3분기 봇넷 디도스 공격 더욱 정교해지고 미국과 유럽에 집중
[보안뉴스 원병철 기자] 대한민국을 노린 봇넷이 지난 3분기에는 줄어든 것으로 나타났다. 카스퍼스키랩은 ‘디도스 인텔리전스 시스템(Kaspersky DDoS Protection의 구성 요소)’ 통계를 바탕으로 이렇게 발표했다.
.jpg)
카스퍼스키랩은 2016년 3분기 봇넷을 통한 디도스(DDoS) 공격 실태에 대한 보고서를 공개했다. 보고서에 따르면 서부 유럽에 위치한 공격 서버의 활동이 늘어남과 동시에 유럽의 피해 리소스 수도 증가했다. 또한, 암호화된 트래픽 기반의 정교한 디도스 공격도 증가했다.
보고 기간 동안 67개 국가의 리소스가 봇넷을 사용한 디도스 공격의 표적이 되었다. 일본과 미국, 러시아 소재 리소스에 대한 공격 횟수는 크게 증가한 반면, 중국과 대한민국의 공격 피해는 눈에 띄게 감소했다. 3분기에는 또한, 올해 처음으로 봇넷 디도스 공격이 가장 많이 발생한 주요 10개 국가에 이탈리아, 프랑스, 독일 등 서부 유럽의 3개 국가가 포함되었다. 이러한 통계는 서부 유럽, 특히 영국과 프랑스, 네덜란드에서 활동하는 C&C 서버 증가와 관계가 있는 것으로 보인다고 카스퍼스키랩은 밝혔다.
중국에서 신고된 총 공격 횟수는 전보다 감소했지만, 여전히 공격 표적 리소스의 비중이 가장 높은 국가는 중국이다. 주요 중국 검색 엔진을 대상으로 가장 많은 수의 공격(19회)이 발생했으며, 중국의 한 공급업체는 최장기(184시간) 공격 대상이 되기도 했다. 한편, 8월 3일에 발생한 디도스 공격 건수는 최근 4분기 중 최고치를 기록했다. 8월 3일 당시에는 총 1,746회의 봇넷 공격이 발생했으며, 그 중 대부분이 미국에 위치한 서비스 공급업체의 서버를 대상으로 한 공격이었다.
또한, 2016년 3분기에도 계속해서 SYN-DDoS 공격이 증가해 신고된 전체 공격 사건의 81%를 차지했으며, TCP-DDoS 및 ICMP-DDoS 공격이 차지하는 비율은 또 다시 감소했다. Linux 기반 디도스 봇에 의한 공격 비율 또한 계속 증가해 연중 최고치인 79%를 기록했다. 디도스 공격에 사용되는 Linux 기반 IoT 기기가 증가한 것이 원인으로 보이며, 미라이(Mirai) 공격툴의 소스코드가 공개 이후로 이러한 경향은 두드러지고 있다.
.jpg)
카스퍼스키랩은 전송 데이터의 암호화를 사용한 ‘지능적인’ 공격도 증가할 것으로 예상했다. 그 대표적인 예로 암호화된 연결을 통해 웹 사이트의 ‘과부하’ 부분(예를 들면, 검색 양식)으로 비교적 적은 수의 쿼리를 전송하는 공격을 들 수 있다. 이러한 공격은 암호화된 트래픽에 숨겨져 있으며, 트래픽 밀도가 낮아서 대다수의 전문 보호 솔루션조차 쉽게 감지하지 못한다.
카스퍼스키랩코리아의 이창훈 지사장은 “암호화된 트래픽을 활용한 공격 기법이 사용되는 것은 취약한 서버의 수가 줄어들고 있고 보안 솔루션을 통해 기존의 증폭 디도스 공격이 손쉽게 차단당하기 때문”이라면서, “복잡하기만 하고 효율성이 떨어지는 증폭 공격은 사이버 범죄 수단으로서의 가치가 하락한 것이며, 인터넷 연결 또한 기존의 단순한 HTTP에서 사용자와 웹 리소스 간 암호화된 상호 작용으로 계속 전환되는 추세”리고 설명했다.
특히, 이 지사장은 “이러한 점을 감안할 때 암호화 기반 공격은 앞으로 계속 증가할 것으로 추측할 수 있다”며, “따라서 개발자들은 즉시 디도스 방지를 위한 보호 조치를 추가하는 작업을 시작해야 하고, 웹 리소스 소유자는 이러한 사항을 고려하여 적절한 보안 솔루션을 선택해야 할 것”이라고 강조했다.
