Akamai Diversity

Akamai 블로그

사상 최대 규모의 초당 패킷 DDoS 공격을 방어한 Akamai

2020년 6월 21일, Akamai는 자사 플랫폼 역대 최대 규모의 초당 패킷(PPS) DDoS 공격의 방어에 성공했습니다. 대형 유럽 은행을 노린 이번 공격은 809Mpps에 달하는 초당 패킷을 기록했습니다.

DDoSBlog1.jpg

이 PPS 공격은 업계 최고 기록을 경신했을 것으로 보이며 Akamai 플랫폼 종전 최고 기록을 2배 이상 뛰어넘는 규모이자 Akamai에서 대규모 DDoS 공격을 발표한 지 불과 일주일 만에 또 다시 발생한 공격이었습니다. 2020년 DDoS 활동을 전체적으로 봤을 때 정교한 대규모 DDoS 공격은 여전히 지대한 영향을 미치는 공격 기법임이 확실하며 이 문서 뒷부분에서도 다루겠지만 이에 여러 업계의 기업들이 우려를 표하고 있습니다.


BPS와 PPS 비교

DDoS 공격은 거의 언제나 방대한 규모로 이루어지며 일반적으로 bps(초당 비트 수) 단위로 측정됩니다. DDoS 공격자의 목표는 설계된 트래픽 처리량보다 많은 트래픽을 회로로 전송하여 인바운드 인터넷 파이프라인을 다운시키는 데 있습니다. 반면, PPS 공격은 주로 고객 데이터 센터 또는 클라우드 환경의 네트워크 장비 및/또는 애플리케이션에 과부하를 유발하도록 설계됩니다. 대규모로 자행된다는 공통점이 있지만 PPS 공격은 회로 기능이 아닌 장비 리소스를 고갈시키며 BPS 공격보다 일반적이지 않다는 차이가 있습니다.

결제가 이루어지는 슈퍼마켓을 예로 들어 DDoS 공격 유형의 차이를 알아보겠습니다. bps 단위로 측정되는 고대역폭 공격은 수천 명이 각자의 장바구니에 상품을 가득 담은 채 줄을 서 결제를 기다리는 것과 같습니다. 반면 PPS 공격은 백만 명이 각각 껌 한 통을 사려고 오는 것입니다. 두 공격 모두 결과적으로 서비스나 네트워크에서 발생한 트래픽을 처리할 수 없게 됩니다.

최근의 공격은 많은 PPS 부하를 통해 DDoS 방어 시스템을 다운시키는 데 최적화되어 있었습니다. 아래의 패킷 캡쳐에서 볼 수 있듯이 전송된 패킷에서 1바이트 페이로드(IPv4 헤더를 사용한 총 패킷 크기 29)만 전달하기 때문에 다른 수십 억 개의 패킷과 구분이 되지 않았습니다.

ip-explosion-thumb.jpg

소스 IP 폭증

이번에 전송된 패킷은 관측된 소스 IP 주소가 급증했다는 특징을 보였습니다.

 

공격이 진행되는 동안 고객 목적지에 트래픽을 등록한 소스 IP 수가 크게 늘어났다는 점에서 고도로 분산된 공격임을 알 수 있습니다. 이 고객 목적지에서 일반적으로 관측되던 IP 수에 비해 분당 소스 IP 수가 600배 이상 증가한 것을 확인했습니다.

DDoSBlog3.png

IP 주소의 양이 늘었을 뿐만 아니라, 공격 트래픽의 대다수가 2020년 이전 공격에서는 사용되지 않던 IP에서 발생했습니다. 이는 새로운 봇넷의 등장을 의미합니다. Akamai는 DDoS 공격에 사용된 수십만 개의 소스 IP를 추적하고 있으며 이 중 수만 개의 IP가 여러 공격에서 목격되었습니다.

그런데 이번 공격에서는 최초로 소스 IP의 96.2%가 관측되는 매우 이례적인 상황이 발생했습니다(적어도 최근 공격에서는 발견된 적이 없는 사례임). 나머지 3.8%의 소스 IP에서 발생한 여러 공격 기법을 관측한 결과, 둘 다 이번 공격에서 목격된 단일 공격 기법과 일치했으며 다른 공격 기법에도 맞춤화되어 있었습니다. 이 공격의 경우 AS(Autonomous System) 조회를 통해 대규모 인터넷 서비스 사업자에서 대부분의 소스 IP를 식별할 수 있었는데 이는 최종 사용자 시스템의 감염을 의미합니다.


