대만 겨냥한 DDoS 공격 트래픽, 전년 대비 3,370% 증가
팔레스타인 웹사이트 겨냥 DDoS 공격 트래픽 비율, 전 분기 대비 1,126% 증가
[보안뉴스 김경애 기자] 지난해 4분기 전 세계적으로 디도스(DDoS) 공격이 급증한 것으로 조사됐다. 연말연시 전후로는 소매, 배송 등 웹사이트를 노린 공격이 크게 늘었고, 국가간 전쟁 및 갈등의 이유로 DDoS 공격이 증가했다.
[자료=클라우드플레어]
클라우드플레어(Cloudflare)가 발표한 ‘2023년 4분기 DDoS 위협 보고서’에 따르면 “4분기에는 네트워크 계층 DDoS 공격이 전년 동기 대비 117% 증가했다”며 “특히 블랙 프라이데이와 연말연시를 전후해 소매, 배송, 홍보 웹사이트를 겨냥한 DDoS 활동이 전반적으로 증가했다”고 밝혔다.
4분기 국가별 특징으로는 대만을 겨냥한 DDoS 공격 트래픽이 전년 대비 3,370% 증가했다. 이러한 폭발적인 공격 증가 배경에는 중국과의 긴장 고조가 지목되고 있다.
이스라엘과 하마스 간의 군사적 갈등이 지속됨에 따라 이스라엘 웹사이트를 겨냥한 DDoS 공격 트래픽 비율도 전 분기 대비 27% 증가했다. 또한 팔레스타인과의 군사적 갈등이 지속됨에 따라 팔레스타인 웹사이트를 겨냥한 DDoS 공격 트래픽의 비율은 전 분기 대비 1,126% 증가했다.
4분기에는 제28차 유엔 기후변화회의(COP 28)가 열린 시기와 맞물려 환경 서비스 웹사이트를 겨냥한 DDoS 공격 트래픽이 전년 대비 무려 61,839% 급증했다.
1. 대규모 볼류메트릭 HTTP DDoS 공격
2023년은 미지의 영역이 펼쳐지는 해였다. DDoS 공격은 규모와 정교함에 있어서 새로운 차원에 도달했다. 클라우드플레어를 포함한 광범위한 인터넷 커뮤니티에서는 전례 없는 속도로 수천 건에 이르며 지속적이고 의도적으로 설계된 대규모 볼류메트릭(Volumetric) DDoS 공격 캠페인에 직면했다. 이러한 공격은 매우 복잡한 데다가 HTTP/2 취약점을 악용했다.
2. 네트워크 계층 DDoS 공격의 증가
2023년 4분기의 네트워크 계층 DDoS 공격 건수는 전년 동기 대비 175%, 전 분기 대비25% 증가했다. 클라우드플레어에서는 자동화된 방어 기능으로 2023년에 870만 건의 네트워크 계층 DDoS 공격을 방어했다. 이는 2022년에 비해 85% 증가한 수치다. 평균적으로 시스템에서 매시간 996건의 네트워크 계층 DDoS 공격과 27테라바이트를 자동으로 방어했다.
3. COP 28 기간과 그 전후의 DDoS 공격 증가
2023년 마지막 분기에는 사이버 위협의 환경이 크게 변화했다. 초기에는 암호화폐 분야가 HTTP DDoS 공격 요청량 측면에서 선두를 달리고 있었지만, 새로운 공격 대상이 주요 피해자로 등장했다. 환경 서비스 업계를 겨냥한 HTTP DDoS 공격이 전례 없이 급증했으며, 이 공격이 전체 HTTP 트래픽의 절반을 차지했다. 이는 전년 대비 무려 618배 증가한 수치로, 사이버 위협 환경의 불안한 추세를 보여준다.
이처럼 사이버 공격이 급증한 시기는 2023년 11월 30일부터 12월12일까지 열린 유엔기후변화협약 당사국총회(COP 28)와 맞물렸다. 이 회의는 중추적인 이벤트로, 많은 사람이 화석연료 시대의 ‘종말의 시작’이라고 생각했던 것을 알리는 신호탄이었다. COP 28을 앞둔 기간 동안 환경 서비스 웹사이트를 겨냥한 HTTP 공격이 눈에 띄게 급증한 것으로 관찰됐다. 이러한 패턴은 이 이벤트에만 국한된 것이 아니었다.
특히 COP 26과 COP 27, 그리고 다른 유엔 환경 관련 결의안이나 발표의 과거 데이터를 살펴보면 비슷한 패턴이 나타났다. 이러한 이벤트가 있을 때마다 환경 서비스 웹사이트를 겨냥한 사이버 공격도 함께 증가했다.
