Cloudflare DDoS 위협 보고서 제21호에 오신 것을 환영합니다. 분기별로 발행되는 이 보고서에서는 Cloudflare 네트워크의 데이터를 기반으로 분산 서비스 거부(DDoS) 공격의 진화하는 위협 환경에 대한 포괄적인 분석을 제공합니다. 이번 호에서는 2025년 1분기에 초점을 맞추고 있습니다. 이전 보고서를 확인하려면 www.ddosreport.com을 방문해 주세요.
이 보고서에서는 주로 2025년 1분기에 초점을 맞추고 있지만, 2025년 4월에 관찰된 대규모 볼류메트릭 DDoS 캠페인의 최신 데이터도 포함하고 있습니다. 이 캠페인에는 지금까지 공개된 것 중 가장 큰 규모의 공격들이 포함되어 있습니다. 트래픽이 기록적으로 급증하는 상황에서 Cloudflare는 초당 48억 패킷(4.8Bpps)에 달하는 역대 최고 속도의 패킷 전송률 공격을 차단했으며, 이는 종전 기준보다 52% 높은 수치입니다. 또한, 별도로 초당 6.5테라비트(Tbps)에 달하는 대규모 트래픽 폭주를 방어했으며, 이는 지금까지 보고된 최고 대역폭 공격 수준과 맞먹는 사례입니다.
핵심 DDoS 인사이트
2025년 1분기 동안 Cloudflare는 총 2,050만 건의 DDoS 공격을 차단했습니다. 이는 전년 동기 대비(YoY) 358%, 전 분기 대비(QoQ) 198% 증가한 수치입니다.
이 중 약 1/3인 660만 건은 Cloudflare 네트워크 인프라를 직접 겨냥한 공격으로, 18일간 진행된 멀티 벡터 공격 캠페인의 일부였습니다.
더불어, 2025년 1분기 동안 Cloudflare는 초당 1Tbps 또는 초당 10억 pps를 초과하는 대규모 볼류메트릭 DDoS 공격 약 700건을 차단했으며, 이는 하루 평균 약 8건의 공격에 해당합니다.
모든 공격은 Cloudflare의 자율 방어 시스템에 의해 차단되었습니다.
DDoS 공격 및 기타 유형의 사이버 위협에 대해 자세히 알아보려면 Cloudflare 학습 센터를 참조하세요. Cloudflare Radar를 방문하여 이 보고서의 대화형 버전을 확인하고 더 자세히 살펴보세요. 인터넷 동향을 조사하려는 분들을 위한 무료 API도 제공해 드립니다. 이 보고서를 준비하는 데 사용된 방법론에 대해서도 자세히 알아볼 수 있습니다.
DDoS 공격 수치
2025년 1분기에 Cloudflare는 총 2,050만 건의 DDoS 공격을 차단했습니다. 비교를 위해 말씀드리면, 2024년 한 해 동안 차단한 DDoS 공격은 2,130만 건이었습니다. 지난 분기에만 Cloudflare는 2024년 전체 차단 건수의 96%에 해당하는 공격을 차단했습니다.
가장 큰 상승세를 보인 것은 네트워크 계층 DDoS 공격이었습니다. 2025년 1분기에 Cloudflare는 1680만 건의 네트워크 계층 DDoS 공격을 차단했습니다. 이는 전 분기 대비 397%, 전년 동기 대비 509% 증가한 수치입니다. HTTP DDoS 공격 또한 증가했으며, 전 분기 대비 7%, 전년 동기 대비 118% 증가를 기록했습니다.
Cloudflare는 자사 시스템이 실시간으로 생성한 고유 지문을 기반으로 DDoS 공격을 집계합니다. 하나의 공격 또는 캠페인에 서로 다른 완화 전략이 적용되는 경우, 여러 지문을 생성하는 경우가 있습니다. 이로 인해 간혹 집계 수치가 높게 나타날 수 있지만, 이 메트릭은 특정 기간의 공격 활동 수준을 보여주는 강력한 전체 지표 역할을 합니다.
