Akamai Diversity

Akamai 블로그

2020년 복잡한 대규모 DDOS 공격 증가

지난 몇 달 동안 기록적인 PPS와 Akamai Prolexic 플랫폼이 완화한 BPS 공격에 대해 강조해 왔습니다. 하지만 이런 공격들은 규모와 복잡성이 커지고 있는 DDoS 활동의 일부에 불과합니다. 여러 벤더사가 공개한 최대 규모의 DDoS 공격은 우리에게 분명한 시사점을 전달해 주고 있습니다.

대형 공격의 건수는 전례 없는 수준으로 증가했습니다. 여러 공격 기법이 동시에 사용된 건수를 봤을 때 공격의 복잡성 역시 가중되고 있다는 점도 주목할 만합니다. 공격은 또한 점차 집요해지고 있습니다. 2020년 상반기에 100Gbps 이상의 공격을 14번 받은 Akamai 고객도 있었습니다.

"캠페인의 개념이 달라졌습니다. 몇 년 전만 해도 '공격'이라는 단어는 적절한 표현이었습니다. 매일 많은 공격이 발생했는데 제 생각에 이런 공격은 캠페인이 아니었습니다. 하지만 최근에 발생한 공격은 캠페인 중심적이며 공격자가 오랜 시간에 걸쳐 주도면밀하게 진행합니다." -Roger Barranco, Akamai 글로벌 보안 운영 담당 부사장

공격이 증가하는 몇 가지 이유:

  • DDoS 공격 대행 툴의 확산
  • 봇넷(엔터프라이즈 DVR, IoT 등)의 증가
  • 소셜, 지리정치학, 온라인 소요 사태 등 다양한 동기부여 요소들
  • 격리 조치 및 지루함- 악성 공격자들이 결국 무엇을 할까요?

이유에 상관 없이 결과는 동일합니다. 보안 및 IT팀은 효과적인 방어 체계를 구축해야 합니다. 


Akamai의 관측 내용

아래 그래프가 보여주는 것처럼 Akamai의 관측에 따르면 2020년 100Gbps 이상의 공격 건수와 공격 종류는 30개월 만에 최고치를 기록하며 모두 증가하고 있습니다. 이런 증가 추세는 2020년 초 COVID-19로 인한 격리 조치가 실행되면서 시작되었습니다.  

unnamed.png

비즈니스 서비스 업계를 겨낭한 대규모 공격이 증가하기는 했지만 Akamai가 예상했던 것처럼 이런 공격들이 특정 업계를 타케팅하지는 않고 있습니다.

imageLikeEmbed.png

100Gbps 이상의 공격에 다양한 공격 기법이 사용되었다는 것도 주목할 만합니다. 2020년 6월에 TCP 스택 공격(SYN/ACK/FIN floods)이 증가했습니다. 하지만 대규모 DDoS 공격에 사용된 공격 기법은 월별로 큰 차이를 보입니다.

imageLikeEmbed-2.png

아래 그래프는 공격의 빈도가 증가할 뿐만 아니라 공격의 다양성과 복잡성 역시 가중되고 있다는 것을 보여줍니다. 여러 가지 색상으로 구성된 막대는 공격 기법의 조합을 나타냅니다. 2020년 6월에 100Gbps를 초과하는 14건의 공격 중에서 3건의 공격은 동일한 공격 기법을 사용했고 8건은 완전히 새로운 공격 기법을 조합했습니다. 

imageLikeEmbed-3.png


Akamai가 공격에 대응하는 방법

대부분의 DDoS 공격과 마찬가지로 이런 대규모 공격들 역시 Akamai가 고객들을 위해 이미 구축한 보안 체계에 의해 선제적으로 차단됩니다. 실제로 대규모 공격이 발생했다는 사실을 알림 시스템을 통해 알게 되는 고객들도 많습니다. Akamai Prolexic 서비스는 DDoS 공격 규모 또는 공격 건수에 상관 없이 고객들을 안전하게 보호하고 있습니다.

imageLikeEmbed-4.png

저희는 Akamai의 SOCC(보안운영관제센터), 엣지 기반의 웹 애플리케이션 방화벽, 권한 DNS 서비스, DDoS 전용 클라우드 스크러빙 센터 등 DDoS 관련된 플랫폼의 역량이 DDoS 공격을 효과적으로 방어할 수 있는 최선의 방법이라고 생각하고 있습니다. 오탐률과 미탐률을 낮추기 위해 주력하고 있으며 Akamai가 업계 리더 자리를 유지할 수 있는 이유는 다음과 같습니다.

  1. 용량: Akamai의 전체 CDN 용량은 168 Tbps가 넘습니다.
  2. 자동화 및 인력: Akamai는 자동 방어 기능을 필요한 곳에 적용합니다. 하지만 자동 방어와 인력 기반의 방어를 조합하는 것이 최고의 접근 방식이라고 생각합니다. 간단하게 방어할 수 있는 고대역폭 패킷 공격은 자동 기능으로 방어하고 보다 복잡한 공격 기법이나 캠페인 공격은 Akamai SOCC의 전문 인력들이 방어할 수 있습니다.
  3. 지원 역량: SOCC의 역량과 프로세스는 공격 방어를 지원할 뿐만 아니라 맞춤형 런북을 통해 고객의 인시던트 대응 방식과 통합되기도 합니다.

결국, 검증된 플랫폼, 역량 있는 전문가, 탄탄한 프로세스가 고객들에게 가장 큰 가치를 전달하는 것으로 보입니다. Akamai 플랫폼이 진화함에 따라 효율성을 유지하면서 자동 방어 기능을 지속적으로 강화해 나갈 것입니다.

Akamai DDoS 공격 방어 기능에 대해 더 자세히 알아보고 싶으시거나 혹은 지금 공격을 받고 계시다면 Akamai DDoS 페이지를 방문하시기 바랍니다.