• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

2014년 1분기 글로벌 디도스 공격 보고서 2014.04.23

더 강력한 디도스 공격 위해 감염 기술보다 반사 공격 시도

작년 4분기 대비, 평균 최대 디도스 공격 대역폭 114% 상승


[보안뉴스 정규문] 온라인 콘텐츠 및 비즈니스 애플리케이션을 전송, 최적화 및 보호하는 클라우드 서비스 선두 기업 아카마이(지사장 김진웅, www.akamai.com/kr)가 최근 인수 완료한 디도스(DDoS) 보호 서비스 업체인 프로렉식(Prolexic)의 2014년 1분기 글로벌 디도스 공격 보고서를 발표했다.


디도스 공격 서비스 업계의 선두 기업인 프로렉식은 2011년 이래 분기별 디도스 공격 보고서를 발표하며 글로벌 디도스 공격 트렌드에 대한 분석 및 통찰력를 제시해 왔다.


스튜어트 스콜리(Stuart Scholly) 아카마이 수석 부사장 겸 보안 부문 제너럴 매니저는 “프로렉식이 관찰해온 바로는 이번1분기 디도스 공격자들은 기존 봇넷 감염 형태의 공격에는 덜 의존하고, 반사나 증폭 기술을 선호했다”며, “좀비 컴퓨터의 네트워크를 이용하는 대신, 새로운 디도스 툴킷은 오픈 또는 취약 서버나 디바이스에서 이용 가능한 인터넷 프로토콜을 남용했다. 따라서 인터넷이 악의적 공격자들에게 주요한 봇넷이 될 것으로 전망된다”고 말했다.


관찰 결과, 프로렉식은 가장 많이 남용된 프로토콜로 캐릭터 제너레이터(CHARGEN), 네트워크 타임프로토콜(Network Time Protocol; NTP)과 도메인 네임 시스템(Domain Name System; DNS)을 꼽았다. 유저 데이터그램 프로토콜(User Datagram Protocol; UDP)에 기반을 둔 이 프로토콜들은 공격자들의 신분을 감추기 위한 최적의 프로토콜이므로 증폭 기반의 공격자들은 트래픽 근원지로부터 상대적으로 적은 아웃풋을 요구하면서 타겟에 대량의 데이터 전송을 할 수 있다.


새롭게 등장한 반사 및 증폭 공격툴은 강력한 영향력을 미칠 수 있다. 프로렉식의 디도스 제어 네트워크 전역에서 1분기 평균 대역폭은 39%의 상승을 보였으며, 이는 가장 큰 규모의 디도스 공격으로 기록됐다. 이 공격에는 200 Gbps(초당 기가비트)와 53.5 Mpps(초당 백만 패킷) 이상의 최대 트래픽을 유발하기 위해 기존 봇넷 기반 애플리케이션 공격과 결합한 다중 반사 기술이 수반됐다.


이와 함께 이번 분기 디도스 공격 트래픽의 절반 이상이 미디어 및 엔터테인먼트 분야에 집중됐다. 1분기 활성 디도스 공격 가운데 54%의 악성 패킷이 한 산업분야를 공략하고 있었으며, 프로렉식에 의해 완화됐다.


2014년 1분기 프로렉식의 글로벌 디도스 공격 보고서 주요 내용

2013년 1분기 대비

△총 디도스 공격 47% 증가

△평균 공격 대역폭 9% 감소

△인프라 공격(레이어3, 4) 68% 증가

△애플리케이션 공격(레이어7) 21% 감소

△평균 공격 지속 시간 50% 감소: 35시간→17시간

△평균 최대 대역폭 133% 증가


2013년 4분기 대비

△총 디도스 공격18% 증가

△평균 공격 대역폭 39% 증가

△인프라 공격(레이어 3, 4) 35% 증가

△어플리케이션 공격(레이어 7) 36% 감소

△평균 공격 지속 시간 24% 감소: 23시간→17시간

△평균 최대 대역폭 114% 증가


분석 및 최신 트렌드

최근 디도스 분야의 발전으로 적은 자원으로 더 치명적인 피해를 발생시키는 툴들이 증가하고 있다. 1분기에 발생한 대량의 인프라 기반 공격들은 쉽게 이용 가능한 디도스 서비스(DDoS-as-a-service)의 디도스 툴의 사용을 통해서 발생했다. 악의적인 공격자들이 고안한 이러한 툴은 숙련되지 않은 다수의 공격자들에게 전달돼 더욱 강력한 영향력과 편의를 제공했다.


예를 들어, 1분기에는 반사 기술을 지원하는 손쉬운 디도스 공격툴로 인해 NTP반사 공격이 급증했다. NTP 플러드 방식은 이전 분기에는 모든 공격의 1% 미만을 차지했지만, 현재 디도스 공격자들에게 끊임없는 인기를 얻고 있는 신 플러드(SYN Flood) 공격과 거의 비슷한 수준까지 상승했다. 또한, 2013년1분기에는 감지되지 않았던 CHARGEN과 NTP 공격벡터는 2014년 1분기 총 인프라 공격의 23%를 차지했으며 프로렉식에 의해 안전하게 보호되었다.


디도스 공격 동향에 관한 자세한 사항은 2014년 1분기 프로렉식 글로벌 디도스 공격 보고서를 통해 확인할 수 있다. 보고서는 PDF파일 형태로 무료 제공되며 해당 웹사이트(http://www.prolexic.com/)에서 이용 가능하다.

[정규문 기자(kmj@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>