Cloudflare DDoS 위협 보고서 18호에 오신 것을 환영합니다. 분기별로 발표되는 이 보고서에서는 Cloudflare 네트워크 전반에서 관찰한 DDoS 위협 환경에 대한 심층 분석을 제공합니다. 이번 호에서는 2024년 2분기를 다룹니다.
전 세계 230개 이상의 도시에 걸쳐 있는 초당 280테라비트의 네트워크를 통해 모든 웹 사이트 중 19%에 서비스를 제공하는 Cloudflare는 귀중한 인사이트와 동향을 폭넓은 인터넷 커뮤니티에 제공할 수 있는 고유한 이점을 갖추고 있습니다.
2024년 2분기 주요 인사이트
Cloudflare에서 기록한 DDoS 공격 건수는 전년 대비 20% 증가했습니다.
설문 응답자 25명 중 1명은 국가 수준 또는 국가 주도 위협 행위자가 DDoS 공격을 수행했다고 답했습니다.
매우 정교한 DDoS 공격에 대응하고 이러한 공격을 완화하기 위해 자동화된 방어 기능이 10배 더 많은 지문을 만들어낸 만큼, 위협 행위자의 능력은 역대 최대를 기록했습니다.
Cloudflare Radar에서 이 보고서의 인터랙티브 버전을 확인하세요.
요약 - DDoS 공격이란?
더 자세히 알아보기 전에 DDoS 공격이 무엇인지 다시 살펴보겠습니다. 분산 서비스 거부(Distributed Denial of Service)의 줄임말인 DDoS 공격은 웹 사이트, 모바일 앱 등의 인터넷 서비스를 중단시키거나 서비스에 지장을 주어 사용자가 사용할 수 없도록 만들려고 고안된 사이버 공격 유형입니다. 보통 피해자측 서버에서 처리할 수 있는 것보다 더 많은 트래픽으로(일반적으로 인터넷의 여러 출처에서 오는 트래픽을 사용) 서버를 압도하여, 정상적인 사용자 트래픽을 처리할 수 없게 만드는 방식으로 이루어집니다.
DDoS 공격 다이어그램
DDoS 공격 및 기타 사이버 위협 유형에 대해 자세히 알아보려면 학습 센터에 방문하여 Cloudflare 블로그에서 이전 DDoS 위협 보고서를 확인하거나 인터랙티브 허브 Cloudflare Radar를 방문해보세요. 이러한 내용과 기타 인터넷 동향을 살펴보는 데 관심이 있는 분들을 위한 무료 API도 있습니다.
Cloudflare의 보고서 작성에 대한 자세한 내용은 방법론을 참조하시기 바랍니다.
지속적인 DDoS 공격 증가를 초래하는 위협 행위자의 정교함
2024년 상반기에 Cloudflare는 1분기에 450만 건, 2분기에 400만 건 등 850만 건의 DDoS 공격을 완화했습니다. 전체적으로, 2분기 DDoS 공격 건수는 전 분기 대비 11% 감소했지만 전년 대비 20% 증가했습니다.
유형 및 벡터별 DDoS 공격 분포
이해를 돕자면, Cloudflare는 2023년 한 해 동안 1,400만 건의 DDoS 공격을 완화했고, 2024년의 절반 동안에만 이미 전년도 수치의 60%를 완화했습니다.
Cloudflare에서는 10조 2천억 개의 HTTP DDoS 요청과 57페타바이트의 네트워크 계층 DDoS 공격 트래픽이 고객의 원본 서버에 도달하지 못하도록 성공적으로 완화했습니다.
