디도스 공격, 두 걸음 전진 위한 한 걸음 후퇴...한국 C&C 서버 1위

2017년 1분기 카스퍼스키랩 DDoS 공격 보고서의 키워드 ‘폭풍전야’
한국, 여전히 C&C 서버 수에서 1위

[보안뉴스 원병철 기자] 2017년 1분기 DDoS 공격은 진화하기 위한 한 걸음 후퇴를 선택했다는 보고서가 나왔다. 카스퍼스키랩은 2017년 1분기는 2016년의 결과에 이어 카스퍼스키랩 전문가들이 내놓은 DDoS 공격의 진화에 대한 예측이 사실로 확인된 분기였다면서 또한 사이버 범죄 역시 휴식 기간이 필요하다는 게 드러난 것이라고 강조했다. 보고서에 따르면 복잡한 DDoS 공격이 1분기에도 계속해서 증가하고 있긴 하나, 전체 공격 횟수가 크게 감소했으며 국가별 분포 양상도 변화했다.

▲ 2016년 4분기~2017년 1분기, 국가별 DDoS 공격 대상자 분포[표=카스퍼스키랩]

2017년 1분기 Kaspersky DDoS 인텔리전스 시스템에 기록된 DDoS 공격은 2016년 4분기보다 8개국이 줄어든 72개국의 리소스에 발생했다. DDoS 공격을 가장 많이 받은 국가 10위권에서는 일본과 프랑스가 빠지고 네덜란드와 영국이 그 자리를 채웠다.

탐지된 C&C 서버 수의 경우, 한국이 여전히 1위를 기록하고 있다. 2위는 미국, 그 뒤로 네덜란드가 3위를 차지했는데, 이로써 모니터링을 시작한 이래로 3위 아래로 떨어진 적이 없던 중국이 순위 밖으로 밀려나 2위에서 7위로 크게 하락했다. C&C 서버 수 부문에서 일본, 우크라이나, 불가리아 모두 10위권 아래로 떨어진 반면, 홍콩, 루마니아, 독일이 10위권에 새롭게 진입한 것으로 나타났다.

▲ 2017년 1분기 국가별 봇넷 C&C 서버 분포[표=카스퍼스키랩]

운영 체제별 공격 분포 양상 또한 변동이 있었다. 이전 분기에는 Linux 기반 IoT 봇넷이 가장 성행했으나, 2017년 1분기에는 Windows 기반 봇넷이 25%에서 60%로 껑충 뛰어 1위를 차지한 것이다. TCP, UDP, ICMP 공격 횟수 또한 눈에 띄게 증가했으며, SYN DDoS 및 HTTP 공격의 비중은 2016년 4분기 75%에서 1분기에는 48%로 하락했다.

이번 보고서의 작성 기간 동안 증폭 유형의 공격은 단 한 차례도 관찰되지 않았던 반면, 암호화 기반 공격은 증가한 것으로 나타났다. 이는 단순하지만 강력했던 DDoS 공격이 표준 보안 도구로 식별이 어려운 공격으로 그 성향이 바뀔 것이라는 작년의 예측과 일맥상통하는 부분이다.

전반적으로 이번 분기는 비교적 잠잠했으며, 공격이 가장 많이 관찰된 날은 2월 18일(994회)이었다. 2017년 1분기 최장기 DDoS 공격은 120시간 동안 계속되었으며, 이는 지난 분기의 292시간보다 훨씬 낮은 수준이다.

카스퍼스키랩코리아의 이창훈 지사장(www.kaspersky.co.kr)은 “연초에는 대개 DDoS 공격 횟수가 눈에 띄게 줄어드는데, 이러한 추세는 최근 5년간 계속되어 왔다. 이러한 현상이 발생하는 이유는 사이버 범죄자 또는 그 배후 세력들이 잠시 휴식 기간을 갖고 있기 때문으로 생각된다. 이렇게 소강상태가 지속되고 있지만 올해 1월과 3월 사이에 발생한 공격은 2016년 1분기에 비해 더 많은 것으로 기록되어 전체적인 DDoS 공격 횟수는 계속해서 증가하고 있다. 따라서 지금은 방어 태세를 늦출 것이 아니라 오히려 사이버 범죄자들이 활동을 정상적으로 재개하기 전에 보안을 더욱 강화하고 재정비해야 할 것”이라고 말했다.
[원병철 기자(boanone@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)