구글, 클라우드 아머 고객 대상 대규모 디도스 공격 차단
상태바
구글, 클라우드 아머 고객 대상 대규모 디도스 공격 차단
  • 곽중희 기자
  • 승인 2022.08.19 13:59
  • 댓글 0
이 기사를 공유합니다

HTTPS 디도스 공격, 초당 4600만 RPS로 69분간 지속돼
구글 클라우드 아머의 일부 고객에게 가해진 디도스 공격(출처: 시큐리티 어페어즈)

 

구글이 클라우드 아머(Cloud Armor)의 고객을 공격한 대규모의 HTTPS 디도스(DDoS) 공격을 차단했다고 발표했다. 구글에 따르면, 이번 공격은 초당 4600만 개 요청(RPS)에 달했다.

공격은 6월 1일 9시 45분에 발생했으며, 초당 1만 개 이상의 RPS로 고객의 HTTP/S 로드 밸런서를 공략했다. 공격이 시작된 지 2분 후 RPS는 4600만 개에 도달했고, 69분간 동안 지속됐다.

공격을 받은 고객사는 초당 RPS가 지난 6월 Cloudflare에 의해 차단됐던 2600만 개보다 76% 이상 많다고 지적했다.

구글은 “이것은 지금까지 보고된 것 중 가장 큰 공격이며 이전에 보고된 기록 보다 훨씬 높다. 이는 세계에서 가장 많은 트래픽을 보이는 웹사이트 중 하나인 위키디피아에 대한 모든 RPS를 단 10초 만에 수신하는 것과 같다"라고 설명했다.

전문가들은 공격이 132개국의 5256개 소스 IP에서 발생했으며 상위 4개 국이 전체 공격 트래픽의 약 31%를 차지했다고 분석했다. 또한 소스 IP의 약 22%가 Tor 출구 노드에 해당했지만 전문가들은 해당 노드에서 오는 RPS가 공격 트래픽의 3%에 불과하다고 지적했다.

구글은 "Tor가 공격에 참여하는 것은 취약한 서비스의 특성으로 인해 부수적이라고 생각하지만 피크의 3%(130만 개 RPS 이상)에서도 Tor 출구 노드가 상당한 양의 원치 않는 트래픽을 보낼 수 있음을 보여준다"라고 말했다. 

보안 전문가들은 “이번 공격은 구글 네트워크 에지에 의해 차단됐으며 다량의 RPS는 고객 애플리케이션의 업스트림에서 차단됐다. 공격이 시작되기 전 고객은 이미 관련 클라우드 아머 보안 정책에서 적응형 보호를 구성해 서비스에 대한 일반 트래픽 패턴의 기준 모델을 학습하고 있었다. 이에 Adaptive Protection은 디도스 공격의 수명 주기 초기에 탐지하고 들어오는 트래픽을 분석하며 공격이 증가하기 전에 권장되는 보호막을 생성할 수 있었다. 또한 고객은 클라우드 아머의 최근 출시된 속도 제한 기능을 활용해 공격 트래픽을 조절할 수 있었다”라고 말했다.

한편 이번 공격은 ‘Mēris 봇넷’에 의해 시작된 것으로 알려졌다.

 

*이 기사는 글로벌 정보보안 블로그 ‘시큐리티 어페어즈(Secutiry Affairs)’의 설립자이자 유럽네트워크정보보안기구(ENISA) 소속 보안 전문가 피에루이지 파가니니(Pierluigi Paganini)와의 공식 파트너십을 통해 작성됐습니다.
 


관련기사

댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
0 / 400
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.