디지털 환경의 복잡성과 연결성이 증가하면서, 대규모 분산서비스거부(DDoS) 공격의 빈도와 정교함이 지속적으로 확대되고 있다. 특히 볼류메트릭(대용량) 공격은 짧은 시간 안에 대규모 트래픽을 유발하여 기업 인프라에 치명적인 영향을 미친다. 클라우드플레어(Cloudflare)는 2025년 2분기 보고서를 통해 이러한 변화의 양상과 실시간 자동화 방어의 필요성을 명확히 밝혔다.
기록적 공격 증가와 주요 대상 지역·산업 변화
2025년 2분기 동안 클라우드플레어는 730만 건의 DDoS 공격을 차단했으며, 이는 1분기 2,050만 건보다는 줄어든 수치지만 전년 동기 대비 44% 증가한 수치다. 특히 6월 한 달에만 전체 공격의 38%가 발생했으며, LGBTQ 프라이드 행사를 보도한 동유럽 언론 사이트가 직접적인 표적이 되기도 했다.
가장 많이 공격받은 지역은 중국, 브라질, 독일, 인도, 한국 순이었다. 한국은 전 분기 대비 4단계 상승해 5위를 기록했으며, 이는 해당 지역의 서비스가 클라우드플레어 인프라를 통해 제공되고 있음을 반영한다.
업종별로는 통신·서비스 제공자·통신사업자가 1위를 차지했고, 인터넷 부문이 2위, IT 서비스가 3위, 게임 산업이 4위에 올랐다. 도박 산업은 5위로 하락했으며, 농업은 38단계 상승하며 8위를 기록해 새로운 표적군으로 부상했다.
공격 출처 및 봇넷 구조 변화...VM 기반으로 집중
공격 트래픽의 주요 출처 국가는 인도네시아, 싱가포르, 홍콩, 아르헨티나, 우크라이나 순이며, 이는 봇넷 노드나 VPN, 프록시 서버의 위치를 반영한 것이다.
HTTP DDoS 공격의 ASN(자율 시스템 번호) 기준 상위 출처는 오스트리아의 드레이(Drei(AS200373)), 미국의 디지털오션(DigitalOcean(AS14061)), 독일의 헷츠너( Hetzner(AS24940)) 순이었다. 이들 중 8곳은 가상 머신(VM) 기반 호스팅 서비스를 제공하는 기업으로, VM 기반 봇넷이 IoT 기반보다 최대 5000배 강력한 공격력을 지닌 것으로 분석된다.
클라우드플레어는 서비스 제공자가 위협 노드를 탐지하고 제거할 수 있도록 무료 API 기반의 'DDoS 봇넷 위협 피드'를 제공하며, 600개 이상의 조직이 이를 활용 중이다. 이 위협 인텔리전스는 봇넷 기반 공격 차단에 효과적으로 활용되고 있다.
새로운 공격 벡터와 봇넷 위협 증가
2025년 2분기에는 기존의 DNS, SYN, UDP 기반 폭주 외에도 Teeworlds, RIPv1, RDP, DemonBot, VxWorks 기반 공격이 다수 발견됐다. Teeworlds 폭주는 전 분기 대비 385%, RIPv1은 296%, RDP는 173%, DemonBot은 149%, VxWorks는 71% 증가했다.
이들 공격은 주로 UDP나 TCP 포트를 이용한 반사 또는 증폭 공격으로, 구식 프로토콜이나 오픈소스 환경을 악용해 탐지를 회피한다. 클라우드플레어는 각각의 공격에 대해 Magic Transit, Spectrum, Gateway, WAF 등을 통한 방어 전략과 함께, 잘못된 차단으로 인한 서비스 중단을 방지하기 위한 설정 지침도 함께 제시했다.
특히 랜섬형 DDoS 공격은 전 분기 대비 68% 증가했으며, 6월 한 달 동안 응답자의 3분의 1이 랜섬성 공격 또는 위협을 경험했다고 응답했다. 이는 DDoS 공격이 금전 갈취 수단으로도 진화하고 있음을 보여준다.
