2020년은 가히 디도스 공격의 전성기라고 볼 수 있는 해였다. 횟수 자체도 늘었지만, 무엇보다 공격 하나하나의 파괴력이 높아졌다. 게다가 디도스 공격을 빌미로 협박을 하는 전략이 보편화 되고, 마이크로소프트의 RDP 프로토콜을 활용해 공격을 증폭시키는 기법도 점점 뚜렷한 유행이 되고 있다.

[보안뉴스 문가용 기자] 사이버 범죄자들이 가장 오랜 기간 애용해 왔던 공격 기법이라고 하면 디도스를 첫 손에 꼽을 수 있다. 그런데도 아직 이들의 디도스 사랑은 식을 줄을 모른다. 아니, 오히려 2020년 한 해 동안 디도스는 더 높은 인기를 구가했다. 더 악랄한 디도스 공격이, 보다 많은 산업에서 발생한 것으로 집계된 것이다.

​

[이미지 = utoimage]

이제 디도스를 방어하려면 어마어마한 트래픽 양만을 염두에 두어서는 안 된다. 다양한 기법을 통해 동시에 들어오고, 그렇기 때문에 기존 디도스 공격들보다 지속력이 뛰어난 디도스까지도 함께 고려해야 한다. 예를 들어 보안 업체 아카마이는 지난 해 최고 초당 1.4 테라바이트 규모에 초당 8억 9백만 패킷의 위력을 가진 디도스 공격을 처리해야 할 일이 있었다. 대형 유럽 은행 한 곳과 인터넷 호스팅 업체를 겨냥한 공격이었는데, 최소 9가지 공격 기법이 사용되었다. 심지어 14가지 디도스 전략이 한꺼번에 사용된 경우도 있었다.

게다가 최근에는 우려스러운 패턴이 하나 더 나타나기 시작했다. 바로 ‘랜섬디도스’ 전략이다. 공격자들이 디도스 공격을 하겠다고 예고하거나 작은 규모의 디도스를 맛보기로 보여준 다음 돈을 요구하는 사이버 범죄 유형을 말한다. 상기한 아카마이 외에도 클라우드플레어(Cloudflare), 뉴스타(Neustar)와 같은 보안 업체들이 이와 같은 전략의 증가에 대해 2020년 중반부터 경고해오고 있다.

뉴스타의 부회장인 마이클 카츠마렉(Michael Kaczmarek)은 “디도스 공격들은 이전보다 더 위험해지고 있는 중”이라고 보고서를 통해 결론을 내렸다. 이 보고서에 의하면 2019년부터 2020년 말까지 디도스 공격의 횟수는 154% 증가했다고 한다. 기존 디도스 기법을 활용하기도 하지만 알디도스(RDDoS)라는 기법의 사용도 크게 늘어났다는 것도 특징이다.

“2020년 한 해 동안 발생한 디도스 공격의 횟수는 가히 충격적입니다. 물론 사이버 공격 횟수가 꾸준히 증가하는 것 자체는 놀라울 것이 없습니다. 하지만 150%가 넘는 증가세라니, 예상을 훨씬 뛰어 넘습니다. 코로나로 인해 사이버 보안이 어떤 시대를 맞이해야 하는가를 방증하는 것이라고 생각합니다.” 카츠마렉의 설명이다. 게다가 여러 종류의 디도스 공격 기법을 활용한 사례는 전체 디도스 공격의 40%였다가(2019년 기준), 한 해 만에 72%로 증가하기도 했다(2020년). “즉 디도스 공격자들의 실력과 도구가 향상됐다는 뜻입니다.”

뉴스타에 의하면 “랜섬디도스 공격이라는 것 자체가 새로운 것은 아니지만, 이렇게까지 꾸준하게 1년 내내 나타난 적은 없다”며 “게다가 공격 기술 자체가 크게 향상되었고, 이를 바탕으로 표적화 양상까지 띄게 된 것 역시 새로운 부분”이라고 한다. 이를 바탕으로 국가 지원을 받는 것으로 알려진 유명 APT 단체들은 이전까지 표적 공격을 하지 않은 조직들을 공격하기 시작하기도 했다.

