글로벌 콘텐츠 전송 서비스 기업 씨디네트웍스가 2014년 디도스(DDoS) 공격 동향 및 2015년 디도스 공격 전망 보고서를 발표했다.

씨디네트웍스 보안실 홍석범 이사는 “전년도 디도스 공격은 횟수와 트래픽 규모 모두 양적으로 증가했으며, 특정 프로토콜의 취약점을 이용해 공격에 악용하는 증폭 공격이 두드러졌다. 또한 전세계적으로 분포된 클라우드 서비스를 이용해 공격 대상의 위치에 따라 가상머신(VM)을 확보하여 공격하는 패턴이 관찰됨으로써, 진화하는 공격 방식에 대해 철저한 대비가 필요하다”고 말했다.

씨디네트웍스가 분석한 2014년 디도스 공격 동향은 전년 대비 △디도스 공격 건수 29% 증가 △ 증폭 유형의 공격 64배 증가 △20G 이상 대용량 공격 2배 증가 △업종별로는 게임사 대상 공격이 39% 차지 등의 결과로 나타났다.

본 보고서는 씨디네트웍스가 트래픽 우회 기술 기반의 디도스 공격 방어 서비스인 시큐어드 호스팅(Secured Hosting) 및 클라우드 시큐리티(Cloud Security) 서비스를 국내외 고객사에 제공하면서 취합한 다양한 공격 유형과 트렌드를 분석하고, 이를 바탕으로 2015년 디도스 공격 동향을 예측하고 대비하여 피해를 최소화하기 위해 정보를 공유하고자 작성되었다.

이번 보고서에서 분석한 2015년 디도스 공격 전망은 아래와 같다.

네트워크타임프로토콜(NTP) 및 도메인 네임 시스템(DNS)을 활용한 증폭 공격 트래픽 감소
전세계적으로 NTP를 이용한 디도스 공격이 50G 이상 발생하고 있지만 NTP를 운영하는 기업들 중 상당수가 이미 패치를 진행하여 취약점을 가지고 있는 시스템(Reflection list)가 감소 추세를 보이고 있으므로 디도스 공격 또한 전년 대비 줄어들 것으로 예상한다.

SSDP(Simple Service Discovery Protocol) 증폭 공격 증가
쉐도우서버 재단(ShadowServer Foundation)에 따르면 상위 3개 국가의 Open SSDP가 740만개에 이르고 있고, 이 디바이스는 관리가 되지 않는 경우가 많아 2015년에도 높은 트래픽을 발생시키는 디도스 공격에 활용될 가능성이 높을 것으로 전망된다.

캐릭터 제너레이터(CharGen) 증폭 공격 증가
미국 국토보안부 산하 컴퓨터 긴급 대응팀 US-CERT에 따르면, 캐릭터 제너레이터 공격은 약 359배의 증폭이 가능하고 전세계 6만 개 정도의 취약 서버가 존재하고 있어 위험성이 높아지고 있다. 씨디네트웍스 디도스 방어 서비스 고객사를 대상으로한 캐릭터 제너레이터 공격이 2014년 11월 최초 감지 되었고, 이후 꾸준히 발생하고 있다.

더욱 느려지는 저속 공격(Slow Attack)과 클라우드를 이용한 공격
저속 공격은 GET 혹은 POST 공격을 더 느리게 요청하여 시스템 자원을 고갈시키는 방식의 공격으로, 정상 접속과 비정상 접속의 구분이 더욱 어려워지고 있다. 또한, 클라우드 서비스를 활용해 저렴한 비용으로 쉽고 빠르고 가상 서버를 생성하여 좀비로 활용하는 사례가 탐지 되고 있다.

스크립트를 이용한 L7 공격
클라우드 서비스 기반의 보안업체인 인캡슐라(Incapsula)는 2014년 4월, 중국의 동영상 스트리밍 웹페이지의 크로스사이트 스크립팅(XSS) 취약점을 이용한 L7 디도스 공격이 대량으로 발생했음을 발표했다. 이 공격은 동영상이 포함된 웹페이지를 열게 되면 악성 스크립트로 인해 미리 정의된 페이지로 GET 요청을 하도록 되어 있어, 만약 10,000명의 사용자가 동영상을 시청하게 되면 초당 10,000번의 GET 요청이 각기 다른 IP에서 발생하게 된다.
기존 해커들은 웹 취약점인 XSS를 이용해 PC를 바이러스에 감염시키거나, 악성 사이트로 리다이렉트(Redirect) 시키는 용도로 사용하였지만 앞으로는 디도스 공격에 사용될 수 있는 가능성을 보여줬다.

한편 씨디네트웍스는 디도스 공격으로 서비스 연속성에 치명적인 어려움을 겪고 있는 기업들을 대상으로 트래픽 우회 기술과 대규모 네트워크 회선 인프라를 기반으로 한 시큐어드호스팅 서비스를 통해 고객사가 추가 장비 구매나 서버 이전 없이 신속하게 디도스 공격 대응이 가능하도록 지원하고 있다.