Cloudflare DDoS 위협 보고서 20호에 오신 것을 환영합니다. 2020년 첫 번째 보고서 이후 5년이 되었습니다.
분기별로 발행되는 이 보고서에서는 Cloudflare 네트워크의 데이터를 기반으로 분산 서비스 거부( DDoS) 공격의 진화하는 위협 환경에 대한 포괄적인 분석을 제공합니다. 이번 호에서는 2024년 4분기에 초점을 맞추고 한 해를 전반적으로 돌아봅니다.
첫 번째 보고서를 발표했을 때 Cloudflare의 전역 네트워크 용량은 초당 35 테라비트(Tbps)였습니다. 그 이후 저희 네트워크 용량은 817% 증가하여 321Tbps가 되었습니다. 또한 2020년 초에 200개 도시에서 2024년 말에는 330개 도시로 전 세계에 걸쳐 65% 확대되었습니다.
이 대규모 네트워크를 사용하여 현재 저희는 전체 웹 사이트의 약 20%와 거의 18,000개에 육박하는 고유한 Cloudflare 고객 IP 네트워크에 서비스를 제공하며 보호하고 있습니다. 이러한 광범위한 인프라와 고객 기반 덕분에 Cloudflare는 더 광범위한 인터넷 커뮤니티에 도움이 되는 핵심 인사이트와 동향을 제공할 수 있는 독보적인 입지를 구축하고 있습니다.
2024년 Cloudflare의 자율 DDoS 방어 시스템에서는 약 2,130만 건의 DDoS 공격을 차단했으며, 이는 2023년에 비해 53% 증가한 수치입니다. 2024년에 Cloudflare에서는 평균적으로 매시간 4,870건의 DDoS 공격을 차단했습니다.
4분기에는 이러한 공격 중 420건 이상이 하이퍼 볼류메트릭 공격으로 초당 10억 패킷(pps) 및 1Tbps를 초과했습니다. 또한 1Tbps를 초과하는 공격의 양은 전 분기 대비 1,885%라는 놀라운 수준으로 증가했습니다.
2024년 할로윈 주간에 Cloudflare의 DDoS 방어 시스템에서는 사상 최대 규모인 초당 5.6테라비트(Tbps)의 DDoS 공격을 자율적으로 감지하고 차단하는 데 성공했습니다.
DDoS 공격 및 기타 사이버 위협에 대해 자세히 알아보려면 저희 학습 센터를 방문하거나, Cloudflare 블로그에서 이전 DDoS 위협 보고서를 확인하거나, 저희 대화형 허브인 Cloudflare Radar를 방문하세요. 이러한 동향 및 기타 인터넷 동향을 조사하는 데 관심이 있는 분을 위한 무료 API도 있습니다. 이 보고서를 준비하는 데 사용된 방법론에 대해서도 자세히 알아볼 수 있습니다.
Cloudflare에서는 2024년 4분기에만 690만 건의 DDoS 공격을 완화했습니다. 이는 전 분기 대비(QoQ) 16%, 전년 대비(YoY) 83% 증가한 수치입니다.
2024년 4분기의 DDoS 공격 중 49%(340만 건)가 계층 3/계층 4 DDoS 공격이었고, 51%(350만 건)는 HTTP DDoS 공격이었습니다.
690만 건의 DDoS 공격 분포: 2024년 4분기
대부분의 HTTP DDoS 공격(73%)은 알려진 봇넷에 의해 시작되었습니다. 이들 공격은 대규모 네트워크를 운영하고 다양한 유형의 공격과 봇넷을 확인함에 따라 신속하게 감지하고 차단할 수 있었습니다. 이를 통해 Cloudflare의 보안 엔지니어와 연구원들은 휴리스틱을 만들어 이러한 공격에 대한 완화 효과를 높일 수 있습니다.
추가로 11%는 정상적인 브라우저로 가장하다가 감지된 HTTP DDoS 공격이었습니다. 또 다른 10%는 의심스럽거나 비정상적인 HTTP 속성이 포함된 공격이었습니다. 나머지 8%의 '기타' 공격은 일반 HTTP 폭주, 볼류메트릭 캐시 버스팅 공격, 로그인 엔드포인트를 겨냥한 볼류메트릭 공격이었습니다.
