우리나라 통신사인 KT가 전 세계 디도스 공격 발원지 4위에 올랐으며, 케이블 MSO ‘디라이브(D’Live)’가 7위를 기록했다. 1위부터 3위까지는 중국 차이나 유니콤, 차이나넷클라우드, TIM이었다. 우리나라 전체적으로는 디도스 공격 발원 국가 5위에 기록됐다.
이는 A10네트웍스의 ‘디도스 무기 보고서’에 따른 것으로, 디도스 공격 소스 1위는 중국이었으며, 미국, 이태리, 러시아가 그 뒤를 이었다. 우리나라는 5위였으며, 독일, 인도의 순으로 나타났다. 또한 클라우드 서비스로부터 디도스 무기가 호스팅 된 건수는 46만 7000건 이상이었다.
증폭반사공격 발원지 역시 우리나라가 상위에 올랐다. DNS, NTP, CLDAP는 미국과 중국이 압도적인 1위였으며, SNMP 프로토톨이 공격 무기화한 국가중에서 대한민국이 1위였다.
증폭반사공격은 인터넷상에서의 열린 서버들을 잘 못 구성한 위장(Spoofing)된 요청으로 UDP 프로토콜의 비연결(Connectionless) 속성을 이용하는 공격 유형이다. 이 공격전략은 스푸핑으로 위장된 피해자의 IP주소로 소량의 요청을 노출된 서버로 전송한다. 서버는 무의미한 희생자에게 큰 증폭응답으로 회신합니다. 이 특정 서버들은 공격을 증폭시킬 수 있는 서비스로 구성되기 때문에 공격의 대상이 된다.
이러한 공격의 가장 일반적인 유형은 수백만개의 노출된 DNS, NTP, SSDP, SNMP 및 CLDAP UDP 기반 서비스를 활용할 수 있다. 이러한 공격으로 인해 1.3Tbps 규모의 멤캐시드 기반 깃허브 공격과 같은 기록적인 대규모 공격(Volumetric Attack)이 발생했다.
5G 등장으로 디도스 공격 규모 커져
IoT를 이용한 디도스 악성코드는 미국, 이태리, 영국, 독일, 네덜란드 등에서 가장 많이 발생하는 것으로 나타났다. 현재 IoT 기기는 초당 127개가 신규 등록되고 있으며, 특히 임베디드 리눅스 기반 IoT 기기가 디도스 공격에 이용되는 신형 악성코드의 감염 대상이 되고 있다.
보고서는 5G 등장으로 디도스 공격 규모는 더욱 커질 것이라고 내다봤다. 5G는 스마트 IoT 앱과 다양한 활용사례를 만들어내지만, 이와 함께 디도스 무기도 증가시킬 것이다. 에릭슨에 따르면 2024년까지 모바일 무선망에 연결된 IoT 디바이스는 41억개에 달할 것으로 예측된다.
기하급수적인 높은 데이터 속도와 낮은 대기 시간을 가진 5G는 급속한 확장의 주요 동력원이 될 것이다.
보고서에서는 특히 통신사업자가 점증하는 위협에 대응할 수 있어야 한다고 강조하며, 진보된 디도스 보호 솔루션 도입이 필요하다고 강조했다. 특히 5G 환경에서는 전통적인 방식으로 한계가 있으며 100GE 포트 기반, AI를 활용한 보호 기능, 지능형으로 자동화된 솔루션을 도입해 몇 초 이내에 보안 이상을 감지하고 방어할 수 있어야 한다고 주장했다.
더불어 정교한 디도스 위협정보와 실시간 위협탐지 및 자동서명 추출을 결합하면, 어떠한 시장에서 발생하든 가장 방대한 다중벡터 공격 까지도 방어할 수 있어야 한다. 디도스 봇넷의 IP주소와 현재 디도스에 일반적으로 사용되는 취약한 서버의 IP주소를 정확하고 신속하게 제공하여, 블랙리스트를 작성함으로써 사전대책으로의 DDOS 방어를 가능케 해야 한다.
A10네트웍스는 위협 인텔리전스 조직을 운영하며 전 세계 감염된 공격 에이전트를 모니터링하고, 허니팟을 운영하며, 노출된 반사 소스를 스캔해 위협 정보를 수집한다. A10과 파트너 보안연구원은 디도스 공격에 정기적으로 사용되는 수백만 개의 IP주소를 누적한다. 이 데이터는 수 천만 개의 항목이 포함된 방대한 자료를 만드는 데 사용된다.
보고서는 “디도스 무기가 공격을 개시할 수 있는 실행기록(Track Record)을 보유한 위치를 사전에 알 수 있다면, 이를 차단하기 위한 정책을 미리 개발할 수 있다. 이렇게 활성화된 사전 대응조치는 특히 디도스 방어에 효과적”이라며 “A10네트웍스는 지능화된 디도스 방어 기술을 보유하고 있을 뿐 아니라 전 세계 전문 위협 분석 조직과 파트너를 통해 지능적으로 최신 공격 도구를 검색·탐지하고 방어할 수 있다”고 말했다.
