지난 1분기 동안 봇넷 C&C 서버가 호스팅된 국가로 우리나라와 미국이 나란히 1, 2위에 올랐다. 카스퍼스키랩의 ‘디도스 인텔리전스 1분기 보고서’에 따르면 이 기간 동안 봇넷 C&C 서버의 30.92%는 우리나라, 29.32%는 미국에 있었으며, 중국이 8.03%로 3위에 올랐다.
카스퍼스키랩은 공격을 당한 국가들은 모두 해킹 집단이 이용할 수 있는 서버 대수가 세계 최고 수준이며, 호스팅되는 사이트와 서비스의 수가 많아 공격이 집중되고 있다고 설명했다. 그러면서 미라이 봇넷의 봇제본인 ‘다르카이(Darkai)’와 AESDDoS 봇의 활성 C&C 서버 수가 급격히 증가하고 있으며 기존 Xor와 Yoyo 봇넷이 활동을 재개했다고 추측할 수 있다고 설명했다. 이들 봇넷은 대부분 리눅스를 사용하지만 리눅스 기반 봇넷이 차지하는 비율은 2018년 1분기에 66%를 기록하며 2017년 말의 71%에 비해 약간 감소했다.
우리나라는 또한 가장 많은 디도스 공격을 받은 국가 3위에 오르기도 했다. 보고서에서 이 기간 중 가장 많은 공격을 받은 국가는 중국으로 47.53%, 미국 24.10%에 이어 우리나라가 9.62%로 3위에 올랐다. 지난해 4분기에는 10.37%의 공격이 우리나라를 타깃으로 했다.
“12일 넘게 디도스 공격 이어지기도”
1분기에는 오래 지속되는 디도스 공격이 증가했으며, 가장 오래 지속된 공격은 12일이 넘는 297시간을 기록했다. 이는 2015년 이후로 가장 긴 공격이다.
1분기 끝 무렵 발생한 멤캐시드 디도스 공격은 1TB를 넘는 대규모 규모로 발생하기도 했다. 그러나 카스퍼스키랩 전문가들은 멤키시드 공격이 성행하는 현상은 오래 지속되지 않을 것으로 예상하고 있다. 해당 공격은 공격 대상에게도 영향을 미치지만 공격 수행 시 기업들이 의도치 않게 개입되기 때문이다.
지난 2월 카스퍼스키랩으로 연락해온 어떤 업체는 통신 채널에 과부하가 걸렸다고 알려왔으며, 카스퍼스키랩 조사 결과 이 회사의 멤캐시드 서비스 취약점이 악용된 것으로 분석됐다. 해킹 조직이 다른 서비스를 공격하는 데 이 업체의 서버를 사용하고 있었으며, 그로 인해 막대한 규모의 발신 트래픽이 생성돼 해당 기업의 웹 리소스가 손상된 것으로 드러났다.
멤캐시드 공격의 공범이 된 업체는 곧 트래픽 부하 증가를 눈치 채고 신속하게 취약점에 대한 패치를 진행하여 손실을 방지하므로 공격에 동원할 수 있는 서버의 수가 줄어들기 때문에 이 공격은 장기적으로 지속되지 못할 것으로 분석하고 있다.
LDAP 증폭기로 사용한 디도스 공격 사례 발견
디도스 증폭 공격 역시 1분기에 다시 성행했다. 특히 LDAP 서비스가 증폭기로 사용된 사례를 발견하게 됐는데, LDAP 서비스는 멤캐시드, NTP, DNS와 함께 증폭률이 가장 큰 서비스에 속한다.
그러나 멤캐시드와 달리 LDAP 정크 트래픽으로 인해 발신 채널이 완벽하게 막히는 일이 없기 때문에 취약점이 있는 서버의 소유주가 이상 상황을 파악하고 치료하기가 어렵다. 공격에 이용할 수 있는 LDAP 서버가 비교적 소수이기는 하지만, 이러한 유형의 공격이 앞으로 다크넷에서 인기를 끌 가능성도 있다.
이창훈 카스퍼스키랩코리아 지사장은 “취약점 악용은 DDoS 봇넷 생성을 비즈니스로 삼는 사이버 범죄자들이 즐겨 사용하는 도구이다. 그러나 올해 초부터 몇 개월 동안 보아왔듯 DDoS 공격의 피해를 입는 것은 공격 대상뿐이 아니다. 취약한 부분이 있는 인프라를 운영하는 기업들도 피해를 입는다. 1분기에 발생한 사건들을 통해, 기업이 운영하는 플랫폼은 취약점 패치를 정기적으로 수행하고 DDoS 공격에 대한 지속적인 보호 기능을 갖추어야 한다는 단순한 진리를 재확인할 수 있었다”고 말했다.
