보안

랜섬웨어와 함께 더욱 강력해지는 DDoS 공격, 데이터 갈취에 이용 증가

Lucian Constantin | CSO 2021.05.25
랜섬웨어(Ransomware)는 사이버 범죄 생태계의 중심으로 부상하면서 2020년 한 해 동안 전 세계적으로 10억 달러의 피해를 입혔고 덕분에 범죄자들은 막대한 수익을 챙겼다. 이와 동시에 이전부터 기업을 갈취하는데 사용됐던 분산 서비스 거부(Distributed Denial-of-Service, DDoS) 공격이 기세를 다시 올렸다. 랜섬웨어 그룹은 공격 대상 기업을 한층 더 압박하기 위한 수단으로 DDoS를 사용한다. 
 
ⓒ Getty Images Bank

CDN 및 DDoS 대응 업체가 발행한 여러 연간 보고서에 따르면, 2020년은 DDoS 공격이 횟수와 규모, 사용된 공격 벡터의 수, 3가지 측면 모두에서 사상 최대치를 기록한 해다. 이와 같은 DDoS 갈취의 재유행은 코로나 19의 영향일 가능성이 높다. 코로나 19로 인해 기업들이 대부분의 직원을 대상으로 원격 작업 기능을 열어줄 수밖에 없었고, 결과적으로 비즈니스 운영 중단에 더 취약해지면서 공격자의 시각에서는 돈을 뜯기도 더 쉬워 보였을 것이다.

이 추세는 2021년에도 지속됐다. 아카마이(Akamai)에 따르면, 지난 2월 중 발생한 DDoS 공격 중에는 역사적으로 가장 규모가 큰 6개 DDoS 공격 가운데 3개가 포함됐다. 또한 2021년 1분기 중 발생한 50Gbps 이상 DDoS 공격의 수가 2019년 전체 수를 합친 수보다 많다. 아카마이는 50Gbps 이상의 공격은 대 DDoS 방어 수단을 갖추지 않은 대부분의 온라인 서비스를 오프라인으로 내릴 수 있는 위력을 가졌다고 분석했다. 


DDoS 갈취의 귀환

DDoS 공격의 동기는 부도덕한 기업 소유자가 경쟁업체의 서비스를 중단시키려는 경우, 핵티비스트가 자신이 동의하지 않는 행위를 하는 조직에 메시지를 보내는 경우, 그리고 다양한 그룹 간의 경쟁심으로 인한 단순한 반달리즘(vandalism)에 이르기까지 다양하다. 

그러나 갈취는 오래 전부터 DDoS의 핵심적인 동기 가운데 하나이며, DDoS 공격을 감행하는 데는 큰 투자가 불필요한 만큼 수익성이 가장 높은 공격이기도 하다. 저렴한 DDoS 대행 서비스는 공격 건당 7달러 수준에 불과해서 누구나 마음만 먹으면 이용할 수 있다.

실제로 애플리케이션 및 네트워크 성능 모니터링 업체 넷스카우트 시스템즈(Netscout Systems)에 따르면, 사이버 범죄자들이 잠재 표적에게 자신의 DDoS 역량을 보여주는 것이 이러한 공격의 가장 큰 동기이고, 그 다음이 인기를 끄는 온라인 게임, 그리고 갈취와 관련된 동기다. 

또한 공격자는 기업 IT 및 보안 팀의 주의를 분산시켜 네트워크에서 실행하는 다른 악의적 활동(예를 들어 인프라 침해 및 데이터 유출)을 탐지하지 못하도록 하는 목적으로도 DDoS 공격을 자주 사용한다.

랜섬 DDoS(RDDoS) 사고가 2020년 8월 초에 급증한 이유는 여러 랜섬웨어 그룹이 DDoS를 부가적인 갈취 수법으로 도입한 점도 있지만, 러시아의 팬시 베어(Fancy Bear), 북한의 라자러스 그룹(Lazarus Group)과 같은 정부의 후원을 받는 그룹을 포함한 다른 위협 행위자를 가장하는 한 범죄 집단이 시작한 캠페인 때문이기도 한다. 

라자러스 베어 아마다(Lazarus Bear Armada, LBA)로 불리는 이 그룹은 먼저 선택한 공격 대상에 50~300Gbps의 데모용 DDoS 공격을 실행한다. 그런 다음 2Tbps DDoS가 가능하다고 주장하며 비트코인으로 돈을 보낼 것을 요구하는 갈취 이메일을 보낸다. 

