DDoS 공격이 빈도가 급증하면서도 더욱 정교해지고 있습니다. 2분기에 네트워크 계층에 대한 전체 공격이 1분기에 비해 두 배로 증가하였는데, 3분기에 다시 두 배로 증가하였습니다. 결과적으로 팬데믹 이전인 1분기에 비해 4배로 증가한 것입니다. 또한, Cloudflare가 관찰한 바에 따르면 배포된 공격 벡터의 종류도 유례없이 많았습니다. 실제로 SYN, RST, UDP 폭주가 주류이기는 하지만, mDNS, Memcached, Jenkins DoS 공격 등 특정 프로토콜에 관련된 공격 또한 폭증했습니다.

이외에도 3분기에 네트워크 계층 DDoS에서 다음과 같은 동향이 관찰되었습니다.

  • 대부분의 공격은 500Mbps 및 1Mpps 미만이지만, 이 규모로도 서비스 중단을 일으키기엔 충분합니다
  • 대부분의 공격은 여전히 지속 시간이 1시간 미만입니다
  • Fancy Bear, Cozy Bear, Lazarus Group이라고 주장하는 단체들이 전 세계의 여러 조직을 갈취하는 랜섬 기반 DDoS 공격(RDDoS)이 증가하고 있습니다. 이 보고서 작성 시점에도 랜섬 공격은 현재진행형입니다. 아래에 이에 대한 자세한 설명이 있습니다.

공격 횟수

아래 그래프에서 보듯이, Cloudflare 네트워크에서 관찰된 L3/4 DDoS 공격의 수는 지속적으로 현저하게 증가했습니다. 대략 올해의 총 공격 중 56%가 3분기에 발생했으며 이는 2분기의 2배, 1분기의 4배에 달합니다. 3분기 중에도 월간 공격 수가 증가했습니다.

Chart

전체 공격수는 9월에 최고였지만, 대규모 공격(500Mbps 초과)은 8월에 가장 많이 발생했습니다. 3분기의 대규모 공격 중 91%가 8월에 발생한 것입니다. 다른 규모 공격은 전 분기에 걸쳐 고르게 분포했습니다.

Chart

9월에는 200-300Gbps의 공격 수가 감소했지만, 3분기에 Cloudflare 네트워크에서 관찰된 글로벌 공격은 증가했습니다. 이는 공격을 실행하기 위한 분산 봇넷의 활용이 늘어났음을 시사합니다. 실제로 7월 초에 Cloudflare 네트워크에서 사상 최대 규모의 공격이 발견됐는데, 이는 Mirai 기반 봇넷인 Moobot에 의해 생성된 것이었습니다. 공격의 정점은 654Gbps였고 18,705개의 고유 IP 주소에서 발생했는데, 이들 IP 주소는 모두 Moobot에 감염된 IoT 장치로 생각됩니다. 이 공격은 거의 10일 간 지속되었지만, 해당 고객은 Cloudflare로 보호받고 있어 가동이 중단되거나 서비스가 저하되지 않았습니다.

공격 크기(비트 전송률 및 패킷 전송률)

L3/4 DDoS 공격의 규모를 측정하는 방법은 여러 가지입니다. 우선, 공격의 트래픽 규모를 비트 전송률(Gigabits/Sec)로 측정하는 방법이 있습니다. 또 다른 방법은 패킷 전송률(Packets/Sec)로 패킷 개수를 측정하는 것입니다. 비트 전송률이 높은 공격은 인터넷 링크를 포화시키려는 시도이며 패킷 전송률이 높은 공격은 라우터나 기타 인라인 하드웨어 장치를 마비시키려는 시도입니다.

3분기에 관찰된 공격의 대부분은 이보다 규모가 작았습니다. 실제로 공격의 87% 이상은 1Gbps 미만이었습니다. 이는 2분기 52%에 비해 현저하게 증가한 것입니다.  하지만 500Mbps 미만의 '소규모' 공격이라도 클라우드 기반 DDoS 보호 서비스로 보호되지 않는 인터넷 자산에 큰 장애를 가져오기에는 충분하다는 점을 인지해야 합니다. ISP가 제공하는 업링크가 1Gbps에 크게 미달하는 조직이 많기 때문입니다. 공개된 네트워크 인터페이스가 합법적인 트래픽도 처리한다고 가정한다면 이러한 ‘소규모’ DDoS 공격으로도 인터넷 자산을 쉽게 무너뜨릴 수 있습니다.

