아카마이가 2014년 2분기 프로렉식 글로벌 디도스 공격 보고서(Prolexic Q2 2014 Global DDoS Attack Report)를 발표했다.

아카마이가 최근 인수 완료한 디도스(DDoS) 보호 서비스 업체인 프로렉식테크놀로지(Prolexic Technologies)는 2011년 이래 분기별 디도스 공격 보고서를 발표하며 글로벌 디도스 공격 트렌드에 대한 분석 및 통찰력을 제시해 왔다.

스튜어트 스콜리 아카마이 수석 부사장겸 보안 부문 제너럴 매니저는 “디도스 공격은 높은 평균 및 최대 대역폭과 함께 매우 빈번하게 일어나고 있을 뿐 아니라 엄청난 네트워크 대역폭으로 데이터 센터 전체가 공격 당할 수 있다”며 “이러한 강력한 공격들의 이면에는 보다 강해진 봇넷을 형성하고 배치하며 또 은폐까지 하는 변화된 공격 전략이 있고 서버측 봇넷(server-side botnets)은 웹 취약성과 반사 및 증폭 공격 방법 등을 노리고 있으며 항상 공격 그 이상의 결과를 가져온다”고 말했다.

서버측 봇넷을 형성할 때 공격자들은 리눅스, 아파치, MySQL, PHP(LAMP) 스택 및 윈도 서버 오퍼레이팅 시스템과 같은 소프트웨어를 구동시키는 서버 인스턴스와 함께 서비스로서의 플랫폼(PaaS)과 서비스로서의 소프트웨어(SaaS) 기업들을 타겟으로 삼는다.

또한 웹 콘텐트 관리 시스템(Content Management Systems; CMS)인 워드프레스(WordPress)와 줌라(Joomla) 등의 취약 버전을 표적으로 삼기도 했다.

서버 기반 봇넷의 사용이 증가하고 있는 한편 브로봇(Brobot; itsoknoproblembro) 봇넷은 서버가 감염됐을 때 그림자의 형태로 잠복해 있다가 특정한 목표물에 대한 공격성을 띄고 나타난다.

2분기에 일어났던 공격은 봇넷이 아직까지도 2011~2013년도에 있었던 금융 기관 대상 오퍼레이션 아바빌(Operation Ababil) 공격때와 같은 초기단계의 모습을 유지하고 있는 것이다.

반사와 증폭 공격이 더 빈번하게 일어났던 작년 2분기와 지난 분기에는 공격 전체의 15% 이상이 인프라에 대한 공격으로 이뤄졌다.

또 이러한 공격들은 일반 인터넷 프로토콜과 잘못 설정된 서버들의 기능을 악용한다. 올해 2분기에 네트워크 타임 프로토콜(Network Time Protocol; NTP) 반사공격이 약간 주춤했을 때에도 단일 네트워크 관리 프로토콜(Simple Network Management Protocol; SNMP) 리플렉터 공격은 늘어났다.

서버측 봇넷을 포함하는 공격들은 가장 복잡하고 조심스럽게 조직된 디도스 캠페인에서만 관측됐으며 규모가 큰 인프라 공격은 디도스 완화 기술을 피해가도록 설계됐다. 이런 공격의 유효성과 불안정한 클라우드 기반의 소프트웨어들 때문에 공격들이 계속되고 있다. 이런 공격은 사업체, 정부 및 다른 기관에도 큰 위험이 된다.

이광재 기자 다른기사 보기