Cloudflare 네트워크 및 인터넷 인프라를 겨냥한 공격
1분기에 차단된 2,050만 건의 DDoS 공격 중, 1,680만 건이 네트워크 계층 DDoS 공격이었으며, 이 중 660만 건은 Cloudflare의 네트워크 인프라를 직접 겨냥한 공격이었습니다. 또 다른 690만 건은 Cloudflare의 보호를 받는 호스팅 공급자 및 서비스 공급자를 대상으로 한 공격이었습니다.
이러한 공격은 SYN 폭주 공격, Mirai로 생성된 DDoS 공격, SSDP 증폭 공격 등으로 구성된 18일 간의 멀티 벡터 DDoS 캠페인의 일부였습니다. 2,050만 건의 공격과 마찬가지로, 이러한 공격도 Cloudflare의 DDoS 방어 시스템에 의해 자율적으로 감지되고 차단되었습니다.
아래 그래프에서는 파란색 선이 Cloudflare 자체를 겨냥한 일일 공격 합계를 나타내며, 다른 색상은 Cloudflare의 Magic Transit 서비스를 사용하는 다양한 호스팅 및 인터넷 서비스 공급자를 대상으로 한 동시 공격을 나타냅니다.
대규모 볼류메트릭 DDoS 공격
대규모 볼류메트릭 DDoS 공격이란 1~2Tbps 또는 10억 pps를 초과하는 공격을 의미합니다. 2025년 1분기에 Cloudflare는 이러한 공격을 700건 이상 차단했습니다. 네트워크 계층 DDoS 공격 10만 건 중 약 4건은 대규모 볼류메트릭 공격이었습니다. 대규모 볼류메트릭 DDoS 공격은 주로 UDP를 통해 이루어지는 경향이 있습니다.
2분기에도 지속되는 대규모 볼류메트릭 공격
이 보고서는 주로 2025년 1분기에 초점을 맞추고 있지만, 우리는 2분기까지 이어진 기록적인 대규모 볼류메트릭 DDoS 공격을 강조하는 것도 중요하다고 판단됩니다. 따라서 Cloudflare는 해당 캠페인의 초기 인사이트를 포함했습니다.
2025년 4월 하반기, Cloudflare의 시스템에서는 집중 캠페인의 일환으로 수십 건의 대규모 볼류메트릭 DDoS 공격을 자동으로 감지하고 차단했습니다. 해당 캠페인의 일부로 발생한 가장 큰 공격은 48억 pps와 6.5Tbps에 달했으며, 이러한 대규모 급증은 대체로 35~45초 동안 지속되었습니다. 6.5Tbps 공격은 지금까지 공개된 가장 큰 DDoS 공격과 동일한 수준입니다. 48억 pps 공격은 패킷 강도 측면에서 지금까지 공개된 사상 최대 규모로, 이전 기록인 31.5억 pps보다 약 52% 높은 수치입니다.
이 공격은 147개국에서 시작되었으며, Cloudflare Magic Transit으로 보호받는 한 호스팅 공급자의 다수 IP 주소와 포트를 표적으로 삼았습니다. 모든 공격은 Cloudflare의 네트워크에 의해 성공적으로 차단되었습니다.
위협 행위자
DDoS 공격의 표적이 된 Cloudflare 고객을 대상으로 설문조사를 실시한 결과, 대다수가 누가 자신을 공격했는지 모른다고 답했습니다. 공격자를 알고 있는 고객들은 경쟁사를 공격 배후의 주요 위협 행위자로 지목했으며(39%), 이는 지난 분기와 유사한 수치입니다. 특히 게임 및 도박 산업에서 이러한 양상이 흔하게 나타납니다.
또 다른 17%는 국가 차원 또는 국가 주도의 위협 행위자가 공격의 배후에 있다고 응답했으며, 비슷한 비율의 사람들이 불만을 품은 사용자 또는 고객이 공격의 배후에 있다고 답했습니다.
그 외에도 11%의 응답자는 실수로 스스로에게 DDoS 공격을 유발(셀프 DDoS)했다고 밝혔으며, 갈취범이 공격의 배후에 있다고 답한 비율도 비슷했습니다. 응답자의 6%는 불만을 품은 현 직원 또는 전 직원이 공격을 감행했다고 보고했습니다.