2024년 2분기 DDoS 공격 통계
더 세부적으로, 400만 건의 DDoS 공격은 220만 건의 네트워크 계층 DDoS 공격과 180만 건의 HTTP DDoS 공격으로 구성되어 있었습니다. 180만 개라는 HTTP DDoS 공격 건수는 정교하고 무작위화된 HTTP DDoS 공격의 폭발적인 증가 수를 보정하기 위해 정규화한 것입니다. Cloudflare의 자동 완화 시스템은 DDoS 공격에 대한 지문을 실시간으로 생성합니다. 이와 같이 무작위적인 정교한 공격의 특성으로 인해, 공격 한 건에 지문이 여러 개 생성되는 것이 확인되었습니다. 실제로 생성된 지문 수는 1,900만 개에 가깝습니다. 정규화된 180만 개보다 10배 이상 많은 수입니다. 단 몇 가지 규칙으로 인하여, 무작위성을 다루기 위해 지문 수백만 개가 만들어졌습니다. 공격을 차단하기 위해 이러한 규칙이 적용되긴 했지만 이로 인해 건수가 부풀려졌으므로 계산에서는 제외했습니다.
제외된 지문이 있는 분기별 HTTP DDoS 공격
10배라는 이 차이를 보면 위협 환경이 급격하게 변화하고 있음을 알 수 있습니다. 이전에, 위협 행위자가 이와 같은 무작위적이고 정교한 공격을 수행할 수 있게 해주는 도구와 능력은 국가 수준의 행위자나 국가 주도 행위자여야만 접할 수 있다고 여겨졌습니다. 하지만 행위자가 더 좋은 코드를 더 빨리 작성하도록 도와줄 수 있는 생성형 AI와 오토파일럿 시스템이 등장하면서 일반 사이버 범죄자도 이러한 능력을 누릴 수 있게 되었습니다.
랜섬 DDoS 공격
2024년 5월, 공격을 받고 DDoS 공격 위협 행위자의 위협을 겪었거나 랜섬 DDoS 공격을 받았다고 신고한 Cloudflare 고객의 비율은 16%에 달했으며, 이는 지난 12개월 동안 최고 수준이었습니다. 고객 중 7%가 위협 또는 랜섬 공격을 보고한 이 분기는 상대적으로 낮은 수치로 시작되었고 5월에는 16%로 빠르게 증가했으며 6월에는 14%로 약간 감소했습니다.
DDoS 위협 또는 랜섬 갈취를 신고한 고객의 비율(월별)
전반적으로, 랜섬 DDoS 공격은 지난 한 해 동안 분기마다 계속 증가하고 있습니다. 2024년 2분기에 위협이나 갈취를 신고한 고객의 비율은 12.3%로, 전 분기(10.2%)보다는 약간 높지만, 전년도 비율(마찬가지로 12.0%)과 비슷했습니다.
DDoS 위협 또는 랜섬 갈취를 신고한 고객의 비율(분기별)
위협 행위자
응답자의 75%가 누가 자신을 공격했는지, 왜 공격했는지 모른다고 답했습니다. 응답자는 HTTP DDoS 공격의 표적이 된 Cloudflare 고객입니다.
공격자나 공격 이유를 알고 있다고 주장하는 응답자 중 59%는 경쟁업체가 자신을 공격했다고 답했습니다. 다른 응답자 21%는 불만을 가진 고객이나 사용자가 DDoS 공격을 수행했다고 답했으며, 17%는 국가 수준의 위협 행위자나 국가 주도 위협 행위자가 공격을 수행했다고 답했습니다. 나머지 3%는 자체 DDoS 공격이라고 답했습니다.
Cloudflare 고객이 신고한 위협 행위자 유형의 비율(알 수 없는 공격자 및 이상값 제외)
상위 공격 대상 국가 및 지역
2024년 2분기에 중국은 세계에서 가장 많은 공격을 받은 국가로 선정되었습니다. HTTP DDoS 공격, 네트워크 계층 DDoS 공격, 총량 및 총 트래픽에서 DDoS 공격 트래픽이 차지하는 비율을 고려하여 순위가 매겨졌으며, 그래프에는 이러한 전반적인 DDoS 공격 활동이 국가 또는 지역별로 표시되어 있습니다. 차트의 막대가 길면 공격 활동이 많다는 의미입니다.
중국에 이어 터키가 2위를 차지했으며, 싱가포르, 홍콩, 러시아, 브라질, 태국이 그 뒤를 이었습니다. 가장 많이 공격을 받은 상위 15개 국가로 구성된 나머지 국가와 지역은 아래 차트에 나와 있습니다.
