• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

신기록 수립한 디도스 공격, 초당 1.44 테라바이트 기록해 2020.06.17

두 개 웹사이트 마비시킨 디도스 공격, “오랜만에 느끼는 충격”
트래픽 진원지도 광범위하고 공격에 사용된 트래픽 종류도 다양하고

[보안뉴스 문가용 기자] 디도스 공격의 기록이 갱신됐다. 한 웹사이트에서 초당 1.44 테라바이트와 초당 3억 8500만 패킷 규모의 디도스 공격이 발생한 것이다. 같은 공격은 또 다른 웹사이트로 번져갔다. 두 번째 공격의 규모는 살짝 줄어들어 초당 500 메가바이트를 기록했지만, 이 역시 작다고 할 수 없는 규모였다. 공격을 당한 사이트 두 곳 모두 같은 호스팅 서비스를 이용하고 있었다.

[이미지 = utoimage]


보안 업체 아카마이(Akamai)가 최근 발견한 이 사건은, ‘사회적인 이유’를 배경으로 발생했다고 한다. 하지만 정확한 사이트 이름이나 공격 동기에 대해 아카마이는 구체적으로 밝히고 있지 않다. 또한 같은 호스팅 서비스를 이용하고 있는 사이트들이 당한 것이지만, 호스팅 서비스 업체 자체가 공격 표적인 것은 아니라고 아카마이 측은 설명했다.

아카마이의 부회장인 로저 바랑코(Roger Barranco)에 따르면 “이번 공격에 사용된 데이터의 다양성과 조직적인 움직임을 보건데, 꽤나 공격 지식이 해박한 자의 소행으로 보인다”고 한다. “이 공격에 활용된 트래픽의 종류만 9개가 넘습니다. 보통 디도스라고 하면 두세 가지 유형의 트래픽이 사용되는데 말이죠. 또한 트래픽 급등 시간이 1시간 정도 지속됐어요. 보통의 디도스라면 수분 정도에 그칩니다. 확실히 독특한 디도스 공격이라고 봐도 무방합니다.”

보통 한 해 동안 일어나는 디도스 공격은 게이밍 사이트에서 발생하는 소규모 공격 대다수와 몇 개의 예외적으로 큰 공격으로 구성된다. 지난 24개월 동안 발생한 디도스 공격은 평균 초당 25만 패킷이라고 아카마이는 설명했다. 이 평균을 훨씬 웃도는 공격은 거의 일어나지 않았다. 2019년 초반 보안 업체 임퍼바(Imperva)가 초당 5억 패킷 규모의 공격에 대해 보고한 것이 대형 사고 사례의 거의 전부다. 즉 이번 공격은 1년 반만에 기록된 대규모 공격인 것이다.

“이번 디도스 공격을 감행한 자들은 ACK, SYN, UDP, NTP, TCP 리셋, SSDP 등 각종 플러드(flood) 기법을 활용했습니다. 거기에다가 CLDAP 반사, TCP 변칙, UDP 조각과 같은 기법과 봇넷 공격 도구들도 다양하게 활용하는 모습을 보여주었습니다. 이렇게 다양한 도구와 기법을 조직적으로, 부드럽게 활용하는 건 처음 봅니다.” 바랑코의 설명이다.

“디도스 공격 사례가 이렇게까지 새롭고 혁신적이라고 느껴진 건 미라이(Mirai) 등장 이후 처음입니다. 당시 IoT 장비들로만 구성된 봇넷이 그때로서는 최대 규모의 디도스 트래픽을 발생시켰다는 게 충격적이었죠. 이번 공격 사례도 만만치 않게 충격적입니다. 심지어 공격용 트래픽의 발원지가 전 세계입니다.”

바랑코는 이번 디도스 공격이 기존 디도스에 비해 가장 다른 건 ‘코디네이션’ 즉 조화력이라고 꼽는다. “공격자들은 여러 가지 도구들과 기법들을 활용했고, 광범위한 지역에서 트래픽을 끌어 모았습니다. 애초부터 이 정도 규모의 공격을 기획하고 기존에 하던 방식을 계획적으로 벗어나 디도스 능력을 크게 향상시켰다는 뜻입니다. 이 정도 노력을 들여, 이 정도로 큰 디도스 공격을 했다는 것 자체가 놀랍습니다.”

아카마이는 놀라면서도 이번 공격을 빠르게 수습하는 데 성공했다고 발표했다. 대부분의 공격은 수초 안에 진정됐고, 100% 상황이 해제되는 데까지 걸린 시간은 약 10분이었다고 바랑코는 강조했다. “디도스 공격에 대비하려면 정상적인 상황에서의 트래픽 패턴을 잘 파악하고 있어야 합니다. 또한 사업 운영에 꼭 필요한 트래픽이 무엇인지도 미리 알고 있어야 하겠죠. 사실 트래픽 패턴을 미리 분석해두고 숙지하는 조직은 많지 않아요. 하지만 이런 평상시 작업이 디도스 상황이 발생할 때 큰 도움이 됩니다.”

그러면서 바랑코는 “어차피 지금 재택 근무가 일상화 되고 있기 때문에 트래픽 패턴을 점검하는 것이 필요한 일이었을 것”이라며 “미리부터 정상적인 모습을 파악해두는 것은 모든 보안 사고 방지의 첫 걸음”이라고 짚었다.

3줄 요약
1. 디도스 세계의 신기록 등장 : 초당 1.44 테라바이트 / 초당 3억 8500만 패킷.
2. 두 웹사이트에서 이러한 수준의 공격이 연달아 발생함.
3. 정말 놀라운 건 공격에 사용된 도구와 기법이 다채롭고, 트래픽 진원지가 전 세계적이었다는 것.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>