DDoS 공격의 분석
네트워크 계층에서는 아직 SYN 폭주 공격이 가장 일반적인 계층 3/4 DDoS 공격 벡터로 남아 있으며, DNS 폭주 공격이 그 뒤를 이었습니다. Mirai로 시작된 DDoS 공격은 UDP 폭주 공격을 대체하며 3위를 차지했습니다.
HTTP 영역에서는 전체 공격 중 60% 이상이 알려진 봇넷에 의한 것으로 확인되어 차단되었고, 21%는 의심스러운 HTTP 속성을 가진 공격이었으며, 10%는 브라우저를 가장한 봇넷에 의해 발생했습니다. 나머지 8%는 일반적인 폭주, 비정상적인 요청 패턴의 공격, 캐시 버스팅 공격으로 구성되었습니다.
새롭게 떠오르는 위협
2025년 1분기에는 CLDAP 반사/증폭 공격이 전 분기 대비 3,488% 증가한 것으로 나타났습니다. CLDAP(Connectionless Lightweight Directory Access Protocol)는 LDAP(Lightweight Directory Access Protocol)의 변형으로, IP 네트워크에서 실행되는 디렉터리 서비스를 조회하고 수정하는 데 사용됩니다. CLDAP는 연결이 필요 없고 TCP 대신 UDP를 사용하기 때문에 더 빠르지만, 안정성이 떨어집니다. UDP를 사용하기 때문에 공격자가 소스 IP 주소를 스푸핑할 수 있는 핸드셰이크가 필요하지 않으므로 공격자는 이를 반사 벡터로 악용할 수 있습니다. 이러한 공격에서는 스푸핑된 소스 IP 주소(피해자의 IP)로 작은 쿼리를 전송하여 서버가 피해자에게 대량의 응답을 전송하여 서버를 과부하시키도록 합니다. 완화 조치에는 비정상적인 CLDAP 트래픽을 필터링하고 모니터링하는 것이 포함됩니다.
ESP 반사/증폭 공격도 전 분기 대비 2,301% 증가했습니다. ESP(Encapsulating Security Payload) 프로토콜은 IPsec의 일부로, 네트워크 통신에 기밀성, 인증, 무결성을 제공합니다. 그러나 이 프로토콜은 악의적인 행위자가 구성이 잘못되었거나 취약한 시스템을 악용하여 트래픽을 표적에 반사하거나 증폭하면 DDoS 공격에 악용될 수 있으며, 이는 서비스 중단으로 이어집니다. 다른 프로토콜과 마찬가지로, DDoS 공격의 위험을 차단하려면 ESP를 사용하여 시스템을 보호하고 올바르게 구성하는 것이 중요합니다.
공격 규모 및 지속 시간
대규모 볼류메트릭 공격이 증가했음에도 불구하고 대부분의 DDoS 공격은 소규모입니다. 2025년 1분기에 발생한 계층 3/4 DDoS 공격의 99%는 1Gbps와 1Mpps 미만이었습니다. 마찬가지로 HTTP DDoS 공격의 94%는 초당 100만 요청(rps)이었습니다. 그러나 ‘소규모’라는 표현은 상대적인 것이며, 대부분의 인터넷 자산은 이 정도 작은 공격에도 버티기 어렵습니다. 이러한 공격은 보호되지 않은 인터넷 링크를 쉽게 포화시키고 보호되지 않은 서버를 다운시킬 수 있습니다.
또한, 대부분의 공격은 매우 짧은 시간 동안 지속됩니다. 계층 3/4 DDoS 공격의 89%, HTTP DDoS 공격의 75%는 10분 이내에 종료됩니다. 앞서 예시로 든 기록적으로 강력한 대규모 볼류메트릭 DDoS 공격조차 35초와 같이 매우 짧은 시간 동안만 지속될 수 있습니다. 35초 혹은 10분은 수동으로 완화하거나 온디맨드 솔루션을 활성화하기에 충분한 시간이 아닙니다. 보안 분석가가 경고를 받고 공격을 분석할 시점에 공격은 이미 종료된 상태이기 때문입니다. 공격이 짧게 끝나더라도, 그 여파는 네트워크 및 애플리케이션 장애로 이어지며, 복구에 며칠이 걸릴 수 있습니다. 이 기간에 서비스는 중단되거나 성능이 저하됩니다. 현재 위협 환경은 인간이 개입할 시간이 없습니다. 감지와 완화는 상시 가동되어야 하고, 인라인이고 자동화되어야 하며, 합법적인 피크 시간 트래픽과 공격 트래픽을 모두 감당할 수 있는 충분한 용량과 글로벌 커버리지를 갖추어야 합니다.
