유엔기후협약 총회 전후로 환경 분야 DDoS 6200배 증가
이스라엘 분쟁 여파로 이스라엘 27%·팔레스타인 1126% 늘어
[데이터넷] 지난달 아랍에미리트에서 열린 제28차 유엔기후변화협약 당사국총회(COP28)를 전후로 환경 서비스 웹사이트에 6만1839% 증가한 DDoS 공격 트래픽이 발생했으며, 대만 총선을 앞두고 대만 타깃 DDoS가 3370% 늘었다.
이스라엘과 하마스 간의 군사적 갈등이 지속되면서 이스라엘 웹사이트를 표적으로 하는 DDoS 공격 트래픽의 비율은 전분기 대비 27% 증가했는데, 팔레스타인 웹사이트를 표적으로 하는 DDoS 공격 트래픽의 비율은 전분기 대비 무려 1126% 늘어 13억건의 DDoS가 발생했다. 공격의 90%는 팔레스타인 은행을 겨냥한 것이었다.
클라우드플레어의 ‘DDoS 위협 보고서 제16호’에서는 지난해 4분기 발생한 전 세계 DDoS 공격 동향을 분석하면서 이렇게 밝혔다.
보고서에서는 블랙 프라이데이와 연말연시를 전후해 소매, 배송, 홍보 웹 사이트를 겨냥한 DDoS 활동이 전반적으로 증가했으며, 네트워크 계층 DDoS 공격이 전년 동기 대비 117% 늘었다고 밝혔다. 또 블랙 프라이데이 등 쇼핑이 늘어나는 시기에 맞춰 포장, 화물배송 산업에 대한 DDOS 공격도 크게 늘었다.
초당 2억1000만건 이르는 DDoS 공격 발생
보고서는 클라우드플레어가 탐지·차단한 DDoS 공격 사례를 분석한 것으로, 이 기간 동안 HTTP/2 취약점을 이용한 대규모 볼륨 공격이 발생했다. 그 중 초당 2억1000만건에 달하는 대규모 공격이 발생했으며, 2022년 발생한 가장 큰 규모의 공격보다 8배 높은 수치다.
가장 많은 공격을 받은 산업은 암호화폐 분야로 3300억건 이상 HTTP 요청이 이 산업에 몰렸으며, 이는 전체 HTTP DDoS의 4%에 해당한다. 홍보·커뮤니케이션 분야에도 공격이 집중됐는데, 연말에는 커뮤니케이션 관리에 특히 더 신경써야 하는 분야라는 점에서 관심이 모인다. 커뮤니케이션 활동이 중단되면 기업 평판에 즉각적이고 광범위한 영향을 받을 수 있는데, 이벤트가 많은 연말과 새해 준비, 새로운 비전과 전략 마련 및 대외 활동에 지장을 줄 수 있기 때문이다.
4분기 발생한 디도스 공격의 지속 시간은 짧은 편으로, 공격의 91%가 10분 이내에 종료됐다. 그런데 네트워크 계층 공격 100건 중 2건은 1시간 이상 지속됐으며, 초당 1억 패킷을 넘는 공격은 전 분기 대비 15% 늘었다. 대규모 공격 중 하나는 초당 1억6000만개의 패킷을 전송한 미라이 봇넷 공격으로, UDP 조각 폭주(UDP fragments flood), UDP/에코 폭주(UDP/Echo flood), SYN 폭주(SYN Flood), ACK 폭주(ACK Flood), TCP 기형 폭주(TCP malformed flags) 등 여러 공격이 복합돼 있었다.
DNS 기반공격, 53% 차지
DNS 폭주와 DNS 증폭 공격이 전체 공격의 53%를 차지해 DNS 기반 공격을 공격자가 선호하는 것으로 나타났다. DNS 기반 공격은 서버를 다운시키지 않고 서비스 중단과 장애를 유발한다. DNS 폭주 공격은 DDoS 봇넷을 이용해 대규모 쿼리를 발생시켜 DNS 서버를 다운시킨다. DNS 증록 공격은 스푸피된 IP 주소가 포함된 작은 쿼리를 DNS 서버로 전송해 DNS 응답을 지연시킨다. 보고서는 이 공격을 막기 위해 DNS 서버 오용 방지, 트래픽 관리를 위한 레이트 리미팅 구현, 악의적 요청 식별 및 차단을 위한 DNS 트래픽 필터링이 필요하다고 설명했다.
클라우드플레어는 최근 새로운 공격 방법을 추적하고 있으며, 그 중 ACK-RST 폭주(ACK-RST Floods)가 1161%, CLDAP 폭주(CLDAP floods)가 515%, SPSS 폭주(SPSS floods)가 243% 늘었다고 설명햇다.
ACK-RST 폭주는 많은 ACK와 RST 패킷을 전송해 피해자 시스템에서 응답요청을 위한 리소스를 소모하게 한다. 합법적인 트래픽으로 위장하기 때문에 필터링이 어렵다. CLDAP 폭주는 IP 네트워크의 디렉터리 서비스를 쿼리하는데 사용하는 CLDAP를 이용한다. CLDAP는 연결이 필요없고 UDP를 사용해 공격자가 IP 주소를 스푸핑할 핸드세이크가 필요하지 않아 공격 벡터로 사용할 수 있다.
SPSS 폭주 공격은 무작위 혹은 스푸핑된 원본 포트에서 표적 시스템으로 패킷을 전송하는 네트워크 공격으로, 피해자 처리 능력을 압도해 네트워크 중단을 유발하거나 열린 포트를 검색하고 취약한 서비스를 식별하기 위해 사용한다.
한편 클라우드플레어는 자동화된 DDoS 방어, 방화벽, 봇 탐지, API 보호, 캐싱 등 포괄적인 기능을 번들로 제공해 DDoS 및 웹 애플리케이션 기반 공격 방어 효과를 높인다고 설명한다. 클라우드플레어는 무제한 DDoS 방어 서비스를 제공하고 있으며, 모든 조직이 성능저하 없이 엔터프라이즈급 보안 서비스를 이용할 수 있도록 지원하고 있다고 강조한다.
