[아이티데일리] 클라우드플레어(Cloudflare)가 인터넷 역사상 최대 규모인 초당 7.3테라비트(Tbps)의 디도스(DDoS; 분산 서비스 거부) 공격을 최근 성공적으로 차단했다. 2025년 5월 중순에 발생한 이번 공격은 이전 기록보다 12% 더 큰 규모다. 클라우드플레어는 자사 자율 방어 시스템이 이번 대규모 디도스 공격을 완전히 자동으로 차단했다고 밝혔다.

45초간 HD영화 9,350편 쏟아졌지만 자동 방어 성공

클라우드플레어에 따르면, 이번 7.3Tbps 공격은 단 45초 동안 37.4테라바이트(TB)의 악성 트래픽을 전송했다. 이는 HD급 영화 9,350편을 45초 동안 전송하는 것과 같은 규모로, 거의 1년 분량의 고화질 비디오를 스트리밍하는 것과 동일하다. 음악으로 환산하면 935만 곡을 1분 안에 다운로드하는 것으로, 57년간 계속 들을 수 있는 분량이다.

공격 대상은 클라우드플레어의 ‘매직 트랜짓(Magic Transit)’ 서비스를 이용하는 호스팅 업체였다. 이는 호스팅 업체와 중요한 인터넷 인프라가 디도스 공격의 주요 표적이 되고 있다는 클라우드플레어의 2025년 1분기 위협 보고서 분석과 일치하는 결과였다.

이번 공격은 다중 벡터 디도스 공격으로, 99.996%는 UDP 플러드 공격이었다. 나머지 0.004%는 QOTD 반사 공격, 에코(Echo) 반사 공격, NTP 반사 공격, 미라이(Mirai) UDP 플러드 공격, 포트맵(Portmap) 플러드, RIPv1 증폭 공격 등으로 구성됐다.

공격은 161개국에 걸친 5,433개의 자율 시스템(AS)에서 발생한 122,145개의 소스 IP 주소로부터 시작됐다. 공격 트래픽의 거의 절반이 브라질과 베트남에서 발생했으며, 각각 약 25%씩을 차지했다. 나머지 3분의 1은 대만, 중국, 인도네시아, 우크라이나, 에콰도르, 태국, 미국, 사우디아라비아에서 발생했다.

클라우드플레어는 자사 자율 방어 시스템이 이번 공격을 완전히 자동으로 차단했으며, 어떠한 인간의 개입도 없었고 경고나 사고 발생도 없었다고 설명했다. 회사 측 설명에 따르면 이번 공격은 전 세계 293개 지역에 위치한 477개의 데이터센터에서 감지됐고 곧이어 완화됐다.

클라우드플레어의 자율 방어 시스템은 실시간 핑거프린팅 기술을 사용해 패킷을 분석하고, 독자적인 휴리스틱 엔진인 ‘dosd’를 통해 공격 패턴을 식별한다. 그리고 패턴이 감지되면 여러 핑거프린트 변형을 생성, 최적의 완화 효과를 얻을 수 있는 핑거프린트를 찾아낸다는 게 회사 측 설명이다.

디도스 공격 매년 급증…공격 시간 짧아 자동 대응 필요

클라우드플레어의 2025년 1분기 디도스 위협 보고서에 따르면, 회사는 2025년 1분기에만 2,050만 건의 디도스 공격을 차단했다. 이는 전년 동기 대비 358%, 전 분기 대비 198% 증가한 수치다. 특히 네트워크 계층 디도스 공격이 1,680만 건으로 전 분기 대비 397%, 전년 동기 대비 509% 급증했다.

초당 1Tbps 또는 초당 10억 pps를 초과하는 대규모 볼류메트릭 디도스 공격은 2025년 1분기에만 약 700건이 발생했으며, 이는 하루 평균 약 8건의 공격에 해당한다. 2024년 4분기에는 1Tbps를 초과하는 공격이 전분기 대비 1,885% 증가했다.

산업별로 살펴보면 2024년 4분기 기준으로 통신 분야가 가장 많은 디도스 공격을 받았으며, 인터넷 산업과 마케팅 및 광고 분야가 그 뒤를 이었다. 전통적으로 공격 대상이었던 은행 및 금융 서비스 분야는 8위로 낮아졌다.

랜섬 디도스 공격도 급증하고 있다. 2024년 4분기 클라우드플레어 고객 중 12%가 배상금 지불 협박을 받거나 금전 갈취를 당했다고 응답했으며, 이는 전분기 대비 78%, 전년 동기 대비 25% 증가한 수치다.

다행히 디도스 공격의 지속시간은 감소하고 있다. 클라우드플레어에 따르면 HTTP 디도스 공격의 72%가 10분 이내에 종료된다. 또한 네트워크 계층 공격의 91%가 10분 이내에 끝나는 것으로 나타났다. 하지만 이처럼 짧은 지속시간으로 인해 사람이 경고에 대응하고 완화 조치를 적용하는 것이 불가능하다는 게 문제다. 이에 상시 가동되는 자동화된 인라인 디도스 방어 서비스의 필요성이 강조되고 있다.

전문가들은 2025년에도 랜섬웨어와 디도스 하이브리드 공격이 더욱 진화할 것으로 전망한다. 다크웹 플랫폼을 통해 서비스 형태로 제공되는 공격이 확산돼 전문 지식이 없는 사람들도 손쉽게 공격을 실행할 수 있는 환경이 조성되고 있기 때문이다.

클라우드플레어는 전 세계 330개 도시에 걸친 최대 321Tbps 용량의 네트워크를 기반으로 하는 자동화된 디도스 방어 시스템을 제공하고 있다. 호스팅 업체와 클라우드 컴퓨팅 업체를 위한 무료 디도스 봇넷 위협 피드도 제공하고 있다. 현재 600여 개 조직이 이 서비스에 가입돼 있다.