DNS 악용 2분기 연속 최다…mDNS DDoS 456%·CoAP DDoS 387% 늘어
[데이터넷] 현대 전쟁은 물리적 전쟁과 사이버 전쟁이 병행하는 하이브리드 전쟁으로 흘러간다. 러시아-우크라이나 전쟁당시와 마찬가지로 이스라엘-하마스 분쟁도 사이버 공격이 급증하고 있다. 클라우드플레어의 ‘2023년 3분기 DDoS 위협 보고서’에 따르면 하마스가 이스라엘 침공을 시작한 10월 7일 이스라엘을 대상으로 한 디도스 공격이 급증, 8일 정점을 이뤘다.
보고서에서는 3분기 가장 정교하고 끈질긴 DDoS 공격 캠페인을 겪었으며, 수천 건의 대규모 볼류메트릭 HTTP DDoS 공격을 완화했다고 설명했다. 이 중 89건은 초당 1억 요청(rps)을 초과했으며, 최대치는 2억 100만 rps로, 이전의 기록 최대 공격(7100만 rps)보다 3배나 높았다. 3분기 HTTP DDoS 공격 트래픽은 전 분기 대비 65% 증가했으며, L3/4 DDoS 공격도 14% 증가했다.
HTTP/2 악용 공격, 초당 1억 rps 다수 발생
보고서에서는 이번 분기에 크게 늘어난 HTTP DDoS에 대해 자세히 설명했다. 이 공격은 HTTP를 이용하며, 모바일 앱 서버, 전자 상거래 웹 사이트, API 게이트웨이 등의 HTTP 인터넷 자산을 겨냥한다. HTTP 트래픽의 62%는 애플리케이션 성능을 개선하기 위한 HTTP/2가 차지하는데, HTTP/2가 봇넷의 성능 향상에도 도움이 된다.
8월 말부터 클라우드플레어를 비롯한 여러 사이트가 HTTP/2 래피드 리셋(HTTP/2 Rapid Reset) 취약점(CVE-2023-44487)을 악용하는 정교하고 끈질긴 DDoS 공격 캠페인의 대상이 됐다. 수천건의 대규모 볼륨메트릭 공격이 발생했는데, 초당 수백만건의 요청이 있었다. 평균 공격 속도 3000만 rps,약 89건의 공격에서 최고치가 1억 rps를 초과했으며, 가장 대규모의 공격에서는 2억 100만 rps가 기록됐다. 클라우드플레어는 8조9000억 건의 HTTP DDoS 요청을 자동으로 감지하고 완화했다.
공격의 25건 중 1건이 미국에서 발생했으며, 그 다음이 중국이었다. 인구와 인터넷 사용량을 기준으로 했을 때 모잠비크, 그 다음이 이집트였다. 이집트에서 시작된 인터넷 요청의 13%가 HTTP DDoS 공격의 일환이었다. 공격 트래픽 절대량은 게임과 도박 산업에서 가장 많이 발생했으며, 그 다음이 암호화폐였다. 주로 아시아 지역에서 게임·암호화폐 분야 공격이 많이 발생했다.
공격 대상도 미국이 가장 많았는데, 국가·지역별로 발생하는 트래픽 대비 공격 트래픽이 많은 국가로 푸에르토리코 동쪽의 작은 섬으로 이뤄진 앙귈라였다. 3분기 앙귈라 웹사이트로 유입되는 전체 트래픽의 75% 이상이 HTTP DDoS 공격이었다.
DDoS 공격은 봇넷을 이용하는데, 최근 공격자들은 가상머신과 HTTP/2를 이용해 더 많은 규모의 봇넷을 효과적으로 이용하고 있다. 이러한 봇넷은 노드당 최대 5000배 이상 공격을 생성할 수 있으며, 5만~2만개 노드로 구성된 소규모 봇넷만으로도 대규모 DDoS 공격을 수행할 수 있다. IoT 기반 봇넷은 수백만 개의 노드로 구성되며, 초당 수백만 건의 요청을 처리하는데 그쳤다.
