2023년 첫 번째 DDoS 위협 보고서에 오신 것을 환영합니다. DDoS 공격, 즉 분산 서비스 거부 공격이란 웹 사이트와 같은 인터넷 서비스에서 처리할 수 있는 트래픽보다 많은 트래픽으로 서비스를 중단하고 일반 사용자가 서비스를 이용할 수 없게 압도하려는 목표를 둔 사이버 공격 유형입니다. 이 보고서에서는 Cloudflare의 전역 네트워크에서 관찰한 DDoS 공격 환경에 대한 최신 인사이트와 동향을 다룹니다.
요란한 2023년의 시작
위협 행위자가 2023년을 요란하게 시작했습니다. 연초에는 은행, 공항, 의료, 대학을 포함해 서방 국가를 대상으로 한 일련의 핵티비스트 캠페인이 있었는데, 주로 텔레그램에서 조직화된 친러시아 그룹 Killnet이 주도했고 최근에는 AnonymousSudan이 힘을 실었습니다.
Killnet과 AnonymousSudan이 주도하는 사이버 공격이 주목을 받긴 했지만, 이들이 새로운 공격이나 초대형 공격을 수행한 것으로는 보이지 않습니다.
대규모 볼류메트릭 공격
Cloudflare에서는 다른 위협 행위자가 일으킨 대규모 볼류메트릭 DDoS 공격의 증가를 확인했습니다. 이는 초당 7,100만 이상의 요청(rps)을 기록하여 최대 규모이며 이전 세계 기록인 Google의 4,600만 rps를 55% 초과합니다.
Killnet과 AnonymousSudan으로 돌아가서, 주목할 만한 공격은 보고되지 않았지만 잠재적 위험을 과소평가해서는 안 됩니다. Killnet이나 AnonymousSudan의 사이버 캠페인에 의해 보호되지 않은 인터넷 자산이 다운될 가능성은 여전히 존재하며, 실제로 다운된 적도 있습니다. 조직에서 위험을 줄이려면 선제적인 방어 조치를 취해야 합니다.
테라비트급 공격의 표적이 된 남미 통신 회사, Cloudflare 덕분에 평소와 다름없는 업무 수행
1분기에 발생한 또 다른 대형 공격은 남미 통신 사업자를 대상으로 한 1.3Tbps(초당 테라비트) 규모의 DDoS 공격이었습니다. 공격은 1분 동안만 지속되었습니다. 이 멀티벡터 공격에는 DNS 및 UDP 공격 트래픽이 포함되어 있었습니다. 이 공격은 20,000개의 강력한 Mirai 변형 봇넷에서 시작된 다수의 테라비트급 공격이 수행된 광범위한 캠페인에 속해 있었습니다. 공격 트래픽의 대부분은 미국, 브라질, 일본, 홍콩, 인도에서 발생했습니다. Cloudflare 시스템은 고객 네트워크에 영향을 주지 않은 채 자동으로 이를 감지하고 완화했습니다.
고성능 봇넷
대규모 볼류메트릭 공격은 사물 인터넷(IoT) 장치 대신 가상 사설 서버(VPS)로 구성된 차세대 봇넷을 활용합니다.
지금까지 대규모 봇넷은 스마트 보안 카메라와 같이 악용 가능한 IoT 장치에 의존하여 공격을 조직했습니다. 각 IoT 장치의 처리량이 제한적이긴 해도, 보통 수십만 개에서 수백만 개에 이르는 디바이스를 합치면 지장표적에 을 주기에 충분한 트래픽을 만들 수 있었습니다.
새로운 세대의 봇넷은 장치를 아주 조금만 사용하지만, 각각의 장치는 훨씬 강력합니다. 클라우드 컴퓨팅 공급자는 스타트업과 기업에서 성능 기준에 맞는 애플리케이션을 만들 수 있게 가상 사설 서버를 제공합니다. 단점은 공격자도 5,000배 더 강력한 고성능 봇넷을 만들 수 있다는 것입니다. 공격자는 패치되지 않은 서버를 손상시키고 유출된 API 자격 증명을 사용하여 관리 콘솔을 해킹하여 가상 사설 서버에 액세스할 수 있습니다.
