[디도스 공격 트렌드 ①] 랜섬디도스 등 타깃형으로 진화하는 디도스 공격

[아이티데일리] 최근 주요 사이버 위협 트렌드로 ‘분산 서비스 거부(DDoS, Distributed Denial of Service)’ 공격이 떠오르고 있다. 지난해 말부터 전 세계적으로 디도스 공격이 정교해짐에 따라, 대응에 어려움을 겪고 있다. 더불어 디도스 공격 이후, 또 다시 공격을 실행하겠다는 협박으로 금전적인 이득을 노리는 ‘랜섬 디도스 공격’이 주요 트렌드로 부상하고 있다.

국내에서도 디도스 공격이 이슈가 되고 있다. 금융, 공공, IT 서비스 등 다양한 분야를 대상으로 공격이 발생하고 있으며, 그 수 역시 빠르게 늘어나고 있다. 지난 3월에는 네이버가 디도스 공격을 받아 일부 서비스의 장애가 나타나기도 했다.

보안 업계는 증가하는 디도스 위협에 대응하기 위해서는 조직적인 예방 체계를 강화하는 것이 중요하다고 강조했다. 국내에서는 KISA 및 ISP 등이 사이버 대피소 서비스를 제공하기 때문에, 이를 활용하는 것도 좋은 방안이라고 조언한다. 최근 디도스 공격 및 대응 현황을 살펴봤다.

디도스 공격, 주요 위협 이슈로 부상

국내외 디도스 피해 사례가 속출하면서 최근 사이버 위협 트렌드로 ‘디도스 공격’이 다시 떠오르고 있다. 특히 과거 금융권에 집중됐던 것과는 달리 최근 디도스 공격은 금융외에 공공, IT 서비스, 게임, 자동차 등 다양한 분야를 대상으로 진행되고 있다.

최근 피해 사례를 살펴보면, 대표적으로 지난 3월 네이버의 일부 서비스 장애 사건을 꼽을 수 있다. 네이버를 대상으로 한 디도스 공격이 발생해 뉴스, 블로그, 카페 등 일부 서비스에서 약 1시간 동안 접속 장애가 발생했다.

네이버 외에도 금융권을 타깃으로 한 디도스 공격도 문제가 되고 있다. 금융보안원에 따르면, 지난해 8월부터 올해 1월까지 국내 금융사들을 대상으로 한 랜섬 디도스 공격이 약 19건 발생한 것으로 집계됐다. 신한은행, 카카오뱅크, 케이뱅크 등 은행뿐만 아니라 한국거래소 등이 디도스 공격을 받은 것으로 나타났다.

글로벌에서도 디도스 공격으로 인한 피해가 나타나고 있다. 글로벌 보안 기업 임퍼바(Imperva)는 ‘코로나19 기간 동안 디도스 공격 추이(DDoS Attacks in the Time of COVID-19)’ 보고서를 통해 지난해 자동차 산업을 타깃으로 한 디도스가 108% 증가했다고 발표했다. 이어 통신/인터넷 서비스 사업자(53%), 마케팅(43%), 도박(32%) 등의 분야를 대상으로 한 공격도 증가했다. 지난해 8월에는 금융 서비스를 대상으로 한 디도스 공격이 기승을 부렸다.

임퍼바에 따르면, 코로나19 기간 동안 애플리케이션 디도스 공격 트래픽이 80% 이상 증가했다. 공격 지속 시간은 21% 늘었으며, 디도스 공격 중 초당 요청 수(RPS)도 79% 증가했다.

코로나19(COVID-19) 팬데믹이 디도스 공격 확산에 영향을 줬다는 분석도 나온다. 비대면 서비스가 증가함에 따라 디도스 피해도 같이 증가하는 경향이 나타나고 있다는 것이다. KISA 관계자는 “코로나19 팬데믹 여파로 재택근무가 많아지면서 원격에 사용되는 프로토콜 취약점을 노린 공격이 증가하고 있다. 특히 공유 리소스 접근에 사용되는 프로토콜과 VPN 연결을 위해 사용되는 프로토콜을 악용한 공격이 증가하고 있다”고 설명했다.