2023년 2월과 3월, 유엔의 기후 정의 결의안과 유엔환경계획의 담수 챌린지 시작과 같은 중요한 환경 이벤트 때문에 환경 웹사이트의 인지도가 높아졌고, 이는 이러한 사이트에 대한 공격의 증가와 관련이 있을 수 있다.
이러한 반복적인 패턴을 보면 환경 문제와 사이버 보안이 점점 더 밀접하게 연관되어 있으며, 사이버 보안은 디지털 시대에 점점 더 공격자의 초점이 되고 있음을 실감할 수 있다.
4. DDoS 공격과 철검
특히 DDoS 공격은 오랫동안 전쟁과 혼란의 도구로 사용됐다. 우크라이나와 러시아 사이의 전쟁에서 DDoS 공격 활동이 증가되는 것이 관찰됐고, 이제는 이스라엘과 하마스 사이의 전쟁에서도 DDoS 공격이 증가하고 있다.
‘철검’ 작전은 하마스가 주도한 10월 7일 공격 이후 이스라엘이 하마스를 상대로 시작한 군사 공격이다. 이 무력 충돌이 계속되는 클라우드플레어에서는 동안 양측을 겨냥한 DDoS 공격이 계속 포착되고 있다.
팔레스타인 지역은 4분기에 HTTP DDoS 공격이 두 번째로 많이 발생한 지역이다. 팔레스타인 웹사이트를 향한 전체 HTTP 요청의 10% 이상이 DDoS 공격이다. 총 13억 건의 DDoS 요청이 발생해 전 분기 대비 1,126% 증가했다. DDoS 공격의 90%는 팔레스타인 은행, 8%는 정보기술 및 인터넷 플랫폼이다.
이스라엘은 신문 및 미디어가 주요 표적이었으며, DDoS 공격의 약 40%를 차지했다. 이어 컴퓨터 소프트웨어 산업, 은행, 금융기관 및 보험(BFSI) 산업이 3위를 차지했다.
네트워크 계층에서도 동일한 추세다. 팔레스타인 네트워크는 470테라바이트에 이르는 공격 트래픽의 표적이었으며, 이는 팔레스타인 네트워크에 대한 전체 트래픽의 68% 이상을 차지했다. 팔레스타인 지역으로 향하는 모든 트래픽 기준으로, 팔레스타인이 네트워크 계층 DDoS 공격이 전 세계에서 두 번째로 많이 발생한 지역이다. 절대적인 트래픽 규모로는 3위를 차지했다.
5. DDoS 공격의 주요 출처
2022년 3분기에는 중국이, 4분기부터는 미국이 HTTP DDoS 공격의 최대 출처로 꼽혔다. 미국의 데이터센터는 전체 공격 바이트의 38%가 넘는 네트워크 레이어 DDoS 공격 트래픽을 수집하며 가장 많은 수치를 기록하고 있다.
이처럼 중국과 미국은 전 세계 HTTP DDoS 공격 트래픽의 4분의 1이상을 차지한다. 이어 브라질, 독일, 인도네시아, 아르헨티나가 그 다음 25%를 차지했다.
6. 가장 많이 공격 받는 산업
공격 트래픽 규모 기준으로 4분기에 가장 많이 공격받은 산업은 암호화폐다. 3,300억 건 이상의 HTTP 요청이 이 산업을 겨냥했다. 이 수치는 해당 분기 전체 HTTP DDoS 트래픽의 4% 이상을 차지했다. 두 번째로 공격을 많이 받은 산업은 게임 및 도박이다. 도박은 탐나는 표적으로 알려져 있으며 많은 트래픽과 공격을 유발한다.
네트워크 계층에서는 정보기술 및 인터넷 산업이 가장 많은 공격을 받았으며, 전체 네트워크 계층 DDoS 공격 트래픽의 45% 이상을 차지했다. 다음으로 은행, 금융 서비스, 보험(BFSI), 게임 및 도박, 통신 산업이 그 뒤를 이었다.
환경 서비스 산업은 자체 트래픽 대비 가장 많은 공격을 받았다. 2위는 포장 및 화물 배송 산업으로, 블랙 프라이데이 및 겨울 휴가철 온라인 쇼핑과 시기상으로 상관관계가 있다. 이는 판매된 선물과 상품을 목적지에 보내야 하는데, 공격자가 이를 방해하려고 시도한 것으로 보인다. 소매업체에 대한 DDoS 공격도 전년 대비 23% 증가했다.
네트워크 계층에서 가장 많이 표적이 된 산업은 홍보 및 커뮤니케이션이다. 전체 트래픽의 36%가 악의적 트래픽이었다. 홍보 및 커뮤니케이션 기업은 운영이 중단되면 평판에 영향이 미칠 수 있기 때문이다. 특히 4분기는 휴일, 연말 결산, 새해 준비 등으로 인해 홍보 및 커뮤니케이션 활동이 증가하는 경우가 많다. 따라서 일부에서는 이 시기에 업무를 방해하기 위한 기간으로 여기기도 한다.