Cloudflare는 이러한 VPS 기반 봇넷에 대처하기 위해 주요 클라우드 컴퓨팅 공급자와 협력하고 있습니다. 클라우드 컴퓨팅 공급자가 신속하고 부지런하게 대응한 덕분에 봇넷의 상당 부분이 무력화되었습니다. 그 이후 추가적인 대규모 볼류메트릭 공격은 아직 발견되지 않아, 생산적인 협력이었던 것으로 보입니다.
Cloudflare에 대규모 공격이 감지되면 봇넷을 제거할 수 있도록 사이버 보안 커뮤니티와 긴밀히 협력하고 있지만, 프로세스를 더욱 단순화하고 자동화하고자 합니다.
클라우드 컴퓨팅 공급자, 호스팅 공급자, 일반 서비스 공급자는 Cloudflare의 무료 봇넷 위협 피드에 가입하여 네트워크 내에서 시작하는 공격에 대한 가시성을 확보할 수 있고, Cloudflare에서 봇넷을 제거하는 데에도 도움을 줄 수 있습니다.
이번 분기의 핵심
- 1분기에는 설문조사에 참여한 고객의 16%가 랜섬 DDoS 공격을 받았다고 응답했으며, 전 분기에 비해 안정적이긴 하지만 전년 대비 60% 증가한 수치입니다.
- 비영리 단체와 방송 미디어는 가장 표적이 많이 된 산업 중 두 부문이었습니다. 핀란드는 공격 트래픽의 비율로 볼 때 HTTP DDoS 공격의 최대 출처이자 네트워크 계층 DDoS 공격의 주요 표적이었습니다. 이스라엘은 전 세계에서 HTTP DDoS 공격을 가장 많이 받은 국가였습니다.
- 대규모 볼류메트릭 DDoS 공격(100Gbps 이상의 공격)은 전 분기 대비 6% 증가했습니다. 가장 자주 이용된 벡터는 DNS 기반 공격이었습니다. 마찬가지로 SPSS 기반 DDoS 공격, DNS 증폭 공격, GRE 기반 DDoS 공격도 급증했습니다.
Cloudflare Radar에서 인터랙티브 보고서를 확인하세요.
랜섬 DDoS 공격
DDoS 공격은 랜섬 몸값 지불금을 갈취하기 위해 수행되는 경우가 많습니다. Cloudflare는 고객에게 설문조사를 지속 실시하여, 표적에게 랜섬 메모가 전송된 DDoS 이벤트 비율을 추적하고 있습니다. 이 수치는 2022년까지 꾸준히 증가하여 현재 16%로, 2022년 4분기와 동일합니다.
일반적으로 피해자가 파일을 다운로드하거나 이메일 링크를 클릭하도록 유도하여 몸값을 지불할 때까지 컴퓨터 파일을 암호화하고 잠그는 랜섬웨어 공격과는 달리, 랜섬 DDoS 공격은 공격자가 훨씬 더 쉽게 수행할 수 있습니다. 랜섬 DDoS 공격은 피해자가 이메일을 열거나 링크를 클릭하도록 속일 필요가 없으며, 네트워크 침입이나 기업 자산에 접근할 수단이 필요하지도 않습니다.
랜섬 DDoS 공격에서 공격자는 피해자의 컴퓨터에 액세스할 필요 없이, 웹 사이트, DNS 서버, 기타 인터넷에 연결된 모든 유형의 자산을 중단하여 사용자가 사용할 수 없거나 성능이 저하되도록 트래픽을 충분히 많이 퍼붓기만 하면 됩니다. 공격자는 주로 비트코인의 형태로 랜섬 지불을 요구하여 추가적인 공격을 중지하거나 방지하게 해줍니다.
2023년 1월과 2023년 3월은 사용자들이 보고한 랜섬 DDoS 활동량에 있어 두 번째로 높은 달이었습니다. 현재까지 가장 높은 공격 횟수를 기록한 달은 2022년 11월로, 블랙 프라이데이, 추수감사절, 중국의 광군제가 있어 위협 공격자들에게 수익성이 높은 달입니다.
누가 무엇을 공격하고 있나요?
