기록 갱신 자꾸만 거듭하는 디도스 공격, 비결이 무엇일까?
안녕하세요
JP-Hosting 입니다.
최근 디도스공격형태가 변하는 뉴스가있어 스크랩해왔습니다.
시간을 아끼기위해, 먼저 요약부터 하자면 다음과 같습니다.
4줄 요약
1. 디도스 공격, 요 몇 주 동안 기록 갱신 거듭하고 있음.
2. 초당 비트 수를 늘리던 공격이 서서히 초당 패킷 수 늘리는 공격으로 변모하고 있음.
3. 공격 지속 시간이 평균 10분이었는데, 최근 6일이나 진행된 공격이 두 건이나 나옴.
4. 공격자들의 디도스 공격 지형도를 완전히 개편시킨 무언가가 있을 것으로 보임.
보통 디도스 공격이라고 하면 ‘초당 바이트 수’로 측정되는데, 최근에는 ‘초당 패킷 수’가 빈번히 눈에 띄기 시작한다고 아카마이는 분석했다. 둘 다 공격 대상의 네트워크를 쓸데없는 것으로 가득 채워 마비에 가까운 상태로 만든다는 건 비슷한데, ‘초당 바이트 수’에 집중한 디도스 공격은 인바운드 인프라에 과부하를 주고, ‘초당 패킷 수’에 집중한 공격은 내부 네트워크의 자원을 전부 소모시킨다는 차이를 가지고 있다.
보안 전문가 톰 엠몬스(Tom Emmons)는 블로그를 통해 이 둘의 차이를 이렇게 설명한다. “식료품 매장의 계산대를 한 번 생각해보세요. ‘초당 바이트 수’ 디도스 공격은 이 계산대에 수천 명이 줄을 선 것과 같은 겁니다. 게다가 한 명 한 명이 카트 가득히 물건을 싣고 있어요. ‘초당 패킷 수’는 수백만 명의 사람들이 가게에 들어와 물건을 하나씩 사가는 것과 같습니다. 가게가 원활히 돌아갈 수 없다는 점에서 비슷하지만, 방식에 차이가 있습니다.”
아카마이의 글로벌 보안 운영 부문 부회장인 로저 바랑코(Roger Barranco)에 의하면 “최근 한 1년 동안 공격자들이 서서히 ‘초당 패킷 수’에 기반을 둔 디도스 공격을 선호하기 시작한 듯한 모습이 보이기 시작했다”고 말한다. “여태까지 디도스 공격이라고 하면 비트 수를 엄청나게 늘리는 방식을 말했어요. 따라서 기업들의 방어 체계도 ‘초당 비트 수’에 맞춰져 있는 경우가 대다수입니다. ‘초당 패킷 수’를 늘리는 공격에 대해서는 상대적으로 무방비일 때가 많습니다. 이 부분을 노리는 것으로 보입니다.”
또 하나 간과하기 힘든 건, 디도스 공격의 양(초당 패킷의 양)이 반복적으로 기록을 갱신할 수준으로 나타나고 있다는 사실이다. 불과 지난 주에만 하더라도 한 호스팅 서비스 제공 업체에서 초당 1.44 테라바이트라는 규모의 디도스 공격이 발생했고, 이 역시 그 때 기준으로 신기록이었다. 게다가 그 공격은 같은 호스팅 서비스를 사용하고 있던 또 다른 웹사이트로 번져 초당 500 기가바이트를 기록하기도 했다. 1.44 테라바이트가 워낙 충격적인 숫자여서 그렇지, 초당 500 기가바이트도 대단히 큰 숫자다.
바랑코는 “어쩌면 디도스 공격에 대한 방어가 완전 개편되어야 할지 모르겠다”고 말한다. “요 며칠 동안 발생한 공격 중 가장 작은 게 초당 500 기가바이트에요. 기업이나 기관들 중 정상 트래픽을 그대로 유지한 채 초당 500 기가바이트의 디도스 트래픽을 처리할 수 있는 곳은 극히 드뭅니다. 우리의 일반적인 방어력을 훌쩍 뛰어넘는 공격이 자꾸만 발생하고 있다는 것은, 심상치 않은 조짐이라고밖에 해석할 수가 없습니다.”