자동화 기반 실시간 방어 필요성과 협업 기반 위협 대응 확대
L3/4 DDoS 공격의 94%는 500Mbps 이하, 85%는 초당 5만 패킷 이하였으며, HTTP 공격의 65%는 초당 5만 요청 미만이었다. 그러나 클라우드플레어는 이러한 수치조차 일반적인 서버 인프라에 큰 부담이 된다고 분석했다.
예를 들어, 48코어 CPU, 1664GB 메모리, 1Gbps NIC를 장착한 서버의 최대 처리량은 940Mbps에 불과하며, 보호 없이 운영될 경우 소규모 공격에도 다운될 수 있다.
클라우드플레어는 전 세계 330여 개 도시에 분산된 388Tbps 용량의 네트워크와 자동화된 인라인 방어 시스템으로, 규모·지속시간·형태에 관계없이 모든 공격을 무료로 완화하고 있다.
특히 7.3Tbps 규모의 공격은 단 45초 동안 집중적으로 발생한 초단기 버스트 형태로, 전통적인 대응 체계로는 방어가 불가능하다. 클라우드플레어는 탐지와 동시에 자동화 방어를 시작하는 자율 방어 시스템을 통해 모든 고객의 인프라를 보호하고 있다고 강조했다.
관련기사
- AI 기반 DAST로 애플리케이션 보안 진화...정확도·가시성·속도 모두 강화
- 보안 예산 줄이고 대응력 높인 SOCaaS 도입 확산세
- AI 크롤러 접근 기본 차단… 웹 콘텐츠 보호 위한 인프라 전환
- 클라우드플레어, 네이티브 로그 분석 도구 ‘로그 익스플로러’로 보안 인사이트·비용 절감 효과 동시 달성
- 데이터브릭스, AI 중심 데이터베이스 ‘레이크베이스’ 공개
- 사이버 위협 대응 핵심으로 부상하는 ‘원격 브라우저 격리 기술’...연평균 31.7% 파죽지세 성장
- 고도화 되는 DDoS 공격 확산세...대형 트래픽·고속 패킷·산업별 정밀 타깃화
- 클라우드플레어, 글로벌 CBPR 및 PRP 인증 획득·9개국 공동 제정 국제 기준 준수
- “AI 위협과 클라우드 리스크 대응 최적 전략, SECaaS 통합 보안”
- AI가 바꾸는 사이버 방어의 패러다임, 지능형 보안 전략의 현재와 미래… ‘SECaaS Summit 2025’, 5월 29일 개최
- 코드 작성부터 배포·보안·데이터 저장·AI 실행까지 통합하는 플랫폼 전략 ‘클라우드 연결성’
- 클라우드플레어, AI 에이전트 연동 MCP 기반 통합 툴킷 공개
- 클라우드플레어, 안전한 멀티 클라우드 애플리케이션 구축하는 ‘워커스 VPC·워커스 VPC 프라이빗 링크’ 출시
- 원격 MCP 서버로 AI 에이전트 개발을 쉽게!
- 실시간 연결성·보안 모두 잡는 ‘AI 게이트웨이 시장’...AI 배포가속으로 견고한 성장세
- 클라우드플레어, 포레스터 '웹 애플리케이션 방화벽' 분야 리더로 선정
- [기고]글로벌 인터넷 셧다운, 기업 인프라와 사회 안정성에 경고등 켜다
- 클라우드플레어, 제로트러스트 기반 AI-SPM으로 섀도 AI와 데이터 유출 차단
- 클라우드플레어, 챗GPT·클로드·제미나이 보안 통합...기업 생성AI 규제 대응 강화
- “디도스, 사이버 무기로 진화”...AI와 핵티비스트 결합해 글로벌 인프라 위협
- 클라우드플레어, 조원균 한국 지사장 선임
- 초대형 DDoS 공격 급증·438TB 트래픽 기록...레이어7 정밀공격과 자동화 악용
- AI 기반 DDoS 방어, 기업 서비스 연속성 확보의 핵심 전략
- 수동 보안의 시대 끝... AI 자율 위협 대응 운영이 지속 방어 완성
- AI 기반 DDoS 공격 97% 급증...자동화된 에지 방어로 네트워크 복원력 강화
- 암호화된 트래픽 속 숨은 DDoS 위협, ‘지연 없는 실시간 차단’으로 대응
- 온·오프 클라우드 전방위 DDoS 방어, ‘제로델타 완화’로 즉시 차단