상위 HTTP DDoS 공격 벡터: 2024년 4분기
이러한 공격 벡터, 즉 공격 그룹은 반드시 배타적이지는 않습니다. 예를 들어, 알려진 봇넷은 브라우저를 가장하고 의심스러운 HTTP 속성을 가지고 있기는 하지만, 이 분석은 Cloudflare에서 HTTP DDoS 공격을 의미 있는 방식으로 범주화해보려는 시도입니다.
Google의 릴리스 노트에 따르면 이 보고서 발표 시점을 기준으로 Windows, Mac, iOS, Android용 Chrome의 현재 안정 버전은 132개입니다. 그러나 DDoS 공격에 가장 자주 등장한 상위 사용자 에이전트 13개가 118에서 129까지의 Chrome 버전이었기 때문에 위협 행위자들은 여전히 뒤처져 있는 것으로 보입니다.
HITV_ST_PLATFORM 사용자 에이전트는 전체 요청 중 DDoS 요청의 점유율이 가장 높았고(99.9%), DDoS 공격에서 거의 독점적으로 사용되는 사용자 에이전트가 되었습니다. 다시 말하자면, HITV_ST_PLATFORM 사용자 에이전트에서 오는 트래픽을 보면 정상적 트래픽일 확률이 0.1%입니다.
위협 행위자는 일반적이지 않은 사용자 에이전트를 사용하지 않고 Chrome과 같은 더 일반적인 사용자 에이전트가 일반 트래픽에 섞이는 것을 선호하는 경우가 많습니다. 스마트 TV 및 셋톱 박스와 관련된 HITV_ST_PLATFORM 사용자 에이전트가 존재한다는 것은 특정 사이버 공격에 연루된 장치가 손상된 스마트 TV나 셋톱 박스임을 시사합니다. 이러한 관찰 결과에 따르면 스마트 TV와 셋톱 박스 등 인터넷에 연결된 모든 장치가 사이버 공격에 악용되지 않도록 보호하는 것이 중요합니다.
DDoS 공격에 가장 많이 악용된 사용자 에이전트: 2024년 4분기
사용자 에이전트 hackney는 DDoS 공격의 사용자 에이전트 부분을 포함하는 요청이 93%로 2위를 차지했습니다. hackney 사용자 에이전트에서 오는 트래픽의 경우 정상적인 트래픽일 확률이 7%입니다. hackney는 Erlang용 HTTP 클라이언트 라이브러리로, HTTP 요청을 생성하는 데 사용되며 Erlang/Elixir 생태계에서 널리 사용됩니다.
DDoS 공격에 추가로 사용되는 사용자 에이전트는 uTorrent이며, 이는 파일을 다운로드하는 데 널리 사용되는 BitTorrent 클라이언트와 관련이 있습니다. Go-http-client 및 fasthttp도 DDoS 공격에 일반적으로 사용되었습니다. 전자는 Go의 표준 라이브러리에 있는 기본 HTTP 클라이언트이고 후자는 고성능 대안입니다. fasthttp는 빠른 웹 애플리케이션을 빌드하는 데 사용되지만, DDoS 공격 및 웹 스크래핑에도 악용되는 경우가 많습니다.
DDoS 공격에 일반적으로 사용되는 HTTP 속성
HTTP 메서드(HTTP 동사라고도 함)는 서버의 리소스에 대해 수행할 작업을 정의합니다. HTTP 메서드는 HTTP 프로토콜의 일부이며 클라이언트(예: 브라우저)와 서버 간의 통신을 허용합니다.
GET 메서드가 가장 일반적으로 사용됩니다. 합법적인 HTTP 요청의 거의 70%가 GET 메서드를 사용했습니다. 2위는 POST 메서드로 27%의 점유율을 차지했습니다.
