자택 격리로 DDoS 상황이 변화했습니다
전세계 네트워크 계층DDoS 공격에 대한 통찰력
2020년 1분기에 인터넷 트래픽이 급증했습니다. 네트워크 계층 DDoS 공격도 급증했을까요?
2020년 1분기에는 인터넷 트래픽과 네트워크 계층 DDoS 공격이 급증했다. 세계적인 재택 격리 상황에서 인터넷으로 인해 원격 근무, 커뮤니티 연결 유지, 온라인 교육 및 쇼핑, 소셜 미디어에서의 개인적인 시간, 음식 배달, 게임 등과 같은 일들이 가능하게 되었습니다. 웹 트래픽이 50%까지 증가한 나라도 있습니다. 온라인 활동이 증가하면서 네트워크 계층에서의 DDoS 공격도 증가했습니다. 온라인 활동이 늘어나면 DDoS 공격자는 공격 대상을 알아차립니다. 인터넷 사용량이 많아지면 온라인 사업체들의 분당 수익이 증가한다는 것을 잘 알기 때문입니다.
기업에서는 사용량이 많으면 잃을 것도 많아지므로 DDoS 전술을 사용하려는 공격자들의 동기는 더 커집니다. ITC(Information Technology Industry Council)에서는 가동 중단의 평균 비용이 ��분당 5,600달러에 달한다고 추정합니다. 따라서 오늘날의 사업체는 가동이 1시간 동안 중단되면 33만 6천 달러를 잃을 수 있습니다. 이처럼 가동 중단의 비용이 증가하므로, 일부 조직에서는 네트워크 인프라 또는 웹 자산을 다시 가동할 수 있도록 DDoS 공격자에게 대가를 지급하려고 마음먹기도 합니다.
2020년 1분기 공격은 작아지고 빨라졌습니다
1분기에 관찰된 네트워크 계층 공격의 대부분은 비트 속도로 측정할 때 소규모였습니다. 공격의 92% 가 초당 10기가비트(Gbps) 미만이었으며 2019년 4분기의 84% 보다 크게 높아졌습니다. 패킷 속도 관점에서도 대다수의 공격은 100만pps(packet per second) 미만이었습니다. 비트 속도 및 패킷 속도 모두 공격자들이 소규모 공격을 만드는 데 노력과 자원을 집중하고 있음을 나타냅니다.
패킷 및 비트 전송률 외에 공격 지속 시간도 짧아졌습니다. 2020년 1분기 DDoS 공격의 79%는 며칠 또는 몇 달 지속된 것이 아니라 30~60분의 시간 동안 지속되었습니다. 좋은 소식이라고 생각할 수도 있겠지만, 그렇지 않습니다. 소규모의 짧은 공격이 많다는 추세에 대해 과거보다 DDoS 공격 실행이 쉬워지고 비용이 적어졌다는 이론이 있습니다. 실제로 이제는 분산 서비스 거부 공격이 서비스로 제공됩니다. Kaspersky에 따르면 인터넷의 어두운 일각에서는 5분 간의 공격 비용이 5달러 정도밖에 되지 않는다고 합니다.
대규모 공격이 여전히 우세
2020년 1분기에는 대부분의 공격이 10Gbps 미만이었지만, 대규모 공격도 여전히 만연했습니다. 3월에는 이번 분기 중 가장 큰 최대 550Gbps의 공격이 발생했습니다. Cloudflare는 3월 중순부터 대기업을 대상으로 한 DDoS 공격이 증가하는 것을 알아챘습니다. 이러한 공격들은 직원들이 원격 근무하는 기업들을 방해할 것을 목표로 하는 국가, 핵티비스트, 랜섬 기반 사이버 범죄자 등이 저지를 수 있습니다. 고통의 시간에 전기 네트워크 및 석유 사업 등 취약한 공익 사업을 악용하기 위해 시도하는 공격자도 있을 것입니다.
