분산 서비스 거부(Distributed Denial of Service, 이하 DDoS) 공격은 다수의 분산된 시스템이 특정 서버나 네트워크를 과부하시키기 위해 동시에 대량의 트래픽을 보내 정상적인 서비스를 방해하는 사이버 공격이다. 공격자는 감염된 컴퓨터나 IoT 기기를 이용해 봇넷을 형성하고, 이를 통해 목표 시스템에 과도한 요청을 전송한다. 이로 인해 서버는 과부하 상태에 빠지며, 일반 사용자는 서비스에 접속할 수 없게  된다.

DDoS 공격은 금융 손실, 서비스 중단, 평판 훼손 등의 심각한 영향을 초래할 수 있어, 이를 방지하기 위한 보안 조치가 중요하다.

글로벌 보안기업 클라우드플레어(Cloudflare)가 "2024년 2분기 DDoS 위협 보고서'를 발표했다.

생성AI로 더 교묘해지는 DDoS 공격

보고서에 따르면 클라우드플레어는  2024년 1분기에 450만 건, 2분기에 400만 건 등 850만 건의 DDoS 공격을 방어했다. 전체적으로, 2분기 DDoS 공격 건수는 전 분기 대비 11% 감소했지만 전년 대비 20% 증가한 것으로 나타났다.

2분기의 400만 건의 DDoS 공격은 220만 건의 네트워크 계층 DDoS와 180만 건의 HTTP DDoS 공격으로 구성됐다. 특히 180만 HTTP DDoS 공격 건수는 정교하고 무작위화된 HTTP DDoS 공격의 폭발적인 증가 수를 보정하기 위해 정규화한 것이다. 실제 생성된 지문 수는 약 1900만 건에 이른 수치로 정규화된 180만 개보다 10배 이상 많다.

이는 위협 환경이 급격하게 변화하고 있음을 알 수 있다. 기존에는 위협 행위자가 이와 같은 무작위적이고 정교한 공격을 수행할 수 있게 해주는 도구와 능력은 국가 수준의 행위자나 국가 주도 행위자인 경우가 많았다. 그러나 생성AI와 오토파일럿 시스템이 등장하면서 일반 사이버 범죄자도 해당 공격이 가능하게 됐다.

지속적인 증가세, 랜섬 DDoS 공격

한편, 2024년 5월 공격을 받고 DDoS 공격 위협 행위자의 위협을 겪었거나 랜섬 DDoS 공격을 받았다고 신고한 클라우드 플레어 고객의 비율은 16%였다. 고객 중 7%가 위협 또는 랜섬 공격을 보고한 이 분기는 상대적으로 낮은 수치로 시작되었고 5월에는 16%로 증가했으며 6월에는 14%로 약간 감소했다.

전반적으로, 랜섬 DDoS 공격은 2023년부터 분기마다 계속 증가하고 있다. 2024년 2분기에 위협이나 갈취를 신고한 고객의 비율은 12.3%로, 전 분기(10.2%)보다는 약간 높지만, 전년도 비율(마찬가지로 12.0%)과 비슷했다.

응답자의 75%가 누가 자신을 공격했는지, 왜 공격했는지 모른다고 답했다. 공격자나 공격 이유를 알고 있다고 주장하는 응답자 중 59%는 경쟁업체가 자신을 공격했다고 답했다. 다른 응답자 21%는 불만을 가진 고객이나 사용자가 DDoS 공격을 수행했다고 답했으며, 17%는 국가 수준의 위협 행위자나 국가 주도 위협 행위자가 공격을 수행했다고 답했다. 나머지 3%는 자체 DDoS 공격이라고 답했다.

공격 대상 1위는 중국과 IT&서비스 산업

2024년 2분기에 세계에서 가장 많은 공격을 받은 국가는 중국이다. 그리고 터키가 2위를 차지했으며, 싱가포르, 홍콩, 러시아, 브라질, 태국이 그 뒤를 이었다.

