하이브리드 클라우드와 API 퍼스트 전환이 가속되며 트래픽의 중심이 애플리케이션 계층으로 이동하고 있다. HTTP/3와 QUIC, 마이크로서비스, 에지 컴퓨팅 확산은 레이어7 표면을 크게 넓히고 있다. CDN·봇 관리·SASE 투자가 증가하며 가용성 SLA 준수가 핵심 과제가 되고 있다.

IT 보안기업 링크11(Link11)이 발표한  최신 보고서는 2025년 상반기 분산서비스거부 공격 위협이 급격히 심화됐음을 보여준다. 링크11 네트워크를 겨냥한 공격은 전년 동기 대비 225% 증가했다. 공격은 빈도뿐 아니라 지속 시간, 강도, 기술적 정교함이 모두 상승했다고 밝혔다.

기록적 규모와 전술 변화

보고서는 상반기 누적 공격량이 438테라바이트에 달했다고 밝혔다. 이는 4K 화질로 넷플릭스를 7년 넘게 끊김 없이 시청하는 데이터에 해당한다. 기록된 최대치는 초당 1.2테라비트와 초당 2억700만 패킷으로 고성능 시스템도 과부하에 이를 수 있는 수준이다.

공격 지속 시간 역시 증가했다. 가장 긴 공격은 8일 이상 이어졌다. 단기 섬광형에서 장기 조율형으로의 전환이 확인됐다. 방어 체계에는 상시 대응과 장기 완화가 동시에 요구된다고 분석했다. 운영 비용과 인력 소진의 부담이 커지고 있다고 지적했다.

정밀한 레이어7 공격도 크게 늘었다. 정상 요청을 정교하게 모방해 합법 트래픽처럼 보이도록 위장한다. 재그 베인스(Jag Bains) 부사장은 “일반 트래픽에서 보이지 않는다면 분당 2만 개의 사기성 진짜 요청이 초당 2억 개 패킷보다 더 위험할 수 있다”라고 말했다.

레이어7 공격은 OSI 모델의 애플리케이션 계층을 노린다. HTTP·HTTPS·DNS 등 프로토콜에서 사용자 행위를 흉내 내며 요청 처리 자원을 고갈시킨다. 낮은 대역폭으로도 서버 스레드와 애플리케이션 풀을 바인딩해 지연과 장애를 유발한다.

이 공격은 폼 제출, 검색, 로그인 같은 비즈니스 로직을 악용한다. 캐시를 회피하고 데이터베이스 쿼리나 외부 API 호출을 반복 유도한다. WAF의 정적 규칙을 피하기 위해 헤더·쿠키·세션을 순환하고, 속도 조절과 분산 봇넷으로 탐지를 회피한다.

레이어7 공격은 볼륨 기반 방어만으로는 차단이 어렵다. 행위 기반 이상 징후 탐지, 토큰 검증, 챌린지·지연 삽입, 동적 레이트 리미팅이 요구된다. HTTP/2·HTTP/3 특성을 고려한 연결 관리와 애플리케이션 수준의 임계치 설계가 중요하다고 제시했다.

중요 인프라 표적화와 지정학 연계

정치적 동기의 캠페인도 식별됐다. 노네임057(16) 등 친러 성향 그룹이 유럽의 정부 기관, 은행, 에너지 공급사, 도시 행정부를 표적으로 삼았다. 다크 스톰(Dark Storm)과 키무스(Keymous) 활동도 두드러졌다. 안보 정책 결정과 동시 발생이 관찰됐다.

보고서는 중요 인프라의 가용성과 대국민 서비스 연속성이 직접 위협받고 있다고 평가했다. 전력·금융·행정의 중단이 시민 생활과 경제 활동에 파급될 수 있다고 지적했다. 지정학적 긴장이 사이버 위협 증폭 요인으로 작용하고 있다고 밝혔다.

링크11 옌스-필립 융(Jens-Philipp Jung) CEO는 “상반기에만 438테라바이트의 DDoS 트래픽이 기록됐다”라고 말했다. 그는 “이 수치는 위협의 규모를 직관적으로 보여준다”라고 강조했다. 유럽 기업에 탄력적 방어 전략의 시급성을 촉구했다.

공격 생태계의 자동화와 전문화

공격은 규모와 기간뿐 아니라 조직력도 강화되고 있다. 서비스형 디도스 플랫폼으로 진입 장벽이 낮아졌다. 생성AI와 자동화가 결합돼 표적 선정, 페이로드 조합, 위장 기법이 고도화되고 있다. 세계경제포럼 전망도 자동화를 핵심 동인으로 지목했다.

공격자들은 합법 트래픽 프로필을 학습해 레이어7 요청을 조합한다. 사용자 에이전트와 지리 정보, 세션 타이밍을 변조해 탐지 회피를 시도한다. TLS 핸드셰이크와 HTTP/2 멀티플렉싱 특성을 악용해 리소스 소모를 극대화한다고 분석했다.

권고되는 방어·회복 전략

보고서는 조기 감지를 위한 실시간 모니터링을 권고했다. 네트워크와 애플리케이션 텔레메트리로 레이어7 지표를 상시 관찰해야 한다. 베이스라인·피크·이상 편차를 자동 산출해 초동 대응 시간을 줄이는 체계가 필요하다고 밝혔다.

AI 지원 방어 시스템의 도입이 제시됐다. 행위 기반 탐지와 지능형 시그니처를 결합해 합법·악성 트래픽을 정밀 분류해야 한다. 동적 레이트 리미팅, 토큰·퍼즐 기반 검증, 세션 무결성 검사가 권장됐다. 자동화된 완화 정책으로 인력 부담을 낮춰야 한다.

비상 대응 계획과 중복성 전략도 요구됐다. 애니캐스트 기반 흡수, 멀티 CDN, 액티브/액티브 구성을 적용해 단일 장애점을 제거해야 한다. 핵심 경로의 우회, 백오프 정책, 우선순위 큐잉으로 서비스 저하를 최소화해야 한다고 강조했다.

운영 조직은 모의훈련과 위기 커뮤니케이션을 정례화해야 한다. API 보호, 인증 강화, 봇 관리의 통합이 필수다. 로그 일관성과 포렌식 대비를 포함한 사후 복구 체계를 갖춰야 한다. 규제 보고와 SLA 준수도 병행되어야 한다고 제시했다.

보고서는 실시간 조기 감지, AI 기반 자동 완화, 비상·중복 전략을 결합해야 한다고 권고했다. 지능형 방어와 복원력 전략이 결합될 때 비즈니스와 중요 인프라의 연속성을 지킬 수 있다고 결론지었다. 기업은 가용성 중심의 선제 투자에 나서야 한다.

[알림] 글로벌 번역 전문 기업 딥엘(DeepL)이 오는 9월 24일 오후 2시부터 3시까지 GTT SHOW의 GTT Webinar 플랫폼을 통해 ‘대량 데이터 번역 품질을 한 단계 높이는 DeepL API 활용 전략’을 주제로 무료 웨비나를 개최한다. 이 웨비나에서는 딥엘 API의 고급 기능과 실제 비즈니스 현장 적용 전략을 구체적으로 다루며, 글로벌 커뮤니케이션 경쟁력을 높일 수 있는 실질적인 해법을 제시한다.