안랩 관계자 또한 “코로나19로 온라인 기반 서비스가 활발해지고 트래픽이 증가함에 따라 이를 기회로 삼아 공격이 증가하고 있다. 우리나라의 경우, 보안 인증체계 확충 및 정기적인 디도스 모의훈련으로 디도스 대응 역량을 강화하고 있음에도 불구하고 절대적인 디도스 공격의 수가 증가하다 보니 디도스 피해 사례가 발생하고 있는 상황”이라고 말했다.

지난 6월 대형 유럽 은행 노린 809Mpps 규모 공격 발생

글로벌 시장에서도 디도스 공격이 주요 이슈로 떠오르고 있다. 아카마이는 지난 2020년 6월 21일 대형 유럽 은행을 노린 공격은 809Mpps(Million Packets Per Second)에 달하는 초당 패킷을 기록하며 업계 최고 기록을 경신했다. pps는 초당 처리된 패킷 수로, 패킷의 크기는 최소 64바이트에서 1,500바이트까지도 될 수 있다.

2020년 6월 초에도 금융 서비스 기관을 대상으로 385Mpps의 대규모 디도스 공격이 관측됐는데, 이번 공격은 예전 공격의 2배를 넘어서는 규모였다. 규모뿐 아니라 공격 속도 역시 최고 수준을 기록했다. 정상 트래픽 수준인 418Gbps 규모에서 약 2분 만에 809Mpps에 도달했고 공격 시간은 약 10분 동안 지속됐다. ​공격이 진행되는 동안 공격에 사용된 IP 주소의 수 또한 600배 이상 급증했다.

아카마이의 ‘2021 인터넷 보안 현황 보고서’에 따르면, 금융 기업을 타깃으로 한 디도스 공격이 지난해 110% 증가했으며 올해도 상승세가 지속되고 있다. 아카마이 관계자는 “코로나 팬데믹 상황이 지속되며 생긴 충격이라고 생각한다. 업무의 상당 부분이 디지털로 전환되고 재택근무가 많아지면서 디도스를 포함해 백엔드 서버를 노리는 사이버 보안 공격의 정도가 심해지고 있다”고 설명했다.

안랩, 지난해 약 13만 건 디도스 공격 관측…전년比 42%↑

안랩은 보안관제센터를 통해 지난해 약 13만 건의 디도스 공격을 관측했다. 이는 2019년에 관측된 92,000여건에 비해 42% 이상 증가한 수치다. 안랩은 침해대응팀(CERT)을 통해 탐지/차단한 디도스 공격시도의 대상 산업군을 분석한 결과, 전체 공격 시도의 절반이 금융권을 노린 것으로 나타났다고 밝혔다. 이어 어서 방송/통신(16.7%), IT서비스(14.2%), 유통/운송(7%), 게임(6.3%) 분야가 뒤를 따랐다.

특히 금융권을 노린 디도스 공격은 2019년 30% 비중에서 지난해 50% 비중으로 확대돼, 금융사들의 대응체계 강화가 요구되고 있다. 또한 방송/통신(2019년 6.4%→ 2020년 16.7%), IT서비스(2019년 6.9%→ 2020년 14.2%) 분야를 노린 디도스 공격은 전년 대비 비율이 2배 이상 증가했다. 2019년의 디도스 공격 대상 산업군의 비율은 ▲금융 30.2% ▲공공/법률 28.9% ▲게임 14.2% ▲유통/운송 8.9% ▲IT서비스 6.9% ▲방송/통신 6.4% 등이었다.

안랩 관계자는 “금융, 방송/통신, IT 서비스 등을 타깃으로 한 디도스 공격이 증가했다. 이는 공격자들이 금전적인 이득을 목표로, 디도스 공격의 파급력을 극대화할 수 있는 산업 분야를 공략하는 ‘선택과 집중’ 전략 때문인 것으로 풀이된다”고 설명했다.

한국인터넷진흥원에서도 디도스 공격이 꾸준히 탐지되고 있다. KISA는 11개 ISP와의 19개 연동구간에 디도스 대응 시스템을 운영하고 있다. 국가정보원에서 발간한 ‘2021 국가정보보호백서’에 따르면, 최근 12년간 총 4,120건의 디도스 공격을 탐지, 대응했다. 지난해 디도스 공격 탐지 및 대응 건수는 247건이다.