DDoS 공격의 경우에는 다른 양상을 볼 수 있습니다. HEAD 메서드를 사용하는 HTTP 요청의 거의 14%는 합법적인 HTTP 요청에는 거의 존재하지 않음에도 불구하고 DDoS 공격의 일부였습니다(전체 요청의 0.75%). DELETE 메서드는 전체 사용량의 약 7%가 DDoS 목적으로 사용되면서 2위를 차지했습니다.
DDoS 공격에서 일반적으로 볼 수 있는 메서드와 합법적인 트래픽에서 볼 수 있는 메서드의 불균형이 확실히 두드러집니다. 보안 관리자는 이 정보를 사용하여 이러한 헤더를 기반으로 보안 상태를 최적화할 수 있습니다.
DDoS 공격 및 합법적 트래픽 내 HTTP 메서드의 분포: 2024년 4분기
HTTP 경로는 특정 서버 리소스를 설명합니다. HTTP 메서드와 함께 서버는 리소스에 대한 작업을 수행합니다.
예: GET https://developers.cloudflare.com/ddos-protection/은 서버에 /ddos-protection/ 리소스의 콘텐츠를 검색하라고 지시합니다.
DDoS 공격은 웹 사이트의 루트("/")를 겨냥하는 경우가 많지만, 특정 경로를 겨냥하는 경우도 있습니다. 2024년 4분기에 /wp-admin/ 경로에 대한 HTTP 요청의 98%가 DDoS 공격의 일부였습니다. /wp-admin/ 경로는 WordPress 웹 사이트의 기본 관리자 대시보드입니다.
분명히 특정 웹 사이트마다 고유한 경로가 많겠지만, 아래 그래프에는 가장 공격을 많이 받은 일반적인 경로가 나와 있습니다. 보안 관리자는 이 데이터를 사용하여 해당하는 경우 엔드포인트에서 보호를 강화할 수 있습니다.
HTTP DDoS 공격의 표적이 된 상위 HTTP 경로: 2024년 4분기
4분기에는 합법적인 트래픽의 거의 94%가 HTTPS였습니다. 6%만이 일반 텍스트 HTTP(암호화되지 않음)였습니다. DDoS 공격 트래픽을 살펴보면, HTTP DDoS 공격 요청의 약 92%는 HTTPS를 통한 요청이었고 약 8%가 일반 텍스트 HTTP를 통한 것이었습니다.
합법적인 트래픽에서의 HTTP와 HTTPS의 비교 및 DDoS 공격: 2024년 4분기
가장 일반적인 계층 3/계층 4(네트워크 계층) 공격 벡터는 SYN 폭주(38%), DNS 폭주(16%),UDP 폭주(14%) 공격이었습니다.
상위 계층3/계층 4 DDoS 공격 벡터: 2024년 4분기
또 다른 일반적인 공격 벡터 또는 봇넷 유형은 Mirai입니다. Mirai 공격은 전체 네트워크 계층 DDoS 공격의 6%를 차지했으며, 이는 전 분기 대비 131% 증가한 수치입니다. 2024년 4분기에 기록된 가장 큰 규모의 DDoS 공격은 Mirai 변종 봇넷으로 인해 발생했으며, 이에 대해서는 다음 섹션에서 자세히 다루겠습니다.
다음 섹션으로 이동하기 전에, 이번 분기에 관찰된 추가 공격 벡터의 증가를 논의하는 것이 좋을 것 같습니다.
새롭게 부상한 상위 위협: 2024년 4분기
멤캐시드 DDoS 공격은 전 분기 대비 314%로 가장 많이 늘었습니다. 멤캐시드는 웹 사이트와 네트워크 속도를 높이기 위한 데이터베이스 캐싱 시스템입니다. UDP를 지원하는 멤캐시드 서버를 악용하여 증폭 또는 반사 DDoS 공격을 시작할 수 있습니다. 이 경우 공격자는 캐싱 시스템에서 콘텐츠를 요청하고 피해자의 IP 주소를 UDP 패킷의 원본 IP로 스푸핑합니다. 피해자는 초기 요청보다 최대 51,200배 더 큰 멤캐시드 응답으로 폭주하게 됩니다.