최고 속도

6월 21일 공격은 그 규모뿐 아니라 최대 속도를 기록했다는 점에서도 놀라웠습니다. 이번 공격은 몇 초 만에 정상 트래픽 수준인 418Gbps 규모를 보인 후 약 2분 만에 809Mpps에 달하는 최대 크기로 발전했습니다. 공격은 총 10분이 좀 안 되는 시간 동안 지속되었습니다.

Akamai의 선제적 방어 컨트롤을 통해 공격을 완벽하게 방어하는 한편 행동 방어 추천 엔진을 활용해 추가 공격 범위를 분석할 수 있었습니다. 프로토콜, 대상 포트, 패킷 길이, 지리적 위치 측면에서 정상 트래픽 기준을 크게 벗어난 이번 공격에서 다음과 같은 3가지 사실을 확인했습니다.

  1. 강조한 방법 모두 부수적인 피해 없이 공격을 효과적으로 차단할 수 있었습니다.
  2. Akamai의 0초 SLA 통제에는 자주 발생하는 공격 기법이 이미 포함되어 있습니다.
  3. 고객의 정상 트래픽 기준과 대비 상황을 분석한 덕분에 패킷 수준 및 복잡한 방어 조치가 필요 없었습니다. 

특성

구성원

공격 PPS %

기준 PPS %

패킷 길이

29

100

0

프로토콜

udp

100

0

프로토콜 + 대상 포트

udp_80

100

0

대상 포트

80

100

82.74

국가

US

42.89

28.93

국가

KR

10.92

1.35

국가

VN

9.07

0.37

국가

JP

6.28

0.81

국가

CN

4.64

0.89

국가

CA

6.07

4.86

국가

TH

1.09

0.24

국가

MY

1.04

0.23


여러 업계를 노린 초대형 DDoS 공격

이번 공격은 대형 유럽 은행을 대상으로 발생했으며 아래 그래프에서 보듯이 금융 서비스는 가장 빈번하게 공격 받는 업계입니다. 이 그래프에는 시간(X축)에 따른 업계별 Gbps 공격(Y축)과 Mpps 공격(원형 크기 Z)이 나와 있습니다. 2020년 최대 규모의 PPS 공격 2건은 금융 서비스 기업에서 발생했지만 그래프 오른쪽 상단의 녹색 원에서 볼 수 있듯이, 지난 주에 있었던 기록적인 Mbps 공격은 호스팅 사업자인 대형 인터넷∙통신 회사를 노린 것이었습니다.

DDoSBlog5_6.21attack.png

이러한 대규모 공격을 성공적으로 방어하려면 계획과 전문 리소스가 필요합니다. 정상 또는 기준 트래픽 패턴 및 양을 식별하고 선제적 방어 컨트롤을 구성하기 위해서는 특정 고객의 트래픽에 대한 심도 있는 이해가 선행되어야 합니다. 또한 정상 트래픽에 영향을 미치지 않고 악성 트래픽을 성공적으로 탐지 및 방어하는 데 목표를 두어야 할 것입니다.

선제적 방어 컨트롤을 배포하면 대부분의 공격 유형에 대한 방어력을 높이는 데 매우 효과적입니다. 하지만 선제적 방어 외에도 Akamai SOCC(Security Operations Command Center)팀은 다양한 툴과 기능을 도입하여 DDoS 탐지 횟수와 방어 효과를 개선해 나가고 있습니다.

Akamai는 대표적인 SLA를 토대로 DDoS 공격을 성공적으로 탐지 및 방어하고 있습니다. Akamai에서는 자사 고유의 기술, 인력, 프로세스 조합 덕분에 이번 초대형 공격에 맞설 수 있었습니다. 대규모 DDoS 공격이 또 발생하더라도 이는 Akamai, 특히 SOCC 팀에게는 그저 또 다른 일상 업무에 불과합니다. 자동 시스템과 인력을 활용한 방어를 적절히 조합하여 인터넷을 더욱 안전한 공간으로 만드는 것이 바로 Akamai의 주된 업무이기 때문입니다.

Akamai의 첨단 DDoS 방어 플랫폼과 SOCC에 대해 자세히 알아보세요.