7. 가장 많이 공격 받은 국가 및 지역
싱가포르는 4분기에 HTTP DDoS 공격의 주요 표적이었다. 전 세계 DDoS 트래픽의 4%인3,170억 건이 넘었다. 이어 미국이 2위, 캐나다가 3위, 대만은 다가오는 총선과 중국과의 긴장 관계로 인해 네 번째로 공격을 많이 받은 지역으로 기록됐다.
4분기 대만을 향한 공격 트래픽은 전년 대비 847%, 전 분기 대비 2,858% 증가했다. 전체 트래픽 대비 HTTP DDoS 공격 트래픽의 비율도 전 분기 대비 624%, 전년 동기 대비 3,370%로 크게 증가했다.
중국은 HTTP DDoS 공격을 가장 많이 받은 국가 중 9번째이지만, 네트워크 계층 공격을 가장 많이 받은 국가로는 1위에 올랐다. 모든 네트워크 계층 DDoS 트래픽의 45%가 중국을 향했다.
데이터를 정규화하면 이라크, 팔레스타인 지역, 모로코가 총 인바운드 트래픽 대비 가장 많은 공격을 받은 지역으로 나타났다. 이어 싱가포르가 4위에 올랐다. 따라서 싱가포르는 가장 많은 양의 HTTP DDoS 공격 트래픽에 직면해 있을 뿐만 아니라 해당 트래픽은 싱가포르를 향한 전체 트래픽의 상당 부분을 차지한다.
반면 미국은(위의 애플리케이션 계층 그래프에 따르면) 양적으로는 두 번째로 많은 공격을 받았지만, 미국으로 향하는 전체 트래픽을 기준으로 보면 50위에 그쳤다.
싱가포르와 유사하지만, 중국은 모든 트래픽에 있어 가장 많이 공격받는 국가다. 중국으로 향하는 전체 트래픽의 거의 86%가 네트워크 계층 DDoS 공격이다. 이어 팔레스타인 지역, 브라질, 노르웨이, 그리고 다시 싱가포르가 공격 트래픽 비율이 높은 국가로 뒤를 이었다.
8. 공격 벡터 및 속성
대부분의 DDoS 공격은 짧고 규모가 작다. 2023년 4분기에는 공격의 91%가 10분 이내에 종료되었고, 97%는 정점에서도 초당 500메가비트(mbps) 미만이었다. 88%는 초당 5만 패킷(pps)을 넘은 적이 없었다.
네트워크 계층 DDoS 공격 100건 중 2건은 1시간 이상 지속되었고, 초당 1기가비트(gbps)를 초과했다. 100건 중 1건의 공격이 초당 100만 패킷을 초과했다. 또한 초당 1억 패킷을 초과하는 네트워크 계층 DDoS 공격의 양은 전 분기 대비 15% 증가했다.
이러한 대규모 공격 중 하나는 초당 1억 6천만 개의 패킷을 전송한 Mirai 봇넷 공격이었다. 초당 패킷 전송량은 역대 최대가 아니었다. 역대 최대 규모는 초당 7억 5,400만 패킷이다. 이 공격은 2020년에 발생했으며, 이보다 더 큰 규모의 공격은 아직 관찰된 적이 없다.
이 공격은 4분기에 발생한 네트워크 계층 공격 중 가장 큰 규모의 DDoS 공격이다. 이 공격은 초당 1.9 테라비트로 최고치를 기록했으며 Mirai 봇넷으로부터 시작됐다. 이 공격은 여러 가지 공격 방법이 결합된 멀티 벡터 공격이다. UDP 조각 폭주, UDP·Echo 폭주, SYN 폭주, ACK 폭주, TCP 기형 폭주가 포함됐다.
이 공격은 알려진 유럽 클라우드 공급자를 겨냥했으며, 스푸핑된 것으로 추정되는 18,000여 개의 고유 IP 주소에서 시작됐다.
Mirai 변종 봇넷의 사용은 여전히 아주 흔하다. 4분기에는 전체 공격의 약 3%가 Mirai에서 비롯됐다. 하지만 모든 공격 방법 중에서 DNS 기반 공격은 여전히 공격자들이 가장 선호하는 방법이다. DNS 폭주와 DNS 증폭 공격을 합할 경우 4분기 전체 공격의 약 53%를 차지한다. SYN 폭주가 뒤를 이어 2위, UDP 폭주가 3위를 차지했다.
9. DNS 폭주 및 증폭 공격
DNS 폭주와 DNS 증폭 공격은 모두 도메인 네임 시스템(DNS)을 악용하지만, 작동 방식은 다르다. DNS는 인터넷의 전화번호부와 같다. 사람에게 친숙한 도메인 이름을 숫자로 된 IP 주소로 변환하며, 이를 컴퓨터가 네트워크에서 상호 식별하는 데 사용한다.