공격자들은 이와 같은 이메일에서 효과를 높이기 위해 자신들은 미디어에 자주 등장하는 그룹과 연계되어 있다고도 주장한다. 이 그룹은 몸값 지불이 이뤄지지 않아도 후속 공격을 하지 않는 경우가 많지만 가끔은 하기도 한다. 어느 정도 시간이 지나면 이전에 공격했던 대상을 다시 공격한다.

라자러스 그룹은 전 세계의 금융, 소매, 여행, 전자상거래 분야의 조직을 주 공격 목표로 삼으며 사전 정찰과 계획을 실시하는 것으로 보인다. 피해 기업이 모니터링할 가능성이 낮은 비일반적 속성을 가진 이메일 주소를 찾고, 중요하지만 명확하게 드러나지 않는 애플리케이션과 서비스, 그리고 VPN 콘센트레이터(concentrator)를 노린다. 이는 상당한 수준의 계획이 선행된다는 것을 의미한다. 여러 보안 공급업체와 FBI가 공격 그룹의 활동에 대한 주의를 당부하고 나섰다. 

오로지 RDDoS에 의존해 기업에서 돈을 갈취하는 LBA와 같은 그룹과 달리, 랜섬웨어 그룹은 DDoS를 피해자에게 몸값 지불을 종용하기 위한 부가적인 수단으로 사용한다. 데이터 유출 위협을 사용하는 방식과 거의 비슷하다. 즉, 일부 랜섬웨어 공격은 이제 파일 암호화, 데이터 절도, DDoS 공격이 결합된 3중 위협이다. 이와 같은 방식으로 DDoS 공격을 사용하는 것으로 알려졌거나 스스로 주장하는 랜섬웨어 조직은 어바돈(Avaddon), 선크립트(SunCrypt), 라그나 로커(Ragnar Locker), 리빌(REvil) 등이다.

랜섬웨어와 마찬가지로 얼마나 많은 피해 조직이 RDDoS에 실제로 몸값을 지불하는지는 파악하기 어렵지만, 공격의 횟수와 규모, 빈도가 높아지고 있다는 사실은 이를 통한 수익이 짭짤하다는 것을 시사한다. 기술적 지식이 그다지 필요 없는 DDoS 대행 서비스가 광범위하게 퍼져 있어 랜섬웨어에 비해 진입 장벽이 낮는 것도 이 흐름을 부채질한다고 볼 수 있다. 클라우드플레어(Cloudflare)는 최근 보고서에서 “2021년 1분기 설문에서 DDoS 공격을 받은 클라우드플레어 고객의 13%는 RDDoS 공격으로 갈취를 당했거나 사전에 협박을 받았다고 답했다”라고 전했다.

아카마이는 연간 기준으로 공격을 받은 기관과 기업의 수가 57% 증가한 것으로 확인했으며, 넷스카우트는 연간 DDoS 공격의 수가 처음으로 1,000만 회를 초과했다고 보고했다.

아카아미 연구진은 지난달 보고서에서 “공격 행위자는 비트코인을 받을 수 있다는 생각으로 공격의 폭을 넓히고 있고, 이로 인해 DDoS 갈취가 과거의 수법이라는 생각은 더 이상 유효하지 않게 됐다. 최근의 갈취 공격은 한 유럽 도박 업체를 대상으로 한 최대 800Gbps 이상의 공격으로, 2020년 8월 중순부터 시작된 광범위한 갈취 공격의 귀환 이후 확인된 가장 크고 복잡한 공격이다. 이 캠페인이 시작된 이후 이처럼 실력을 과시하는 공격이 8월 200Gbps 수준에서 9월 중순에는 500Gbps 이상으로 높아졌고, 2021년 2월에는 800Gbps 이상까지 올라갔다”라고 전했다.

 
새로운 공격 벡터 추가로 공격 복잡성 증가

아카마이에 따르면, 지난해 관측된 DDoS 공격의 거의 2/3에는 복수의 벡터가 포함됐으며 벡터가 14개 포함된 사례도 일부 있었다. 넷스카우트도 특히 2020년 말부터 15개 벡터를 초과하는 멀티벡터 공격의 급증을 보고했다. 넷스카우트는 최대 25가지의 벡터를 조합한 공격도 관측했다.