또한 KISA에서는 공격대상 웹사이트로 향하는 공격 트래픽을 우회시켜, 일반 사용자가 웹사이트를 정상적으로 이용할 수 있도록 지원하는 디도스 사이버 대피소를 운영하고 있으며, 해당 서비스를 이용하는 업체도 꾸준히 증가하고 있다. 지난해는 4,590개 기업이 사이버 대피소를 이용했으며, 235건의 디도스 공격이 사이버 대피소를 통해 방어됐다.

‘랜섬 디도스’ 등 주요 공격 트렌드로 부각

최근 디도스 공격의 특징은 랜섬웨어, 정보유출 등과 디도스 공격이 복합적으로 발생한다는 것이다. 더불어 디도스 공격을 감행하겠다고 조직을 협박해 금전적인 이득을 노리는 ‘랜섬 디도스’도 증가하고 있다.

이전의 디도스 공격은 대부분 서비스 중단을 목적으로 했다. 하지만 가상자산 거래가 활성화되면서 가상자산의 현금화가 쉬워지고 추적이 어려워지자, 수익성을 노려 가상자산을 요구하는 랜섬 디도스 공격이 증가하고 있다. 보통 랜섬 디도스 공격은 디도스 공격이 짧은 시간 행해진 뒤, 거래에 응하지 않을 경우 또 다시 디도스 공격을 진행하겠다는 협박성 메일을 통해 가상자산을 요구한다. 하지만 대부분 협박에 그치며 실제 공격이 일어나지 않을 가능성도 있다.

안랩 관계자는 “가상자산 가격의 상승에 따라 금전적 이득을 얻기 위한 디도스 공격 또한 증가하고 있다. 공격자는 일명 ‘랜섬 디도스’로 알려진 방식으로 기관이나 기업을 대상으로 디도스 공격을 시범적으로 보여준 후 보안담당자를 협박해 가상자산을 요구한다. 공격자는 기업이 보안 사고가 외부에 알려지는 것을 꺼린다는 점을 노려 공격과 협박을 동시에 가하고 있으며, 암호화폐의 가치가 상승할 경우 이러한 공격 또한 계속될 것으로 보인다”고 강조했다.

조학수 윈스 CTO는 “디도스 공격의 트렌드 중 가장 중요한 것은 무의미한 공격이 사라지고 있는 것이다. 디도스 공격의 파급력이 큰 조직을 타깃해 공격을 진행한다. 공격 자체가 체계화, 산업화, 전문화되고 있다. 디도스 공격으로 인해 치명적인 피해를 입을 수 있는 산업군을 노리고, 어느 서버를 공격해야할지 분석하고 있다. 또한 조직의 서비스와 시스템을 분석한 상태에서 공격을 진행하기 때문에 대응이 더욱 어려워지고 있다”고 말했다.

마이크로소프트는 최근 “글로벌 기준 디도스 공격이 증가하고 있으며, 그 중 수백 기가(GB) 급의 대용량 공격의 증가가 두드러진다”고 발표한 바 있다. 안랩 관계자는 “국내의 경우도 수십 기가 급의 디도스 공격이 자주 발생하고 있으며, 랜섬 디도스 공격 또한 많이 관측되고 있다. 특히 금융권을 대상으로 한 랜섬 디도스 공격이 증가하고 있으며, 이외에도 공공 및 교육기관, 기업 등 분야를 막론하고 피해가 지속적으로 발생하고 있다”고 강조했다.

MS에 따르면, 기가 급 대용량 공격이 늘어난 반면, 테라(TB)급의 초대용량 공격의 규모 및 빈도는 감소하고 있다. 초대용량 공격에 주로 사용됐던 ‘분산 반사 서비스 거부(DRDoS, Distributed Reflection Denial of Service)’ 기법의 경우, 공격에 활용된 취약점에 대한 정보가 공유, 보완됨에 따라 대응 역량이 강화되고 있기 때문이다.

‘DRDoS’ 기법은 다수의 PC를 감염시키는 대신 IP주소를 위조한 후 공격 대상 웹사이트나 서비스와 연결된 정상 운영 시스템을 이용해 트래픽을 집중시켜 서버를 마비시키는 디도스 공격 방식이다. IP 스푸핑(IP Spoofing)을 기반으로 통신 프로토콜 메카니즘을 악용해 트래픽을 반사 및 증폭시킨다. 지난 2018년 깃허브를 타깃한 1.35Tbps 급의 대규모 공격도 멤캐시드(MemCached) 서버의 취약점을 악용한 UDP(User Datagram Protocol) 반사 공격으로 밝혀진 바 있다.