표적이 된 상위 국가
사법 개혁과 개혁에 반대하는 시위, 또는 웨스트뱅크에서 계속되는 갈등에 기인한 것으로 보이는데, 1분기에 이스라엘은 미국을 제치고 HTTP DDoS 공격 트래픽의 표적이 가장 많이 된 국가 1위에 올랐습니다. 이는 놀라운 수치입니다. 올해 1분기, Cloudflare가 처리한 전체 HTTP 트래픽의 1%에 조금 못 미치는 양이 이스라엘 웹 사이트를 표적으로 삼은 HTTP DDoS 공격에 속했습니다. 이스라엘 다음으로는 미국, 캐나다, 터키가 뒤를 이었습니다.
특정 국가에 대한 전체 트래픽 대비 공격 트래픽 비율에서는 슬로베니아와 조지아가 1위를 차지했습니다. 슬로베니아와 조지아 웹 사이트로 향하는 전체 트래픽 중 약 20%가 HTTP DDoS 공격이었습니다. 다음으로는 카리브해의 작은 도서 국가인 세인트키츠네비스와 터키가 뒤를 이었습니다. 이전 그래프에서는 이스라엘이 1위였지만, 이번 그래프에서는 러시아를 제치고 9번째로 공격을 많이 받은 국가로 나타났습니다. 전 분기에 비해 여전히 높은 수치입니다.
네트워크 계층 DDoS 공격 트래픽의 총량을 살펴보니 1위는 중국이었습니다. 전체 네트워크 계층 DDoS 공격 트래픽 중 18%가량은 중국에서 발생했습니다. 싱가포르가 17% 점유율이라는 근소한 차이로 2위를 차지했습니다. 미국이 3위를 차지했고, 핀란드가 그 뒤를 이었습니다.
한 국가로 향하는 모든 트래픽으로 해당 국가에 대한 공격을 정규화 했을 때 핀란드는 새로 가입이 승인된 NATO 회원국이기 때문에 1위에 올랐습니다. 핀란드로 향하는 전체 트래픽의 약 83%가 네트워크 계층 공격 트래픽이었습니다. 중국이 68%로 그 다음이었고 싱가포르는 49%로 그 뒤를 이었습니다.
가장 많이 표적이 된 산업
전체 대역폭과 관련하여 전 세계적으로 가장 많은 양의 HTTP DDoS 공격 트래픽은 인터넷 회사에서 관찰됐습니다. 그 다음으로 마케팅 및 광고 업계, 컴퓨터 소프트웨어 업계, 게임/도박 및 통신 업계가 뒤를 이었습니다.
산업을 향한 총 트래픽 중에서 공격 트래픽 비율을 보면, 올해 1분기에는 비영리 단체가 가장 많이 표적이 되었으며 회계 법인이 그 뒤를 이었습니다. 의료 분야에 대한 공격이 급증했지만 상위 10위 내에는 들지 못했습니다. 또한 화학, 정부, 에너지 유틸리티 및 폐기물 산업도 상위권에 올랐습니다. 미국의 경우 미국 연방 정부 웹 사이트로 향하는 전체 트래픽 중에서 약 2%가 DDoS 공격에 속했습니다.
지역 규모로 보면 아시아, 유럽, 중동에서는 게임 및 도박 산업이 가장 많이 표적이 되었습니다. 중남미에서는 은행, 금융 서비스 및 보험(BFSI) 업계가 가장 많이 표적이 되었습니다. 북미에서는 마케팅 및 광고 업계가 가장 많이 표적이 되었고 통신 업계가 그 뒤를 이었으며, 아프리카에서는 통신 업계가 가장 많은 공격을 받았습니다. 마지막으로 오세아니아에서는 건강, 웰니스 및 피트니스 업계가 HTTP DDoS 공격에 가장 표적이 많이 되었습니다.
L3/4 공격 트래픽의 총량을 기준으로 OSI 스택에서 더 아래를 살펴보면, 가장 많이 표적이 된 산업은 정보 기술 및 서비스, 게임/도박, 통신 분야였습니다.
공격 트래픽을 산업별 총 트래픽과 비교하면 모습이 좀 다릅니다. 방송 미디어 회사로 전송되는 초당 바이트는 거의 모두가 L3/4 DDoS 공격 트래픽이었습니다.
