콘텐츠 전송 네트워크(CDN) 분야의 글로벌 리더 아카마이코리아(대표 손부한)가 아카마이 인텔리전트 플랫폼을 통해 전세계서 발생한 사이버 공격과 위협을 분석한 ‘2016년 1분기 인터넷 현황 보안 보고서’를 발표했다. 보고서에 따르면 1분기 전세계 디도스(DDoS) 공격은 4500건 이상 발생해 전년 동기 대비 약 1.25배 증가하며 사상 최대 규모를 기록했다. 초당 100기가비트(Gbps)를 넘는 메가톤급 디도스 공격도 19건으로 최고치를 경신했다.

디도스 공격의 발원지로 한국은 전 세계 7.5%를 차지하며 5위를 기록했다. 디도스 공격의 주요 발원지인 중국이 1분기에도 역시 27.2%로 1위를 차지했고, 미국(17.1%), 터키(10.2%), 브라질(8.6%)이 뒤를 이었다.

아카마이 보안 사업부 수석 부사장 겸 총괄 매니저 스튜어트 스콜리(Stuart Scholly)는 “온라인 자산을 목표로 한 디도스 및 웹 애플리케이션 공격은 횟수와 빈도 모두 지속적으로 증가해 왔고 1분기도 예외는 아니었다”라며 “1분기에 방어한 디도스 공격 중 약 60%는 최소 2가지 이상의 공격 기법을 동시에 사용해 방어가 더욱 힘들었다. 이런 멀티벡터 공격은 디도스 공격의 일반적 형태로 자리잡아 기술을 갖춘 공격자가 아닌 초보자도 사용할 우려가 커졌다”고 말했다.

디도스 공격

1분기에 발생한 디도스 공격 대부분은 부터(Booter)와 스트레서(Stresser) 기반 봇넷을 활용했다. 이런 툴은 DNS, Chargen, NTP 등의 취약한 서비스를 실행하는 서버에서 트래픽을 분산시킨다. 실제 1분기 디도스 공격의 70%는 반사 기반의 DNS, Chargen, NTP 또는 UDP 프래그먼트(Fragment) 기법을 이용했다.

100Gbps 이상 메가톤급 공격은 19건으로 이 중 14건은 DNS 반사 기법을 사용했다. 지난 분기 메가톤급 공격 건수는 5회, 기존 최고 기록은 2014년 3분기 17회였다. 이번 분기 메가톤급 공격 중 최대 규모는 289Gbps였다.

디도스 공격의 주 표적인 게임 업계는 1분기에도 전체 공격의 절반이 넘는 55%를 차지하며 가장 큰 피해를 입었다. 소프트웨어·기술 업계가 25%, 미디어·엔터테인먼트 업계가 5%, 금융서비스가 5% 순이었다.

2015년 4분기에는 반복적인 디도스 공격이 빈번히 일어나며 공격의 일반적 형태로 자리 잡았고 이 같은 추세는 2016년 1분기까지 이어졌다. 1분기에 공격 대상이 공격받은 건수는 평균 39회였다. 가장 많은 공격을 받은 고객은 무려 283건의 공격을 당했다. 이는 하루 평균 3건인 셈이다.

웹 애플리케이션 공격

2016년 1분기 웹 애플리케이션 공격은 전년 동기 대비 약 26% 증가했다. 유통 업계가 가장 많은 공격을 받아 전체 공격의 43%를 차지했다. 1분기 HTTP에 대한 웹 애플리케이션 공격은 2% 감소한 반면 HTTPS에 대한 웹 애플리케이션 공격은 236% 증가했다. SQL 인젝션(SQLi) 공격은 지난 분기보다 87% 증가했다. 1분기 발생한 웹 애플리케이션 공격 트래픽(43%)의 주요 발원지이자 가장 많은 공격을 받은 국가는 모두 미국이었다.

봇 활동

1분기 인터넷 현황 보안 보고서는 최초로 2조 건 이상의 봇 요청을 추적하고 분석한 결과를 포함했다. 이른바 ‘양성' 봇은 전체 트래픽의 40%를 차지했고 전체 봇의 50%가 ‘악성’으로 판명됐다. 악성 봇은 콘텐츠나 가격 정보를 가져가는 스크레이퍼(scraper) 등 부정한 방법에 사용됐다.

◇디도스 반사체 증가

아카마이 인텔리전트 플랫폼에서 수집한 데이터를 분석한 결과 2015년 4분기 대비 QOTD(Quote of the Day) 반사체가 77%, NTP 반사체가 72%, CHARGEN 반사체가 67% 증가했다. SSDP 반사체는 46% 감소했다.

2016년 1분기 아카마이 인터넷 현황 보안 보고서는 웹사이트에서 확인 가능하며 무료로 다운로드 받을 수 있다.