 조직을 보호할 수 있도록 노력합니다. Cloudflare는 2017년부터 모든 고객에게 과금 없는 무제한 DDoS 방어 기능을 무료로 제공하고 있습니다. Cloudflare의 사명은 더 나은 인터넷을 구축하는 것입니다. 더 나은 인터넷은 모든 사람에게, 심지어 DDoS 공격이 수행될 때조차 더 안전하고 빠르며 신뢰할 수 있는 인터넷입니다.
주요 DDoS 동향을 자세히 알아보려면 Cloudflare DDoS 위협 보고서 를 다운로드하여 분기별 인사이트를 확인하세요.