공격의 출처
상위 출처 국가
2023년 1분기에 국가별 전체 트래픽 중 공격 트래픽의 비율에서 HTTP DDoS 공격의 최대 출처는 핀란드였습니다. 핀란드에 이어 영국령 버진 아일랜드가 2위를 차지했으며 리비아와 바베이도스가 그 뒤를 이었습니다.
절대적인 양으로 보면 미국 IP 주소에서 발생한 HTTP DDoS 공격 트래픽이 가장 많았습니다. 중국이 2위를 차지했으며 독일, 인도네시아, 브라질, 핀란드가 그 뒤를 이었습니다.
L3/4의 경우, L3/4 DDoS 공격 트래픽의 최대 출처는 베트남이었습니다. Cloudflare의 베트남 데이터 센터에서 수집한 전체 L3/4 트래픽의 약 3분의 1이 공격 트래픽이었습니다. 베트남에 이어 파라과이, 몰도바, 자메이카가 그 뒤를 이었습니다.
확인된 공격 유형 및 규모
공격 규모 및 지속 시간
고객과 Cloudflare의 네트워크 및 애플리케이션에 수행된 공격 유형을 살펴보면 공격은 주로 짧고 소규모였습니다. 네트워크 계층 DDoS 공격의 86%가 10분 내에 끝나고 91%는 500Mbps를 초과하지 않습니다.
10Gbps를 초과하는 공격은 50번마다 1번, 100Gbps를 초과하는 공격은 1000번마다 1번이었습니다.
그렇지만 대규모 공격의 양과 빈도는 서서히 증가하고 있습니다. 지난 분기에는 100Gbps를 초과하는 공격의 양이 전 분기 대비 67% 증가했습니다. 이번 분기에는 성장률이 6%로 약간 둔화되었지만, 여전히 증가하고 있습니다. 실제로 아래 그래프에 나타난 것처럼, 대부분의 공격이 '소규모' 버킷에 속하는 상황을 제외하면 모든 볼류메트릭 공격이 증가했습니다. 가장 큰 증가 폭은 10~100Gbps 범위로 전 분기 대비 89% 증가했습니다.
공격 벡터
이번 분기에는 구조적인 변화가 있었습니다. SYN 폭주가 22%를 차지해 2위로 밀려나면서, DNS 기반 DDoS 공격이 가장 많이 사용되는 공격 벡터(30%)였습니다. 전체 L3/4 DDoS 공격 중 3분의 1가량이 DNS 기반 공격이었는데 DNS 폭주 공격이거나 DNS 증폭/반사 공격이었습니다. 뒤를 이어 21%인 UDP 기반 공격이 근소하게 3위를 차지했습니다.
새롭게 떠오르는 위협
오래되고, 때로는 아주 오래된 공격 벡터가 매 분기마다 다시 나타납니다. 10년이 지난 취약점까지도 공격을 개시하는 데 악용되고 있다는 의미입니다. 위협 행위자는 조직에서 예전 공격 방법에 대한 보호 기능을 빠뜨렸기를 바라며 예전 방법을 재활용하고, 다시 사용하고 있습니다.
2023년 1분기에는 SPSS 기반 DDoS 공격, DNS 증폭 공격, GRE 기반 DDoS 공격이 급증했습니다.
전 분기 대비 1,565% 증가한 SPSS 기반의 DDoS 공격
통계 제품 및 서비스 솔루션(SPSS)은 데이터 관리, 비즈니스 인텔리전스, 범죄 조사와 같은 사용 사례를 위해 IBM에서 개발한 소프트웨어 제품군입니다. Sentinel RMS License Manager 서버는 IBM SPSS 시스템과 같은 소프트웨어 제품의 라이선스를 관리하는 데 사용됩니다. 2021년에 두 가지 취약점(CVE-2021-22713 및 CVE-2021-38153)이 Sentinel RMS License Manager 서버에서 확인되었고, 이는 반사 DDoS 공격 생성에 사용될 수 있는 것이었습니다. 공격자는 특수하게 조작된 대량의 라이선스 요청을 서버로 보내 원래 요청보다 훨씬 더 큰 응답을 생성하게 만들 수 있습니다. 이 응답은 피해자의 IP 주소로 다시 전송되어 공격의 규모를 효과적으로 증폭시키고 피해자의 네트워크를 트래픽으로 압도합니다. 이러한 유형의 공격은 반사 DDoS 공격으로 알려져있으며, 이 공격은 IBM SPSS Statistics처럼 Sentinel RMS License Manager를 이용하는 소프트웨어 제품의 가용성에 큰 지장을 줄 수 있습니다. 이러한 취약점이 악용되는 것을 방지하고 반사 DDoS 공격으로부터 보호하려면 사용 가능한 패치를 라이선스 매니저에 필수적으로 적용해야 합니다.
