[아이티비즈 김문구 기자] 올해 2분기 전 세계 디도스 공격은 전 분기 대비 28% 증가한 것으로 나타났다.
아카마이코리아(대표 손부한)가 아카마이 인텔리전트 플랫폼을 기반으로 전세계 클라우드 보안과 위협 환경을 분석한 ‘2017년 2분기 인터넷 보안 현황 보고서’를 30일 발표했다.
2분기 디도스 및 웹 애플리케이션 공격이 증가한 것은 피봇(PBot) 디도스(DDoS) 멀웨어가 다시 등장한 여파가 컸다. 피봇은 수십 년 된 PHP 코드를 이용하는 소규모 디도스 봇넷으로 2분기 아카마이가 관측한 최대 공격 규모인 75Gbps의 디도스 공격에 사용됐다. 피봇은 상대적으로 적은 400개의 노드로 구성됐지만 상당한 규모의 공격 트래픽을 발생시켰다.
2분기 전 세계 디도스 공격은 4051건 발생해 지난 분기 대비 28% 증가했다. 100Gbps 넘는 대형 디도스 공격은 수년 만에 처음으로 단 한 건도 관측되지 않았다. 공격의 표적이 된 곳은 이번 분기 평균 32건의 디도스 공격을 받았고 인프라 공격(레이어 3, 4)이 전체 디도스 공격의 99%를 차지했다. 디도스 공격 상위 발원 국가는 이집트(32%), 미국(8%), 터키(5%) 순이었다. 2분기 가장 많이 사용된 디도스 공격 기법은 UDP 프래그먼트(27%), DNS(15%), NTP(15%)로 나타났다.
웹 애플리케이션 공격 건수는 지난 분기 대비 5% 증가했다. 웹 애플리케이션 공격 발원지는 미국(33.8%)이 지난 분기에 이어 1위를 차지했고 중국(10.2%), 브라질(8.2%), 네덜란드(6.4%), 인도(3.3%)가 그 뒤를 이었다. SQLi, LFI, XSS가 웹 애플리케이션 공격 기법의 약 93%를 차지했다.
아카마이 인터넷 보안 현황 보고서 편집자 마틴 맥키 수석 보안 전문가는 “공격자는 끊임없이 기업 보안 체제의 취약점을 찾고 있다. 공격 효과가 높고 빈번하게 발견되는 취약점에 더 많은 노력과 리소스를 투입한다. 미라이 봇넷, 워너크라이(WannaCry), 페티야(Petya) 공격, SQLi 공격의 지속적인 증가, 피봇의 재등장은 공격자들이 새로운 툴 뿐만 아니라 과거에 이미 효과성이 검증된 툴도 사용하고 있음을 보여준다”고 밝혔다.
아카마이 위협 연구팀은 멀웨어 명령 및 제어(C2) 인프라가 도메인 생성 알고리즘(DGA)을 이용하는 방식 역시 기존 기술이 다시 사용된 것으로 분석했다. DGA는 2008년 컨피커 웜(Conficker worm)에서 처음 발견돼 지금까지 멀웨어 통신 기법으로 널리 사용되고 있다.
아카마이 위협 연구팀은 감염된 네트워크는 정상 네트워크보다 DNS 룩업(lookup) 트래픽을 약 15배 많이 발생시킨다는 사실을 확인했다. 감염된 네트워크 상에서 멀웨어에 의해 무작위로 생성된 도메인의 대다수는 등록되어 있지 않다. 따라서 이 도메인에 접속을 시도하는 과정에서 대량의 트래픽이 발생했다. 감염된 네트워크와 정상 네트워크의 특징을 분석하는 일은 멀웨어 활동을 파악하는 주요 방법 중 하나다.