클라우드플레어의 제품 관리자인 오메르 요치믹(Omer Yoachimik)도 “팬시 베어(Fancy Bear), 코지 베어(Cozy Bear), 라자루스(Lazarus)라고 스스로를 지칭하는 단체들이 전 세계 곳곳의 조직들을 알디도스 기법으로 공격하기 시작했다”고 말한다. “코로나 때문에 많은 사람들이 재택 근무를 시작했죠. 재택 근무자들은 전부 기업의 백엔드 서버를 통해 연결이 되고요. 따라서 공격자들은 좀 더 백엔드를 노리는 쪽으로 기업들에 어떤 공격을 해야 치명적으로 작용하는지를 잘 파악한 것입니다.”

클라우드플레어의 경우 뉴스타 등과 다르게 전체 디도스 공격 횟수는 2020년 4사분기 동안 줄어들었다고 말한다. 다만 그 기간 동안 500Mp를 넘고 초당 5만 패킷을 상회하는 공격 중 지속 시간이 24시간을 넘는 유형의 디소스 공격은 크게 증가했 다고 한다. 즉 대형 공격은 늘어났다는 것이다. 요치믹은 “레이어 3과 레이어 4를 겨냥한 디도스 공격은 오히려 줄어들었지만, 공격 하나하나는 좀 더 긴 시간 지속되고, 따라서 파괴력이 더 강력해졌다”고 설명한다.

특별히 규모가 큰 디도스 공격만 증가한 이유는 아직 확실하지 않다고 요치믹은 말한다. 다만 몇 가지 힌트가 있는데, 다음과 같다. “모리셔스의 경우 가장 디도스 공격이 많이 일어나는 나라입니다. 이를 보면 반정부적인 운동의 일환으로 디도스 공격이 일어나기도 한다는 걸 알 수 있습니다. 한편 루마니아는 두 번째로 디도스 공격이 많이 일어나는 나라인데, 인터넷 보급률이 높기로 유명한 곳입니다. 이 두 가지 요소가 디도스 시장에 영향을 주는 것이 분명합니다.”

2020년의 또 다른 특징은 마이크로소프트의 RDP 프로토콜이 디도스에 널리 활용되었다는 것이다. 보안 업체 넷스카웃(Netscout)에 의하면 UDP 포트 3389번에 RDP가 활성화 되었을 경우, 디도스 공격의 크기를 약 86배 정도 키울 수 있다고 한다. “이 경우 공격자는 원래 노리던 피해자에게 증폭된 디도스 트래픽이나 패킷을 보내 네트워크를 마비시킬 수도 있고, 동시에 공격에 활용한 RDP 서버를 보유한 원래 조직에도 문제를 야기할 수 있습니다. 두 가지 공격을 동시에 할 수 있는 것이죠.”

넷스카웃의 위협 첩보 담당자인 리차드 허멜(Richard Hummel)은 “이러한 유형의 공격은 2019년 하반기에도 포착된 바 있습니다만, 2020년 하반기에 이르러서는 그 수가 17% 증가했다”고 말한다. “RDP를 남용하는 공격의 경우 앞으로도 계속 증가할 것으로 예상됩니다. 왜냐하면 인터넷에 노출된 RDP 서비스에 접근하는 것은 간단한 일이기 때문입니다. 그러므로 네트워크 운영자들은 윈도 RDP 서버들에 대한 점검을 주기적으로 해야 합니다.”

카츠마렉은 “디도스 공격의 경우, 공격이 들어온다는 것을 보다 빨리 탐지할 수 있다면 그만큼 방어가 간단해 진다”며 “공격자들이 실험성 공격을 몰래 실시하는 경우가 왕왕 있기 때문에 탐지가 대단히 어려운 정도는 아니”라고 말한다. “또한 항상 디도스 공격을 탐지해 주는 보안 서비스들을 활용하는 것도 좋은 방법입니다. 이런 서비스들의 기능 역시 갈수록 좋아지고 있으며, 웹 애플리케이션 방화벽 역시 좋은 성능을 발휘합니다.”

3줄 요약

1. 2020년 한 해 동안 디도스 공격은 새로운 전성기를 맞이함.

2. 디도스 공격 횟수도 늘고, 공격 규모도 늘고, 공격 기법도 늘고, 파괴력도 늘고.

3. 랜섬디도스 공격과 MS RDP 남용한 공격이 특히 눈에 띄는 트렌드.

[국제부 문가용 기자(globoan@boannews.com)]​ 

[출처 : 보안뉴스(https://www.boannews.com/media/view.asp?idx=94599&page=1&mkind=1&kind=1)]