DDoS 공격, 위협 행위자의 능력치 역대 최대 기록
생성형 AI 및 개발자 코파일럿 도구 사용, 공격 더 정교해지고 있어
[보안뉴스 김경애 기자] 2024년 DDoS 공격 건수가 전년 대비 20% 증가한 것으로 나타났다. 특히 전반적으로, 랜섬 DDoS 공격은 지난 한 해 동안 분기마다 계속 증가하고 있다. 이에 따라 기업과 기관의 각별한 주의가 요구된다.
▲DDoS 공격 다이어그램[자료=Cloudflare]
지속적인 DDoS 공격 증가를 초래하는 위협 행위자의 정교함
클라우드플레어(Cloudflare)에 따르면 2024년 상반기에 전체적으로, 2분기 DDoS 공격 건수는 전 분기 대비 11% 감소했지만 전년 대비 20% 증가했다.
▲유형 및 벡터별 DDoS 공격 분포[자료=Cloudflare]
400만 건의 DDoS 공격은 220만 건의 네트워크 계층 DDoS 공격과 180만 건의 HTTP DDoS 공격으로 구성되어 있었다. 180만 개라는 HTTP DDoS 공격 건수는 정교하고 무작위화된 HTTP DDoS 공격의 폭발적인 증가 수를 보정하기 위해 정규화한 것이다.
▲2024년 2분기 DDoS 공격 통계[자료=Cloudflare]
이와 같은 무작위적이고 정교한 공격은 더 좋은 코드를 더 빨리 작성하도록 도와주는 생성형 AI와 오토파일럿 시스템이 등장하면서 일반 사이버 범죄자도 활용하게 되었다.
랜섬 DDoS 공격
2024년 5월, DDoS 공격 위협을 겪었거나 랜섬 DDoS 공격을 받았다고 신고한 클라우드플레어 고객의 비율은 16%에 달했다. 이는 지난 12개월 동안 최고 수준이다.
▲DDoS 위협 및 갈취 신고의 고객 비율(분기별)[자료=Cloudflare]
전반적으로, 랜섬 DDoS 공격은 지난 한 해 동안 분기마다 계속 증가하고 있다. 2024년 2분기 신고 비율은 12.3%로, 전 분기(10.2%)보다는 약간 높지만, 전년도 비율(마찬가지로 12.0%)과 비슷했다.
위협 행위자
응답자의 75%가 누가 자신을 공격했는지, 왜 공격했는지 모른다고 답했다. 또한 공격자나 공격 이유를 알고 있다고 주장하는 응답자 중 59%는 경쟁업체가 자신을 공격했다고 답했다.
▲Cloudflare 고객이 신고한 위협 행위자 유형의 비율(알 수 없는 공격자 및 이상값 제외)[자료=Cloudflare]
응답자 21%는 불만을 가진 고객이나 사용자가 DDoS 공격을 수행했다고 답했으며, 17%는 국가 수준의 위협 행위자나 국가 주도 위협 행위자가 공격을 수행했다고 답했다. 나머지 3%는 자체 DDoS 공격이라고 답했다.
상위 공격 대상 국가 및 지역
2024년 2분기에 중국은 세계에서 가장 많은 공격을 받은 국가로 선정됐다. 이는 HTTP DDoS 공격, 네트워크 계층 DDoS 공격, 총량 및 총 트래픽에서 DDoS 공격 트래픽이 차지하는 비율을 고려한 순위다.
▲2024년 2분기 가장 공격을 많이 받은 국가와 지역 15곳[자료=Cloudflare]
중국에 이어 터키가 2위를 차지했으며, 싱가포르, 홍콩, 러시아, 브라질, 태국이 그 뒤를 이었다.
가장 많이 공격받은 산업
2024년 2분기에 가장 공격을 많이 받은 산업으로는 정보 기술 및 서비스가 꼽혔다. 이는 HTTP 및 네트워크 계층 DDoS 공격의 총량과 상대적 공격 트래픽을 하나의 DDoS 공격 활동 순위로 정리한 것으로, 2위는 통신, 서비스 제공업체, 통신사 산업이 차지했다. 이어 3위는 소비재가 차지했다.
▲2024년 2분기 가장 공격을 많이 받은 산업 15가지[자료=Cloudflare]
하지만 HTTP DDoS 공격 요청량 측면에서는 게임과 도박 공격이 가장 많은 것으로 나타났다.
최대 규모의 DDoS 공격 출처
아르헨티나는 2024년 2분기 DDoS 공격의 최대 출처로 꼽혔다. 이어 인도네시아가 2위를 차지했고, 네덜란드가 3위를 차지했다.
