2016년 미국 주요 인터넷 서비스 기업을 마비시킨 미라이 디도스의 2배 이상 위력을 가진 강력한 디도스 공격이 발생했다. 오픈소스 소프트웨어 개발 커뮤니티 깃허브를 대상으로 1.35Tbps 규모의 공격이 발생해 전 세계를 긴장시키고 있다. 이 공격은 멤캐시드 서버에서 발생한 UDP 반사공격으로 전 세계 9만개 이상 취약한 시스템이 공격에 노출됐다.
2016년 전 세계에서 유행한 미라이 봇넷은 사용자 계정 설정이 잘못된 50만대의 IoT 기기를 감염시켜 공격에 이용했으며, DNS 서비스 기업 딘(Dyn)을 이용해 피해 규모를 확대시켰다. 이보다 앞선 시기에 개인 블로그에 620Gbps의 공격을 일으켰으며, OVH에 990Gbps의 공격을 단행했고, 리베리아에서도 600Gbps의 공격을 발생시켰다.
이 해 리우 올림픽에 타격을 입히기 위해 리자드스트레서(Lizardstresser) 공격이 540Gbps 규모로 발생하기도 했다. 모두 다 IoT 기기를 이용한 공격이다.
IoT 봇넷, 전통적인 방어 기술로 차단 못해
지난해에는 IoT 이용한 봇넷이 대규모 무기화 돼 더욱 강력한 형태로 발전하는 양상이 감지되기도 했다. 토니 테오 아버네트웍스 아태지역 SE 디렉터는 8일 열린 ‘차세대 보안 비전’에서 “IoT 이용 봇넷은 올해 더욱 큰 규모로 감지되고 있다”고 경고하며 “IoT 기기를 프록시 서버로 이용하고 멀웨어를 IoT 기기에 상주하도록 해 디도스 공격 능력을 강화하는 봇넷과 암호화폐 채굴을 위한 봇넷도 다수 발견되고 있다”고 설명했다.
최근 디도스는 볼륨공격이나 애플리케이션 공격의 한 가지 방법만을 사용하는 것이 아니라 여러 공격 방식을 사용하는 복합공격 양상을 분명하게 보이고 있다. 아버네트웍스의 보고서에서는 지난해 30% 이상의 엔터프라이즈가 애플리케이션 공격을 당했으며, 웹 서비스와 DNS는 지속적으로 애플리케이션 공격에 노출돼 있는 것으로 나타났다.
복합공격이 성행하면서 전통적인 방어 기술은 답이 될 수 없다. 100Gbps 이상 대규모 디도스 공격을 받은 기업은 지난해에 비해 2배 증가했으며, 78%의 데이터센터는 서비스에 영향을 받을 수 있는 디도스 공격을 당했다.
디도스 분석 전문가 역량 더해 공격 차단
무기화된 봇넷과 더 저렴해진 디도스 서비스는 비즈니스 형태를 구분하지 않고 대규모로 공격을 단행하고 있다. 동일 산업군을 타깃으로 하는 디도스 서비스가 등장하고 있으며, 클라우드와 IoT는 심각한 피해를 일으킬 수 있는 공격으로 번지고 있다. IPv6 환경에서 디도스를 어떻게 막아야 하는지도 심각한 고민이 된다.
토니 테오 디렉터는 “가장 이상적인 디도스 공격 방어 방법은 인터넷 사업자(ISP)와 데이터센터, 클라우드 등 모든 곳에서 지능적으로 공격을 탐지하고 차단하는 것”이라며 “아버네트웍스는 인터넷 관문에서 볼륨공격을 차단해 스크러빙 센터로 우회시키고, 데이터센터에서는 공격 트래픽을 지능적으로 탐지, 볼륨공격과 지능형 애플리케이션 공격을 차단한다. 그리고 클라우드에서도 공격을 인지하고 차단한다. 그리고 전 세계에서 가장 뛰어난 디도스 공격 분석 전문조직을 통해 지능형 공격 정보를 제공하는 인텔리전스 서비스를 운영하고 있다”고 강조했다.