BitTorrent DDoS 공격은 이번 분기에도 급증했습니다. BitTorrent 프로토콜은 피어 투 피어 파일 공유 시 사용되는 통신 프로토콜입니다. BitTorrent 클라이언트가 효율적으로 파일을 찾아 다운로드하는 데 도움이 되도록, BitTorrent 클라이언트는 BitTorrent 트래커 또는 분산 해시 테이블(DHT)을 사용해 원하는 파일을 시드하는 피어를 식별할 수 있습니다. 이러한 개념을 악용해 DDoS 공격이 개시될 수 있습니다. 악의적 행위자는 트래커 및 DHT 시스템 내에서 피해자의 IP 주소를 시더 IP 주소로 스푸핑할 수 있습니다. 그러면 클라이언트가 이러한 IP 주소에 파일을 요청하게 됩니다. 파일을 요청하는 클라이언트 수가 충분히 많아지면, 피해자가 처리할 수 있는 트래픽보다 많은 트래픽을 통해 폭주시킬 수 있습니다.
10월 29일, Mirai 변종 봇넷에 의해 실행된 5.6Tbps UDP DDoS 공격이 Cloudflare Magic Transit 고객인 동 아시아의 인터넷 서비스 공급자(ISP)를 표적으로 삼았습니다. 이 공격은 80초 동안만 지속되었으며 13,000여 개의 IoT 장치에서 발생했습니다. 감지 및 완화는 Cloudflare의 분산 방어 시스템에 의해 완전히 자율적으로 이루어졌습니다. 사람의 개입이 필요하지 않았고, 경고가 트리거되지 않았으며, 성능 저하가 발생하지 않았습니다. 시스템은 의도한 대로 작동했습니다.
Cloudflare의 자율 DDoS 방어는 사람의 개입 없이 5.6Tbps Mirai DDoS 공격을 완화합니다
고유한 원본 IP 주소의 총 개수는 약 13,000개였지만, 초당 평균 고유 원본 IP 주소는 5,500개였습니다. 또한 초당 고유한 원본 포트 수도 비슷한 개수였습니다. 아래 그래프에서 각 선은 13,000개의 서로 다른 원본 IP 주소 중 하나를 나타내며, 그림과 같이 각각 초당 8Gbps 미만으로 기여했습니다. 각 IP 주소의 초당 평균 기여도는 약 1Gbps(5.6Tbps의 ~0.012%)였습니다.
5.6Tbps DDoS 공격을 시작한 13,000개의 원본 IP 주소
2024년 3분기에 대규모 볼류메트릭 네트워크 계층 DDoS 공격이 증가하기 시작했습니다. 2024년 4분기에 1Tbps를 초과하는 공격의 양은 전 분기 대비 1,885% 증가했으며 1억pps(초당 패킷 수)를 초과하는 공격은 전 분기 대비 175% 증가했습니다. 100Mpps를 초과한 공격 중 16%는 1조pps도 초과했습니다.
대규모 볼류메트릭 계층 3/계층 4 DDoS 공격 분포: 2024년 4분기
대다수의 HTTP DDoS 공격(63%)은 초당 50,000건의 요청을 초과하지 않았습니다. 반면 HTTP DDoS 공격의 3%는 초당 요청이 1억 건을 초과했습니다.
마찬가지로 대다수의 네트워크 계층 DDoS 공격도 소규모입니다. 93%는 500Mbps를 초과하지 않았고 87%는 초당 50,000패킷을 초과하지 않았습니다.
전 분기 대비 패킷 전송률별 공격 규모 변화: 2024년 4분기
전 분기 대비 비트 레이트별 공격 규모 변화: 2024년 4분기
대다수의 HTTP DDoS 공격(72%)은 10분 이내에 종료됩니다. HTTP DDoS 공격의 약 22%는 1시간 이상 지속되며 11%는 24시간 이상 지속됩니다.
마찬가지로 네트워크 계층 DDoS 공격의 91%도 10분 이내에 종료됩니다. 2%만이 1시간 이상 지속됩니다.
