Akamai Diversity

Akamai 블로그

2018 SUMMER SOTI: 웹 공격

변화의 연속

2018년 여름 인터넷 보안 현황 보고서에 대한 두번째 블로그 포스트입니다. 인터넷 보안 현황 보고서를 읽어보신 분들은 이 블로그 내용이 익숙하실 겁니다. 대신 기존에 분기별로 발표되다가 이번 보고서부터 2017년 11월부터 2018년 4월 사이의 데이터를 기준으로 작성되었습니다. 더 많은 데이터와 통계자료를 다루기 때문에 장기적인 트렌드를 보다 포괄적으로 들여다볼 수 있습니다.  

데이터와 차트는 Akamai 클라우드 보안 인텔리전스 플랫폼을 기반으로 만들어졌습니다. 이 플랫폼은 전세계 약 2천개의 데이터센터와 25만대의 서버가 관측한 공격을 기록합니다. 현재 플랫폼에서 처리하는 전체 트래픽 규모는 40Tbps를 넘어서는데 트래픽 규모는 18개월마다 약 2배씩 증가합니다. 2017년 11월부터 2018년 4월까지 Akamai는 전세계적으로 4억 건의 웹 애플리케이션 공격을 관측했습니다. 

이 포스트에서는 가장 일반적인 공격 종류, 공격의 발원지, 표적 시스템의 위치 등 방어 시스템을 계획할 때 반드시 필요한 정보를 제공합니다.  

웹 애플리케이션 공격

이전과 마찬가지로 가장 일반적인 웹 애플리케이션 공격 기법은 SQL 인젝션으로 해당 기간 동안 Akamai Kona 웹 애플리케이션 방화벽이 관측한 공격의 51%를 차지했습니다. SQL 인젝션은 지난 10년 동안 보안 전문가들 뿐만 아니라 공격자들 사이에서도 잘 알려져 있는 공격 기법입니다. 거의 대부분의 공격이 취약한 서버를 찾아 단순히 스캐닝하는 활동인데, 일반 스캔, SQL 악용 툴, 악성 소프트웨어가 만들어내는 노이즈(noise)에 쉽게 숨을 수 있습니다.  

나머지 공격의 대부분은 로컬 파일 인클루전(LFI)과 크로스 사이트 스크립팅(Cross Site Scripting)으로 각각 34%, 8%를 차지했습니다. 이 3가지 공격이 전체 애플리케이션 공격의 93%를 차지합니다. 한 가지 다행인 것은 개발자들이 안전하게 코딩할 수 있도록 기회를 제공하면 간단한 교육만으로도 최악의 리스크를 차단할 수 있습니다.  

WAPFig 1 Vectors-Frequency-thumb-500xauto-7253.jpg

상위 10대 공격 발원 국가

해당 기간 동안 2억 3800만 건의 공격이 발원한 미국이 이전과 마찬가지로 웹 애플리케이션 공격 발원 국가 1위를 차지했습니다. 공격자들이 미국에 위치해 있다는 것이 아니라 공격에 이용된 시스템이 미국에 위치해 있다는 뜻입니다. 2위는 미국보다 인구가 훨씬 적은 네덜란드로 9400만건의 공격이 발원했고, 3위는 5600만건의 공격이 발원한 중국입니다.

초고속 인터넷 접속, 데이터 센터 수, 공격 대상과의 지리적 접근성 등은 전세계적으로 공격 트래픽 규모를 결정하는 핵심 요소입니다. 공격의 발원지가 정확하게 어디인지 파악하기 매우 어렵고 공격자들의 위치를 명확하게 확인하는 것은 불가능합니다.

WAPFig 2 Origin-Country-World-thumb-autox611-7255.jpg

네덜란드는 지난 1년 동안 인구 대비 공격 건수가 높은 국가였습니다. 네덜란드에는 개인정보 보호를 위해 '방탄 호스팅(bulletproof hosting)'을 제공하는 ISP가 다수 존재하는데 이는 공격자들의 신원을 숨겨주기도 합니다. 또한, 공격자들이 악용할 수 있는 초고속 인터넷망도 갖추고 있습니다.

