Offcanvas

보안

한 GCP 고객사, ‘사상 최대’ 디도스 공격 막아냈다

2022.08.23 Michael Hill  |  CSO
구글 클라우드의 네트워크 보안 서비스 클라우드 아머(Cloud Armor)가 지난 6월 한 GCP 고객사를 겨냥한 대규모 디도스(DDoS) 공격을 막아냈다고 구글이 밝혔다. 
 
ⓒDepositphotos

구글에 따르면, 이번 공격은 최대 초당 4,600만 개의 요청(RPS, requests per second)에 달했다. 이는 이전 최대 규모로 기록됐던 DDoS 공격보다 76% 더 높은 수치이며, 메리스(Meris)라고 알려진 봇넷과 연관된 특성을 보였다고 회사는 전했다.

구글 클라우드는 클라우드 아머 어댑티브 보호(Cloud Armor Adaptive Protection) 기능이 공격 라이프사이클 초기에 이상 트래픽을 감지해 고객사 서비스에 영향을 주지 않은 채 공격을 차단했다고 설명했다.

이번 공격은 해커들이 점점 더 큰 규모의 인프라를 기반으로 다양한 기법을 이용해 대규모 디도스 공격을 감행하고 있는 최근의 추세를 반영한다. 

초당 4,600만 건의 전례 없는 공격량 
구글에 따르면 공격은 지난 6월 1일 오전 9시 45분(현지 시각)에 개시됐다. 고객사의 HTTPS 로드 밸랜서에 초당 1만 건이 넘는 요청이 들이닥치기 시작했다. 구글은 “8분 만에 RPS가 십만 건을 넘겼다”라며 “클라우드 아머가 트래픽을 분석해 공격 시그니처를 발견했고, 경보를 울렸다. 그 다음 악성 시그니처를 차단할 수 있는 룰(rule)을 고객사에 전달했다”라고 구글은 밝혔다. 
 
클라우드 아머 어댑티브 보호 경고 화면. 가장 많은 공격을 받은 것으로 감지되는 리전 코드(region code)를 보여줬다. ⓒGoogle Cloud

고객사의 네트워크 보안팀은 룰을 적용했고 결과는 효과적이었다. “고객사는 ‘디나이(deny) 대신 ‘쓰로틀(throttle)’ 조치를 취해 정상 트래픽을 차단할 실수를 줄이면서 공격 대부분을 네트워크 엣지에서 차단할 수 있었다”라고 구글은 설명했다.
 
회사는 이어 “그 후 2분 동안 공격은 10만에서 최대 4,600만 RPS에 도달했다. 그러나 클라우드 아머가 이미 악성 트래픽을 차단하고 있었기 때문에 고객사의 서버는 영향받지 않았다”라고 전했다. 공격은 점차 사그라들기 시작했다. 정확히 오전 10시 54분, 69분 만이었다. “해커가 막대한 공격 비용만큼 효과를 보지 못했다고 판단한 듯하다”라고 회사는 덧붙였다. 

에밀 키너 구글 클라우드 수석 제품 매니저는 "이번 공격은 요즘 DDoS 공격이 공통으로 나타내는 2가지 큰 추세를 보여준다. 하나는 디도스 공격 규모가 기하급수적으로 증가하고 있다는 점이며, 다른 하나는 취약한 서비스를 노리는 공격 수법이 끊임없이 진화하고 있다는 점이다”라고 전했다.

매해 기록을 뛰어넘는 트래픽
초당 4,600만 건은 이전에 최대 규모로 알려졌던 2022년 클라우드플레어(Cloudfare) 디도스 공격 사건에 비해 월등히 더 높아진 공격 트래픽 수치다.
 
2022년 6월 2,600만 건에 달한 클라우드플레어 디도스 공격. ⓒCloudflare

2022년 6월, 5,067개의 소형 장치로 구성된 봇넷이 클라우드플레어 서버에 가한 디도스 트래픽량은 2,600만 건, 그리고 2021년 같은 업체가 받은 2번의 DDoS 공격은 각각 1,720만(그때 당시 역대 최고 수치), 1,500만 건이었다. 

메리스 봇넷 계열 출신? 
전례 없는 대규모 트래픽 외에도 구글은 이번 공격에서 주목할 만한 몇 가지 다른 특징이 있다고 밝혔다. 먼저 트래픽의 출처가 132개국에 걸친 5,256개의 소스 IP라는 점을 알아냈으며, 상위 4개국(브라질, 인도, 러시아, 인도네시아)이 전체 트래픽의 약 31%을 차지했다고 전했다.