전 분기 대비 958% 증가한 DNS 증폭 DDoS 공격
DNS 증폭 공격은 DDoS 공격의 한 유형으로 도메인 네임 시스템(DNS) 인프라의 취약점을 악용하여 피해자의 네트워크로 향하는 대량의 트래픽을 생성합니다. 공격자는 모든 소스의 재귀 쿼리를 허용하도록 잘못 구성된 개방형 DNS 확인자에 DNS 요청을 보내고, 이러한 요청을 사용하여 원래 쿼리보다 훨씬 더 큰 응답을 생성합니다. 그런 다음 공격자는 피해자의 IP 주소를 스푸핑하여 대량의 응답이 피해자의 네트워크로 향하도록 만들어 트래픽을 압도하고 서비스 거부를 유발합니다. DNS 증폭 공격을 완화할 때 어려운 점은 공격 트래픽이 합법적인 트래픽과 구별하기 어려워 네트워크 수준에서 차단하기 어렵다는 것입니다. DNS 증폭 공격을 완화하기 위해 조직은 DNS 확인자를 적절하게 구성하고, 레이트 리미팅 기술을 구현하며, 트래픽 필터링 도구를 사용해 알려진 공격 소스로부터 트래픽을 차단하는 등의 조치를 취할 수 있습니다.
전 분기 대비 835% 증가한 GRE 기반 DDoS 공격
GRE 기반 DDoS 공격은 일반 라우팅 캡슐화(GRE) 프로토콜을 사용하여 피해자의 네트워크에 대량의 트래픽으로 폭주 공격을 퍼붓습니다. 공격자는 손상된 호스트 사이에 여러 개의 GRE 터널을 생성하여 피해자의 네트워크로 트래픽을 전송합니다. 피해자의 네트워크에서 합법적인 트래픽으로 나타나기 때문에 이러한 공격을 감지하고 필터링하기는 어렵습니다. 또한 공격자는 소스 IP 주소 스푸핑을 사용해 트래픽이 합법적인 소스에서 오는 것처럼 보이게 하여 네트워크 수준에서 차단하기 어렵게 만들 수 있습니다. GRE 기반 DDoS 공격은 다운타임, 비즈니스 운영 중단, 잠재적인 데이터 도난, 네트워크 침투 등 목표 조직에 여러 가지 위험을 초래합니다. 이러한 공격을 완화하려면 공격 트래픽의 특성을 기반으로 이를 감지하고 차단할 수 있는 고급 트래픽 필터링 도구를 사용해야 하고, 알려진 공격의 트래픽을 차단할 수 있도록 레이트 리미팅 및 소스 IP 주소 필터링과 같은 기술 역시 필요합니다.
DDoS 위협 환경
최근 몇 달 동안 다양한 산업 분야에서 더 오래 지속되고 규모가 더 거대한 DDoS 공격이 증가했으며, 특히 볼류메트릭 공격이 두드러졌습니다. 비영리 단체와 방송 미디어 회사는 가장 많이 표적이 된 산업이었습니다. DNS DDoS 공격도 점점 더 흔해졌습니다.
DDoS 공격은 일반적으로 봇을 통해 수행되므로 효과적으로 방어하려면 자동화된 감지 및 완화 기능이 매우 중요합니다. Cloudflare의 자동화된 시스템은 DDoS 공격에서 지속적으로 고객을 보호하므로, 고객은 다른 비즈니스 부문에 집중할 수 있습니다. 모든 규모의 조직이 DDoS 방어를 쉽게 이용할 수 있어야 한다고 생각하는 Cloudflare는 2017년부터 무제한 무료 보호를 제공하고 있습니다.
