DDoS(분산 서비스 거부) 공격은 다수의 시스템에서 대량의 데이터를 특정 서버나 네트워크로 보내 과부하를 일으키고 정상적인 서비스 제공을 방해하는 사이버 공격이다.

특히 네트워크 계층(계층 3/4)과 애플리케이션 계층(계층 7)을 겨냥해 더욱 정교화되고 있으며, 공격의 규모와 빈도도 해마다 급증하고 있다. 사이버 전쟁, 경쟁 기업 간 방해, 랜섬 요구 등 다양한 목적에서 활용되며, 오늘날 가장 흔하고 파괴적인 사이버 공격 중 하나로 평가된다.

글로벌 보안 기업 클라우드플레어(Cloudflare)가 클라우드플레어 네트워크 데이터를 기반으로 분산 서비스 거부(DDoS) 공격을 분석한 2024년 4분기 DDoS 위협 보고서를 발표했다.

2020년 첫 번째 보고서를 발표했을 때 클라우드플레어의 전역 네트워크 용량은 초당 35 테라비트(Tbps)였다. 이번 보고서에 따르면, 네트워크 용량은 817% 증가해 321Tbps가 됐다. 또한 2020년 초에 200개 도시에서, 2024년 말에는 330개 도시로 전 세계에 걸쳐 65% 확대됐다.

보고서의 주요 내용으로, 2024년 클라우드플레어의 자율 DDoS 방어 시스템에서 약 2130만 건의 DDoS 공격을 차단했으며, 이는 2023년에 비해 53% 증가한 수치였다. 또한 2024년에는 평균적으로 매시간 4870건의 DDoS 공격을 차단했다.

4분기에 발견된 공격 중 420건 이상이 많은 양의 데이터를 사용해 시스템을 공격하거나 오버플로를 일으키는 ‘하이퍼 볼류메트릭(Hyper Volumetric)’ 공격으로, 초당 10억 패킷(pps) 및 1Tbps를 초과했다. 또한 1Tbps를 초과하는 공격의 양은 전 분기 대비 1885% 증가했다.

또한 2024년 할로윈 주간에 클라우드플레어의 DDoS 방어 시스템에서는 초당 5.6테라비트(Tbps)의 DDoS 공격을 자율적으로 감지하고 차단하는 데 성공했다.

DDoS 공격 분석

클라우드플레어는 2024년 4분기에 690만 건의 DDoS 공격을 완화했다. 이는 전 분기 대비(QoQ) 16%, 전년 대비(YoY) 83% 증가한 수치였다. 또한 2024년 4분기의 DDoS 공격 중 49%(340만 건)가 계층 3/계층 4 DDoS 공격이었고, 51%(350만 건)는 HTTP DDoS 공격이었다.

HTTP DDoS 공격

대부분의 HTTP DDoS 공격(73%)은 알려진 봇넷에 의해 시작되었다. 이들 공격은 대규모 네트워크를 운영하고 다양한 유형의 공격과 봇넷을 확인함에 따라 신속하게 감지하고 차단할 수 있었다. 이를 통해 클라우드플레어의 보안 엔지니어와 연구원들은 휴리스틱을 만들어 이러한 공격에 대한 완화 효과를 높일 수 있다.

추가로 11%는 정상적인 브라우저로 가장하다가 감지된 HTTP DDoS 공격이었다. 또 다른 10%는 의심스럽거나 비정상적인 HTTP 속성이 포함된 공격이었다. 나머지 8%의 '기타' 공격은 일반 HTTP 폭주, 볼류메트릭 캐시 버스팅 공격, 로그인 엔드포인트를 겨냥한 볼류메트릭 공격이었다.

상위 사용자 에이전트

구글의 릴리스 노트에 따르면 이 보고서 발표 시점을 기준으로 윈도우, 맥, iOS, 안드로이드용 크롬의 현재 안정 버전은 132개이다. 그러나 DDoS 공격에 가장 자주 등장한 상위 사용자 에이전트 13개가 118에서 129까지의 크롬 버전이었기 때문에 위협 행위자들은 여전히 뒤처져 있는 것으로 보였다.

HITV_ST_PLATFORM 사용자 에이전트는 전체 요청 중 DDoS 요청의 점유율이 가장 높았고(99.9%), DDoS 공격에서 독점적으로 사용되는 사용자 에이전트였다. 즉, HITV_ST_PLATFORM 사용자 에이전트에서 오는 트래픽을 보면 정상적 트래픽일 확률이 0.1%인 셈이다.

