보안뉴스 1사분기의 디도스 공격, 숨으려 하지 않았다

보다 파괴적이고 시끄러워진 디도스...용량 커지고 시간 늘어나
가장 큰 공격은 12살짜리 청소년이 유튜브 보고 따라해 발생

[보안뉴스 문가용 기자] 디도스 공격은 살금살금 다가오지 않는다. 디도스 공격자들은 큰 목소리로 자신들의 존재감을 뚜렷하게 드러낸다. 이와 관련하여 최근 두 가지 보고서가 발표됐다. 디도스 공격자들의 목소리가 계속해서 커지고 있으며, 공격 지속 시간도 더 길어지고 있다는 위협적인 내용이다. 
 
먼저는 인증 업체 베리사인(Verisign)은 “2018 1사분기 디도스 트렌드 보고서(Q1 2018 DDoS Trends Report)”를 발표했다. 보안 업체 아카마이는 “2018 여름 인터넷/보안 현황(State of the Internet / Security Summer 2018)”이라는 보고서를 발표했다. 이 두 보고서를 함께 보면, 디도스 공격의 가장 최신 모습을 알 수 있게 된다.

일단 두 보고서 모두 올 1사분기에 발생했던 디도스 공격 중 가장 큰 것이 170 Gbps와 65 Mpps(초당 백만 패킷)라고 짚었다. 이 두 개의 공격은 ‘표적’과 ‘발생지’라는 측면에서 주의 깊게 살펴야 한다고 한다. 

먼저 이 공격의 표적은 기존 디도스 공격들의 경우와 달리, 단일 기업이나 개인이 아니었다. 인터넷의 /24 서브넷 전체를 노린 공격이었다. 이렇게 광범위한 표적을 대상으로, 그렇게까지 큰 공격을 감행했다는 것은 전 세계 웹사이트 및 서비스 중 상당수에 영향을 미쳤다는 이야기가 된다. 

게다가 아카마이는 이 공격을 실시한 것이 12살짜리 청소년이었다고 밝히고 있다. 유튜브에서 공격 원리를 배우고, 스팀이라는 온라인 게임 플랫폼과 IRC를 통해 공격을 실시했다고 한다. 10살이 갓 넘은 아이가, 유튜브를 통해 간단히 전 세계 인터넷을 공격할 수 있게 되었다는 것은 실로 충격적이다. 

아카마이의 수석 보안 관리자인 리사 비글(Lisa Beegle)은 “아이들이 IT와 해킹 기술에 노출되어 있어, 이전 세대보다 훨씬 빨리 기술을 익혀나간다”고 말한다. “또한 그 나이 때 아이들은 자기가 좋아하는 것에 얼마든지 시간을 투자합니다. 이 12살짜리 아이가 특별한 천재였을까요? 전혀 아닙니다. 그럼에도 그런 큰 일을 저지를 수 있었던 겁니다.”

이 디도스 공격은 멤캐시드(memcached) 서버를 활용해 발생했다. 이 때문에 피해자의 서브넷으로 되돌아간 응답의 용량은 요청의 그것보다 5만 1천배나 컸다. 멤캐시드는 최근 디도스 공격자들이 증폭에 애용하기 시작한 서버의 일종이다. 

하지만 베리사인은 “멤캐시드와 같은 새로운 공격법이 등장하긴 했어도 UDP 플러드가 가장 인기 높은 공격 방법임에는 변함이 없다”고 말한다. “1사분기에 발생한 디도스 공격의 절반이 UDP 플러드를 통해 발생했습니다. 그 다음 인기가 높은 건 TCP 공격입니다. 약 1/4의 공격이 이 유형이었습니다.”

공격의 성질 역시 변하고 있다. “작년만 해도 디도스 공격은 탐지망에 걸리지 않게, 살금살금, 보다 작은 공격으로 쪼개져서 들어왔습니다. 공격 지속 시간도 약 30초 정도였고요. 탐지와 대응을 어렵게 하는 게 특징이었죠. 그렇지만 지금은 공격 시간이 더 길고, 공격의 다이내믹도 공격이 지속되는 동안 계속해서 바뀝니다. 어떤 공격은 1주일 동안 지속되기도 했습니다.”

비글은 이 두 가지 유형 – 살금살금 들어오는 디도스와 성큼성큼 들어오는 디도스 – 이 당분간 공존할 것이라고 예상한다. “두 가지 공격의 효과가 다르기 때문에 공격자의 목적에 따라 왔다 갔다 할 겁니다. 또한 공격자마다 선호하는 것도 다르고요. 아마추어 해커들로부터 국가의 지원을 받는 해커들까지, 디도스는 기본 중의 기본 공격 기법으로 오랫동안 자리할 겁니다.”
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC

[출처] http://www.boannews.com/media/view.asp?idx=71047&mkind=1&kind=1#