마이크로소프트는 화요일에 발생한 9시간 동안의 글로벌 서비스 장애가 분산 서비스 거부(DDoS, 디도스) 공격에 의한 것임을 확인했다.

이번 장애로 인해 마이크로소프트 365와 애저의 여러 서비스가 영향을 받았으며, Microsoft Entra, Intune, Power BI, Power Platform, Azure App Services, Application Insights, Azure IoT Central, Azure Log Search Alerts, Azure Policy, 그리고 애저(Azure) 포털 등이 포함되었다.

마이크로소프트는 DDoS 보호 메커니즘이 작동되었으나, 방어 구현에서의 오류가 공격의 영향을 완화하는 대신 증폭시켰다고 밝혔다. 공격의 성격을 파악한 후, 마이크로소프트는 네트워킹 구성 변경을 통해 DDoS 보호 노력을 지원하고, 대체 네트워킹 경로로의 전환을 통해 문제를 해결했다고 설명했다.

이번 공격은 최근 마이크로소프트를 타겟으로 한 DDoS 공격의 연장선에 있다. 2023년 6월, 어나니머스 수단(Anonymous Sudan)으로 알려진 위협 행위자 Storm-1359가 애저, 아웃룩, 원드라이브 웹 포털을 대상으로 한 레이어 7 DDoS 공격을 수행했다. 이 공격은 HTTP(S) 플러드, 캐시 우회, 슬로우로리스 등 다양한 기법을 사용하여 웹 서비스의 연결 가능 자원을 고갈시키는 방식으로 이루어졌다.

공격자는 최근 몇 달 동안 여러 국가와 조직을 대상으로 공격을 수행하며, 공격 중단을 대가로 몸값을 요구하는 경우도 있었다. 하지만 마이크로소프트는 이번 공격 동안 고객 데이터가 접근되거나 손상된 증거는 없다고 밝혔다.

마이크로소프트는 고객들에게 레이어7 보호조치를 검토하고 강화할 것을 권장했다. 특히 애저 웹 애플리케이션 방화벽(WAF)을 사용하는 경우, 봇 보호 관리 규칙을 활성화하고, 악의적인 IP 주소를 차단하며, 지정된 지리적 영역에서의 트래픽을 관리하는 등의 조치를 취할 것을 권장했다.

마이크로소프트는 이번 주 장애에 대한 초기 사고 검토 보고서를 72시간 이내에, 최종 사고 검토 보고서를 2주 이내에 발표하여 추가적인 세부 사항과 교훈을 제공할 계획이다.

이번 사건은 사이버 보안의 지속적인 도전 과제를 강조하며, 정교한 공격의 영향을 완화하기 위한 견고한 방어 메커니즘의 중요성을 다시 한 번 상기시켰다.