위협 행위자는 일반적이지 않은 사용자 에이전트를 사용하지 않고 크롬과 같은 일반적인 사용자 에이전트가 일반 트래픽에 섞이는 것을 선호하는 경우가 많았다. 이는 특정 사이버 공격에 연루된 장치가 손상된 스마트 TV나 셋톱 박스임을 시사한다.

따라서, 관찰 결과에 따르면 스마트 TV와 셋톱 박스 등 인터넷에 연결된 모든 장치가 사이버 공격에 악용되지 않도록 보호하는 것이 중요하다.

HTTP 요청과 Erlang/Elixir에서 일반적으로 사용되는 Erlang용 HTTP 클라이언트 라이브러리인 사용자 에이전트 ‘hackney’는 DDoS 공격의 사용자 에이전트 부분을 포함하는 요청이 93%로 2위를 차지했다.

DDoS 공격에 추가로 사용되는 사용자 에이전트는 유토렌트(uTorrent)였으며, 이는 파일을 다운로드하는 데 널리 사용되는 비트토렌트(BitTorrent) 클라이언트와 관련이 있다.

Go-http-client 및 fasthttp도 DDoS 공격에 일반적으로 사용되었다. 전자는 Go의 표준 라이브러리에 있는 기본 HTTP 클라이언트이고 후자는 고성능 대안이다. fasthttp는 빠른 웹 애플리케이션을 빌드하는 데 사용되지만, DDoS 공격 및 웹 스크래핑에도 악용되는 경우가 많다.

DDoS 공격에 일반적으로 사용되는 HTTP 속성

① HTTP 메서드

HTTP 메서드(HTTP 동사라고도 함)는 서버의 리소스에 대해 수행할 작업을 정의한다. HTTP 메서드는 HTTP 프로토콜의 일부이며 클라이언트(예: 브라우저)와 서버 간의 통신을 허용한다.

이에 GET 메서드가 가장 일반적으로 사용된다. 합법적인 HTTP 요청의 약 70%가 GET 메서드를 사용했다. 2위는 POST 메서드로 27%의 점유율을 차지했다.

DDoS 공격의 경우에는 다른 양상을 볼 수 있다. HEAD 메서드를 사용하는 HTTP 요청의 거의 14%는 합법적인 HTTP 요청에는 거의 존재하지 않음에도 불구하고 DDoS 공격의 일부였다(전체 요청의 0.75%). DELETE 메서드는 전체 사용량의 약 7%가 DDoS 목적으로 사용되면서 2위를 차지했다.

DDoS 공격에서 일반적으로 볼 수 있는 메서드와 합법적인 트래픽에서 볼 수 있는 메서드의 불균형이 발견됐다.

② HTTP 경로

HTTP 경로는 특정 서버 리소스를 설명한다. HTTP 메서드와 함께 서버는 리소스에 대한 작업을 수행한다.

DDoS 공격은 웹 사이트의 루트("/")를 겨냥하는 경우가 많지만, 특정 경로를 겨냥하는 경우도 있었다. 2024년 4분기에 워드프레스(WordPress) 웹 사이트의 기본 관리자 대시보드인 /wp-admin/ 경로에 대한 HTTP 요청의 98%가 DDoS 공격의 일부였다.

③ HTTP와 HTTPS 비교

4분기에는 합법적인 트래픽의 거의 94%가 HTTPS였다. 6%만이 일반 텍스트 HTTP(암호화되지 않음)였다. DDoS 공격 트래픽을 살펴보면, HTTP DDoS 공격 요청의 약 92%는 HTTPS를 통한 요청이었고 약 8%가 일반 텍스트 HTTP를 통한 것이었다.

계층 3/계층 4 DDoS 공격

가장 일반적인 계층 3/계층 4(네트워크 계층) 공격 벡터는 SYN 폭주(38%), DNS 폭주(16%),UDP 폭주(14%) 공격이었다.

다른 일반적인 공격 벡터 또는 봇넷 유형은 미라이(Mirai) 공격으로 전체 네트워크 계층 DDoS 공격의 6%를 차지했으며, 이는 전 분기 대비 131% 증가한 수치이다. 2024년 4분기에 기록된 가장 큰 규모의 DDoS 공격은 미라이 변종 봇넷으로 인해 발생했다.

부상하는 공격 벡터

멤캐시드 DDoS 공격은 전 분기 대비 314%로 가장 많이 늘었다. 멤캐시드는 웹 사이트와 네트워크 속도를 높이기 위한 데이터베이스 캐싱 시스템이다. UDP를 지원하는 멤캐시드 서버를 악용해 증폭 또는 반사 DDoS 공격을 시작할 수 있다.

