강력한 봇넷 형성, 배치 및 은폐를 위해 올 상반기 디도스 공격 전략이 보다 정교해진 것으로 나타났다.

24일 아카마이코리아(북 태평양지역 총괄 대표 팔리말 판드야 www.akamai.com/kr)는 2014년 2분기 프로렉식 글로벌 디도스 공격 보고서(Prolexic Q2 2014 Global DDoS Attack Report)를 발표, 이같이 밝혔다.

아카마이가 최근 인수한 디도스(DDoS) 보호 서비스 업체 프로렉식 테크놀로지(Prolexic Technologies)사는 2011년 이래 분기별 디도스 공격 보고서를 발표하며 글로벌 디도스 공격 트렌드에 대한 분석을 제시해 왔다.

보고서에 따르면, 서버측 봇넷을 형성할 때 공격자들은 리눅스, 아파치, MySQL, PHP(LAMP) 스택 및 MS 윈도 서버 오퍼레이팅 시스템과 같은 소프트웨어를 구동시키는 서버 인스턴스와 함께 서비스로서의 플랫폼(PaaS)과 서비스로서 소프트웨어(SaaS) 기업을 타깃으로 삼는다.

웹 콘텐츠 관리 시스템(Content Management Systems; CMS)인 워드프레스(WordPress)와 줌라(Joomla) 등 취약 버전을 표적으로 삼기도 했다.

서버 기반 봇넷의 사용이 증가하고 있는 한편 브로봇(Brobot; itsoknoproblembro) 봇넷은 서버가 감염 됐을 때 그림자의 형태로 잠복해 있다가 특정한 목표물에 대한 공격성을 띄고 나타난다.

2분기에 일어났던 공격은 봇넷이 아직까지도 2011~2013년도에 있었던 금융회사 대상 오퍼레이션 아바빌(Operation Ababil) 공격 때와 같은 초기단계의 모습을 유지하고 있는 것이다.

반사와 증폭 공격이 더 빈번하게 일어났던 작년 2분기와 지난 분기에는 공격 전체의 15% 이상이 인프라에 대한 공격으로 이뤄졌다.

이같은 공격들은 일반 인터넷 프로토콜과 잘못 설정된 서버들의 기능을 악용한다.

올해 2분기에 네트워크 타임 프로토콜(Network Time Protocol; NTP) 반사공격이 약간 주춤했을 때에도 단일 네트워크 관리 프로토콜(Simple Network Management Protocol; SNMP) 리플렉터 공격은 늘어났다.

보고서 주요 통계를 정리하면 2013년 2분기 대비 2014년 2분기에는 ▲총 디도스 공격 22% 증가 ▲평균 공격 대역폭 72% 증가 ▲인프라 공격(레이어3, 4) 46% 증가 ▲평균 공격 지속 시간 54% 감소: 기존38시간 → 17시간 ▲평균 최대 대역폭 241% 증가 등 결과가 나타났다.

2014년 1분기 대비 2분기에는 ▲총 디도스 공격 0.2% 감소 ▲평균 공격 대역폭 14% 감소 ▲ 애플리케이션 공격(레이어 7) 15% 감소 ▲평균 공격 지속 시간 0.2% 감소: 17.38시간 → 17.35 시간 ▲평균 최대 대역폭 36% 감소 등 수치를 보였다.

스튜어트 스콜리(Stuart Scholly) 아카마이 수석 부사장 겸 보안 부문 제너럴 매니저는 “디도스 공격은 높은 평균 및 최대 대역폭과 함께 매우 빈번하게 일어나고 있다. 뿐만 아니라 엄청난 네트워크 대역폭으로 데이터 센터 전체가 공격 당할 수 있다”며 “이같은 공격들의 이면에는 보다 강해진 봇넷을 형성하고 배치하며 또 은폐까지 하는 변화된 공격 전략이 있다. 서버측 봇넷(server-side botnets)은 웹 취약성과 반사 및 증폭 공격 방법 등을 노리고 있으며, 항상 공격 그 이상의 결과를 가져온다”고 말했다.

<김동기 기자>kdk@bikorea.net