▲2024년 2분기 DDoS 공격의 최대 출처 15곳[자료=Cloudflare]
DDoS 공격 특성
①네트워크 계층 DDoS 공격 벡터
DNS 기반 DDoS 공격은 전 분기 대비 49% 감소했지만, 여전히 가장 일반적인 공격 벡터로, DNS 폭주와 DNS 증폭 공격이 37%를 차지했다. 이어 SYN 폭주가 23%로 2위, RST 폭주가 10%를 조금 넘기며 그 뒤를 이었다.
▲상위 공격 벡터(네트워크 계층)[자료=Cloudflare]
SYN 폭주와 RST 폭주는 모두 TCP 기반 DDoS 공격 유형으로, TCP 기반 DDoS 공격은 모든 네트워크 계층 DDoS 공격 중 38%를 차지했다.
②HTTP DDoS 공격 벡터
지난 분기에는 전체 HTTP DDoS 공격의 절반이 알려진 봇넷을 대상으로 발생했다. 29%는 가짜 사용자 에이전트, 가장 브라우저, 헤드리스 브라우저를 통한 HTTP DDoS 공격이었다. 13%는 자동화 시스템을 트리거하는 의심스러운 HTTP 속성이었고, 7%는 일반 폭주로 나타났다.
DDoS 공격에 사용된 HTTP 버전
2분기에는 전체 웹 트래픽의 약 절반이 HTTP/2를, 29%가 HTTP/1.1을 사용했다. 5분의 1은 HTTP/3를 사용했고, 약 0.62%는 HTTP/1.0을 사용, HTTP/1.2는 0.01%였다.
HTTP DDoS 공격은 HTTP/2에 더 치우쳐 있긴 하지만, 버전 선택 측면에서 패턴이 비슷한 것으로 나타났다. HTTP DDoS 공격 트래픽의 76%는 HTTP/2 버전을, 약 22%는 HTTP/1.1 버전을 거쳤다. 이에 비해 HTTP/3의 사용량은 훨씬 적었다. 모든 웹 트래픽에서 HTTP/3을 채택한 비율은 20%인 반면, HTTP DDoS 공격 트래픽에서는 0.86%에 불과했다.
DDoS 공격 지속 시간
DDoS 공격은 대부분 짧다. HTTP DDoS 공격 57%, 네트워크 계층 DDoS 공격의 88%가 10분 이내에 종료된다.
이에 따라 자동화된 인라인 감지와 완화 시스템이 필요성이 커지고 있다. 이는 보안담당자가 알림에 응답하고, 트래픽을 분석, 수동 완화를 적용하는 데 10분은 부족하기 때문이다.
뿐만 아니라 HTTP DDoS 공격 중 약 4분의 1은 1시간 이상 지속, 약 5분의 1은 하루 이상 지속된 것으로 조사됐다. 네트워크 계층에서 긴 공격은 흔하지 않지만 네트워크 계층 DDoS 공격의 1%는 3시간 이상 지속됐다.
DDoS 공격 규모
그렇다면 DDoS 공격 규모는 어떨까. 대부분의 DDoS 공격은 규모가 작다. 네트워크 계층 DDoS 공격의 95% 이상이 초당 500메가비트 미만을 유지하며 86%가 초당 50,000패킷 미만을 유지한다.
마찬가지로 HTTP DDoS 공격의 81%는 초당 요청 5만 개 미만을 유지한다. 하지만 이러한 트래픽 수준이 일상적이지 않은 비보호 웹 사이트에는 치명적일 수 있다.
대부분의 공격은 소규모인 반면, 대규모 볼류메트릭 공격의 수는 증가했다. 네트워크 계층 DDoS 공격 100건 중 1건은 초당 100만 패킷(pps)을 넘으며, 100건 중 2건은 초당 500기가비트를 넘었다. 7계층에서는 HTTP DDoS 공격이 1,000건마다 4건에서 초당 요청이 100만 개를 넘었다.
클라우드플레어 측은 “대부분의 DDoS 공격은 소규모이며 빠르지만 이런 공격 역시 DDoS 방어를 하지 않으면 온라인 서비스에 방해가 될 수 있다”며 “게다가 생성형 AI 및 개발자 코파일럿 도구를 사용할 수 있게 되면서 위협 행위자가 더 정교해지고 있고, 결과적으로 방어하기 더 어려운 DDoS 공격을 수행하는 공격 코드가 만들어지고 있다”고 밝혔다.
[김경애 기자(boan3@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>