하지만 사법 당국에서 예의주시하고 있다는 점이 공격자들에게 경종을 울리고 있습니다. 유럽연합 경찰기구인 유로폴(Europol)은 여러 파트너와 함께 4월 말 DDoS 공격 대행 사이트를 폐쇄하기 위해 Operation Power Off라는 이니셔티브를 발족했습니다. 세부 내용은 2018년 여름 인터넷 보안 현황 보고서 전문에서 보다 자세히 다루도록 하겠습니다.

WAPFig 3 Origin-Country-EMEA-thumb-autox634-7257.jpg

미국은 전세계적으로 뿐만 아니라 아메리카에서도 지속적으로 웹 애플리케이션 공격 발원 국가 1위를 차지했습니다. 브라질의 공격 발원 건수는 미국의 20%를 약간 상회하는 수준인 4800만건으로 남아메리카에서는 높은 수준이었습니다. 미국과 브라질에서 발원한 공격 트래픽은 모두 자국 내에 공격 표적이 있었습니다. 반면, 순위권에 오른 다른 대부분의 국가들에서 발원한 트래픽의 경우 공격의 대상이 미국 등 외부 국가에 있는 경우가 많았습니다.  

WAPFig 4 Origin-Country-Americas-thumb-autox776-7259.jpg

중국, 인도, 일본의 순위는 아시아 내에서는 변동이 없었고 글로벌 순위에서는 인도가 한 단계 하락해 8위를 차지했습니다. 싱가포르는 몇 분기 동안 순위권 밖에 머물다가 이번에 호주를 밀어내고 순위권에 재진입했습니다.

WAPFig 5 Origin-Country-Asia-thumb-autox652-7261.jpg

공격 대상 국가 순위를 살펴보면 흥미로운 점을 발견할 수 있습니다. 미국은 발원하는 공격보다 훨씬 더 많은 규모의 공격을 지속적으로 받고 있습니다. 반면에 브라질은 내부적으로 발원되는 공격이 상당하지만 브라질을 겨낭해 발생하는 공격보다는 적었습니다. 그 원인은 대부분의 사이트 인프라가 미국에 위치해 있기 때문이라는 것이 지배적인 의견입니다. 하지만 클라우드 서비스 사업자가 해당 지역의 리소스를 지원하기 위한 노력을 확대하고 있기 때문에 앞으로 국가 내의 표적을 겨낭해 발생하는 공격 트래픽이 증가할 것으로 전망됩니다.

WAPFig 6 Top-10-Target-thumb-500xauto-7263.jpg

맺음말

웹 애플리케이션 공격은 인터넷 공간에서 배경 복사(background radiation)의 큰 부분을 차지합니다. 이 공격은 항상 발생하고 랜덤하게 보이기도 하며 쉽게 대응이 가능한 것보다 더 많은 노이즈를 만들어냅니다. 어떤 공격이 단순한 노이즈고 어떤 공격이 악의적인 의도를 가지고 특정 기업을 타게팅하는지 구분하는 것은 매우 까다롭습니다. 

공격 트래픽을 정확하게 탐지하려면 사이트, 트래픽 뿐만 아니라 트래픽이 어디에서 발생하는지 이해해야 합니다. 특정 지역에 국한되어 운영되는 조직은 지역 외부에서 들어오는 트래픽을 면밀하게 확인해야 합니다. 지역 내부의 트래픽보다 외부 트래픽이 악성일 가능성이 더 높기 때문입니다. 악성 아웃바운드 트래픽 비율이 높은 네덜란드 같은 국가에서 들어오는 트래픽 역시 악성 트래픽 발원 순위가 매우 낮은 칠레 같은 국가에서 들어오는 트래픽보다 훨씬 면밀하게 살펴봐야 합니다.

View original post in English

Leave a comment (코멘트 남기기)