가장 많이 공격받은 산업은 정보 기술 및 서비스 분야였다. 그 뒤로 통신, 서비스 제공업체, 통신사 산업이 2위를 차지했으며, 소비재는 3위를 차지했다. HTTP DDoS 공격 면에서는 게임 및 도박에 공격이 가장 많았다.

또한 공격의 최대 출처로 아르헨티나가 조사됐다. 인도네시아가 그 뒤를 따라 2위를, 네덜란드가 3위를 차지했다.

상위 DDoS 공격 벡터

DNS 기반 DDoS 공격은 전 분기 대비 49% 감소했지만 여전히 가장 일반적인 공격 벡터로, DNS 폭주 및 DNS 증폭 공격을 합쳐 37%를 차지한다. 23%인 SYN 폭주가 2위, 10%를 조금 넘긴 RST 폭주가 그 뒤를 이었다. SYN 폭주와 RST 폭주는 모두 TCP 기반 DDoS 공격 유형이다. 모든 유형의 TCP 기반 DDoS 공격은 모든 네트워크 계층 DDoS 공격 중 38%를 차지했다.

지난 분기에는 전체 HTTP DDoS 공격의 절반이 클라우드 플레어에 알려진 봇넷을 대상으로 한 독점 휴리스틱을 사용해 완화되었다. 클라우드 플레어 시스템은 이러한 휴리스틱의 방식에 따라 공격에 대응할 실시간 지문을 생성한다.

또 다른 29%는 가짜 사용자 에이전트, 가장 브라우저, 헤드리스 브라우저를 통한 HTTP DDoS 공격이었다. 추가 13%에는 클라우드 플레어의 자동화 시스템을 트리거하는 의심스러운 HTTP 속성이 있었고, 7%는 일반 폭주로 나타났다.

한 가지 유의할 점은 이러한 공격 벡터, 또는 공격 그룹이 반드시 배타적이지는 않는다는 점이다. 예를 들어, 알려진 봇넷은 브라우저를 가장하고 의심스러운 HTTP 속성을 가지고 있기는 하지만, 이 분석은 클라우드 플레어에서 HTTP DDoS 공격을 처음으로 범주화하는 시도이다.

DDoS 공격 지속 시간

DDoS 공격은 대부분 짧다. HTTP DDoS 공격의 57% 이상, 네트워크 계층 DDoS 공격의 88%가 10분 이내에 종료된다. 이에 따라 자동화된 인라인 감지 및 완화 시스템의 필요성이 두드러진다. 사람이 알림에 응답하고, 트래픽을 분석하며, 수동 완화를 적용하는 데 10분은 부족하다.

HTTP DDoS 공격 중 약 4분의 1이 1시간 이상 지속되고, 약 5분의 1이 하루 이상 지속됐다. 네트워크 계층에서 긴 공격은 훨씬 흔하지 않다. 네트워크 계층 DDoS 공격의 1%만이 3시간 이상 지속됐다.

DDoS 공격 규모와 분포

대부분의 DDoS 공격은 상대적으로 규모가 작다. 네트워크 계층 DDoS 공격의 95% 이상이 초당 500메가비트 미만을 유지하며 86%가 초당 50,000패킷 미만을 유지한다.

HTTP DDoS 공격의 81%는 초당 요청 5만 개 미만을 유지한다. 클라우드 플레어 규모에서는 낮은 속도지만, 이러한 트래픽 수준이 일상적이지 않은 비보호 웹 사이트에는 치명적일 수 있다.

대부분의 공격은 소규모였지만, 대규모 볼류메트릭 공격의 수가 증가했다. 네트워크 계층 DDoS 공격 100건 중 1건은 초당 100만 패킷(pps)을 넘었으며, 100건 중 2건은 초당 500기가비트를 넘었다. 계층 7에서, HTTP DDoS 공격 1,000건마다 4건에서는 초당 요청이 100만 개를 넘었다.