Chart

이러한 동향은 공격 패킷률도 마찬가지입니다. 3분기에는 공격의 47%가 50kpps 미만이었는데, 2분기에는 이 수치가 19%였습니다.

Chart

소규모 공격이 많다는 것은 노출된 IP/네트워크을 쉽게 공격할 수 있는 도구를 이용하는 아마추어 공격자들이 배후에 있기 때문일 수도 있습니다. 아니면 동시에 진행되는 다른 사이버 공격에서 보안 팀의 주의를 돌리기 위한 연막으로 소규모 공격을 진행하는 경우일 수도 있습니다.

공격 지속 시간

Chart

시간 면에서는 매우 짧은 공격이 3분기에 가장 많이 관찰되었으며 전체 공격의 88% 가까이를 차지했습니다. 이는 이전의 Cloudflare 보고서와 일치하는 것으로 일반적으로 계층 3/4 DDoS 공격은 지속 시간이 짧아지고 있습니다.

이처럼 짧은 공격은 DDoS 감지 시스템에 감지되지 않으면서 피해를 주려는 것일 수 있습니다. 수동 분석과 완화에 의존하는 DDoS 서비스는 이러한 공격 유형에 무용지물일 수 있습니다. 분석자가 공격 트래픽을 파악하기도 전에 공격이 끝나기 때문입니다.

또는 공격 목표의 사이버 보안 상태를 조사하기 위해 짧은 공격을 이용하기도 합니다. 다크 웹에서 널리 제공되는 부하 테스트 도구나 자동화된 DDoS 도구 같은 것은 짧은 SYN 폭주 같은 공격을 생성한 후 이어서 다른 공격 벡터를 사용하는 짧은 공격을 감행할 수 있습니다. 공격자는 이렇게 공격 목표의 보안 상태를 파악한 후 비용이 들고 지속 시간이 길고 전송률이 높은 대규모 공격을 감행할지 여부를 판단합니다.

한편, 공격 대상 조직에 공격자가 진짜 피해를 입힐 능력이 있다는 것을 입증하며 경고하기 위한 용도로 소규모 DDoS 공격을 만드는 공격자도 있습니다. 여기에는 네트워크 인프라에 더욱 큰 장애를 일으킬 수 있는 공격을 피하려면 돈을 지불하라고 요구하는 랜섬 메모가 따르는 경우가 많습니다.

동기가 무엇이든 간에 규모나 지속 시간과 무관하게 DDoS 공격이 곧 사라지지는 않을 것입니다. 짧은 DDoS 공격이라도 피해를 줄 수 있기 때문에 자동화된 실시간 방어 메커니즘을 갖추는 것이 모든 온라인 사업체에 필수적입니다.

공격 벡터

3분기에 관찰된 공격 중 SYN 폭주가 거의 65%를 차지했으며 RST 폭주와 UDP 폭주가 두 번째와 세 번째로 많았습니다. 이는 과거 분기와 같은 패턴을 보이는 것으로 공격자들이 어떠한 DDoS 공격 벡터를 선택하는지 잘 보여줍니다.

SYN 폭주 및 RST 폭주 등 TCP 기반 공격이 여전히 가장 널리 쓰이지만, mDNS, Memcached, Jenkins 같은 UDP 프로토콜 특정 공격이 전 분기에 비해 크게 증가했습니다.

Chart
Chart

멀티캐스트 DNS(mDNS)는 UDP 기반 프로토콜로 서비스/장치 발견을 위해 로컬 네트워크에서 이용됩니다. 취약한 mDNS 서버는 피해자의 소스 주소로 '스푸핑(변조)'된 로컬 네트워크 외부에 근원을 둔 unicast 쿼리에 반응합니다. 그리고 이를 통해 공격이 증폭됩니다. 3분기에는 mDNS 공격이 전 분기 대비 2,680% 폭증했습니다.