볼륨메트릭 공격이 늘면서 L3/4 DDoS 공격도 늘었다. 이 기간 DDoS 36%는 미국에서 발생했으며, 전체 트래픽 대비 공격 트래픽을 계산하면 뉴칼레도니아가 1위를 차지했다. L3/4 DDoS의 35%는 정보기술과 서비스 산업을 타깃으로 했으며, 그 뒤가 통신(3%)였다.
DNS 악용 사고 2분기 연속 최다 발생
공격에 DNS를 사용한 사고가 2분기 연속 가장 많이 발생했으며, 3분기에는 전체 공격의 47%가 DNS 기반 공격이었다. 새롭게 부상하는 공격 전술로 증폭·반사 공격이 있다. 공격자들은 오래된 공격 벡터를 재사용하는 경향이 있는데, 최근 발생하는 증폭·반사 공격의 그 한 예이다. 이 공격 은 공격자가 서버에서 트래픽을 바운스하고 그 응답으로 피해자를 겨냥한다. 공격자는 IP 스푸핑 등의 다양한 방법을 통해 바운스된 트래픽으로 피해자를 겨냥할 수 있다.
‘DNS 세탁’ 공격도 반사 공격의 한 형태다. 공격자는 피해자의 DNS 서버에서 관리하는 도메인의 하위 도메인을 쿼리한다. 하위 도메인을 정의하는 접두사는 무작위로 지정되며 이러한 공격에서 한두 번 이상 사용되지 않다. 무작위화 요소로 인해 재귀 DNS 서버는 캐시된 응답을 보유하지 않으며 피해자의 권한 있는 DNS 서버로 쿼리를 전달해야 한다. 그러면 권한 DNS 서버는 정상적인 쿼리를 처리할 수 없을 정도로 많은 쿼리에 시달리거나 심지어는 서버가 모두 다운되기도 한다.
3분기 멀티캐스트 DNS(mDNS) 기반 DDoS 공격이 가장 많이 증가했으며, 다음으로 제한된 앱 프로토콜(CoAP) 악용 공격이 차지했다. mDNS DDoS는이 기간동안 무려 456% 늘었는데, 취약한 mDNS 서버를 피해자의 소스 주소로 스푸핑(변조)된 로컬 네트워크 외부에 근원을 둔 유니캐스트 쿼리에 반응하면서 공격이 증폭된다.
CoAP·ESP 악용 공격 크게 늘어
간단한 전자기기에서 사용하도록 설계된 CoAP DDoS도 387% 증가했다. 저전력·경량 방식으로 기기 간 통신을 가능하게 한 CoAP는 악의적 행위자가 멀티캐스트 지원을 악용하거나 잘못 구성된 CoAP 장치를 활용해 원치 않는 네트워크 트래픽을 대량으로 생성하므로 IP 스푸핑 또는 증폭을 통한 DDoS 공격에 악용될 수 있다. 이로 인해 서비스가 중단되거나 표적 시스템에 과부하가 발생해 정상적인 사용자가 시스템을 사용할 수 없게 될 수 있다.
보안 페이로드 캡슐화(ESP) 프로토콜 악용 공격도 눈에 띄게 증가했다. ESP는 IPsec의 일부이며 네트워크 통신에 기밀성, 인증, 무결성을 제공한다. 그러나 악의적 행위자가 잘못 구성되거나 취약한 시스템을 악용해 표적에 대한 트래픽을 반사하거나 증폭시켜 서비스 중단을 초래하는 경우 DDoS 공격에 악용될 가능성이 있다. 다른 프로토콜과 마찬가지로, DDoS 공격의 위험을 완화하려면 ESP를 사용해 시스템을 보호하고 올바르게 구성하는 것이 중요한다.
클라우드플레어는 이러한 공격에 대응하기 위해 HTTP 역방향 프록시 기술을 적용한 WAF 서비스를 제안하고 있다. 클라우드플레어는 자사 고객들이 지능화되는 공격으로부터 안전하게 보호받고 있다고 설명하고 있다.
클라우드플레어는 100여 개 국가 300여 개 도시에서 서비스를 제공하고 있으며, 초당 6400만 건 이상 HTTP 요청과 매일 23억 건의 DNS 쿼리를 처리한다. 평균 매일 1400억 건의 사이버 위협을 완화한다.
