사이버 보안 서비스 기업 아렐리온(Arelion)이 글로벌 인터넷 백본 ‘AS1299’에서 2024년 내내 관찰된 분산 서비스 거부(DDoS) 공격 추세를 분석한 ‘DDoS 위협 환경 보고서 2025’를 발표했다.

자체 트래픽 데이터를 바탕으로, 보고서는 기록적인 볼륨 및 패킷 속도 최고치, 진화하는 공격 벡터, 특정 부문 대상 캠페인, 그리고 오늘날의 사이버 전쟁을 이끄는 지정학적 요인을 조사했다.

유럽 중심의 지정학 사이버전, 인프라 공격으로 확산

2024년에도 지정학적 긴장은 사이버 공간까지 확산했다. 지속되는 우크라이나 분쟁과 연합 지원 작전은 유럽 전역의 DDoS 활동을 증가시켰다. 스웨덴은 전년 대비 2.5배, 독일은 3배, 프랑스는 5배 더 많은 공격을 경험했다.

폴란드는 2023년 최고치에 비해 상대적으로 감소했으나, 발트해 연안 국가들과 핀란드는 새로운 주요 공격 지점으로 부상했다. 이는 DDoS가 하이브리드 전쟁의 지속적인 수단임을 강조한다.

유럽 외에도 아렐리온은 해저 케이블 인프라 및 기타 주요 인터넷 자산을 표적으로 삼는 국가 연계 및 핵티비스트 집단의 관심이 증가했음을 확인했다.

대형화·고속화된 공격 지표, 역사상 최고 수치 경신

① 볼륨 최고치 기록

2024년 평균 DDoS 공격 규모는 23.0 Gb/s로, 2023년에 비해 97퍼센트 증가했다. 2024년 10월에는 AS1299에 대한 단일 공격 중 가장 큰 규모인 1.57 Tbps 공격이 발생했으며, 이는 전년 대비 63퍼센트 증가한 수치이다.

이러한 급증은 주요 미국 클라우드 제공업체를 겨냥한 TCP SYN 및 DNS 증폭 트래픽의 협력적인 공격에 기인한다. 이는 공격자들이 해마다 더 큰 원시 용량을 동원할 수 있는 능력을 보여주며, 네트워크 방어 개선 속도를 앞지르고 있다.

② 주목할 만한 클라우드플레어 사건

2024년에는 가장 집중적인 단일 대상 캠페인 중 하나가 발생했으며, 다중 벡터 TCP SYN + DNS 증폭 플러딩을 통해 클라우드플레어에 4.2 Tb/s의 공격이 가해졌다. 이와 대조적으로 2023년의 가장 큰 단일 대상 공격은 960 Gb/s에 불과했으며 유럽에서 발생한 UDP 기반 공격이었다.

③ 평균 패킷 속도 및 강도 증가

2024년 8월, 공격자들은 주로 주요 아시아 게임 플랫폼에 대한 UDP 플러딩을 통해 최고 440 Mpps(2023년 최고치 343 Mpps에서 증가)를 기록했다. 패킷당 초당 최고치 28퍼센트 증가는 고속의 단기 공격으로의 전환을 보여준다.

연간 평균 패킷 속도는 24퍼센트 증가한 6.2 Mpps를 기록했으며, 이는 고-pps 벡터의 효율성 증가를 반영한다. 한편, 공격의 평균 볼륨 크기는 거의 두 배인 23 Gb/s로 증가했지만, 평균 지속 시간은 거의 변하지 않았다. 이는 장기간의 ‘카펫 폭격’ 공격보다는 짧고 고강도의 ‘폭발’ 공격으로 의도적인 전환이 있었음을 보여준다.

공격 벡터의 다변화와 산업별 타깃 집중 현상

① 글로벌 공격 벡터

AS1299의 글로벌 트래픽을 고려할 때, 아렐리온은 북미, 유럽, 아시아 전역에 비교적 고르게 공격이 분포되어 있음을 기록했다. 미국에서 가장 큰 강도의 DDoS 활동이 있었으며, SYN, UDP 및 NTP 증폭이 2024년에 가장 흔한 글로벌 공격 벡터였다. 2023년과 비교하면 북미, 유럽, 아시아 전역에 대륙별 분포가 균등하다.

② DNS 증폭 우세

DNS 증폭은 2024년에도 주요 공격 벡터로서의 위치를 유지했으며, 연말에 약간 감소했음에도 불구하고 모든 증폭 트래픽의 55퍼센트를 차지했다. 여전히 우세하지만, 2023년 88퍼센트에서 감소한 것은 공격자들이 다른 증폭 방법으로 다각화하고 있음을 나타낸다.

③ 카펫 폭격 감소 및  게임 산업이 표적

효과적임에도 불구하고, 2024년에는 놀랍게도 카펫 폭격 활동이 감소했다. 한편, 온라인 게임 부문은 지속적인 DDoS 압박을 받았으며, 미국에서 가장 큰 게임 플랫폼 중 하나가 두 번째로 큰 공격을 경험했다.

아렐리온의 최고 에반젤리스트 매티어스 프라이스톰(Mattias Fridström)은 “기록적인 볼륨 최고치와 고-pps 플러딩은 DDoS가 사이버 전쟁의 핵심으로 남아있음을 보여준다.”라며 “조직들은 탄력적인 다층 방어, 예를 들어 온디맨드 스크러빙, 프로토콜 인식 필터링, 애플리케이션 계층 인텔리전스 같은 것을 선제적이고 투명한 커뮤니케이션과 결합하여 인시던트 발생 시 이해 관계자들의 신뢰를 보존할 기회를 극대화해야 한다.”라고 전했다.