공격 벡터의 추적
IP당 하루 평균 DDoS 공격에 이용하는 공격 벡터의 수는 약 1.4개로 안정적이었습니다. 하루 동안 하나의 IP를 표적으로 한 공격 벡터의 최대수는 10개로 관찰되었습니다. 지난 분기에는 계층 3과 4(L3/ 4)에서 32가지 이상의 다양한 공격 벡터가 발견되었습니다. 1분기 중 ACK(확인응답 신호) 공격이 대다수(55.8%)를 차지했고, 이어서 SYN(싱크 요청) 공격이 14.4%로 2위를 차지했으며 3위는 여전히 공격의 상당 부분(13.5%)을 차지하는 Mirai(봇넷 맬웨어) 공격이 뒤를 이었습니다. SYN 및 ACK DDoS 공격을 더하면 1분기 모든 L3/4 공격 벡터의 70% 이상을 차지합니다.
2020년 1분기의 요약
세계적으로 인터넷 사용량이 많아지면서 DDoS 공격의 동기가 되고 있습니다.
공격이 더욱 싸고 쉬워졌기 때문에 공격들은 작아지고 짧아졌습니다.
대기업을 겨냥한 대규모 공격은 여전히 만연하고 있습니다.
DDoS 공격에 대한 창 폐쇄
DDoS 공격이 매우 흔해진 상황에서 전세계의 모든 온라인 사업체들은 네트워크, 응용 프로그램, 웹 사이트가 안전하고 빠르고 안정적일 수 있도록 보장하는 보안 태세를 확보해야 합니다. 서비스 거부를 단 한 시간 겪게 될 때 잠재적인 수익 손실 측면에서 비용이 얼마나 될지도 이미 알아봤습니다.
그렇다면 기업들이 합법적이고 원치 않는 트래픽의 형태인 좋은 트래픽과 나쁜 트래픽을 신속히 분리해야만 하는 모든 것이 연결된 이 시대에 이러한 목표를 달성하기 위해 가장 비용 효과적인 방법은 무엇일까요?
DDoS 공격을 완화하기 위해 네트워크 주위에 트래픽 온프레미스을 스캔하고 필터링하는 하드웨어 장치를 사용하는 방법이 있습니다. 이러한 접근법의 단점은 이러한 짧은 공격이 10초 이하의 신속한 완화 전술을 필요로 한다는 점입니다. 레거시 공급자들 중에는 완화 시간 SLA를 15분까지 하는 경우도 많습니다.
다른 DDoS 완화 방법으로 합법적인 트래픽으로부터 악의적인 트래픽을 필터링하기 위해 네트워크 트래픽을 스크러빙 센터로 보내는 방식이 있습니다. 하지만 많은 DDoS 공격이 국지적으로 발생하기 때문에 스크러빙 센터는 실현 가능한 해결책이 아닙니다. 스크러빙 센터는 수가 제한되어 있고 지리적으로 분산되어 있어 스크러빙 센터를 왕복해야 하는 트래픽의 병목이 될 수 있기 때문입니다.
클라우드 기반 네트워크만이 오늘날의 고도화된 DDoS 공격에 대해 진정으로 실행 가능한 대안입니다. 이는 네트워크 에지에 있는 단일 제어판에 DDoS 방어 기능을 올려놓아 공격의 출발점에서 가장 가까운 곳에서 공격을 차단합니다. 따라서 원본 서버는 온프레미스로 있든 클라우드에 있든 안전이 유지됩니다. 이처럼 통일된 대규모의 네트워크 보호 서비스는 모든 공격을 통해 학습하며 이러한 인텔리전스를 자동으로 공유할 수 있어 다음 공격을 막는 데 이용할 수 있습니다. 또한, 네트워크 및 응용 프로그램 성능을 저하하지 않으면서 탄탄한 DDoS 보안 서비스를 제공하여 수익에 대한 부정적 영향이 없습니다.
이러한 발견 사항 은 100여 개 국가의 200여 개 도시에 걸쳐 있으면서 매일 평균 760억 건의 사이버 위협을 차단하는 Cloudflare 네트워크에서 파악한 결과입니다. 네트워크에서 DDoS 위협 환경을 360도 모니터링하므로 Cloudflare에서는 이들 침투성 공격이 진화함에 따라 공격에 대해 풍부한 데이터를 수집할 수 있습니다.
이 ��글은 오늘날의 기술 의사 결정자에 영향을 주는 최신 동향 및 주제에 대한 시리즈 중 일부입니다.