Akamai Diversity

Akamai 블로그

2018 SUMMER SOTI: 숫자로 보는 DDOS 공격

변화의 시대

인터넷 보안 현황 보고서는 지난 3년 동안 인터넷 위협, 공격 트래픽, DDoS에 대한 Akamai의 연구 결과를 제공해 왔습니다. 그동안 보고서가 다루는 내용의 범위는 크게 확대된 반면 콘텐츠와 콘텐츠를 보여주는 방식은 큰 변화를 보이지 않았습니다. 하지만 2018년 여름 웹 공격 보고서부터 콘텐츠를 보여주는 방식이 크게 달라집니다.   

가장 주목할만한 변화는 일부 통계 그래프가 보고서에서 블로그로 이동한다는 것입니다. 최종 목표는 정적인 그래프 대신 API 기반 그래프로 대체해 최신 정보를 자동적으로 업데이트하는 것입니다. 이번 포스트에서는DDoS 공격 데이터에 기반한 그래프와 공격 기법, 공격 규모, 공격의 표적 등에 대해 설명하고 다음 포스트에서 웹 애플리케이션 공격에 대해 다루도록 하겠습니다.  

DDoS 활동

앞으로 보고서는 분기별이 아니라 연 2회 발표됩니다. 새로운 공격 종류가 발생하는 이례적인 경우를 제외하고 공격 통계는 변화 속도가 느립니다. 앞으로도 주별∙월별로 데이터를 취합해 그래프를 작성하겠지만 보고서를 자주 발표하지는 않을 계획입니다.

아래의 테이블과 그래프는 2017년 11월 1일부터 2018년 4월 30일 사이의 통계자료입니다. 일부 데이터는 장기적인 트렌드를 보여주고 있습니다. 공격이 발생한 후 발표된 공격 보고서에서 데이터를 취합했고 이 데이터는 Akamai Prolexic팀의 전문성을 보여줍니다. Akamai는 해당 기간 동안 7822건의 DDoS 공격을 관측했습니다.

레이어3 및 4 공격이 DDoS 공격의 거의 대부분을 차지(99.1%)하는 추세가 계속되고 있습니다. 반사기 또는 봇넷을 사용하는 증폭 공격이 애플리케이션 레이어 공격보다 적은 비용이 들기 때문입니다. UDP fragment flood는 Akamai가 관측한 전체 DDoS공격의 약 1/3을 차지합니다. 프레그멘테이션(fragmentation) 트래픽은 일반적인 툴이고 패킷을 분할하는 UDP 공격에서도 중요한 요소입니다.

DNS floods (17%)와 Connection-less Lightweight Directory Access Protocol (CLDAP) 반사공격 (13%)은 해당 기간 동안 전체 공격의 1/3을 차지했습니다. CLDAP는 빈번하게 사용되는 공격 구성요소인데 앞으로 지속적으로 사용될 것으로 보입니다.

Screen Shot 2018-06-19 at 9.13.25 AM-thumb-500xauto-7229.png

DNS, NTP, CharGEN, SSDP 등의 반사기는 인터넷 상에 노출된 시스템 수를 고려하면 앞으로 공격 트래픽의 큰 부분을 차지할 것으로 전망됩니다. Akamai는 2018년 여름 인터넷 보안 현황 보고서의 공격 하이라이트에서 멤캐시드가 반사기 및 증폭기로 사용된다는 내용을 언급했습니다. 멤캐시드 공격 기법은 2월 말에 급증했는데 방어 노력이 효과를 거두면서 더이상 심각한 위협으로 간주되지 않고 있습니다.

2-x_DDoS-reflectorsSankey (1)-thumb-700xauto-7231.png

이런 공격 기법을 장기적인 측면에서 살펴보면 2017년 6월과 8월에 급증했고 2018년 초반에 소폭 상승했습니다. 이런 추세가 올해 전반적인 공격 증가로 이어질지의 여부는 지켜볼 필요가 있습니다.