전반적으로, DDoS 공격의 지속 시간은 전 분기 대비 크게 감소했습니다. 대부분의 공격은 지속 시간이 너무 짧기 때문에 사람이 경고에 대응하고 트래픽을 분석하며 완화 조치를 적용하는 것이 불가능한 경우가 대부분입니다. 공격의 지속 시간이 짧기 때문에, 상시 가동되는 자동화된 인라인 DDoS 방어 서비스의 필요성이 강조됩니다.
전 분기 대비 공격 지속 시간 변화: 2024년 4분기
2024년 마지막 분기에도 인도네시아는 2분기 연속 전 세계 DDoS 공격의 최대 출처였습니다. Cloudflare에서는 공격이 어디에서 오는지 파악하기 위해 스푸핑이 불가능한 HTTP DDoS 공격을 시작하는 소스 IP 주소를 매핑하고, 3계층/4계층 DDoS 공격의 경우 DDoS 패킷이 수집된 데이터 센터의 위치를 사용합니다. 이를 통해 계층 3/계층 4에서 발생할 수 있는 스푸핑 가능성을 극복할 수 있습니다. Cloudflare에서는 전 세계 330여 개 도시에 걸친 광범위한 네트워크를 통해 지리적 정확도를 달성할 수 있습니다.
홍콩은 전 분기에 비해 5계단 상승한 2위를 차지했습니다. 싱가포르는 3계단 상승하여 3위를 차지했습니다.
DDoS 공격의 상위 10개 출처: 2024년 4분기
자율 시스템(AS)은 통합 라우팅 정책이 있는 대규모 네트워크 또는 네트워크 그룹입니다. 인터넷에 연결되는 모든 컴퓨터나 장치는 AS에 연결됩니다. 사용 중인 AS가 무엇인지 알아보려면 https://radar.cloudflare.com/ip를 방문하세요.
DDoS 공격, 특히 HTTP DDoS 공격의 출처를 살펴보면 눈에 띄는 자율 시스템이 몇 가지 있습니다.
2024년 4분기에 가장 많은 HTTP DDoS 공격 트래픽이 관찰된 AS는 독일의 Hetzner(AS24940)였습니다. 모든 HTTP DDoS 요청의 약 5%가 Hetzer의 네트워크에서 시작되었습니다. 다시 말하자면 Cloudflare에서 차단한 100개의 HTTP DDoS 요청 중 5개가 Hetzner에서 시작되었다는 뜻입니다.
2위는 미국에 본사를 둔 Digital Ocean(AS14061)이 차지했으며, 프랑스에 본사를 둔 OVH(AS16276)가 3위로 그 뒤를 이었습니다.
DDoS 공격의 상위 10개 출처 네트워크: 2024년 4분기
위에 나열된 것과 같은 많은 네트워크 운영자의 경우 공격을 시작하기 위해 인프라를 남용하는 악의적인 행위자를 식별하기 어려울 수 있습니다. Cloudflare에서는 네트워크 운영자와 서비스 공급자가 남용을 단속할 수 있도록 무료DDoS 봇넷 위협 인텔리전스 피드를 제공하여 ASN 소유자에게 DDoS 공격에 가담한 것으로 확인된 IP 주소 목록을 제공합니다.
DDoS 공격의 표적이 된 Cloudflare 고객을 대상으로 설문조사를 실시한 결과, 대다수가 누가 자신을 공격했는지 모른다고 답했습니다. 알고 있었던 기업은 경쟁업체가 공격의 배후에 있는 가장 큰 위협 행위자라고 답했습니다(40%). 또 다른 17%는 국가 수준 또는 국가 주도 위협 행위자가 공격의 배후에 있다고 답했으며, 비슷한 비율의 응답자가 불만을 품은 사용자 또는 고객이 공격의 배후에 있다고 답했습니다.
또 다른 14%는 갈취 공격자가 공격의 배후에 있다고 답했습니다. 7%는 스스로 초래한 DDoS라고 주장했고, 2%는 해킹 활동이 공격의 원인이라고 보고했으며, 2%는 전직 직원이 공격을 시작했다고 보고했습니다.
