분산 서비스 거부(DDoS) 공격은 오랫동안 주요 위협이 되어 왔는데, 그 이유는 조직의 시스템에 취약점이나 없거나 공격자에게 액세스 권한이 없어도 요청이나 트래픽으로 폭주시킬 수 있기 때문입니다.
그럼에도 불구하고 위협 행위자들은 공격의 거의 모든 측면을 개선하여, 최근 몇 달 동안 DDoS 환경이 빠르게 진화하고 있습니다. 여기에는 고가치 표적에 집중하고, 일반적인 DDoS 방어를 회피하며, 봇넷 인프라를 업그레이드하여 훨씬 더 큰 규모의 공격이 가능하도록 하는 것이 포함됩니다.
대부분의 사이버 범죄자들은 돈을 노립니다. 데이터 유출, 랜섬웨어 등 주요 사이버 공격 유형은 대부분 명확한 수익 창출 경로를 가지고 있습니다.
따라서 최근의 동향에 따르면 공격자들이 자금이 있는 곳에 집중하는 것은 놀라운 일이 아닙니다. 서방의 은행들과 은행 간 결제에 이용되는 SWIFT 시스템이 주요 표적이 되었습니다. 또한, 암호화폐 분야는 전체 트래픽에서 차지하는 비중이 전 분기 대비 600% 증가하여 HTTP DDoS 공격의 가장 큰 표적이 된 산업으로 확인되었습니다.
이러한 표적 공격은 금융 부문을 비롯한 여러 분야의 중요 시스템을 마비시키기 위한 것입니다.
공격자들이 직면하는 가장 큰 기술적 과제 중 하나는 봇 감지 알고리즘입니다. 봇 방지 솔루션은 인간 사용자와 악의적 봇을 구분하는 다양한 요소를 식별하여 정상 사용자에게 미치는 영향을 최소화하면서 악의적 트래픽을 걸러낼 수 있습니다.
최근 몇 달 동안 국가 단위의 범죄자부터 주류 사이버 범죄자까지 정교한 회피 솔루션이 다양하게 등장했습니다. 이러한 도구와 기술을 통해 자동화된 공격자는 합법적인 사용자와 브라우저를 더 정확하게 모방하고 방어 시스템을 우 회할 수 있습니다. 가장 일반적으로 사용되는 회피 기법에는 다음 두 가지가 있습니다.
무작위 HTTP 속성: 자동화된 봇과 도구를 핑거프린팅하는 것은 많은 봇 방어 시스템의 핵심 기능입니다. 이에 대응하기 위해 공격자들은 사용자 에이전트 문자열, JA3 핑거프린트 등의 특정 속성을 무작위로 지정하여 서명 기반 감지의 정확성과 효율성을 떨어뜨리기 시작했습니다.
낮고 느린 공격: 사람이 생성할 수 있는 것보다 높은 HTTP 요청 속도는 자동화된 DDoS 공격이라는 명백한 신호입니다. 최근 공격자들은 캠페인 감지를 더욱 어렵게 하기 위해 저용량, 저속 공격에 집중하고 있습니다.
표적의 방어 체계를 빠져나가기 위한 또 다른 일반적인 전술은 합법적인 서비스를 악용하여 대량의 데이터를 표적에 전송하는 DDoS 증폭입니다. DNS 기반 공격은 전체 네트워크 계층 DDoS의 거의 3분의 1을 차지하며, 사이버 범죄자들은 DNS가 보편적으로 신뢰받고 인터넷 인프라의 중요한 구성 요소라는 사실을 악용하고 있습니다.
과거에는 봇넷이 보통 손상된 사물인터넷(IoT) 장치 집합으로 구성되었습니다. 이러한 장치는 보안이 취약한 경우가 많으므로 쉽게 손상될 수 있습니다. 이러한 장치는 인터넷에 연결되어 있고 계산 능력이 제한적이므로 자격 증명 스터핑, DDoS 등의 단순하고 자동화된 공격을 수행할 수 있습니다.
최근 몇 달 동안 사이버 범죄자들은 가상화된 봇넷으로 전환하고 있습니다. 이러한 가상 장치는 훨씬 더 많은 네트워크 대역폭과 연산 능력을 갖추고 있어 IoT 장치보다 최대 5,000배 더 강력한 공격을 수행할 수 있습니다.
이러한 하이퍼스케일, VM 기반 봇넷의 등장으로 초당 7,100만 건이라는 신기록을 세운 이번 공격의 경우처럼 이전에는 불가능했던 훨씬 더 큰 규모의 DDoS 공격이 가능해졌습니다(이 공격은 VM 기반 봇넷 중 하나로 추적되었습니다).
사이버 보안은 급변하는 산업이며, 위협 환경이 하루아침에 바뀔 수 있습니다. DDoS 공격은 취약점을 악용하지는 않지만, 시스템을 압도하거나 귀중한 리소스를 소모시키려고 시도합니다. 이러한 공격이 점점 더 대형화되고 정교해짐에 따라 공격 트래픽을 필터링하고 시스템을 온라인 상태로 유지하려면 첨단 DDoS 방어 시스템을 구축하는 것이 필수적입니다.
Cloudflare의 웹, 애플리케이션 및 네트워크 DDoS 방어는 인터넷에 연결된 모든 것을 보호하도록 설계되었습니다. Cloudflare에서는 계층 3, 4, 7에서 DDoS 공격에 대한 보호 기능을 제공하며, 여기에는 VM 봇넷, 낮고 느린 캠페인, HTTP 무작위화 등을 통해 이루어지는 대규모의 교묘한 공격을 감지하고 차단하는 기능이 포함됩니다.
더 많은 인터넷 동향을 보려면 Cloudflare Radar를 방문하세요.
이 글은 오늘날의 기술 의사 결정자에 영향을 주는 최신 동향 및 주제에 대한 시리즈 중 일부입니다.
David Belson - @dbelson
Cloudflare 데이터 인사이트 책임자
이 글을 읽고 나면 다음을 이해할 수 있습니다.
사이버 범죄자들이 공격 방법을 개선한 방법
최신 공격 동향 3가지
위협에 대비하기 위한 완화 전략