[보안 칼럼] 한국의 DDoS 공격 증가와 기업의 대응 전략

최근 한국 정부를 대상으로 한 대규모 DDoS(분산 서비스 거부) 공격은 사이버 보안의 새로운 위험 수준을 보여주었습니다. 대통령실, 국방부, 외교부, 경찰청, 국세청을 포함한 22개의 주요 정부기관이 공격을 받았으며, 인천국제공항, 신한금융그룹, 한국수출입은행과 같은 민간 기업들도 공격 대상이었습니다.

2024년 11월 초부터 시작된 이번 공격은 특히 11월 5일 국방부와 합동참모본부 웹사이트에 심각한 접속 장애를 일으켰으며, 같은 시기에 정부 민원포털 '정부24'도 공격을 받았습니다. 러시아 해커 그룹이 이번 공격의 배후로 지목되고 있는데, 이들은 한국의 우크라이나 지원에 대한 대응으로 공격을 감행했다고 주장했습니다. 북한군의 러시아 배치와 관련된 정치적 상황도 이번 사이버 공격의 배경으로 거론되고 있습니다.

다행히도 신속한 대응 덕분에 대부분의 웹사이트는 큰 피해 없이 정상 운영되고 있으며, 민간 부문으로의 확산도 없었습니다. 그러나 보안 전문가들은 향후 유사한 공격에 대비하기 위한 철저한 모니터링과 대응 체계가 필요하다고 경고하고 있습니다.

임퍼바의 2024 DDoS 위협 동향 보고서에 따르면 정치적 긴장이 DDoS 공격 발생률에 상당한 영향을 미치는 것으로 나타났습니다. 국가 행위자들과 정치 활동가들은 종종 이러한 공격을 통해 의견을 표명하거나 의도를 전달하고 있습니다. 이러한 정치적 동기로 인한 공격에 대응하는 효과적인 방어 전략을 수립하기 위해서는 정치적 동기의 공격에 대한 동기와 방법을 이해하는 것이 필수적입니다.

지정학적 영향 외에도, 보고서는 다음과 같은 사실을 발견했습니다:

▲DDoS 공격 대응 111% 증가: 2024년 상반기 임퍼바가 대응한 DDoS 공격은 2023년 동기 대비 111% 증가했습니다.

▲최대 규모의 애플리케이션 계층 DDoS 공격: 2024년 2월, 애플리케이션 계층 DDoS 공격이 전례 없는 초당 470만 요청(RPS)에 도달했습니다.

▲DNS 증폭 공격 증가: 2023년 하반기 DNS 증폭 공격의 평균 대역폭이 483% 증가했습니다.

DDoS 공격은 파괴적 잠재력으로 인해 여전히 사이버 범죄자들이 선호하는 무기로 남아있습니다. 이러한 공격은 과도한 트래픽으로 네트워크, 서버, 애플리케이션을 마비시켜 서비스 중단과 심각한 혼란을 초래합니다.

오래된 위협임에도 불구하고 DDoS 공격의 규모와 정교함은 계속해서 증가하고 있습니다. 이러한 증가의 주요 원인 중 하나는 DDoS 도구에 대한 손쉬운 접근성입니다. 자동화로 인해 기술적 전문성이 부족한 개인도 대규모 공격을 감행할 수 있게 되었습니다. 이러한 대중화로 잠재적 공격자의 풀이 확대되면서, 조직들의 방어 체계 강화가 그 어느 때보다 중요해졌습니다.

산업별로 보면 금융 부문이 DDoS 공격자들의 최우선 대상일 뿐만 아니라, 초당 요청 수(RPS) 측면에서도 가장 강력한 DDoS 공격의 표적이 되고 있습니다.

사이버 공격자들은 잠재적 이득이 가장 큰 고가치 표적에 DDoS 공격을 집중하는 것으로 관찰되었습니다. 2024년 상반기에는 금융 서비스 부문에 대한 공격이 총 1억 1,800만 RPS에 달했으며, 비즈니스 부문과 IT 부문이 각각 2위와 3위를 차지했습니다.

2024년 상반기와 전년 동기를 비교했을 때, 여러 산업 분야에서 DDoS 공격이 뚜렷하게 증가했습니다. 통신 및 ISP 산업은 애플리케이션 계층 DDoS 공격이 548%나 증가하며 전년 대비 가장 높은 증가율을 보였습니다. 의료 부문은 236% 증가했으며, 게임 산업의 공격은 208% 증가했습니다.

AI가 공격 장벽을 낮추고 있어 DDoS 공격의 수와 강도는 계속해서 증가할 것으로 예상됩니다. AI는 정교한 DDoS 공격의 생성과 배포를 자동화할 수 있어, 초보 해커들도 강력한 공격을 감행할 수 있게 되었습니다. 가까운 미래에 AI 강화 봇넷을 활용한 DDoS 공격이 더욱 증가할 것으로 예상되며, 여기에는 미라이(Mirai)의 새로운 변종도 포함될 수 있습니다.

조직들은 '상시 가동(always-on)' DDoS 보호를 구현하거나, 최소한 '주문형(on-demand)' DDoS 보호 체계를 갖춰야 합니다. 이상적으로는 이러한 보호 체계가 대규모 용량 공격을 처리할 수 있는 탄력적인 클라우드 기반 서비스로 뒷받침되어야 합니다. DDoS 보호 제공업체는 글로벌 입지를 갖추고, 대용량 및 정교한 공격을 완화할 수 있는 능력을 보유해야 하며, 애플리케이션과 데이터를 보호하고, DDoS와 네트워크 엣지를 넘어서는 보호 기능을 제공할 수 있어야 합니다.

2024년 주요 정치적 이벤트들은 DDoS 공격 증가의 주요 원인이 되었습니다. 이러한 경험은 향후 주요 정치적 이벤트 시기에 DDoS 공격에 대한 더욱 강화된 대비가 필요함을 보여줍니다. 기업들은 직원들의 사이버보안 인식을 강화하고, 보안팀과 네트워킹팀 간의 원활한 소통을 유지하며, 처음부터 보안을 고려한 애플리케이션 개발을 실천해야 합니다.

이러한 종합적인 접근만이 진화하는 DDoS 위협으로부터 조직을 효과적으로 보호할 수 있을 것입니다. [글. Daniel Toh, 임퍼바 APJ 수석 솔루션 아키텍트]

★정보보안 대표 미디어 데일리시큐 /Dailysecu, Korea's leading security media!★