30일 카스퍼스키랩(한국지사장 이창훈)은 ‘디도스 공격 1분기 결산 보고서’를 발표하며 이같이 밝혔다.

보고서에 따르면 올해 1분기 동안 디도스 온라인 리소스 공격이 발생한 국가는 79개국에 달했다. 공격을 가장 많이 경험한 국가로는 중국과 미국, 한국이 상위권으로 조사됐다. 이는 해당 국가들이 해커 집단이 이용할 수 있는 서버 환경이 세계 상위권수준이기 때문으로 분석됐다. 또 이번 조사의 특징은 최다 공격 대상 국가 10워권에서 네덜란드와 베트남이 빠지고 홍콩과 일본이 포함됐다는 점이다.

C&C 서버 최다 호스팅 부문 10위권의 변화는 더욱 뚜렷했다. 캐나다, 터키, 리투아니아, 덴마크가 순위에서 사라지고 이탈리아, 홍콩, 독일, 영국이 포함됐다. 카스퍼스키랩은 ‘미라이(Morai)’의 복제본인 ‘다카이(Darkai)’와 ‘AESDDoS’ 봇의 활성 C&C 서버 수가 증가했으며, 기존 ‘소르(Xor)’ 및 ‘요요(Yoyo)’ 봇넷이 활동을 재개했기 때문이라고 추측했다.

또한 며칠간 지속되는 DDoS 공격의 경우 잠시 중단되는 듯했으나 최근 다시 나타난 것으로 보인다. 1분기에 가장 오래 지속됐던 DDoS 공격은 297시간, 즉 12일이 넘도록 지속됐다.

지난 2월 말과 3월 초에 발생한 멤캐시드(Memcached) 디도스 공격은 1Tbps 규모를 넘기도 했다. 그러나 카스퍼스키랩 전문가들은 멤캐시드 공격이 성행하는 현상이 오래 지속되지는 않을 것으로 예상했다. 해당 공격은 공격 대상에게도 영향을 미치지만 공격 수행 시 기업들이 의도치 않게 개입되기 때문이다.

전반적으로 증폭 공격은 과거 감소세를 보였으나 1분기에 다시 추진력을 얻으면서 성행했다. 예를 들어 카스퍼스키랩은 큰 효과에도 불구하고 드물게 발생하는 공격 유형을 발견했는데, 이 공격 유형에서 LDAP 서비스가 증폭기로 사용됐다. LDAP 서비스는 멤캐시드, NTP, DNS와 함께 증폭률이 가장 큰 서비스에 속한다. 그러나 멤캐시드와 달리 LDAP 정크 트래픽으로 인해 발신 채널이 완벽하게 막히는 일이 없기 때문에 취약점이 있는 서버의 소유주가 이상 상황을 파악하고 치료하기가 어렵다.

이창훈 카스퍼스키랩코리아 지사장은 “취약점 악용은 DDoS 봇넷 생성을 비즈니스로 삼는 사이버 범죄자들이 즐겨 사용하는 도구”라며, “이 때문에 공격 대상뿐 아니라 인프라를 운영하는 기업도 디도스 공격의 피해를 입고 있다. 예방하기 위해서는 취약점 패치를 정기적으로 수행하고, 디도스 공격에 대한 지속적인 보호 기능을 갖춰야 한다”고 말했다.