사이버 공격이 더욱 지능화되고 있는 가운데, 디도스 공격도 예전처럼 대규모 트래픽 고갈공격이 아니라 인터넷 취약점을 교묘하게 파고드는 경향을 보이고 있는 것으로 나타났다.
아카마이는 최근 인수한 디도스 보호 서비스 업체 프로렉식의 1분기 글로벌 디도스 공격 보고서를 발표하고 이같이 설명했다.
이 보고서에서 주목할 점은 반사·증폭 공격이 새롭게 등장했다는 점이다. 이 공격은 200Gbps(초당 기가비트)와 53.5 Mpps(초당 100만 패킷) 이상의 최대 트래픽을 유발하기 위해 기존 봇넷 기반 애플리케이션 공격과 결합한 다중 반사 기술이 수반됐다.
스튜어트 스콜리 아카마이 수석 부사장 겸 보안 부문 제너럴 매니저는 “1분기 디도스 공격자들은 기존 봇넷 감염 형태의 공격에는 덜 의존하고, 반사나 증폭 기술을 선호했다”며 “새로운 디도스 툴킷은 좀비 컴퓨터의 네트워크를 이용하는 대신, 오픈 또는 취약 서버나 디바이스에서 이용 가능한 인터넷 프로토콜을 남용했다. 따라서 인터넷이 악의적 공격자들에게 주요한 봇넷이 될 것으로 보인다”고 말했다.
반사 및 증폭 공격툴은 1분기 평균 대역폭은 39%의 상승을 보였으며, 이는 가장 큰 규모의 디도스 공격으로 기록됐다. 디도스 공격 트래픽의 절반 이상이 미디어 및 엔터테인먼트 분야에 집중됐다. 1분기 활성 디도스 공격 가운데 54%의 악성 패킷이 한 산업분야를 공략하고 있었다.
가장 많이 남용된 프로토콜로 캐릭터 제너레이터(CHARGEN), NTP, DNS을 꼽았다. UDP에 기반을 둔 이 프로토콜들은 공격자들의 신분을 감추기 위한 최적의 프로토콜이므로 증폭 기반의 공격자들은 트래픽 근원지로부터 상대적으로 적은 아웃풋을 요구하면서 타깃에 대량의 데이터 전송을 할 수 있다.
한편 최근 디도스는 적은 자원으로 더 치명적인 피해를 발생시키는 툴을 사용하고 있는 것으로 분석됐다. 1분기에 발생한 대량의 인프라 기반 공격들은 쉽게 이용 가능한 디도스 서비스(DDoS-as-a-service)의 디도스 툴의 사용을 통해서 발생했다. 악의적인 공격자들이 고안한 이러한 툴은 숙련되지 않은 다수의 공격자들에게 전달돼 더욱 강력한 영향력과 편의를 제공했다.
예를 들어 1분기에는 반사 기술을 지원하는 손쉬운 디도스 공격툴로 인해 NTP 반사 공격이 급증했다. NTP 플러드 방식은 이전 분기에는 모든 공격의 1% 미만을 차지했지만, 현재 디도스 공격자들에게 끊임없는 인기를 얻고 있는 신 플러드(SYN Flood) 공격과 거의 비슷한 수준까지 상승했다. 또한 2013년1분기에는 감지되지 않았던 CHARGEN과 NTP 공격벡터는 2014년 1분기 총 인프라 공격의 23%를 차지했으며 프로렉식에 의해 안전하게 보호됐다.