이 경우 공격자는 캐싱 시스템에서 콘텐츠를 요청하고 피해자의 IP 주소를 UDP 패킷의 원본 IP로 스푸핑한다. 피해자는 초기 요청보다 최대 51,200배 더 큰 멤캐시드 응답으로 폭주하게 된다.

비트토렌트 DDoS 공격은 이번 분기에도 급증했다. 비트토렌트 프로토콜은 피어 투 피어 파일 공유 시 사용되는 통신 프로토콜이다. 비트토렌트 클라이언트가 파일을 찾아 다운로드하는 데 도움이 되도록, 비트토렌트 클라이언트는 비트토렌트 트래커 또는 분산 해시 테이블(DHT)을 사용해 원하는 파일을 시드하는 피어를 식별할 수 있다.

이러한 개념을 악용해 DDoS 공격이 개시될 수 있다. 악의적 행위자는 트래커 및 DHT 시스템 내에서 피해자의 IP 주소를 시더 IP 주소로 스푸핑할 수 있다. 그러면 클라이언트가 이러한 IP 주소에 파일을 요청하게 된다. 파일을 요청하는 클라이언트 수가 충분히 많아지면, 피해자가 처리할 수 있는 트래픽보다 많은 트래픽을 통해 폭주시킬 수 있다.

역대급 규모의 DDoS 공격

10월 29일, 미라이 변종 봇넷에 의해 실행된 5.6Tbps UDP DDoS 공격이 클라우드플레어 매직 트랜짓(Magic Transit) 고객인 동 아시아의 인터넷 서비스 공급자(ISP)를 표적으로 삼았다. 이 공격은 80초 동안만 지속되었으며 1만 3000여 개의 IoT 장치에서 발생했다.

감지 및 완화는 클라우드플레어의 분산 방어 시스템에 의해 자율적으로 이루어졌다. 사람의 개입이 필요하지 않았고, 경고가 트리거되지 않았으며, 성능 저하가 발생하지 않았다. 시스템은 의도한 대로 작동했다.

고유한 원본 IP 주소의 총 개수는 약 1만 3000개였지만, 초당 평균 고유 원본 IP 주소는 5500개였다. 또한 초당 고유한 원본 포트 수도 비슷한 개수였다. 아래 그래프에서 각 선은 1만 3000개의 서로 다른 원본 IP 주소 중 하나를 나타내며, 그림과 같이 각각 초당 8Gbps 미만으로 기여했다. 각 IP 주소의 초당 평균 기여도는 약 1Gbps(5.6Tbps의 ~0.012%)였다.

대규모 볼류메트릭 DDoS 공격

2024년 3분기에 대규모 볼류메트릭 네트워크 계층 DDoS 공격이 증가하기 시작했다. 2024년 4분기에 1Tbps를 초과하는 공격의 양은 전 분기 대비 1885% 증가했으며 1억pps(초당 패킷 수)를 초과하는 공격은 전 분기 대비 175% 증가했다. 100Mpps를 초과한 공격 중 16%는 1조pps도 초과했다.

공격 규모

대다수의 HTTP DDoS 공격(63%)은 초당 5만 건의 요청을 초과하지 않았다. 반면 HTTP DDoS 공격의 3%는 초당 요청이 1억 건을 초과했다.

마찬가지로 대다수의 네트워크 계층 DDoS 공격도 소규모이다. 93%는 500Mbps를 초과하지 않았고 87%는 초당 5만 패킷을 초과하지 않았다.

공격 지속 시간

대다수의 HTTP DDoS 공격(72%)은 10분 이내에 종료된다. HTTP DDoS 공격의 약 22%는 1시간 이상 지속되며 11%는 24시간 이상 지속된다.

마찬가지로 네트워크 계층 DDoS 공격의 91%도 10분 이내에 종료된다. 2%만이 1시간 이상 지속된다.

전반적으로, DDoS 공격의 지속 시간은 전 분기 대비 감소했다. 대부분의 공격은 지속 시간이 너무 짧아 사람이 경고에 대응하고 트래픽을 분석하며 완화 조치를 적용하는 것이 불가능한 경우가 대부분이었다. 때문에, 상시 가동되는 자동화된 인라인 DDoS 방어 서비스의 필요성이 강조된다.

공격 출처

2024년 마지막 분기에도 인도네시아는 2분기 연속 전 세계 DDoS 공격의 최대 출처였으며, 홍콩과 싱가포르가 그 뒤를 이었다.

상위 출처 네트워크

자율 시스템(AS)은 통합 라우팅 정책이 있는 대규모 네트워크 또는 네트워크 그룹으로, 인터넷에 연결되는 모든 컴퓨터나 장치는 AS에 연결된다.