공격자들은 디도스 공격시 다양한 방식을 혼용하기 시작한 것으로 보인다. 아카마이 관계자는 “과거의 디도스 공격은 단순히 방대한 트래픽 양으로 서버를 마비시키는 방식이었다면 이제는 다양한 기법을 통한 디도스 공격이 동시에 이뤄지고 있다. 디도스 공격을 빌미로 협박하는 랜섬디도스와 마이크로소프트의 RDP 프로토콜을 이용한 디도스 공격 증폭 등 공격 방법도 다양해져 피해가 확산되고 있다. 일례로, 지난해 아카마이는 최고 초당 1.4TB 규모에, 809Mpps의 위력을 가진 디도스 공격을 성공적으로 방어했는데, 당시에 최소 9가지의 공격 기법을 감지했다. 14가지의 공격 기법을 쓰는 경우도 관측되기도 했다”고 설명했다.

봇넷으로 인한 위협도 지속…디도스 공격 대행 서비스 등장

IoT 확산에 따른 디바이스 감염도 문제가 되고 있다. 인터넷에 연결되는 IoT 디바이스 수가 폭증함에 따라, 디바이스를 감염시켜 디도스 공격에 활용하는 방식도 주로 이용되고 있다. 대표적인 사례로는 2016년 등장해 현재까지 변종이 발견되고 있는 ‘미라이(Mirai) 봇넷’을 꼽을 수 있다. 조학수 윈스 CTO는 “이전 디도스 공격이 감연된 좀비PC를 이용해 진행됐다면, 최근에는 IoT, 라우터 등 네트워크에 연결된 기기를 감염시킨 봇넷을 활용하는 공격이 주를 이루고 있다. 이 이유는 라우터와 IoT의 경우 PC보다 관리가 소홀하기 때문인 것으로 보인다”고 설명했다.

이어 “이전에는 봇넷 관련 취약점이 하루에 5건 정도 발견됐다면, 최근에는 6초에 1건이 발견될 정도로 증가했다. 한 마디로 봇넷과 관련된 위협이 증가하고 있으며, 이런 봇넷을 활용한 디도스 공격 위협 역시 급증하고 있다”고 덧붙였다.

KISA 관계자는 “최근 KISA 사이버 대피소로 유입되는 공격들은 WS-디스커버리(WS-Discovery), ARMS(Apple Remote Management Service) 등의 사용이 확산되는 사물인터넷(IoT), 모바일 관련 기기를 악용해 이전의 단순한 유형에서 더욱 대규모의 지능적인 공격으로 진화하는 경향을 보이고 있다. 특히 WS-디스크버리 프로토콜을 이용한 공격이 사이버 대피소 입주사를 타깃으로 주기적으로 발생하고 있다”고 설명했다.

WS-디스커버리는 UDP를 기반으로 한 멀티캐스트 통신 프로토콜로, 인터넷에 연결된 서비스들을 자동으로 탐지하는 방안으로 악용되고 있다. 디도스 공격에 악용시 최대 100배까지 증폭 공격이 가능하다. ARMS는 애플의 원격 PC 제어 기능을 활성화할 때 사용되는 프로토콜로, 악용시 최대 35.5배까지 증폭 공격이 가능하다.

최근 발생하는 디도스 공격의 또 다른 특징은 1시간 이내에 공격이 진행된다는 점이다. 디도스 공격 대응에 있어 분석가가 분석을 완료하기 전에 공격이 끝나는 경우가 많다는 설명이다. 이러한 경향은 랜섬 디도스 공격이 증가하는 것과 밀접한 연관이 있다는 분석도 있다. 짧은 시간동안 서비스 장애를 유발하고, 이 사례를 바탕으로 협박 메일을 발송한다는 설명이다.

디도스 공격 대행 서비스도 등장하고 있다. 비용을 지불하면 쉽고 효율적으로 다양한 디도스 공격을 진행할 수 있는 ‘DDoS for Hire’ 등이 나타나고 있는 것이다. 이러한 공격 대행 서비스는 인터넷으로도 쉽게 접근할 수 있기 때문에, 누구든 악의적인 목적을 갖고 있다면 언제든지 DDoS 공격을 할 수 있게 됐다.