보안 업체 임퍼바(Imperva) 역시 좋지 않은 소식을 발표했다. “보통 디도스 공격은 10분 내외로 진행됩니다. 그런데 지난 5월 말도 안 되게 긴 시간 이어지는 디도스 공격이 발견됐습니다. 무려 5~6일이나 이어진 디도스 공격이 두 건이나 발생한 겁니다. 이렇게 긴 공격이 가능하다는 건, 봇넷을 대여한 게 아니라 스스로 구축해 보유하고 있는 고급 해커가 배후에 있을 가능성이 높다는 뜻입니다.” 임퍼바의 설명이다.
아카마이가 발견한 ‘기록 갱신형’ 디도스 공격과, 임퍼바가 발견한 ‘예외적으로 긴’ 두 건의 공격에는 공통점이 있다. 일반적인 디도스 공격에 비해 엄청나게 많은 악성 소스 IP(source IP)가 활용되었다는 것이다. 임퍼바가 발견한 ‘긴 공격’의 경우는 기존 디도스 공격에서 발견된 것보다 10배 많은 소스 IP가, 아카마이가 발견한 ‘초당 패킷 수’ 공격은 600배 많은 소스 IP가 활용되었음이 나타났다.
“지난 2년여 동안 디도스 공격의 빈도수가 꾸준히 높아졌습니다. 미라이(Mirai)라는 봇넷이 당시 디도스 공격의 기록을 갱신하는 놀라운 모습을 보여주었지만, 어느 정도 분석되고 와해된 이후에는 디도스 공격의 수위나 빈도가 급히 변했던 적이 현재까지 없었습니다. 늘 비슷한 수위의 공격이 조금씩 늘어나고 있는 게 추세였죠. 그런데 요 몇 주 사이에 계속해서 신기록들이 나오고 있죠? 사이버 범죄자들 사이에 미라이와 같은 새로운 디도스 공격 도구가 출현했을 가능성이 높습니다.” 바랑코의 설명이다.
“아마 그 새로운 도구를 보유하고 있는 해킹 집단은 현재로서 얼마 되지는 않을 겁니다. 소수의 사람 몇몇이 자기들끼리만 공유하고 있을 겁니다. 하지만 미라이는 어땠나요? 소스코드가 공개되고 일반 해커들에게까지 기술이 전파됐죠. 그 외에도 많은 ‘엘리트’ 멀웨어가 해커들 사이에 퍼져 범죄자 전체의 수준을 상향시킨 사례는 얼마든지 있습니다. 새롭게 등장한 것으로 의심되는 도구 역시 그러한 전철을 밟을 것으로 예상됩니다. 사실 걱정되는 건 그 부분입니다. 이런 규모의 디도스 공격이 일반화 되는 것 말입니다.”
아카마이는 아직까지 이 미지의 디도스 공격 도구를 찾고 있는 중이다. 힌트는 어디에도 없다. “완전히 새로 탄생한 도구일 수도 있고, 기존에 있던 도구들이 개발되었거나 다른 방식으로 사용되는 것일 수도 있습니다. 무엇이 됐건 요즘 자주 디도스 공격이 새로워지고 더 위협적으로 변하게 만드는 방법을 찾아야 합니다. 그래야 방어 체제를 갖출 수 있으니까요.”
초당 테라급이상의 공격이 있었다고 합니다.
뉴스에서 나오는 임퍼바 인캡슐라와 현재 파트너쉽을 맺고 서비스해드리고있는데요
관련 이슈사항이있으면 공유하겠습니다.
서버문의는 JP-Hosting 홈페이지 메신저 통해 연락주세요
출처 URL : https://www.boannews.com/media/view.asp?idx=89303
위 포스팅이 문제될 경우 삭제처리 하겠습니다.