2024년 2분기에 가장 공격을 많이 받은 국가와 지역 15곳
가장 많이 공격받은 산업
정보 기술 및 서비스는 2024년 2분기에 가장 표적이 많이 되었던 산업으로 꼽혔습니다. 여기서 순위를 매기는 데 사용한 방법론은 이전에 설명한 원칙과 동일한 원칙에 따르며, HTTP 및 네트워크 계층 DDoS 공격의 총량과 상대적 공격 트래픽을 하나의 DDoS 공격 활동 순위로 정리한 것입니다.
통신, 서비스 제공업체, 통신사 산업이 2위를 차지했습니다. 소비재는 3위를 차지했습니다.
2024년 2분기 가장 공격을 많이 받은 산업 15가지
HTTP DDoS 공격만 분석하는 경우에는 다른 양상이 보입니다. HTTP DDoS 공격 요청량 측면에서는 게임 및 도박에 공격이 가장 많았습니다. 지역별 분석은 아래에 나와 있습니다.
지역별로 가장 많이 공격받는 산업(HTTP DDoS 공격)
최대 규모의 DDoS 공격 출처
아르헨티나는 2024년 2분기 DDoS 공격의 최대 출처로 꼽혔습니다. 여기서 순위를 매기는 데 사용한 방법론은 이전에 설명한 원칙과 동일한 원칙에 따르며, HTTP 및 네트워크 계층 DDoS 공격의 총량과 상대적 공격 트래픽을 하나의 DDoS 공격 활동 순위로 정리한 것입니다.
인도네시아가 그 뒤를 바짝 따라 2위를 차지했고, 네덜란드가 3위를 차지했습니다.
2024년 2분기 DDoS 공격의 최대 출처 15곳
DDoS 공격 특성
네트워크 계층 DDoS 공격 벡터
전 분기 대비 49% 감소했지만, DNS 기반 DDoS 공격은 여전히 가장 일반적인 공격 벡터로, DNS 폭주 및 DNS 증폭 공격을 합쳐 37%를 차지합니다. 23%인 SYN 폭주가 2위, 10%를 조금 넘긴 RST 폭주가 그 뒤를 이었습니다. SYN 폭주와 RST 폭주는 모두 TCP 기반 DDoS 공격 유형입니다. 모든 유형의 TCP 기반 DDoS 공격은 모든 네트워크 계층 DDoS 공격 중 38%를 차지했습니다.
상위 공격 벡터(네트워크 계층)
HTTP DDoS 공격 벡터
대규모 네트워크 운영의 장점 중 하나는 많은 트래픽과 공격을 볼 수 있다는 것입니다. 이 점은 감지 및 완화 시스템을 개선하여 고객을 보호하는 데 도움이 됩니다. 지난 분기에는 전체 HTTP DDoS 공격의 절반이 Cloudflare에 알려진 봇넷을 대상으로 한 독점 휴리스틱을 사용하여 완화되었습니다. Cloudflare 시스템은 이러한 휴리스틱의 방식에 따라 공격에 대응할 실시간 지문을 생성합니다.
또 다른 29%는 가짜 사용자 에이전트, 가장 브라우저, 헤드리스 브라우저를 통한 HTTP DDoS 공격이었습니다. 추가 13%에는 Cloudflare의 자동화 시스템을 트리거하는 의심스러운 HTTP 속성이 있었고, 7%는 일반 폭주로 나타났습니다. 한 가지 유의할 점은 이러한 공격 벡터, 또는 공격 그룹이 반드시 배타적이지는 않는다는 점입니다. 예를 들어, 알려진 봇넷은 브라우저를 가장하고 의심스러운 HTTP 속성을 가지고 있기는 하지만, 이 분석은 Cloudflare에서 HTTP DDoS 공격을 처음으로 범주화해보려는 시도입니다.
상위 공격 벡터(HTTP)
DDoS 공격에 사용된 HTTP 버전
2분기에는 전체 웹 트래픽의 약 절반이 HTTP/2를, 29%가 HTTP/1.1을 사용했으며, 추가로 5분의 1은 HTTP/3를 사용했고, 약 0.62%는 HTTP/1.0을 사용했습니다. HTTP/1.2는 0.01%였습니다.
