방어 까다로운 HTTP 디도스, 암호화폐 산업 타깃…쉽게 돈 버는 랜섬디도스 유행
[데이터넷] DNS를 이용해 디도스 공격 트래픽을 세탁하는 ‘DNS 세탁 디도스’가 유행하고 있다.
클라우드플레어의 ‘2023년 2분기 디도스 공격 동향’ 보고서에서는 이 기간 동안 전체 디도스 공격의 32%가 DNS 프로토콜을 통해 이뤄졌으며, 신뢰할 수 있는 자체 DNS 서버를 운영하는 조직을 대상으로 DNS 세탁 공격이 다수 발생한 것으로 드러났다.
이 공격은 평판이 좋은 재귀 DNS 리졸버를 통해 악성 트래픽을 세탁해 DNS 서비스에 장애를 일으키는 방법이다. 공격자는 피해자의 DNS 서버에서 관리하는 도메인의 하위 도메인에 쿼리를 보내는데, 하위 도메인을 정의하는 헤더를 무작위로 지정해 재귀 DNS 서버가 캐시된 응답을 갖지 못한 채 권한있는 DNS 서버로 전달한다. 권한 있는 DNS 서버는 재귀 DNS 서버가 보낸 쿼리를 처리하지 못하는데, 그렇다고 해서 정상적인 재귀 DNS 서버의 모든 쿼리를 차단할 수 없기 때무에 공격에 속수무책이다.
합법적인 쿼리와 악의적인 쿼리를 구분하지 못하게 하는 이 같은 공격은 아시아 대규모 금융기업과 북미 DNS 제공 기업이 공격을 받았다. 클라우드플레어는 ‘DNS 역방향 프록시’를 사용해 이 문제를 해결할 수 있다고 설명했다.
IoT 봇넷보다 5000배 강력한 가상머신 봇넷
이 보고서에서는 더욱 더 정교해지고 피해 규모가 커지는 디도스 공격의 여러 유형에 대해 자세히 설명했다.
그 중 하나가 랜섬디도스로, 몸값을 줄 때까지 디도스 공격을 하는 초보적인 방식이 클라우드플레어 설문조사 결과, 분기당 164건에 이르는 것으로 나타났다.
가상머신 봇넷이 향후 큰 피해를 일으킬 공격 유형으로 꼽힌다. 가상머신의 리소스와 연간 기능을 사용할 수 있어 IoT 기반 봇넷보다 쉽게 초대형 공격을 벌일 수 있다. 보고서에서는 VM 봇넷이 IoT 봇넷보다 5000배 강력하다. 실제로 발생한 VM 봇넷은 초당 7100만 요청의 공격의 단행했다.
정교한 HTTP 디도스도 심각한 문제로 떠오르고 있다. 웹사이트와 API 게이트웨이 등 HTTP 인터넷 속성을 대상으로 지속적인 트래픽을 발생시켜 서비스에 장애를 일으키는 이 공격이 지난 몇 달 동안 무작위적으로 증가하고 있다. 공격자가 브라우저의 동작을 정확하게 모방해 방어 시스템을 무력화하는데, 초당 공격 속도를 상대적으로 낮게 유지해 탐지를 피하고 합법적인 트래픽으로 위장하고 있어 방어가 매우 어렵다.
이 공격은 주로 국가기반 공격자와 관련 있는 것으로 보이며, VoIP 기업, 반도체 기업, 결제·신용카드 기업 등에서 자주 발생한다. 이 공격을 막으려면 위협 인텔리전스와 트래픽 프로파일링, 기계학습 등을 이용해 정교하게 공격 트래픽을 제어해야 한다.
지난해 초 업무용 IP 전화기 마이텔(Mitel)의 통신·협업 시스템(MiCollab)에서 발견된 취약점(CVE-2022-26143) 악용 공격이 크게 늘어나면서 문제를 일으키고 있다. 보고서는 이 취약점을 이용한 UDP 증폭공격이 2분기 500% 이상 증가했다. 이 익스플로잇은 취약한 서버에서 트래픽을 반사해 최대 2200억%까지 증폭시킬 수 있다.
아시아, 암호화폐 공격 가장 많아
디도스 공격은 국가기반 공격자들이 정치적, 금전적 목적으로 단행하는 경우가 많다. 최근에는 러시아 기반 킬넷, 레빌, 아노니머스 수단이 ‘다크넷 팔리아먼트(Darknet Parliament)’라는 일종의 핵티비스트 동맹을 만들어 유럽, 미국의 금융기업을 공격하고 있으며, SWIFT를 마비시키겠다고 선언하기도 했다. 이들로 인해 마이크로소프트 등이 실제로 공격을 받아 서비스 장애를 겪었다.
공격을 가장 많이 받은 산업은 컴퓨터 소프트웨어, 도박·카지노, 게임이었으며, 이 기간 동안 발생한 가장 큰 규모의 공격은 초당 170만RPS, 공격당 평균 규모는 6만5000RPS였다. 최근에는 암호화폐 관련 기업이 HTTP 디도스 공격을 많이 받고 있는데, 전 분기 대비 6배 많은 공격이 발생했다.
지역별로 가장 많은 공격을 받은 산업은 ▲아시아: 암호화폐 ▲호주: 바이오 ▲미국: 마케팅·광고 ▲남미: 스포츠 용품 ▲중앙아시아” 미디어, 유럽은 게임과 도박, 아프리카는 통신 등이었다.