상위 위협 행위자: 2024년 4분기
2024년 마지막 분기에는 예상대로 랜섬 DDoS 공격이 급증했습니다 . 4분기가 온라인 쇼핑, 여행 준비, 휴일 활동이 증가하는 사이버 범죄자의 성수기라는 점을 고려하면 이러한 급증을 예측할 수 있었습니다. 피크 시간에 이러한 서비스가 중단되면 조직의 수익에 큰 영향이 미칠 수 있으며 실제 상황에서 항공편 지연 및 취소와 같은 혼란이 발생할 수 있습니다.
4분기에 DDoS 공격의 표적이 된 Cloudflare 고객 중 12%가 랜섬을 지불하라는 협박 또는 갈취를 당했다고 보고했습니다. 이는 2023년 4분기에 비해 전 분기 대비 78%, 전년 대비 25% 증가한 수치입니다.
분기별로 보고된 랜섬 DDoS 공격: 2024년
2024년 한 해를 돌이켜보면, Cloudflare에서는 5월에 랜섬 DDoS 공격 신고를 가장 많이 받았습니다. 4분기에는 10월(10%), 11월(13%), 12월(14%)부터 점진적으로 증가하여 7개월 만에 최고치를 기록한 것을 확인할 수 있습니다.
월별로 보고된 랜섬 DDoS 공격: 2024년
2024년 4분기에도 중국은 가장 많은 공격을 받은 국가 위치를 유지했습니다. 어떤 국가가 더 많은 공격을 받는지 파악하기 위해 Cloudflare에서는 DDoS 공격을 고객의 청구 국가별로 분류했습니다.
필리핀이 상위 10위 내에서 두 번째로 많은 공격을 받은 국가에 처음으로 이름을 올렸습니다. 대만은 전 분기 대비 7계단 상승하여 3위로 뛰어올랐습니다.
아래 지도에서 공격을 가장 많이 받은 상위 10개 지역과 전 분기 대비 순위 변화를 확인할 수 있습니다.
DDoS 공격을 가장 많이 받은 지역 상위 10곳: 2024년 4분기
2024년 4분기에 통신, 서비스 공급자, 통신사 산업은 가장 많은 공격을 받은 산업으로 지난 분기의 3위에서 1위로 상승했습니다. 어떤 산업이 더 많은 공격을 받는지 파악하기 위해 Cloudflare에서는 고객의 산업별로 DDoS 공격을 그룹화합니다. 인터넷 산업이 2위,마케팅 및 광고 산업이 3위를 차지했습니다.
은행 및 금융 서비스 산업은 2024년 3분기 1위에서 4분기 8위로 7계단 하락했습니다.
DDoS 공격을 가장 많이 받은 상위 10개 산업: 2024년 4분기
무제한 DDoS 방어를 위한 Cloudflare의 약속
2024년 4분기에는 대규모 볼류메트릭 계층 3/계층 4 DDoS 공격이 급증했으며, 이 중 가장 큰 공격은 5.6Tbps로 최고치를 기록하며 이전 기록을 경신했습니다. 이처럼 공격 규모가 커지면 용량이 제한된 클라우드 DDoS 방어 서비스나 온프레미스 DDoS 장비는 무용지물이 됩니다.
지정학적 요인으로 인해 강력한 봇넷의 사용이 증가하면서 취약한 대상의 범위가 넓어졌습니다. 랜섬 DDoS 공격의 증가도 우려 사항이 되고 있습니다.
너무 많은 조직에서 공격을 받은 후에만 DDoS 방어를 실행합니다. 저희 관찰 결과, 선제적인 보안 전략을 갖춘 조직일수록 복원력이 더 큰 것으로 나타났습니다. Cloudflare에서는 자동화된 방어 및 포괄적인 보안 포트폴리오에 투자하여 현재의 위협과 새로운 위협 모두에 대한 선제적 보호를 제공합니다.
Cloudflare에서는 전 세계 330개 도시에 걸쳐 있는 321Tbps 네트워크를 통해 공격의 크기, 지속 시간, 양과 관계없이 무제한 DDoS 방어를 제공하기 위해 최선을 다하고 있습니다.