한국 표적 ‘디도스(DDoS)’ 공격 더 늘었다…전세계 2위
올해 1분기 동안 한국이 중국에 이어 세계에서 두 번째로 디도스(DDoS, 분산서비스거부) 공격을 많이 받은 국가로 나타났다. 순위 측면에서는 작년 4분기와 동일하지만 톱(Top)3 국가에 포함된 중국과 미국은 공격 건수가 줄어든 반면에 한국은 더 늘어났다. 공격 및 표적 수, 명령제어(C&C) 서버 수량 측면에서도 모두 증가한 결과가 나타났다.
카스퍼스키랩코리아가 2일 공개한 ‘2016년 1분기 카스퍼스키 디도스 인텔리전스 리포트’에 따르면, 디도스 공격은 10개국에 집중돼 있으며 중국과 한국, 미국이 가장 많은 공격을 받았다.
74개국에 위치한 리소스가 디도스 공격 표적이 됐는데, 2015년 4분기와 마찬가지로 대다수(93.6%) 공격이 단 10개국에 집중됐다. 중국(55.4%), 한국(20.4%), 미국(9%)이 이번에도 가장 많은 공격을 받았다.
톱3 국가 가운데 중국과 미국은 소폭 줄었지만 한국은 전분기보다 2% 증가한 수치를 기록했다. 한국 디도스 표적 수도 3.4% 증가했다. 중국은 50.3%에서 49.7%로, 미국은 12.8%에서 9.6%로 감소했다.
한편, 우크라이나(4위), 독일(9위), 프랑스(10위)는 이번 분기에 상위 10개국에 새롭게 포함됐다.
공격자 명령제어(C&C) 서버 호스팅이 많은 것으로 집계된 국가일수록 디도스 공격 상위국에 이름을 올린 것으로 나타났다.
한국은 C&C 서버가 가장 많은 국가로, 2015년 4분기 59%에서 2016년 67.6%로 더 늘어난 결과를 보였다.
중국도 C&C 서버 수는 8.3%에서 9.5%로 늘어났다. 다만 미국은 11.5%에서 6.8%로 감소했다.
프랑스는 이번에 처음으로 C&C 서버를 호스팅하는 상위 10개국에 포함됐다.
1분기 디도스 공격 유형은 SYN 공격(54.9%)이 여전히 가장 많았으며, TCP 공격이 21.1%, HTTP 공격이 10%대를 유지했다. ICMP 공격은 전 분기보다 5.4% 늘어난 9%를 기록했다.
카스퍼스키랩 전문가들은 통신 채널을 목표로 한 공격 유형이 줄어든 반면에 애플리케이션 수준의 공격이 증가한 사실을 발견했다. 이는 지난해 다시 두드러졌던 증폭 공격이 시들해지기 시작했다는 것을 보여준다.
SYN, TCP, HTTP 디도스 공격은 여전히 기승을 부리고 있지만 UDP 공격은 1.5%대로 크게 감소했다. 작년 2분기 UDP 디도스 공격이 11.1%였던 것과 비교하면 급감한 수치다.
카스퍼스키랩은 앞으로 UDP 증폭 공격이 점차 사라질 것으로 전망하고 있다. 인터넷제공업체들과 IT보안 기업들이 유해 트래픽을 걸러내는 노력을 지속한 데 따른 결과다. 데이터 링크 계층의 증폭 공격 효과가 감소하기 때문에 사이버범죄자들에게는 수익성이 낮아지기 때문이다.
카스퍼스키랩은 고객과 자체 웹사이트를 대상으로 한 디도스 공격 분석 결과 공격 지속 기간은 줄어들고 공격 횟수와 복잡성은 증가하는 추세를 확인했다고 밝혔다.
1분기에 발생한 공격의 70%는 지속 시간이 4시간 미만이었다. 동시에 최대 공격 기간도 급격하게 줄었다. 가장 길었던 DDoS 공격도 8일(197시간)간 지속되는 수준이었다. 2015년 4분기에 있었던 가장 긴 공격은 거의 2주(13.9일)에 달한 것과는 대조적이다.
하지만 동일한 표적을 대상으로 다양한 공격유형이 더 빈번하게 일어났다. 이 기간 발생한 단일 리소스에 대한 최대 공격 수는 지난 분기 24회에 비해 33회로 증가했다.
올해 1분기 동안 카스퍼스키랩이 받은 공격은 2015년 전체 공격 횟수와 맞먹을 정도로 크게 늘어났다. 이러한 공격의 대다수는 애플리케이션 수준의 단기 공격이었지만 강도는 4배가량 증가했다고 회사측은 설명했다.
이창훈 카스퍼스키랩코리아 지사장은 “대부분의 통신사들은 널리 퍼져 있으며 기술적으로 단순한 상당수의 DDoS 공격에 대비가 돼 있다. 때문에 사이버범죄자들은 작업의 효율성을 높일 수 있도록 복잡하고 고가이지만 효과가 높은 방법을 찾기 시작했다”고 말했다.
이 지사장은 “애플리케이션 수준의 공격이 좋은 예”라며 “지능형 정크 필터링 알고리즘을 갖춘 전문적인 안티디도스 솔루션만이 진짜 사용자 요청을 탐지할 수 있다. 특히 지속적인 서비스 운영이 필요한 회사는 더 이상 인터넷 제공업체의 보안 능력에만 의존할 수 없게 됐다”고 덧붙였다.
* 이 보고서는 카스퍼스키랩의 디도스 인텔리전스에서 수집된 통계를 바탕으로 발간된다. 이 인텔리전스 시스템은 ‘카스퍼스키 디도스 프로텍션’의 일부로 C&C 서버에서 봇으로 전송되는 명령을 가로채 분석, 사용자 기기가 감염되거나 사이버 범죄자의 데이터 수집 명령이 실행되는 것을 사전에 방지할 수 있도록 지원한다.
글. 바이라인네트워크
<이유지 기자>yjlee@byline.network