전세계 디도스 공격 동향, '짧고 굵어졌다'

2014년 10월 22일, 시만텍(www.symantec.co.kr)이 전세계 디도스(DDoS) 공격 동향을 조사, 분석한 최신 보안 보고서를 통해 강력하고 지능적인 디도스 공격이 증가하고 있다고 발표했다. 이번 보고서에 따르면 디도스 공격 중에서도 공격 트래픽을 급격히 증가시키는 '증폭 공격(amplification attack)'이 증가하고 있으며, 공격 지속시간은 대부분 24시간을 넘지 않아 과거보다 짧아진 것으로 나타났다. 이는 공격 기술이 지능적으로 발전하고 있으며, 사이버 범죄자들이 더욱 강력하고 표적화된 공격방식을 사용하고 있다는 증거다.

디도스 공격은 다수의 소스로부터 과도한 트래픽을 일으켜 온라인 서비스를 마비시키는 공격으로, 새로운 공격 유형은 아니지만 그 영향력이 입증되면서 강도나 빈도 측면에서 증가추세를 보이고 있다. 특히 증폭 공격은 상대적으로 적은 봇넷(좀비PC)으로 많은 대상을 공격할 수 있다는 점에서 빈번하게 사용되고 있다. 공개적으로 이용 가능한 표적 시스템에 DNS(Domain Name Server) 응답 트래픽을 과도하게 집중시키는 DNS증폭 공격은 조사 기간 동안 183%나 급증해, 가장 자주 사용되는 디도스 공격 방식으로 나타났다.

이번 보안 보고서의 주요 발표내용은 다음과 같다.

증폭 공격이 대세 : DNS 증폭 공격은 올해 1월부터 8월까지 183%나 증가했다. NTP(Network Time Protocol) 증폭 공격은 1월부터 7월까지 275배 증가한 뒤, 감소 추세에 들어섰다. 이는 취약한 공공NTP 서버에 보호 방안을 마련했거나, 업그레이드함에 따라 공격자들이 다른 기술로 눈을 돌리고 있는 것으로 분석할 수 있다.

10달러 미만으로 이용 가능한 디도스 공격 서비스 : 기술적인 지식 없이도 디도스 공격을 쉽게 할 수 있는 시대가 됐다. 단돈 5달러로 '부터(Booter)'라는 서비스를 이용해 몇 분 동안 어떤 표적이든지 디도스 공격을 실행할 수 있다. 공격 지속시간이나 규모에 따라 서비스 비용이 달라진다. 월 단위 가입 서비스로도 이용 가능하며 주로 게이머들이 경쟁자를 물리치기 위해 이용한다.

짧고 강력해지는 디도스 공격 : 디도스 공격에 사용되는 대역폭이 매년 증가하고 있다. 시만텍은 올해 최고 400Gbps에 이르는 공격을 처음으로 발견했다. 2013년 최대 공격 대역폭은 300Gbps였다. 공격 지속시간은 대부분 24시간을 넘지 않아, 짧아지는 추세다.

리눅스 서버 감염 증가 : 올해 클라우드 제공업체가 공급하는 서버를 포함해 리눅스 서버 침해가 증가했다. 이러한 고 대역폭 서버는 감염된 후 디도스 공격을 수행하기 위한 봇넷의 일부로 사용된다.

디도스 트래픽 발생 국가를 조사한 결과, 상위 5개국 중 미국을 제외한 4개 국가가 아시아 지역으로 나타났다. 특히 인도는 전체 디도스 트래픽의 26%를 유발해 1위를 차지했으며, 싱가포르와 베트남, 중국이 각각 9%, 8%, 5%를 유발해 3, 4, 5위를 기록하였으며, 한국은 19위를 차지했다. 높은 디도스 트래픽을 기록하는 국가의 경우 감염된 기기의 숫자가 많고 도용된 패킷에 대한 필터링을 채택하는 비율이 낮은 것으로 나타난다.

시만텍은 보고서에서 디도스 공격의 목적을 분석한 결과 정치/사회적 목적, 강탈 및 경제적 갈취 위협, 개인 간 온라인 분쟁, 기업 보안팀의 시선 돌리기 등을 들었다.

시만텍은 디도스 공격의 피해를 완화하고 신속한 복구를 위해 다음과 같이 권고한다.

1 .비상 연락망을 포함한 사고 대응 계획을 수립한다
2. 서버 설정을 확인하고 서버를 보호한다
3. 계층적 필터링 방식을 사용하고 외부 서비스 제공업체와 협력한다
4. IT 환경이 확장성과 유연성을 갖추도록 한다
5. 정상적인 네트워크 행동 양상을 파악한다

이번 보고서에 관한 자세한 정보와 자료는 시만텍 블로그와 보안백서를 통해 확인할 수 있다.

글 / IT동아 이상우(lswoo@itdonga.com)