‘디도스 융단폭격’의 시대가 열렸다. 디도스 방어 전문기업 아버의 모기업인 넷스카우트의 최신 쓰렛 인텔리전스(Threat Intelligence) 보고서에서는 “최근 반사 또는 플러딩 디도스 공격의 새로운 변종인 ‘융단 폭격(Carpet Bombing)’이 등장했다. 이를 탐지하기 위해서는 기존과는 다른 디도스 방어 기법이 필요하다”고 강조했다.
이 보고서는 지난해 하반기 등장한 디도스 공격을 분석한 것으로, 이 기간 동안 전 세계 최대 공격 규모가 전년 동기 대비 19% 커졌다. 공격자들이 인터넷에 연결된 다양한 기기들을 감염시켜 공격에 사용하는 전략적 캠페인을 펼치고 있기 때문이다. 지난해 전체 디도스는 전년대비 26% 증가했으며, 100~400 Gbps 규모의 공격이 급증했다. 이는 디도스에 대한 공격자들의 관심이 꾸준히 이어지고 있으며, 중대형급 공격에 사용되는 툴과 기법이 충분히 완성됐음을 보여준다.
이 보고서는 전 세계 위협 분석 시스템인 ‘아틀라스(ATLAS)’를 통해 수집한 위협 정보와 저눈가 조직 ‘ASERT’을 통해 분석한 인텔리전스를 기반으로 작성된 것이다. 이 보고서에선느 지난해 하반기 공격자들은 기존 수단을 확대하고, 빠르게 최신 기술을 발전시키며, 스마트 비즈니스 기법을 적용해 공격 증가율이 가속화되고 있다고 밝혔다.
보고서의 주요 내용은 다음과 같다.
◆일촉즉발의 IoT 공격= IoT 기기는 끊임없이 디도스 멀웨어 타깃이 되고 있으며, 연결 후 5분 이내에 공격을 받고, 24시간 이내에 특정 익스플로잇의 타깃이 된다. 많은 기기에서 IoT 보안이 최소 수준 또는 전무한 상황이다. 이로 인해 IoT는 대단히 위험하고 취약한 영역이 됐으며, 특히 의료 기기에서부터 자동차까지 다양한 아이템에 IoT 기능이 탑재되면서 문제가 더욱 심각해지고 있다.
◆테라비트 공격 시대= 디도스 공격 규모는 계속 커지고 있으며, 특히 지난해 100~400 Gbps 규모 공격이 급증했다. 이는 중대형급 공격에 사용되는 툴과 기법이 충분히 완성됐음을 보여준다.
◆국가단위 공격 그룹= 2017년 하반기부터 2018년 하반기 사이에 UN, 국제통화기금(IMF), 미국 국무부 등 국제 관련 분야에 대한 디도스 공격이 200% 가까이 증가했다. 지난해 국가단위 APT 그룹의 공격 활동이 증가했으며, 공격 대상도 증가했다. 넷스카우트는 현재 이란, 중국, 러시아, 북한 등 몇몇 국가에 근거를 둔 최소 35개 그룹의 활동을 모니터링하고 있다.
이들 그룹은 다양한 최신 공격 기술을 사용하며, STOLEN PENCIL 공격 캠페인의 경우에서와 같이 공격 범위와 효과를 확대하기 위해 자체적으로 개발한 커스텀 툴과 일반적인 크라임웨어를 결합해 사용하기도 한다.
◆크라임웨어 상용화= 지하세계의 사이버범죄조직들은 빠른 수익 증대를 위해 제휴 모델 등의 통상적인 비즈니스 방식을 사용해 합법적인 사업과 유사한 형태로 불법 사업을 운영한다. 공격 규모의 증가는 사이버범죄를 통해 지속적으로 수익이 창출되고 있음을 반영한다. 다나봇(DanaBot)과 같은 캠페인은 전세계 급속 전파를 위해 제휴 모델을 사용한다. 12개의 개별 제휴 그룹이 전세계 여러 나라의 금융기관들을 공격하는 방식으로 배포 효율을 높이고 인건비를 줄였다.
ASERT팀과 미국 FBI가 최근 MedusaHTTP 디도스 조사 과정에서 확인한 바에 따르면, 협업 범죄로 인한 싸움 또한 증가하고 있다. MedusaHTTP 디도스는 ‘stevenkings’라고 알려진 해커의 봇넷이며, 결국 기소됐다.
한편 ATLAS는 막대한 규모의 텔레메트리를 통해 인터넷 코어의 백본 네트워크들에 대한 가시성을 제공한다. 넷스카우트는 티어1 서비스 프로바이더의 90%를 포함한 전 세계 조직들이 공유하는 데이터를 수집한다. 이는 전 세계 인터넷 트래픽의 약 3분의 1에 해당한다.
넷스카우트는 이 데이터와 다른 데이터 세트를 상관분석해 자동 데이터 공유 및 인텔리전스를 제공하며 모든 인터넷 사용자, 기업, 단체가 이를 활용해 당면 위협을 파악하고 대응하는 데 필요한 거시적인 관점을 가질 수 있도록 지원한다.