DDOSFig 3 Top10-Vectors-by-Week-Summer-2018-thumb-650xauto-7235.jpg

Akamai는 공격 건수만 봤을 때 놓칠 수 있는 공격 트래픽의 특성을 파악하기 위해 공격 밀도와 트렌드를 정기적인 시간 간격을 두고 분석합니다. 이번 그래프에서 가장 주목할만한 점은 DDoS 공격 규모의 중간값이 거의 1년 가까이 감소하다가 2017년 초반 수준으로 다시 증가했다는 점입니다. 멤캐시드 공격 같은 이례적인 대규모 공격 때문에 중간값이 높아졌다고 생각할 수도 있습니다. Akamai는 1건의 대규모 공격이 분석 결과를 왜곡하는 것을 막기 위해 평균이 아닌 중간값을 인덱스로 사용합니다.

Date

      Jan 2016

   Jul 2016

   Jan 2017

  Jul 2017

  Jan 2018

  Apr 2018

Median Attack Size

      1230 Mbps

   965 Mbps

   896 Mbps

  616 Mbps

  782 Mbps

  1287 Mbps

아래의 그래프는 방대한 정보를 다양한 방식으로 보여줍니다. Y축의 한 구간이 높아질 때마다 공격 규모는 10배 증가합니다. 색깔은 공격 밀도를 나타내는데 노란색과 초록색은 가장 일반적인 공격의 규모, 보라색과 남색은 이례적으로 발생하는 공격의 규모입니다. 추세선(trend line)은 아래에서부터 위로 각각 5%, 25%, 50%, 75%, 95%의 백분위를 뜻합니다. 예를 들어, 가운데 검정색 실선은 50%를 나타내는데 이 선을 기준으로 절반의 공격은 규모가 더 크고 나머지 절반은 공격 규모가 더 작다는 뜻입니다. Akamai가 관측한 공격의 95%는 10Gbps 미만이었고 이는 매년 위협에 대해 리뷰할 때 고려해볼 필요가 있는 부분입니다.

DDOSFig 13 Attack-Density-Trends-thumb-650xauto-7233.jpg

Akamai가 방어한 DDoS 공격의 가장 큰 표적은 이전과 마찬가지로 게임업계입니다. 대부분의 공격은 공격에 감염된 시스템을 사용하는 사람들에 의해 발생했는데 주로 불만을 표출하거나 경쟁 우위를 점하기 위해 사이트를 공격하는 게이머들이었습니다. 통신사와 금융기관은 1위와 큰 격차를 두고 공격 대상 순위에서 각각 2위, 3위를 차지했습니다.

한 번 공격을 받은 기업은 재공격을 받을 가능성이 매우 높습니다. 최근 6개월 동안 공격 받은 기업은 평균 41건의 공격을 받았고 884건의 공격을 받은 기업도 있습니다. 매일 5건의 DDoS 공격을 방어할 준비가 되어 있으신가요? 극단적으로 들릴 수도 있겠지만 DDoS 공격이 단발성으로 끝나는 경우는 매우 드뭅니다. 한 번이라도 공격을 받은 적이 있다면 반드시 추가 공격에 대비해야 합니다.   

DDOSFig 6 DDoS-Avg-Attacks-thumb-autox647-7238.jpg

공격이 발원한 국가를 살펴보면 꽤 복잡한 양상을 보입니다. 전체 공격 트래픽의 30%가 미국에서 발원했고 그 다음은 중국, 영국 순이었습니다. 하지만 공격자들이 실제로 미국이나 중국에 위치해 있다는 뜻은 아닙니다. 반사 공격, 봇넷, UDP에 대한 손쉬운 스푸핑 등을 고려하면 트래픽을 기준으로 공격자의 위치를 판단하기는 어렵습니다. DDoS 공격의 발원지를 찾아내는 것은 어렵고 시간과 비용이 많이 소요될 뿐만 아니라 수익성도 떨어집니다.

Top 10 Source Countries for DDoS Attacks, November 2017 - April 2018

Country

percentage

source IP count

U.S.

30

46,137

China

16

24,831

U.K.

5

7,840

India

4

5,975

Spain

3

5,237

Russian Federation

3

4,964

Brazil

3

4,877

Korea

3

4,820

Japan

3

4,499

Ecuador

2

3,483

other

28

43,487

다음 포스트에서는 SQL 인젝션, 크로스 사이트 스크립팅 등 애플리케이션 레이어 공격에 대해 설명합니다. 스포일러를 하나 말씀드리자면 충격적이게도 SQL 인젝션이 아직도 가장 일반적인 애플리케이션 공격 기법이라고 합니다.

View original post in English

Leave a comment (코멘트 남기기)