심지어 구글은 네트워크 요청이 암호화됐다는 사실을 발견했다. 이 암호화 과정이 상당한 컴퓨팅 리소스를 요구했을 것이라고 회사는 말했다.

회사 측은 “원래 악성 트래픽을 검출하고 공격을 효과적으로 완화하려면 암호화 과정을 모조리 중단시켜야 했겠지만, HTTP 파이프라이닝(pipelining) 기술이 적용된 덕에 상대적으로 적은 수의 TLS 핸드셰이크만 처리해도 공격을 완화할 수 있었다”라고 설명했다. 

구글은 IP 중 22%(1,169개)의 출처가 해킹용 암호화 툴로 악명 높은 토어 (Tor) 출구 노드라고 추정했지만, 실제 토어 노드를 거쳐 전송된 요청 볼륨은 공격 트래픽의 3%에 불과했다는 점을 발견했다. 그럼에도 회사는 "취약한 서비스의 특성 상 이번 공격이 악성 토어 노드를 거쳤다는 점은 그리 중요하지 않을지 모른다. 그럼에도 3% 정도(초당 130만 요청)의 토어 노드 요청조차 웹 애플리케이션과 서비스에 위협적인 악성 트래픽을 보냈다는 발견점은 주의할 필요가 있다”라고 회사는 설명했다. 
 
특히 구글이 조명한 이번 공격의 특징은 디도스 공격 전문 봇넷으로 알려진 메리스 봇넷(Mēris family of attacks) 계열 공격과의 유사점이다. 메리스 봇넷 계열의 공격(Mēris family of attacks)은 취약한 프록시를 악용하는 식으로 주체를 추적하기 어렵게 만들어 전례 없는 여러 대규모 디도스 공격 사건의 중심이 된 공격 수법이다. 

공격량과 공격 시간의 변주 
디도스 공격은 여러 산업과 지역에 걸쳐 전반적으로 증가하는 추세를 보인다. 사이버보안 및 애플리케이션 배포 솔루션 업체 라드웨어(Radware)의 ‘2022년 H1 글로벌 위협 분석 보고서(2022 H1 Global Threat Analysis Report)’에 따르면 2022년 상반기 기준 기업 고객이 평균적으로 겪은 디도스 공격의 수가 2021년 상반기 6개월에 비해 203%, 2021년 마지막 6개월에 비해 239% 증가했다고 밝혔다.

옴디아의 수석 애널리스트 릭 터너는 "디도스 공격은 보통 다소 주기적인 형식을 띠지만 요즘은 초당 비트(bps), 초당 패킷 수(pps), 초당 요청 건수(rps) 등의 단위로 볼륨 자체가 커지는 경향이 두드러진다"라고 말했다.

그는 이러한 경향의 동인으로 공격자가 활용할 수 있는 자원이 더 풍부해졌다는 점을 꼽았다. 공격에 동원하는 봇의 개수가 훨씬 더 많아짐은 물론 서비스형 디도스(DDoS-as-a-Service)를 쓸 수 있다는 점도 기여했을 것이라고 그는 덧붙였다.
 
ⓒDepositphotos

터너는 “여전히 볼륨 공격(volumetric attack) 방식은 디도스 공격 수법 중 하나에 불과하다. 거의 매년마다 이전 기록을 깨는 볼륨 공격 사건이 벌어지면서 절대 총량은 늘어나고 있지만, 전체 디도스 공격에서 차지하는 비율이 비례해 증가한 것은 아니다”라고 주장하며 “어떤 해에는 해커들이 다른 공격 수법을 시도하면서 볼륨 공격의 비율이 줄어들기도 한다. 총 트래픽의 양은 늘어남에도 말이다”라고 설명했다.  

그는 또한 “DDoS 공격의 평균 지속 시간도 눈 여겨 봐야 한다. 어떤 해커는 단지 능력을 과시하기 위해서 볼륨 공격을 한다. 그 다음 몇 분 동안만 볼륨 공격을 한 뒤 랜섬을 요구하기도 한다”라며 “애플리케이션 레이어(레이어 7) 공격을 비롯한 다른 공격 수법은 볼륨이 작고 진행 속도가 느리다. 감시를 피해 피해자의 방어 체계와 활성화까지 걸리는 시간을 파악하는 것이 주목적이기 때문이다”라고 말했다.  

터너는 마지막으로 “궁극적으로 디도스 공격은 다른 수법에 비해 볼륨과 지속 시간이 천차만별로 달라질 수 있어 예측하거나 대비하기 힘들다”라고 설명했다. ciokorea@idg.co.kr
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.