한편, 1백만 rps을 초과하는 대규모 볼류메트릭 HTTP DDoS 공격은 그 비중이 두 배로 증가했습니다. 2025년 1분기에는 HTTP DDoS 공격 100건 중 6건이 1백만 rps를 초과했습니다. 네트워크 계층에서는 100,000건의 공격 중 1건이 1Tbps 또는 10억 pps를 초과했습니다.
공격 예시
이러한 공격의 한 예는 Cloudflare Magic Transit 고객을 표적으로 삼은 것입니다. 해당 고객은 미국 기반의 호스팅 공급자로, 웹 서버, VoIP(Voice over IP) 서버, 게임 서버 등의 다양한 솔루션을 제공합니다. 이 특정 공격은 포트 27015를 표적으로 삼았습니다. 해당 포트는 주로 멀티플레이어 게임 서버, 특히 Valve의 Source 엔진 기반 게임인 Counter-Strike: Global Offensive (CS:GO), Team Fortress 2, Garry's Mod, Left 4 Dead, Half-Life 2: Deathmatch와 관련되어 있습니다.
이 포트는 게임 서버 연결에 사용되며, 클라이언트가 온라인 플레이를 위해 서버에 연결할 수 있도록 합니다. 많은 경우 이 포트는 UDP와 TCP 양쪽 모두에 대해 열려 있으며, 게임 종류 및 통신 방식에 따라 달라집니다. 이 고객은 여러 차례의 대규모 볼류메트릭 공격의 표적이 되었으나, 해당 공격들은 모두 Cloudflare의 자율 방어 시스템에 의해 차단되었습니다.
가장 많이 공격받은 지역
2025년 1분기에는 전 세계적으로 가장 많이 공격받은 상위 10개 지역에 큰 변화가 있었습니다. 독일은 무려 4단계가 상승하며 가장 많이 공격받은 국가 1위에 올랐습니다. 2위는 튀르키예로, 무려 11단계나 급등했습니다. 반면 중국은 지난 분기 대비 2단계 하락해 3위를 차지했으며, 홍콩은 변동 없이 동일한 순위를 유지했습니다. 인도는 4단계 상승했고, 브라질은 순위 변화가 없었습니다. 대만은 순위가 4단계 하락했습니다. 필리핀은 6단계 하락하며 가장 큰 하락 폭을 기록했습니다. 한국과 인도네시아는 모두 순위가 각각 2단계씩 상승했습니다.
공격을 가장 많이 받은 업계
2025년 1분기에 가장 많이 공격받은 상위 10개 산업에는 몇 가지 주목할 만한 변화가 있었습니다. 도박 및 카지노 산업은 4단계 상승하며 가장 많이 공격받은 산업으로 등극한 반면, 통신, 서비스 공급자 및 통신사 산업은 한 단계 하락했습니다. 정보 기술 및 서비스와 인터넷 산업은 모두 각각 한 단계 상승, 두 단계 하락하며 소폭 변동했습니다. 게임과 은행 및 금융 서비스 산업은 모두 전 분기에 비해 한 단계 상승한 반면, 사이버 보안 산업은 37단계라는 엄청난 상승폭을 기록했습니다. 소매업은 1단계 소폭 하락한 반면, 제조, 기계, 기술, 공학 산업은 28단계 급등했습니다. 항공사, 항공 및 항공우주 산업은 가장 큰 증가 폭인 40단계 상승을 기록하며 10번째로 많이 공격받은 산업이 되었습니다.
상위 공격 출처
2025년 1분기 DDoS 공격의 주요 발생지 상위 10개 국가 순위에도 큰 변동이 있었습니다. 홍콩특별행정구는 지난 분기보다 3단계 상승하며 1위를 차지했습니다. 인도네시아는 한 단계 하락해 2위를 기록했으며, 아르헨티나는 2단계 상승하여 3위를 차지했습니다. 싱가포르는 2단계 하락해 4위, 우크라이나는 한 단계 하락해 5위를 기록했습니다. 브라질은 순위가 7단계 상승해 6위를 차지했으며, 태국은 그 뒤를 이어 7단계 상승해 7위에 올랐습니다. 독일도 2단계 상승하며 8위를 기록했습니다. 베트남은 순위가 15단계나 급증해 9위를 차지하며 가장 큰 상승세를 보였고, 불가리아는 2단계 하락하여 10위를 차지했습니다.
