Akamai Diversity

Akamai 블로그

다시 보는 2018년의 DDoS 트렌드

인터넷 보안 현황 보고서 / 2018 다시 보는 올해의 보안 트렌드에서 언급한 대로 DDoS 트렌드는 매우 안정적인 특징을 보이고 있습니다. 미라이(Mirai) 봇넷처럼 일부 예외적인 경우를 제외하고 대형 공격의 규모는 연간 약 6%씩 증가해 왔습니다.  공격 규모 중간값은 2년마다 증가와 감소를 주기적으로 반복하면서 훨씬 변경폭이 컸습니다. 안타깝게도 DDoS 공격 규모는 종전 최고 기록을 지속적으로 경신하고 있습니다.

하지만 DDoS 공격 규모의 증가와 감소를 추적할 때 기록에 크게 연연하지 않는 것이 중요합니다. 공격자가 새로운 공격 방법을 발견하면 공격 규모가 갑자기 급증합니다. 그 후에 이 공격 기법을 차단하거나 공격 리소스를 또 다른 리소스로 약화시키면서 공격 규모가 감소합니다. 미라이 봇넷과 그 여파로 인해 EUROPOL이 DDoS 시장을 단속한 것이 좋은 사례입니다.

일반적으로 많은 사람들은 DDoS 공격을 생각할 때 헤드라인을 장식하는 테라비트 규모의 대규모 공격을 주로 떠올립니다. 하지만 공격 규모가 작고 특정 표적을 노리는 공격 역시 막대한 피해로 이어질 수 있습니다. 더 중요한 점은 아래 그래프에 나타난 것처럼 소규모 공격이 대규모 공격보다 실제로 빈번하게 발생한다는 것입니다.

공격 밀도 지도에서 Y축은 공격 규모를 나타내고 각각의 눈금선은 하위 눈금선의 10배입니다. 점의 색깔이 밝을수록 해당 규모의 공격이 더 많이 발생했고 점의 색깔이 어두울수록 공격이 적다는 것을 의미합니다. 일부 기록적인 규모의 공격도 있지만 대부분의 공격은 1Gbps 범위에 몰려 있습니다.  그 위의 선들은 DDoS 공격 규모를 백분위로 분류한 것으로 각각 5, 25, 50, 75, 95 백분위입니다. 다시 말해, 중간의 검은색 선은 중간값을 의미하는데 공격의 절반은 이 선보다 규모가 크고 나머지 절반은 이 선보다 규모다 작다는 뜻입니다. 마찬가지로 맨 위의 빨간색 점선은 전체 공격의 95%가 이 공격 규모보다 작다는 뜻입니다.

2017년 1월과 2018년 1월 사이에 DDoS 공격 밀도는 560Mbps에서 783Mbps로 39.8% 증가했지만 2018년을 전반적으로 살펴보면 상황은 확연히 달랐습니다. 2018년에 공격 규모 증가율은 97.7%를 기록했고 중간값은 2018년 1월 0.56Gbps에서 12월에 1.548Gbps로 증가했습니다.

2017년 1월에는 모든 DDoS 공격의 95%가 4.19Gbps 미만이었지만 1년 후에는 5.91Gbps로 증가했습니다. 2018년 12월에는 모든 DDoS 공격의 95%가 11.34Gbps 이하였습니다.

방어하는 기업에게 이 수치는 흥미로운 숫자이면서 동시에 도전과제이기도 합니다. 만약 최소 중간 정도의 보안 수준을 유지하고 싶다면 1.5Gbps 범위의 공격에 주력해야 합니다. Akamai가 관측한 최신 트렌드에 따르면 웹이 비즈니스의 핵심인 기업들은 11Gbps부터 시작해 이보다 더 큰 공격에 대비해야 합니다.  중요한 순간에 발생한 단 몇 분의 다운타임은 기업의 수익에 상당한 악영향을 끼칠 수도 있습니다.

위 그래프는 주별로 발생한 DDoS 공격 기법을 보여줍니다. 300건이 훨씬 넘는 공격이 발생하기도 합니다. 하나의 DDoS 공격은 여러 개의 공격 기법을 사용할 수 있기 때문에 상위 10대 공격 기법과 주별 DDoS 공격 건수 사이에 차이가 생길 수 있습니다. 예를 들면, 한 건의 DDoS 공격에서 DNS, NTP, SSDP 플러딩이 사용될 수 있습니다. Akamai가 관측한 바에 따르면, 일반적인 공격 기법이 사용되는 공격도 있고, IPMI(Intelligent Platform Management Interface)과 IKE(Internet Key Exchange) 등 일반적이지 않은 공격 기법이 사용되기도 합니다.

Akamai가 지금까지 목격한 최대 규모의 공격 중 하나는 2018년 2월 멤캐시드 UDP 반사 기법을 사용해 소프트웨어 개발 회사를 겨낭한 1.35Tbps 규모의 DDoS 공격이었습니다.

 

매년 DDoS 공격을 관측하다 보면 공격 건수는 상당히 일관성을 유지하고 있지만 예외적인 경우도 있습니다. 보통 1분기에 공격 건수가 소폭 하락하는데 2018년에는 2분기에 공격 건수가 10% 하락했습니다.

2018년 4월 EUROPOL은 webstresser.org를 폐쇄하고 DDoS 공격 시장의 배후에 있는 운영자들을 체포했습니다. 이 웹사이트는 강제로 폐쇄되기 전까지 금융 서비스, 정부, 게이머 등을 대상으로 약 4백만 건의 DDoS 공격을 일으켰습니다.

EUROPOL이 폐쇄 조치를 취하자마자 DDoS 트래픽은 7월 초까지 역대 최저 수준으로 하락한 다음 2018년 8월 12일에 다시 신기록을 경신했습니다. DDoS 트래픽이 예상되는 수준을 회복하면서 은행, 금융, 교육, 게임 업계에 주요 공격 대상이었습니다. 게임은 1년 내내 가장 많은 공격을 받는 분야 중 하나입니다.

2019년 1월도 끝나가고 있습니다. Akamai는 앞으로도 DDoS 트렌드의 변화와 동향에 대해 지속적으로 업데이트 하겠습니다. 

Leave a comment (코멘트 남기기)