여러 UDP 기반 프로토콜을 악용하는 DDoS 반사 및 증폭은 여전히 널리 사용된다. 이 수법은 공격자가 스푸핑된 소스 IP 주소를 사용해 인터넷에서 잘 보호되지 않는 서버에 패킷을 보내 해당 서버가 공격자가 아닌 공격 피해자에게 응답을 보내도록 한다. 공격자에게는 일석이조다. 피해자는 공격자의 봇이 아닌 정상적인 서버에서 오는 트래픽을 볼 수 없고(반사), 일부 프로토콜을 악용해 짧은 쿼리에 대해 큰 응답을 생성해 공격자가 트리거할 수 있는 패킷의 크기 또는 빈도가 높아진다(증폭). DDoS 공격의 크기는 초당 트래픽 볼륨과 초당 패킷으로 계산된다. 전자는 대역폭을, 후자는 서버의 처리 성능을 포화시킬 수 있다.

2020년과 그 이전의 몇 년 동안 가장 인기를 끈 DDoS 벡터는 DNS 증폭이다. 그 외에 증폭을 위해 자주 사용되는 프로토콜에는 NTP(Network Time Protocol), CLDAP(Connection-less Lightweight Directory Access Protocol), SSDP(Simple Service Discovery Protocol), WSD 또는WS-DD(Web Services Discovery), RDP 오버 UDP(Remote Desktop Protocol (RDP) over UDP), DTLS(Datagram Transport Layer Security) 등이 있다.

공격자는 끊임없이 기존 방어 및 완화 전략을 피할 수 있는 새로운 공격 벡터와 프로토콜을 찾는다. 아카마이는 지난 3월부터 DCCP(Datagram Congestion Control Protocol), 또는 프로토콜 33에 의존하는 새로운 공격 벡터를 발견하기 시작했다. DCCP는 UDP와 비슷한 네트워크 데이터 전송 프로토콜이지만 UDP에는 없는 부가적인 혼잡 및 흐름 제어 기능이 있다. 현재까지 아카마이가 관측한 공격은 UDP 및 TCP 기반 방어를 우회하도록 고안된 일반적인 플러드(flood) 공격이다. 기술적으로는 반사 및 증폭 시나리오에도 사용이 가능하지만 인터넷에서 트래픽 반사에 악용할 수 있으면서 이 프로토콜을 사용하는 서버의 수가 충분히 많지 않다.

넷스카우트 연구진은 “악용 가능한 UDP 기반의 오픈소스 및 상용 애플리케이션과 서버는 여전히 공격자들에게는 유용한 자산이다. 공격자는 이와 같은 자산을 마이닝해서 새로운 반사/증폭 DDoS 공격 벡터를 발견해 새로운 공격을 감행한다”라고 설명했다. 예를 들면 플렉스 미디어 서버(Plex Media Server)의 SSDP 구현, 젠킨스(Jenkins) 소프트웨어 개발 자동화 서버에 사용되는 UDP 기반 네트워크 검색 프로토콜이 있다.

넷스카우트에 따르면 그 외에 지난해에 많이 발견된 DDoS 벡터는 TCP ACK, TCP SYN, ICMP, TCP 리셋, TCP ACK/SYN 증폭 및 DNS 플러드 등이다.


DDoS 봇넷, IoT와 모바일 기기 위협

침해 당한 기기와 서버로 구성되는 봇넷은 DDoS 공격을 움직이는 배후의 동력이다. 2020년 주요 DDoS 봇넷을 보면, IoT 기기를 감염시키는 미라이(Mirai) 악성코드의 변형이 여전히 지배적이다. 이런 기기는 취약한 또는 기본 인증 정보를 사용해 침해되는 경우가 많다. 넷스카우트는 지난해 텔넷(Telnet)과 SSH(Secure Shell) 무차별 대입 공격이 2019년 대비 42% 증가했다고 밝혔다.

또한 침해된 안드로이드 모바일 기기 역시 DDoS 공격에 이용된다. 중국업체 치후 360(Qihoo 360)의 네트워크 보안 사업부인 넷랩(Netlab)의 연구진은 지난 2월 인터넷에 노출된 안드로이드 ADB(Android Debug Bridge) 인터페이스로 안드로이드 기기를 감염시키는 매트리요시(Matryosh)라는 새로운 봇넷을 보고했다. 넷스카우트가 클라우드 및 인터넷 서비스 제공업체를 대상으로 매년 실시하는 설문에서 응답자의 약 1/4이 모바일 기기가 DDoS 공격에 이용되는 것을 확인했다고 답했다. editor@itworld.co.kr 

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.