Memcached 및 Jenkins 공격이 뒤를 이었습니다. Memcached는 키 값 데이터베이스인데, 공격 대상의 스푸핑된 소스 주소를 이용해 UDP 프로토콜로 요청을 보낼 수 있습니다. 요청된 키에 저장된 값의 크기가 증폭 인자에 영향을 미쳐 DDoS 증폭 공격이 발생합니다. 마찬가지로 Jenkins, NTP, Ubiquity 등의 다른 UDP 기반 프로토콜에서도 UDP의 상태 비저장 특성에 따라 3분기에 큰 증가가 관찰되었습니다. 과거 버전(Jenkins 2.218 이전)의 취약성으로 인해 DDoS 공격이 쉽기 때문입니다. 이러한 취약성은 Jenkins 2.219에서 UDP 멀티캐스트/브로드캐스트 메시지를 기본값에서 활성화하지 않음으로써 해결됐지만, UDP 기반 서비스를 실행하면서 취약하고 노출된 장치가 많기 때문에 이를 통해 볼류메트릭 증폭 공격이 발생하고 있습니다.

국가별 공격 동향

Chart
Chart

국가별 분포를 살펴보면 미국에서 L3/4 DDoS 공격이 가장 많이 관찰되었고 독일과 호주가 뒤를 이었습니다. L3/4 DDoS 공격을 분석할 때는 소스 IP의 위치가 아니라 Cloudflare 에지 데이터 센터의 위치별로 트래픽을 구분합니다. 이것은 공격자가 L3/4 공격을 시작할 때 공격지를 숨기기 위해 소스 IP 주소를 '스푸핑'(변조)할 수 있기 때문입니다. 스푸핑된 소스 IP를 기반으로 국가를 파악하면 스푸핑된 국가를 확인할 수 있습니다. Cloudflare는 공격이 관찰된 Cloudflare 데이터 센터의 위치별로 공격 데이터를 표시하여 스푸핑된 IP 문제를 극복할 수 있습니다. Cloudflare는 전 세계 200여 개 도시에 데이터 센터를 확보하고 있어 지리적 정확도를 달성할 수 있습니다.

아프리카

Chart

아시아 태평양 및 오세아니아

Chart

유럽

Chart

중동

Chart

북미

Chart

남미

Chart

미국

Chart

최근의 랜섬 기반 DDoS 공격에 대한 참고 사항

지난 몇 달 동안 Cloudflare는 전 세계 조직을 대상으로 한 갈취 및 랜섬 기반 DDoS(RDDoS) 공격 증가라는 충격적인 동향을 관찰했습니다. RDDoS 위협이 언제나 실제 공격으로 이어지는 것은 아니지만, 최근의 사례를 보면 공격자 집단들이 적절한 보호 조치가 되지 않은 조직을 마비시킬 수 있는 대규모 공격을 감행하겠다는 위협을 실행할 의지가 있는 것 같습니다. 클라우드 기반 DDoS 보호 서비스로 보호하지 않는다면 초기의 예고성 공격만으로 영향을 줄 수 있는 경우도 있습니다.

RDDoS 공격에서 악의적인 행위자는 개인 또는 조직이 몸값을 지불하지 않으면 일정 기간 동안 네트워크, 웹 사이트, 응용 프로그램 등을 가동 중단할 수 있는 사이버 공격을 하겠다고 위협합니다. RDDoS 공격에 대한 자세한 정보를 참조하십시오.

Fancy Bear, Cozy Bear, Lazarus 등이라고 주장하는 단체들이 특정 날짜까지 몸값을 지불하지 않으면 웹 사이트와 네트워크 인프라에 대해 DDoS 공격을 실행하겠다고 위협하고 있습니다. 랜섬 이메일과 동시에 시위의 형태로 '예고성' DDoS 공격을 실행하는 경우도 많습니다. 이러한 시위 공격은 다양한 프로토콜을 이용하며 30분 이내의 시간 동안 지속되는 UDP 반사 공격인 경우가 많습니다.

