• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

디도스 공격, 지난 4사분기에 크게 줄어들었지만 2019.03.20

최대 용량은 85%나 줄어들고, 횟수는 11% 줄어...FBI 작전 통한 듯
전문가 의견은 “일시적 현상”...“좋은 사업 아이템이니 곧 다시 생길 것”

[보안뉴스 문가용 기자] 2018년 4사분기가 진행되는 동안 디도스 공격의 평균 크기가 85%나 줄어들었다. 특히 FBI가 ‘디도스 공격 대행 서비스’ 웹사이트인 부터(booter)들을 폐쇄시킨 후부터 감소세가 분명해졌다고 한다.

[이미지 = iclickart]


지난 해 말, 미국 당국은 인기 높은 15개의 부터 사이트를 국제 공조로 폐쇄시켰다. 부터는 스트레서(stresser)라는 이름으로도 알려져 있는데, 범죄자들은 이곳에 접속해 돈을 내고 특정 대상을 향해 디도스 공격을 서비스 받는다. 직접 사이버 공격을 할 수 없는 자들에게 유용한 서비스였다.

폐쇄 작전이 있기 1년 전, FBI는 스트레서 서비스에 대한 세부적인 내용을 발표한 바 있다. 그러면서 “이러한 서비스가 존재하기 때문에 디도스 공격의 빈도수와 파괴력이 높아지고 있다”고 말했다. 물론 이러한 서비스를 네트워크 방어력 확인에 사용할 수도 있지만 대다수는 범죄에 활용한다.

보안 업체 넥서스가드(Nexusguard)가 발표한 바에 따르면 “FBI의 대규모 폐쇄 작전이 전체적인 디도스 공격 트렌드에 큰 영향을 미쳤다”고 한다. “디도스 공격의 횟수 자체가 11% 줄어들었습니다. 그리고 가장 큰 공격의 용량이 24%나 줄었습니다. 그 전 사분기에 일어난 가장 큰 공격과 4사분기에 발생했던 가장 큰 공격을 비교하면 85% 줄어든 수준입니다.”

그렇다는 건 대다수 디도스 공격의 출처가 스트레서 서비스였다는 뜻도 된다. 넥서스가드의 제품 책임자인 도니 총(Donny Chong)은 “해커들도 편리한 걸 선호하는 사람들이다보니, 공격을 대행해주는 스트레서 서비스를 많이 활용했다는 게 그리 놀라운 일은 아니”라고 말한다.

그러나 이 결과가 반드시 ‘이제 사이버 공격자들이 디도스를 많이 하지 않게 됐다’는 뜻은 아니다. 도니 총은 “최근 공격자들은 비트 앤 피스(bit-and-piece)라는 기법의 디도스 공격을 선호한다”며 “이는 기존의 디도스와 성격이 매우 다른 공격법”이라고 설명한다.

“비트 앤 피스 전략이란, 작게 조각난 악성 코드를 정상 트래픽 내에 삽입하는 걸 말합니다. 그것도 수백 개의 IP 프리픽스(IP Prefix)에 걸쳐서 말이죠. 그러므로 용량에 민감한 기존 디도스 방어 기술로는 탐지가 매우 어렵습니다. 2018년 3~4사분기 사이에 이런 유형의 공격이 증가하기 시작했습니다.”

SSDP 증폭 공격도 늘어나고 있다
이런 ‘비트 앤 피스’ 전략도 여러 가지 형태로 나타나는데, 그 중 가장 인기가 높은 건 SSDP 증폭 공격(SSDP Amplification Attack)이다. 3사분기에서 4사분기로 넘어오며 그 횟수가 91.2%나 증가했다. 그리고 전체 디도스 공격의 48.3%를 차지한다. 주로 프린터, 웹캠, 라우터 등의 UPnP 장비를 통해 공격이 진행된다.

공격자들은 먼저 취약한 장비가 있는지 스캔해 파악하고, 봇넷을 사용해 UDP 패킷들을 취약한 장비의 UDP 포트 1900로 전송한다. 이 때 작은 패킷만 보내도 장비가 “대규모로 응답하기 때문에” 트래픽이 증폭되는 효과가 나타난다. 이 역시 기존의 디도스 방어 기술로는 탐지하기가 어렵다.

스트레서들이 대규모로 없어진 지금 상황에서 공격자들은 비트 앤 피스 전략으로 완전히 돌아서게 될까? 즉, 이 새로운 디도스 공격 기법이 스트레서를 대체할 수 있을까? 도니 총은 “결국 누구를 공격하느냐에 따라 답이 달라질 수 있는 문제”라고 말한다. “기존 디도스와 새로운 디도스의 장점과 효과는 다릅니다. 둘이 온전히 대체 가능한 수단인 건 아닙니다. 공격자들은 상황에 맞는 걸 선호하게 될 겁니다.”

도니 총은 “그런 의미에서 ‘서비스형 디도스’가 완전히 사라지지는 않을 것”이라고 보고 있다. “사법 기관의 폐쇄 작전들이 성공적으로 끝나더라도, 다크웹 암시장은 곧 다시 생겨났습니다. 디도스 서비스 업자들도 마찬가지입니다. 아마 곧 다시 나타나 사업을 시작하고, 디도스 공격은 다시 늘어날 겁니다.”

그렇기에 넥서스가드는 “용량과 횟수가 줄어들었다는 현재의 조사 결과는 금방 다시 뒤집힐 것”이라고 보고 있다. “지금 당장 디도스 공격이 줄어든 것 같지만, 그것이 계속 이어질 흐름이라고 보이지는 않습니다. 스트레서는 잘 되던 사업 아이템이었고, 아직도 수요가 있는 서비스입니다.”

3줄 요약
1. 디도스 공격 대행해주는 웹 서비스, 지난 해 대폭 줄어듦.
2. 그에 따라 이번 사분기의 디도스 공격 횟수와 용량도 크게 줄어듦.
3. 그러나 이건 일시적인 현상으로 보임. 게다가 최근에는 비트 앤 피스라는 디도스 전략이 선호되고 있기도 함.
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>