Cloudflare의 사명은 더 나은 인터넷 구축을 지원하는 것입니다. 더 나은 인터넷은 모두에게 더 안전하고 더 빠른 인터넷입니다.
DDoS 동향 웨비나에 참여해 새롭게 등장하는 위협과 효과적인 방어 전략에 대해 자세히 알아보세요.
방법론 참고 사항
랜섬 DDoS 공격 인사이트 계산 방법
Cloudflare 시스템은 지속적으로 트래픽을 분석하면서 DDoS 공격이 감지되면 자동으로 완화 조치를 적용합니다. 공격의 특성을 더 자세히 파악하고 완화에 성공하는 데 도움이 되도록 공격을 당한 각 고객에게 자동 설문이 표시됩니다. Cloudflare는 2년 여에 걸쳐 공격 받은 고객에게 설문을 진행하고 있습니다. 설문조사에는 응답자가 위협이나 랜섬 노트를 받았는지 묻는 질문이 있습니다. 지난 2년간 분기당 평균 164건의 응답을 모았습니다. 설문조사 응답을 이용해 랜섬 DDoS 공격의 비율을 계산합니다.
지리적 인사이트 및 업계 인사이트 계산 방법
출발 국가
애플리케이션 계층에서는 IP 주소를 사용해 공격 출처 국가를 파악했습니다. 이 계층에서는 IP 주소를 스푸핑(변경)할 수 없기 때문입니다. 그러나 네트워크 계층에서는 소스 IP 주소 스푸핑이 가능합니다. 따라서 IP 주소를 이용해 출처 국가를 파악하는 대신, 공격 패킷이 수집된 Cloudflare 데이터 센터의 위치를 이용합니다. 범위가 전 세계 285개 이상 위치에 광범위하게 걸쳐져 있어 지리적 정확도를 확보할 수 있습니다.
대상 국가
애플리케이션 계층 및 네트워크 계층 DDoS 공격 모두에 대해 Cloudflare는 고객의 청구 국가별로 공격과 트래픽을 그룹화합니다. 이렇게 하면 어떤 국가가 더 많은 공격을 받는지 파악할 수 있습니다.
표적 산업
애플리케이션 계층 및 네트워크 계층 DDoS 공격 모두에 대해 Cloudflare는 고객 관계 관리 시스템에 따라 고객의 산업별로 공격과 트래픽을 그룹화합니다. 이렇게 하면 어떤 산업이 더 많은 공격을 받는지 파악할 수 있습니다.
총량과 비율 비교
출처 및 표적 인사이트 모두에 대해 전체 트래픽 대비 공격 트래픽의 총량을 하나의 데이터 포인트로 살펴봅니다. 또한 특정 국가를 향하거나 특정 국가에서 특정 국가, 또는 특정 산업으로 발생하는 공격 트래픽의 비율도 살펴봅니다. 그러면 특정 국가/산업에 대한 '공격 활동률'을 파악할 수 있으며, 이는 총 트래픽 수준으로 정규화됩니다. 이 방법을 사용하면 일반적으로 수신 트래픽이 많아서 공격 트래픽 발생량도 많은 국가나 산업에서 나타나는 편향도 제거할 수 있습니다.
공격 특성 계산 방법
공격 규모, 지속 시간, 공격 벡터, 새로 발생한 위협을 계산하기 위해 공격을 분류한 다음 각 차원별 총량에서 각각의 분류가 차지하는 비중을 제공합니다.
일반 고지 사항 및 설명
공격의 출처나 표적으로 '상위 국가'를 설명할 때 반드시 해당 국가가 공격을 받았다는 의미는 아니며, 해당 국가를 청구서 발행 국가로 사용하는 조직이 공격의 표적이 되었다는 의미입니다. 마찬가지로 한 국가에서 시작된 공격은 해당 국가에서 공격을 시작했다는 뜻이 아니라 해당 국가로 매핑된 IP 주소에서 공격이 시작되었다는 뜻입니다. 위협 행위자는 전 세계에 노드를 두고 글로벌 봇넷을 운영하며, 많은 경우 가상 사설 네트워크와 프록시를 사용해 실제 위치를 난독화합니다. 그러므로 출처 국가는 해당 국가에 출구 노드나 봇넷 노드가 있음을 의미할 수 있습니다.