[원병철 기자(boanone@boannews.com)]
[보안뉴스 원병철 기자] 대한민국을 노린 봇넷이 지난 3분기에는 줄어든 것으로 나타났다. 카스퍼스키랩은 ‘디도스 인텔리전스 시스템(Kaspersky DDoS Protection의 구성 요소)’ 통계를 바탕으로 이렇게 발표했다.
카스퍼스키랩은 2016년 3분기 봇넷을 통한 디도스(DDoS) 공격 실태에 대한 보고서를 공개했다. 보고서에 따르면 서부 유럽에 위치한 공격 서버의 활동이 늘어남과 동시에 유럽의 피해 리소스 수도 증가했다. 또한, 암호화된 트래픽 기반의 정교한 디도스 공격도 증가했다.
보고 기간 동안 67개 국가의 리소스가 봇넷을 사용한 디도스 공격의 표적이 되었다. 일본과 미국, 러시아 소재 리소스에 대한 공격 횟수는 크게 증가한 반면, 중국과 대한민국의 공격 피해는 눈에 띄게 감소했다. 3분기에는 또한, 올해 처음으로 봇넷 디도스 공격이 가장 많이 발생한 주요 10개 국가에 이탈리아, 프랑스, 독일 등 서부 유럽의 3개 국가가 포함되었다. 이러한 통계는 서부 유럽, 특히 영국과 프랑스, 네덜란드에서 활동하는 C&C 서버 증가와 관계가 있는 것으로 보인다고 카스퍼스키랩은 밝혔다.
중국에서 신고된 총 공격 횟수는 전보다 감소했지만, 여전히 공격 표적 리소스의 비중이 가장 높은 국가는 중국이다. 주요 중국 검색 엔진을 대상으로 가장 많은 수의 공격(19회)이 발생했으며, 중국의 한 공급업체는 최장기(184시간) 공격 대상이 되기도 했다. 한편, 8월 3일에 발생한 디도스 공격 건수는 최근 4분기 중 최고치를 기록했다. 8월 3일 당시에는 총 1,746회의 봇넷 공격이 발생했으며, 그 중 대부분이 미국에 위치한 서비스 공급업체의 서버를 대상으로 한 공격이었다.
또한, 2016년 3분기에도 계속해서 SYN-DDoS 공격이 증가해 신고된 전체 공격 사건의 81%를 차지했으며, TCP-DDoS 및 ICMP-DDoS 공격이 차지하는 비율은 또 다시 감소했다. Linux 기반 디도스 봇에 의한 공격 비율 또한 계속 증가해 연중 최고치인 79%를 기록했다. 디도스 공격에 사용되는 Linux 기반 IoT 기기가 증가한 것이 원인으로 보이며, 미라이(Mirai) 공격툴의 소스코드가 공개 이후로 이러한 경향은 두드러지고 있다.
카스퍼스키랩은 전송 데이터의 암호화를 사용한 ‘지능적인’ 공격도 증가할 것으로 예상했다. 그 대표적인 예로 암호화된 연결을 통해 웹 사이트의 ‘과부하’ 부분(예를 들면, 검색 양식)으로 비교적 적은 수의 쿼리를 전송하는 공격을 들 수 있다. 이러한 공격은 암호화된 트래픽에 숨겨져 있으며, 트래픽 밀도가 낮아서 대다수의 전문 보호 솔루션조차 쉽게 감지하지 못한다.
카스퍼스키랩코리아의 이창훈 지사장은 “암호화된 트래픽을 활용한 공격 기법이 사용되는 것은 취약한 서버의 수가 줄어들고 있고 보안 솔루션을 통해 기존의 증폭 디도스 공격이 손쉽게 차단당하기 때문”이라면서, “복잡하기만 하고 효율성이 떨어지는 증폭 공격은 사이버 범죄 수단으로서의 가치가 하락한 것이며, 인터넷 연결 또한 기존의 단순한 HTTP에서 사용자와 웹 리소스 간 암호화된 상호 작용으로 계속 전환되는 추세”리고 설명했다.
특히, 이 지사장은 “이러한 점을 감안할 때 암호화 기반 공격은 앞으로 계속 증가할 것으로 추측할 수 있다”며, “따라서 개발자들은 즉시 디도스 방지를 위한 보호 조치를 추가하는 작업을 시작해야 하고, 웹 리소스 소유자는 이러한 사항을 고려하여 적절한 보안 솔루션을 선택해야 할 것”이라고 강조했다.
[원병철 기자(boanone@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.png)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