주요 소스 ASN
자율 시스템 번호(ASN)는 인터넷에서 단일 라우팅 정책에 따라 운영되는 하나 이상의 네트워크 또는 IP 네트워크 그룹에 할당된 고유 식별자입니다. 이는 BGP(Border Gateway Protocol)와 같은 프로토콜을 사용하여 시스템 간에 라우팅 정보를 교환하는 데 사용됩니다.
DDoS 공격, 특히 HTTP DDoS 공격의 출처를 살펴보면 눈에 띄는 자율 시스템이 몇 가지 있습니다. 2025년 1분기에는 독일 기반의 Hetzner(AS24940)가 가장 큰 공격 출처인 것으로 드러났습니다. 이어서 프랑스 기반 OVH(AS16276)가 2위, 미국 기반 DigitalOcean(AS14061)이 3위, 또 다른 독일 기반 공급자인 Contabo(AS51167)는 4위를 차지했습니다.
기타 주요 출처로는 중국 기반의 ChinaNet Backbone(AS4134)과 Tencent(AS132203), 오스트리아 기반의 Drei(AS200373), 상위 10위권에 든 미국 기반 공급자 3곳에는 Microsoft(AS8075), Oracle(AS31898), Google Cloud Platform(AS396982)이 포함되었습니다. 이 순위에 있는 네트워크의 대부분은 잘 알려진 클라우드 컴퓨팅 또는 호스팅 공급자로, DDoS 공격 개시가 의도적이든 시스템 악용에 의하든 클라우드 인프라가 자주 활용되고 있음을 보여줍니다.
Cloudflare는 호스팅 공급자, 클라우드 컴퓨팅 공급자 및 기타 인터넷 서비스 공급자들이 이러한 공격을 시작하는 악성 계정을 식별하고 차단할 수 있도록 지원하기 위해, Cloudflare만의 고유한 관측 지점을 활용해 서비스 공급자를 위한 DDoS 봇넷 위협 피드를 무료로 제공합니다. 현재 전 세계적으로 600개 이상의 조직이 이 피드에 가입했습니다. 이를 통해 서비스 공급자는 자신의 각 ASN 내에서 HTTP DDoS 공격을 유발한 IP 주소 목록을 확인할 수 있습니다. 이는 완전히 무료이며, 무료 Cloudflare 계정을 개설하고 PeeringDB를 통해 ASN을 인증한 후 API를 통해 위협 인텔리전스를 가져오기만 하면 됩니다.
더 나은 인터넷 구축 지원
Cloudflare의 사명은 인터넷 환경 개선을 지원하는 것입니다. 이 약속의 핵심은 DDoS 공격에 대한 무료 보호를 제공하는 것은 물론, 다른 네트워크가 인프라 내에서 운영되는 봇넷을 감지하고 해체할 수 있도록 무료 도구를 제공함으로써 더욱 광범위한 인터넷 커뮤니티를 지원하는 것입니다.
위협 환경이 계속 진화함에 따라, 많은 조직이 공격을 경험한 후에야 DDoS 방어를 도입하거나 구식의 온디맨드 솔루션에 의존하고 있다는 사실을 확인할 수 있습니다. 이에 반해, Cloudflare의 데이터에서는 보안 전략을 사전에 구축한 조직이 훨씬 더 강력한 회복력이 있는 것으로 나타났습니다. 그래서 Cloudflare는 자동화와 포괄적이고 상시 가동되는 인라인 보안 접근 방식에 집중하여 기존 위협과 새로운 위협에 모두 대비하고 있습니다.
335개 도시에 걸쳐 348Tbps의 용량을 제공하는 Cloudflare의 전역 네트워크를 기반으로, Cloudflare는 공격의 규모, 지속 시간, 빈도에 관계없이 과금 없는 무제한 DDoS 방어를 제공하기 위해 지속적으로 노력하고 있습니다.