재택 격리와 함께 계층 3/4 DDoS 공격이 계속 증가하고 있습니다

조직들은 서비스를 온라인으로 이전하고 트래픽 급증에 대응하며 새로운 원격 근무자를 지원하는 등 '뉴 노멀'에 대응하기 위해 발빠르게 움직이고 있습니다. 관찰된 공격 데이터에 따르면 이러한 움직임(및 일상에서 인터넷의 중요성 증대)에 따라 공격자들은 악의적 활동을 늘릴 수 있는 기회를 얻게 되었습니다.

본 보고서는 이러한 동향에 관련된 데이터를 소개하고 조직의 대응 방법을 제안합니다.

전세계 데이터에 따르면 공격 빈도는 증가하고 규모는 작아졌습니다.

Cloudflare는 2020년 4월-6월에 관찰된 공격 데이터를 기초로 다음과 같은 추세를 파악했습니다.

• Cloudflare 네트워크에서 관찰된 계층 3/4 DDoS 공격의 횟수가 올해 1분기와 비교하여 두 배 증가했습니다.

• 2020년 2분기에 발생한 공격들은 대부분 규모가 작았지만, 이것이 반드시 좋은 현상은 아닙니다.

• DDoS 공격이 가장 많은 나라는 미국이었습니다.

2020년 2분기에 전세계의 계층 3/4 DDoS 공격 횟수가 두 배 증가했습니다

OSI 모델의 네트워크 및 전송 계층인 계층 3 및 4를 노리는 DDoS 공격은 해당 두 계층의 기능(예: 계층 3의 서버 핑과 계층 4의 TCP SYN 패킷)을 이용하여 정크 트래픽으로 대상 서버를 마비시킵니다.

계층 3/4 DDoS 공격을 분석한 결과, 4월, 5월, 6월에 글로벌 공격 횟수가 급격히 증가했습니다. 5월과 6월에만 올해의 전체 계층 3/4 공격 중 50% 이상이 발생했습니다.

이 기간에는 또한 최대 규모의 공격도 일부 발생했습니다. Cloudflare에서 평가한 가장 큰 공격 범주는 공격 규모에서 초당 100기가바이트(Gbps)를 초과하여 전송한 것입니다. 2020년 2분기에 발생한 전체 100Gbps 이상의 공격 중 63%가 5월에 발생했습니다. 1분기에 비해 대형 공격이 크게 증가한 것입니다.

2020년 2분기에 발생한 공격들은 대부분 규모가 작았지만, 이것이 반드시 좋은 현상은 아닙니다.

DDoS 공격의 규모를 측정하는 방법은 여러 가지가 있습니다. 우선, 공격의 트래픽 규모를 비트 전송률(구체적으로, 초당 기가비트)로 측정하는 방법이 있습니다. 또 다른 방법은 패킷 전송률(구체적으로, 초당 패킷)로 패킷 개수를 측정하는 것입니다. 비트 전송률이 높은 공격은 인터넷 링크를 포화시키려는 시도이며 패킷 전송률이 높은 공격은 라우터나 기타 인라인 하드웨어 장치를 마비시키려는 시도입니다.

4월부터 6월까지의 기간에 공격 트래픽의 절반 이상이 1Gbps 미만이었으며 거의 90%가 10Gbps 미만이었습니다(이 동향은 2020년 1분기 공격과 일치합니다. 이 기간에는 공격의 92%가 10Gbps 미만이었습니다).

마찬가지로 전체 공격 중 약 76%의 패킷 전송률이 100만pps로서 비교적 임계치가 낮았습니다.

미국이 계층 3/4 DDoS 공격을 가장 많이 받았습니다

국가별 L3/4 DDoS 공격 분포를 살펴보면 미국 내 Cloudflare 데이터 센터가 가장 많이 공격을 받았고(22.6%) 그 뒤를 독일(4.4%), 캐나다(287%), 영국(2.7%)이 따르고 있습니다.

조직의 대응 방법

이러한 추세에 근거하여 아래 결론을 도출할 수 있습니다. 대응 방법에 대한 권고안도 함께 제시합니다.

• 공격자는 코로나19 팬데믹이 본격화되면서 계층 3/4의 DDoS 활동을 늘린 것으로 보입니다.

  팬데믹이 한동안 지속될 것으로 예상되므로, 조직들은 계층 3/4 인프라가 장기적으로 DDoS 공격에 저항할 수 있도록 준비해야 합니다.

• 더 작은 규모의 공격도 여전히 문제가 될 수 있습니다.

  비트 속도가 10Gbps 미만인 공격도 패킷 속도가 낮은 공격과 마찬가지로 적절한 보호가 없는 사이트를 다운시킬 수 있습니다. 조직은 다양한 크기의 공격으로부터 보호할 수 있도록 투자해야 합니다.

• 소규모 공격은 광범위한 전략의 첫 번째 신호탄이 될 수 있습니다

  이 경우 공격자는 기업을 대상으로 인터넷 자산에 장애를 일으키지 않는 대가를 요구하거나 별개의 공격으로부터 보안 팀의 주의를 돌리기 위해 이를 이용합니다. 조직에서는 서버 전체를 대상으로 하는 대형 공격뿐 아니라 모든 규모의 공격에 대해 인프라를 모니터할 수 있어야 합니다.

• 공격의 출처는 전 세계 모든 곳입니다.

  조직은 동시에 전 세계의 많은 지점에서 모든 트래픽을 검사하고 스크러빙할 수 있는 능력에 투자해야 합니다.

대규모 클라우드 기반 네트워크 만이 이러한 모든 문제에 대해 진정으로 실행 가능한 대안입니다. 대규모 클라우드 기반 네트워크에서는 네트워크 에지에 있는 단일 제어 영역에 DDoS 방어 기능을 올려놓아 공격의 출발점에서 가장 가까운 곳에서 공격을 차단합니다. 따라서 원본 서버는 온프레미스로 있든 클라우드에 있든 안전이 유지됩니다. 또한, 규모가 커서 공격 트래픽을 거대한 네트워크 표면에 분산시키므로 공격이 집중되거나 성능이 저하되는 데이터 센터가 발생하지 않습니다.

이러한 결과는 100여 개 국가의 200여 개 도시에 걸쳐 있으면서 매일 평균 720억 건 이상의 사이버 위협을 차단하는 Cloudflare 네트워크를 통해 도출되었습니다. 네트워크에서 DDoS 위협 환경을 360도 모니터링하므로 Cloudflare에서는 이들 침투성 공격이 진화함에 따라 공격에 대해 풍부한 데이터를 수집할 수 있습니다. Cloudflare 네트워크는 자동으로 인텔리전스를 공유하면서 모든 공격으로부터 지속적으로 학습하여 다음 공격을 저지하는 데 이용합니다. 또한, 네트워크 및 애플리케이션 성능을 저하시키지 않으면서 기업에 강력한 DDoS 보안 서비스를 제공합니다.

이 글은 오늘날의 기술 의사 결정자에 영향을 주는 최신 동향 및 주제에 대한 시리즈 중 일부입니다.