HTTP 버전별 웹 트래픽 분포
HTTP DDoS 공격은 HTTP/2에 더 치우쳐 있긴 하지만, 버전 선택 측면에서 패턴이 비슷합니다. HTTP DDoS 공격 트래픽의 76%는 HTTP/2 버전을, 약 22%는 HTTP/1.1 버전을 거쳤습니다. 이에 비해 HTTP/3의 사용량은 훨씬 적었습니다. 모든 웹 트래픽에서 HTTP/3을 채택한 비율은 20%인 반면, HTTP DDoS 공격 트래픽에서는 0.86%에 불과했습니다.
HTTP 버전별 HTTP DDoS 공격 트래픽 분포
DDoS 공격 지속 시간
DDoS 공격은 대부분 짧습니다. HTTP DDoS 공격의 57% 이상, 네트워크 계층 DDoS 공격의 88%가 10분 이내에 종료됩니다. 이에 따라 자동화된 인라인 감지 및 완화 시스템의 필요성이 두드러집니다. 사람이 알림에 응답하고, 트래픽을 분석하며, 수동 완화를 적용하는 데 10분은 부족합니다.
그래프의 다른 측면을 보면 HTTP DDoS 공격 중 약 4분의 1이 1시간 이상 지속되고, 약 5분의 1이 하루 이상 지속됩니다.. 네트워크 계층에서 긴 공격은 훨씬 흔하지 않습니다. 네트워크 계층 DDoS 공격의 1%만이 3시간 이상 지속됩니다.
HTTP DDoS 공격: 지속 시간 분포
네트워크 계층 DDoS 공격: 지속 시간 분포
DDoS 공격 규모
대부분의 DDoS 공격은 상대적으로 규모가 작습니다. 네트워크 계층 DDoS 공격의 95% 이상이 초당 500메가비트 미만을 유지하며 86%가 초당 50,000패킷 미만을 유지합니다.
비트 레이트별 네트워크 계층 DDoS 공격 분포
패킷 전송률별 네트워크 계층 DDoS 공격 분포
마찬가지로 HTTP DDoS 공격의 81%는 초당 요청 5만 개 미만을 유지합니다. Cloudflare 규모에서는 낮은 속도지만, 이러한 트래픽 수준이 일상적이지 않은 비보호 웹 사이트에는 치명적일 수 있습니다.
요청률별 HTTP DDoS 공격 분포
대부분의 공격은 소규모였지만, 대규모 볼류메트릭 공격의 수가 증가했습니다. 네트워크 계층 DDoS 공격 100건 중 1건은 초당 100만 패킷(pps)을 넘으며, 100건 중 2건은 초당 500기가비트를 넘습니다. 계층 7에서, HTTP DDoS 공격 1,000건마다 4건에서는 초당 요청이 100만 개를 넘습니다.
핵심 사항
대부분의 DDoS 공격은 소규모이며 빠릅니다. 하지만 이런 공격 역시 DDoS 방어 모범 사례를 따르지 않는 온라인 서비스에 방해가 될 수 있습니다.
게다가 생성형 AI 및 개발자 코파일럿 도구를 사용할 수 있게 되면서 위협 행위자가 더 정교해지고 있고, 결과적으로 방어하기 더 어려운 DDoS 공격을 수행하는 공격 코드가 만들어지고 있습니다. 공격이 더 정교해지기 전에도 이러한 위협을 자체적으로 방어하기 위해 고생하는 조직이 많았습니다. 하지만 고생할 필요가 없습니다. Cloudflare가 도와드리겠습니다. Cloudflare가 상당한 규모의 리소스에 투자하고 있으니 고객은 여기에 투자하지 않아도 됩니다. Cloudflare는 전체 보안 제품 포트폴리오와 함께 이러한 투자를 통해 자동화 방어를 보장하여, 기존 위협과 새로운 위협으로부터 고객을 보호합니다.