위협을 받은 경우 대처법:

  1. 당황하지 마십시오. 요구하는 대가를 지불한다하여 앞으로 네트워크를 공격하지 않는다는 보장이 없으므로 금전적인 대가 요구에는 응하지 않는 것이 좋습니다.
  2. 현지 사법 당국에 알리십시오. 사법 당국이 몸값 편지의 사본을 요청할 가능성이 큽니다.
  3. Cloudflare에 연락하십시오. Cloudflare는 웹 사이트 및 네트워크 인프라가 이러한 몸값 공격으로부터 방어할 수 있도록 도와 드립니다.

Cloudflare DDoS 보호의 차별성

온프레미스 하드웨어나 클라우드 스크러빙 센터로는 최근의 볼류메트릭 DDoS 공격에 대처할 수 없습니다. 장비는 DDoS 공격에 쉽게 장악되고 인터넷 링크는 빠르게 포화되며 트래픽의 라우팅을 클라우드 스크러빙 센터로 변경하면 용납할 수 없을 정도로 대기 시간이 증가합니다. 클라우드를 기반으로 하면 항상 가동되는 Cloudflare의 자동화된 DDoS 보호 방식은 전통적인 클라우드 신호 방식이 원래 해결하고자 했던 문제를 해결합니다.

더 나은 인터넷을 구축한다는 Cloudflare의 사명이 Cloudflare DDoS 접근법의 근간이 되며 바로 이를 위해 Cloudflare는 2017년에 Free 요금제를 포함한 모든 요금제의 모든 고객에게   무제한 DDoS 완화 서비스를 제공하게 되었습니다. Cloudflare가 이러한 수준의 보호 서비스를 제공할 수 있는 것은 Cloudflare 네트워크에 있는 모든 서버가 위협을 감지하고 차단할 수 있어 대기 시간에 대한 영향 없이 모든 규모와 유형의 공격을 흡수할 수 있기 때문입니다. Cloudflare는 이러한 아키텍처로 인해 타사 대비 막대한 강점이 있습니다.

  • 51Tbps의 DDoS 완화 용량 및 3초 미만의 TTM: Cloudflare 네트워크의 모든 데이터 센터는 DDoS 공격을 감지하고 완화합니다. 공격이 식별되면 Cloudflare의 로컬 데이터 센터 완화 시스템(dosd)이 실시간 서명을 통해 동적으로 작성된 규칙을 생성하고 적용하며 평균적으로 전 세계에서 3초 이내에 공격을 완화하고 있습니다. 이러한 3초의 완화 시간(TTM, Time To Mitigate)은 업계에서 최고로 빠른 수준입니다. 방화벽 규칙 및 "선제적"/정적 구성이 즉시 발효됩니다.
  • 빠른 성능 포함: Cloudflare는 고객이 공격에 따른 대기 시간 문제를 걱정할 필요가 없는 구조로 되어 있습니다. Cloudflare는 레거시 스크러빙 센터나 온프레미스 하드웨어가 아니라 모든 데이터 센터에서 DDoS 보호 서비스를 제공하므로 출발지에서 가장 가까운 곳에서 공격을 완화합니다. Cloudflare는 경로 밖에서 트래픽을 분석하므로 합법적인 트래픽에 DDoS 완화 솔루션으로 인한 대기 시간이 발생하지 않습니다. 규칙은 Linux 스택에서 최적의 장소에 적용되어 비용 효과적으로 완화할 수 있으며 성능 저하가 없습니다.
  • 글로벌 위협 인텔리전스: 인체의 면역 체계와 마찬가지로 Cloudflare 네트워크는 모든 고객에 대한 공격을 통해 학습하며 이를 이용해 모든 고객에 대한 공격을 완화합니다. 위협 인텔리전스(TI)를 이용하여 자동으로 공격을 차단하며 고객을 상대하는 기능(봇 전투 모드, 방화벽 규칙, 보안 수준)에 적용됩니다. 사용자들은 트래픽 속성 필터와 ML 모델(봇/봇넷/DDoS 방어)을 통해 생성된 위협 및 봇 점수에 기초해 공격을 완화하는 사용자 설정 규칙을 작성할 수 있습니다.

Cloudflare의 DDoS 솔루션에 대한 자세한 정보는Cloudflare에 문의하기 또는 시작하기를 참조하시기 바랍니다.