글로벌 보안 기업 넷스카우트 시스템즈(NETSCOUT SYSTEMS, INC.)가 발표한 ‘2024년 하반기 DDoS 위협 인텔리전스 보고서(2H2024 DDoS Threat Intelligence Report)’에 따르면 분산서비스거부(Distributed Denial of Service, DDoS) 공격이 단순한 사이버 교란을 넘어, 정치적 목적을 띤 디지털 무기로 진화하고 있다.

보고서는 DDoS 공격이 선거, 시위, 정책 갈등과 같은 사회정치학적 사건과 직접 연계되어 핵심 인프라를 정밀 타격하는 데 활용되고 있다고 분석한다.

2024년 주요 국가별 공격 증가 사례는 이러한 경향을 뚜렷이 보여준다. 이스라엘은 정치적 긴장이 고조된 시기에 공격이 2844% 폭증했고, 조지아는 ‘러시아 법안’ 논의 기간 중 1489% 증가했다. 멕시코와 영국 역시 선거나 의회 회기 개시 등의 정치적 이벤트와 맞물려 각각 218%, 152%의 공격 증가율을 기록했다.

AI·자동화와 결합된 공격 대행 플랫폼의 확산

보고서는 특히 DDoS 공격 대행(DDoS-for-hire) 서비스의 기술 고도화에 주목하고 있다. 현재 공격 플랫폼 10개 중 9개가 CAPTCHA 우회를 위한 인공지능 기능을 탑재하고 있으며, 자동화를 기반으로 멀티 타깃 공격, 융단 폭격(carpet bombing), 지오 스푸핑(geo-spoofing), IPv6 확장을 활용한 기법도 적극 활용되고 있다.

이처럼 고도화된 도구는 숙련도가 낮은 공격자도 고성능의 공격을 실행할 수 있게 만든다. 넷스카우트의 위협 인텔리전스 디렉터 리차드 허멜(Richard Hummel)은 “DDoS는 사이버전에서 가장 흔하면서도 강력한 도구로 자리잡았으며, NoName057(16)과 같은 공격 그룹이 유럽 각국 정부 서비스를 반복적으로 공격하며 그 위력을 입증하고 있다”고 밝혔다.

봇넷과 인프라 장비의 악용...끊이지 않는 공격 지속성

보고서에 따르면, 기업 서버와 라우터 등 엔터프라이즈 장비가 DDoS 공격의 위력을 강화하는 데 악용되고 있다. 2024년 하반기 기준, 봇넷 개체 수는 약 5% 감소했으나 전체 공격 빈도는 감소하지 않았다. 이는 법 집행 기관의 단속에도 불구하고 봇넷이 빠르게 재구성되고, 공격 플랫폼이 대체되기 때문이다.

대표적으로 ‘파워오프 작전(Operation PowerOFF)’과 같은 단속은 공격 플랫폼을 일시적으로 중단시키는 데는 성공하지만, 곧 새로운 플랫폼이 등장하며 위협은 이어지고 있다. 이러한 순환 구조 속에서 DDoS 공격은 높은 적응성과 지속성을 유지하며 인프라 보안에 큰 부담을 주고 있다.

글로벌 가시성 강화...선제적 방어 전략 요구

넷스카우트는 수동·능동·사후 관측 포인트를 통해 DDoS 지형을 정밀하게 추적하고 있으며, 라우팅된 IPv4 공간의 약 3분의 2를 보호하고 있다. 2024년 하반기에는 700Tbps 이상의 글로벌 피크 트래픽을 방어하며 네트워크 에지를 안정적으로 지켜냈다.

또한 넷스카우트는 수백만 개의 악성 기기와 공격 대행 플랫폼을 추적하면서 매일 수만 건의 공격을 모니터링하고 있다. 보고서는 사이버 보안 담당자들에게 “지금까지 없었던 수준의 강도, 속도, 지능, 지속성을 갖춘 DDoS 공격에 대응하기 위해, 선제적인 인텔리전스 기반 전략과 자동화된 대응이 필수적”이라고 강조한다.

넷스카우트는 이번 보고서와 함께 실시간 DDoS 공격 통계와 인사이트를 제공하는 ‘사이버 위협 호라이존(Cyber Threat Horizon)’ 플랫폼을 운영 중이다. 이를 통해 정부, 통신사, 기업 등 핵심 인프라 운영 조직은 빠르게 변화하는 공격 양상을 실시간으로 파악하고 효과적인 대응 전략을 수립할 수 있다.