간단히 말해, DNS 기반 DDoS 공격은 실제로 서버를 ‘다운’ 시키지 않고도 컴퓨터와 서버가 서로를 식별해 서비스 중단 또는 장애를 유발한다. 예를 들어 서버는 가동 중이지만, DNS 서버가 다운됐을 수 있다. 따라서 클라이언트는 DNS 서버에 연결할 수 없다.
DNS 폭주 공격은 압도적인 수의 DNS 쿼리로 DNS 서버를 폭주시키는 공격이다. 이는 일반적으로 DDoS 봇넷을 사용해 수행된다. 엄청난 양의 쿼리로 DNS 서버가 압도되어 정상적인 쿼리에 응답하기 어렵거나 불가능하게 될 수 있다. 이로 인해 앞서 언급한 서비스 중단, 지연, 심지어는 웹사이트나 공격 대상 DNS 서버에 의존하는 서비스에 액세스하려는 사용자의 서비스 중단이 발생할 수 있다.
반면, DNS 증폭 공격은 스푸핑된 IP 주소(피해자의 주소)가 포함된 작은 쿼리를 DNS 서버로 전송한다. 여기서 비결은 DNS 응답이 요청보다 훨씬 크다는 것이다. 그러면 서버는 이 큰 응답을 피해자의 IP 주소로 보낸다. 공격자는 개방형 DNS 확인자를 악용해 피해자에게 전송되는 트래픽의 양을 증폭시켜 훨씬 더 큰 영향을 미칠 수 있다. 이러한 유형의 공격은 피해자를 방해할 뿐만 아니라 전체 네트워크를 정체시킬 수 있다.
두 경우 모두 공격자는 네트워크 운영에서 DNS의 중요한 역할을 악용한다. 완화 전략에는 일반적으로 DNS 서버 오용 방지, 트래픽 관리를 위한 레이트 리미팅 구현, 악의적 요청 식별 및 차단을 위한 DNS 트래픽 필터링이 포함된다.
새롭게 떠오르는 위협으로는 ACK-RST 폭주가 지난 분기에 비해 1,161%, CLDAP 폭주가 515%, SPSS 폭주가 243% 각각 증가했다.
10. ACK-RST 폭주
ACK-RST 폭주는 피해자에게 많은 ACK 및 RST 패킷을 전송해 전송 제어 프로토콜(TCP)을 악용한다. 이로 인해 피해자가 이 패킷을 처리하고 응답하는 능력이 과부하되어 서비스 중단으로 이어진다. 이 공격은 각 ACK 또는 RST 패킷이 피해자의 시스템에서 응답을 유도해 리소스를 소모하기 때문에 효과적이다. ACK-RST 폭주는 합법적인 트래픽을 모방하므로 필터링이 어려운 경우가 많아 감지 및 방어가 어렵다.
11. CLDAP 폭주
연결없는 경량 디렉터리 액세스 프로토콜(CLDAP)은 경량 디렉터리 액세스 프로토콜(LDAP)의 변형이다. CLDAP는 IP 네트워크에서 실행되는 디렉터리 서비스를 쿼리하고 수정하는 데 사용된다. CLDAP는 연결이 필요 없고 TCP 대신 UDP를 사용해 더 빠르지만, 안정성이 떨어진다. UDP 사용으로 공격자가 IP 주소를 스푸핑할 수 있는 핸드셰이크가 필요하지 않아 공격자가 이를 반사 벡터로 악용할 수 있다. 이러한 공격은 스푸핑된 소스 IP 주소(피해자의 IP)로 작은 쿼리를 전송해 서버가 피해자에게 대량의 응답을 전송함으로써 서버를 과부하시킨다. 완화 조치에는 비정상적인 CLDAP 트래픽을 필터링하고 모니터링하는 것이 포함된다.
12. SPSS 폭주
Source Port Service Sweep(SPSS) 프로토콜을 악용하는 폭주는 무작위 또는 스푸핑된 많은 원본 포트에서 표적 시스템 또는 네트워크의 다양한 대상 포트로 패킷을 전송하는 네트워크 공격 방법이다. 이 공격의 목적은 첫째, 피해자의 처리능력을 압도해 서비스 중단 또는 네트워크 중단을 유발하고, 둘째, 열린 포트를 검색하고 취약한 서비스를 식별하는 데 사용하는 것이다. 폭주는 대량의 패킷을 전송해 피해자의 네트워크 리소스를 포화시키고 방화벽과 침입감지 시스템의 용량을 소진시켜 이루어질 수 있다.
[김경애 기자(boan3@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>