글로벌 보안 기업 넷스카우트 시스템즈(NETSCOUT SYSTEMS)가 2024년 상반기 디도스 위협 인텔리전스 보고서(DDoS Threat Intelligence Report)를 발표했다. 이 보고서는 넷스카우트가 216개 국가 및 지역, 470개 산업 부문 및 1만4000개 이상의 ASN에서 발생한 디도스 공격에 대한 데이터를 수집, 분석, 정리하여 배포한 것을 토대로 한다. 넷스카우트는 ATLAS 플랫폼을 활용하여 초당 500테라비트(Tbps)가 넘는 인터넷 피어링 네트워크 트래픽에서 통찰력을 얻는다.

보고서에 따르면 애플리케이션 계층 공격이 43%나 급증했고, 특히 유럽과 중동에서 볼륨 공격이 30%나 증가했다고 밝혔다. 공격 지속 시간은 다양했으며 70%는 15분 미만이었다. 이러한 공격 확대는 은행 및 금융 서비스, 정부, 공공 서비스 부문의 중요 인프라를 표적으로 삼는 핵티비스트를 포함한 다양한 위협 행위자가 관여되었다.

이러한 공격은 핵티비스트들의 이념에 반대되는 국가에서 중요한 민간 서비스를 방해해 심각한 위협을 초래한다. 이미 빈번하고 강렬한 다중 벡터 공격에 직면해 있는 주요 산업은 지난 4년 동안 55%의 증가를 경험했다.

정교화되는 공격, 전 세계 네트워크 겨냥

디도스 공격은 네트워크를 방해하기 위해 혁신적인 기술과 접근 방식을 사용하면서 계속 진화하고 있다. 2024년 상반기 동안 넷스카우트가 발견한 중요한 추세는 다음과 같다.

친러시아 해커 그룹인 NoName057(16)은 애플리케이션 계층 공격, 특히 HTTP/S GET 및 POST 플러드에 대한 집중도를 높여 2023년 상반기에 비해 이러한 공격이 43% 증가했다.

명령 및 제어(C2)를 위해 HTTPS를 통한 DNS((DoH)와 같은 고급 기술을 사용하는 저그에카(Zergeca) 봇넷의 등장과 NoName057(16)이 사용하는 디도시아(DDoSia) 봇넷의 지속적인 진화로 인해 봇에 감염된 장치가 50% 증가했다.

봇을 제어 노드로 활용하는 분산형 봇넷 C2 인프라는 보다 분산되고 복원력이 뛰어난 디도스 공격 조정을 수행했다.

이러한 공격으로 인해 광범위한 혼란이 발생하여 전 세계 산업이 영향을 받았다. 서비스 저하나 중단은 수익 흐름을 마비시키고, 중요한 운영을 지연시키고, 생산성을 저해하고, 조직의 위험도를 높일 수 있다.

새로운 네트워크가 공격 대상

넷스카우트는 또한 신규 네트워크와 자율 시스템 번호(ASN)의 부상이 디도스 활동의 증가에 중추적인 역할을 한다는 사실을 발견했다. 새로 구축된 네트워크의 75% 이상이 온라인에 접속한 후 42일 이내에 공격 대상 또는 다른 사이트에 대한 공격을 확대하는 참여자로 남용되면서 디도스 활동에 관여된다. 이는 공격자가 회복력이 뛰어난 방해 네트워크와 견고한 호스팅 제공업체를 이용해 공격을 개시하기 때문이다. 조직에서는 네트워크 일부를 새로운 ASN으로 분리할 때 상위 서비스 제공업체가 자동으로 보호해 줄 것이라고 가정하기보다는 자체적인 디도스 방어를 계획해야 한다.

넷스카우트의 위협 인텔리전스 책임자 리처드 허멜(Richard Hummel)은 “핵티비스트 활동은 여러 대상을 동시에 공격하는 더욱 정교하고 조직화된 디도스 공격으로 글로벌 기업을 계속 괴롭히고 있다.”라며, “"공격자들이 더욱 회복력이 강하고, 차단이 어려운 네트워크를 사용함에 따라 탐지 및 완화가 더욱 어려워졌다. 이 보고서는 네트워크 운영 팀에 진화하는 위협에 앞서 나가기 위한 전략을 세부 조정할 수 있는 통찰력을 제공한다.”고 덧붙였다.