러시아-우크라이나 전쟁 양상 따라 디도스 공격 추이 변해
[데이터넷] ‘신냉전’ 시대로 접어들면서 국가간 갈등이 사이버 전쟁으로 확장되고 있다. 그 한 예로 중국과 대만의 갈등이 심화되는 가운데, 지난 3월 미 국무부와 대만 외무부 고위급 대표가 워싱텅에서 대만의 확장에 관한 협의를 진행하는 중 대만의 유무선 광대역 ISP, 중계 ISP, 클라우드 호스팅 공급업체 대부분이 디도스 공격을 받았다. 이 날 하루 3598건의 공격이 발견됐는데, 이는 대만에서 발생한 일일 총 공격의 최대 수치다.
이는 넷스카우트의 ‘2022년 상반기 디도스 위협 인텔리전스 보고서’에 따른 것으로, 보고서에서는 디도스가 사회·정치적 이유로 시작됐다는 점을 상기시키며 “디도스 공격은 정치, 종교, 이데올로기와 관련된 분쟁 상황에서 발생했으며, 정부와 기업, 이익 공동체, 개인의 온라인 운영과 통신 기능을 방해하기 위한 공격의 중심이 되고 있다”고 설명했다.
우크라이나 자산 옮겨간 아일랜드 공격 당해
보고서에서 국가간 갈등을 심화시키는 디도스 공격의 예로 러시아-우크라이나 전쟁을 들었다. 올해 초 러시아의 우크라이나 침공이 시작되기 직전 우크라이나 정부기관과 은행에 디도스 공격이 집중됐으며, 전선이 확장되면서 우크라이나 자산이 옮겨간 아일랜드로 공격이 이동했다. 이와함께 러시아에 대한 보복공격도 증가하는 것을 볼 수 있다. 또한 핀란드가 NATO에 가입하겠다고 발표한 후 핀란드 타깃 공격이 급증했다.
유럽, 중동, 아프리카(AMEA) 지역에서 발생한 공격은 지난해 하반기보다 올해 상반기 7% 이상 증가했으며, 러시아 타깃 공격은 3월까지 3배, 6월까지 2배 증가했다. 우크라이나 내 자원을 노린 공격은 3월까지 15% 증가하고, 이후에는 크게 줄었는데 우크라이나의 목표물이 다른 지역으로 이동했기 때문이라고 보고서는 설명했다.
러시아-우크라이나 전쟁은 아시아 태평양(APAC) 지역에도 영향을 미쳤다. 이 지역에서 발생한 공격은 130만건으로, 하루 약 8600건, 10초마다 한 번씩 공격이 이뤄지는 것이나 마찬가지다.
우리나라의 경우, APAC 지역에서 발생한 공격 중 26%가 우리나라 기업·기관을 대상으로 한 것일만큼 자주 공격받는 나라로 꼽힌다. 보고서는 우리나라 타깃 공격은 국가·지역간 갈등으로 인한 것이라기보다 온라인 게임이나 그룹·개인간 분쟁으로 인한 것이라고 분석했는데, 그 이유는 대부분의 공격이 통신·캐리어 사업자를 대상으로 하고 있기 때문이다.
이 기간 중 우리나라 타깃 공격 중 가장 높은 대역폭 공격은 TCP SYN과 ACK 플래드를 활용한 325Gbps 규모의 공격이었다. 이러한 성격의 공격은 대부분 작은 패킷을 이용하지만, 우리나라 타깃 공격은 큰 패킷을 사용해 대역폭을 고갈시키는 방법을 택했다. 지난 몇 년 동안 대형 패킷을 동원하는 대형 패킷 TCP 플러드 공격이 상당한 성과를 거둬왔으며, 우리나라 타깃 공격도 이러한 추세를 따르고 있다.
적응형 디도스 공격, 인텔리전스 기반 방어 기술로 공격 전 차단
이번 보고서에서 주목할만한 점은 코로나19 기간 동안 급증했던 디도스 공격 빈도가 점차 줄어들고 있다는 것이다. 코로나19 동안 넷플릭스, 줌 및 온라인 기반 게임 사용자가 크게 늘면서 온라인 서비스를 타깃으로 하는 공격도 크게 늘었는데, 코로나19가 끝나가는 올해 상반기에는 이러한 공격도 주춤해지는 상황이다.
그 대신 공격자들은 대규모 행사를 노리는 공격에 다시 눈을 돌리고 있다. 팬데믹이 끝나면서 대중이 모이는 스포츠·문화 행사나 정치·종교 행사가 늘어나고 있으며, 이러한 대규모 이벤트에 영향을 미치기 위한 공격에 주목하고 있다.
이와 함께 통신사업자를 대상으로 한 공격이 크게 늘어나고 있는데, 넷스카우트가 탐지한 상반기 공격 횟수 600만여건 중 130만여건이 통신·캐리어 사업자를 대상으로 한 것이었다. 이 기간 동안 발생한 디도스 공격 중 최대 대역폭 공격은 957.9Gbps 규모였다.
최근 공격자들은 TCP 기반 직접 공격을 사용하며, 이번 상반기에는 DNS 증폭공격, 융단폭격 공격 등이 눈에 띄게 증가했다. 또한 지능형 봇넷도 중요한 공격 수단인데, 미라이와 변형, 메리스(Meris), 드비니스(Dvinis), 킬넷(Killnet) 등 새로운 봇넷이 ‘혁신’을 이루고 있다.
공격 방어 기술이 진화하면서 ‘적응형 디도스’ 공격도 눈에 띄게 증가했다. 공격 대상 네트워크를 은밀하게 정찰하고, 공격이 유효한지 지속적으로 모니터링하며, 디도스 완화 조치에 대응하기 위해 공격 벡터를 신속하게 변경하는 등의 공격 행태가 나타난다. 위상적으로 인접한 공격 인프라를 사용하며, 지속적인 공격자 혁신과 벡터를 무기화 하고 있다.
적응형 디도스에 대응하기 위해서는 공격 유형에 따라 적용할 수 있는 위협 인텔리전스와 정확한 동적벡터 식별, 지능적인 디도스 탐지와 분류, 추적, 완화가 필요하며, 공격 즉시 이상정황을 감지하는 기술, 동적 트래픽 분석과 분류 기술 등이 필요하다.
보고서에서는 “공격자는 보안 조치 회피에 멈추지 않고, 더 지능적인 공격을 할 수 있는 방법을 찾고 있다. 그래서 보안조직은 디도스 공격 대응을 위한 적응형 디도스 방어 기술을 지속적으로 개발해야 한다. 이는 공격을 시작하기 전에 차단하는 것을 목표로 한다”고 설명했다.