2024년 4분기에 가장 많은 HTTP DDoS 공격 트래픽이 관찰된 AS는 독일의 Hetzner(AS24940)였다. 모든 HTTP DDoS 요청의 약 5%가 Hetzer의 네트워크에서 시작되었다. 클라우드플레어에서 차단한 100개의 HTTP DDoS 요청 중 5개가 Hetzner에서 시작되었다는 뜻이다.

2위는 미국에 본사를 둔 Digital Ocean(AS14061)이 차지했으며, 프랑스에 본사를 둔 OVH(AS16276)가 3위로 그 뒤를 이었다.

상위 위협 행위자

DDoS 공격의 표적이 된 클라우드플레어 고객을 대상으로 설문조사를 실시한 결과, 대다수가 누가 자신을 공격했는지 모른다고 답했다. 알고 있었던 기업은 경쟁업체가 공격의 배후에 있는 가장 큰 위협 행위자라고 답했다(40%).

또 다른 17%는 국가 수준 또는 국가 주도 위협 행위자가 공격의 배후에 있다고 답했으며, 비슷한 비율의 응답자가 불만을 품은 사용자 또는 고객이 공격의 배후에 있다고 답했다.

또 다른 14%는 갈취 공격자가 공격의 배후에 있다고 답했다. 7%는 스스로 초래한 DDoS라고 주장했고, 2%는 해킹 활동이 공격의 원인이라고 보고했으며, 2%는 전직 직원이 공격을 시작했다고 보고했다.

랜섬 DDoS 공격

2024년 마지막 분기에는 예상대로 랜섬 DDoS 공격이 급증했다. 4분기가 온라인 쇼핑, 여행 준비, 휴일 활동이 증가하는 사이버 범죄자의 성수기라는 점을 고려하면 이러한 급증을 예측할 수 있었다.

피크 시간에 이러한 서비스가 중단되면 조직의 수익에 큰 영향이 미칠 수 있으며 실제 상황에서 항공편 지연 및 취소와 같은 혼란이 발생할 수 있다.

4분기에 DDoS 공격의 표적이 된 클라우드플레어 고객 중 12%가 랜섬을 지불하라는 협박 또는 갈취를 당했다고 보고했다. 이는 2023년 4분기에 비해 전 분기 대비 78%, 전년 대비 25% 증가한 수치이다.

2024년 한 해동안 클라우드플레어에서는 5월에 랜섬 DDoS 공격 신고를 가장 많이 받았다. 4분기에는 10월(10%), 11월(13%), 12월(14%)부터 점진적으로 증가해 7개월 만에 최고치를 기록했다.

공격 대상

2024년 4분기에도 중국은 가장 많은 공격을 받은 국가 위치를 유지했다. 어떤 국가가 더 많은 공격을 받는지 파악하기 위해 클라우드플레어에서는 DDoS 공격을 고객의 청구 국가별로 분류했다.

가장 많이 공격받은 산업

2024년 4분기에 통신, 서비스 공급자, 통신사 산업은 가장 많은 공격을 받은 산업으로 지난 분기의 3위에서 1위로 상승했다.

클라우드플레어는 고객의 산업별로 DDoS 공격을 그룹화했다. 인터넷 산업이 2위,마케팅 및 광고 산업이 3위를 차지했다. 반면 은행 및 금융 서비스 산업은 2024년 3분기 1위에서 4분기 8위로 하락했다.

DDoS 방어 전략

2024년 4분기에는 대규모 볼류메트릭 계층 3/계층 4 DDoS 공격이 급증했으며, 이 중 가장 큰 공격은 5.6Tbps로 최고치를 기록하며 이전 기록을 경신했다. 이처럼 공격 규모가 커지면 용량이 제한된 클라우드 DDoS 방어 서비스나 온프레미스 DDoS 장비는 무용지물이 된다.

한편, 지정학적 요인으로 인해 강력한 봇넷의 사용이 증가하면서 취약한 대상의 범위가 넓어졌으며, 랜섬 DDoS 공격의 증가도 우려 사항이 되고 있다.

조사 결과, 다수의 조직들은 공격을 받은 후에만 DDoS 방어를 실행한다. 관찰 결과, 선제적인 보안 전략을 갖춘 조직일수록 복원력이 더 큰 것으로 나타났다.

클라우드플레어는 보고서를 바탕으로 자동화된 방어 및 포괄적인 보안 포트폴리오에 투자해 현재의 위협과 새로운 위협 모두에 대한 선제적 보호를 제공할 계획이다. 특히 전 세계 330개 도시에 걸쳐 있는 321Tbps 네트워크를 통해 공격의 크기, 지속 시간, 양과 관계없이 무제한 DDoS 방어를 제공할 방침이다.