아카마이(지사장 김진웅, www.akamai.com/kr)가 최근 인수 완료한 디도스(DDoS) 보호 서비스 업체인 프로렉식(Prolexic)의 2014년 1분기 글로벌 디도스 공격 보고서를 발표했다.

스튜어트 스콜리 아카마이 수석 부사장겸 보안 부문 제너럴 매니저는 “프로렉식이 관찰해온 바로는 이번 1분기 디도스 공격자들은 기존 봇넷 감염 형태의 공격에는 덜 의존하고 반사나 증폭 기술을 선호했다”며 “좀비 컴퓨터의 네트워크를 이용하는 대신 새로운 디도스 툴킷은 오픈 또는 취약 서버나 디바이스에서 이용 가능한 인터넷 프로토콜을 남용함에 따라 인터넷이 악의적 공격자들에게 주요한 봇넷이 될 것으로 전망된다”고 전했다.

관찰 결과 프로렉식은 가장 많이 남용된 프로토콜로 캐릭터 제너레이터(CHARGEN), 네트워크 타임프로토콜(Network Time Protocol; NTP)과 도메인 네임 시스템(Domain Name System; DNS)을 꼽았다.

유저 데이터그램 프로토콜(User Datagram Protocol; UDP)에 기반을 둔 이 프로토콜들은 공격자들의 신분을 감추기 위한 최적의 프로토콜이므로 증폭 기반의 공격자들은 트래픽 근원지로부터 상대적으로 적은 아웃풋을 요구하면서 타깃에 대량의 데이터 전송을 할 수 있다.

새롭게 등장한 반사 및 증폭 공격툴은 강력한 영향력을 미칠 수 있다. 프로렉식의 디도스 제어 네트워크 전역에서 1분기 평균 대역폭은 39%의 상승을 보였으며 이는 가장 큰 규모의 디도스 공격으로 기록됐다. 이 공격에는 200Gbps(초당 기가비트)와 53.5Mpps(초당 백만 패킷) 이상의 최대 트래픽을 유발하기 위해 기존 봇넷 기반 애플리케이션 공격과 결합한 다중 반사 기술이 수반됐다.

이와 함께 이번 분기 디도스 공격 트래픽의 절반 이상이 미디어 및 엔터테인먼트 분야에 집중됐다. 1분기 활성 디도스 공격 가운데 54%의 악성 패킷이 한 산업분야를 공략하고 있었으며 프로렉식에 의해 완화됐다.

2014년 1분기 프로렉식의 글로벌 디도스 공격 보고서 주요 내용을 살펴보면 우선 2013년 1분기 대비 ▲총 디도스 공격 47% 증가 ▲평균 공격 대역폭 9% 감소 ▲인프라 공격(레이어3, 4) 68% 증가 ▲애플리케이션 공격(레이어7) 21% 감소 ▲평균 공격 지속 시간 50% 감소(35시간→17시간) ▲평균 최대 대역폭 133% 증가 등의 결과를 내놓았으며 2013년 4분기 대비로는 ▲총 디도스 공격 18% 증가 ▲평균 공격 대역폭 39% 증가 ▲인프라 공격(레이어 3, 4) 35% 증가 ▲애플리케이션 공격(레이어 7) 36% 감소 ▲평균 공격 지속 시간 24% 감소(23시간→17시간) ▲평균 최대 대역폭 114% 증가 등의 결과를 보였다.

최근 디도스 분야의 발전으로 적은 자원으로 더 치명적인 피해를 발생시키는 툴들이 증가하고 있다. 1분기에 발생한 대량의 인프라 기반 공격들은 쉽게 이용 가능한 디도스 서비스(DDoS-as-a-service)의 디도스 툴의 사용을 통해 발생했다. 악의적인 공격자들이 고안한 이러한 툴은 숙련되지 않은 다수의 공격자들에게 전달돼 더욱 강력한 영향력과 편의를 제공했다.

예를 들어 1분기에는 반사 기술을 지원하는 손쉬운 디도스 공격툴로 인해 NTP반사 공격이 급증했다. NTP 플러드 방식은 이전 분기에는 모든 공격의 1% 미만을 차지했지만 현재 디도스 공격자들에게 끊임없는 인기를 얻고 있는 신 플러드(SYN Flood) 공격과 거의 비슷한 수준까지 상승했다.

또한 2013년1분기에는 감지되지 않았던 CHARGEN과 NTP 공격벡터는 2014년 1분기 총 인프라 공격의 23%를 차지했으며 프로렉식에 의해 안전하게 보호됐다.

한편 아카마이는 2013년 12월 클라우드 기반 보안업체인 프로렉식 인수를 발표했다. 프로렉식의 글로벌 디도스 공격 보고서와 아카마이의 인터넷 현황 보고서 모두 디도스 공격과 관련 트렌드 및 통계 수치에 대해 다루고 있으며 다음 분기부터는 인터넷 위협 환경에 대한 업계 최고 수준의 핵심 통찰력을 제공할 수 있는 보고서를 발표할 계획이다.

이광재 기자 다른기사 보기