넷스카우트 시스템즈(NETSCOUT SYSTEMS, INC., 이하 ‘넷스카우트’)가 연 2회 발간하는 ‘위협 인텔리전스 보고서(Threat Intelligence Report)’ 결과를 발표했다.
보고서에 따르면, 사이버 범죄자들은 2021년 하반기 약 440만 회를 합해 2021년 한 해 975만 회의 디도스(DDoS, 분산 서비스 거부) 공격을 감행한 것으로 나타났다. 코로나19 팬데믹이 정점을 찍었던 시기보다 3% 감소했지만 코로나19 이전 시기보다 14% 증가한 수치다.
보고서는 새로운 전략, 기술, 방법을 도입하며 더욱 고도화되고 있는 봇넷(botnet) 공격은 물론 볼륨메트릭(volumetric) 공격과 다이렉트-패스(direct-path, [non-spoofed]) 공격 간 균형 재정립을 다루고 있다.
넷스카우트의 위협 인텔리전스 책임자인 리처드 험멜(Richard Hummel)은 “위협 행위자들의 활동이 줄면서 전반적으로 공격의 수가 감소한 것이 눈길을 끌지만 펜데믹 이전에 비하면 상당히 높다. 공격자들이 서버급 봇넷이나 디도스포하이어(DDoS-for-Hire, 디도스 공격 대행) 서비스를 사용하는 등 새로운 기술을 도입하고 다이렉트-패스 공격 빈도를 높여 보안 업계의 대응 수위를 계속 높이고 있는 것이 현실이다”고 말했다.
2021년 하반기 넷스카우트 위협 인텔리전스 보고서의 주요 내용은 다음과 같다.
-디도스 협박과 랜섬웨어 활동이 증가하고 있다. 3대 디도스 협박 공격이 모두 최고치를 기록했다. 아바돈(Avaddon), 레빌(REvil), 블랙캣(BlackCat), 아보스락커(AvosLocker), 선크립트(Suncrypt) 등의 랜섬웨어 조직이 디도스 공격으로 사용자들을 협박하고 있는 것으로 나타났다. 디도스 협박이 성공하면 랜섬웨어 조직들은 디도스 협박 오퍼레이터들을 산하에 거느린 것처럼 위장할 수 있었다. 최근 발생한 레빌의 디도스 협박 공격이 대표적인 예다.
-인터넷 전화(VOIP) 서비스가 디도스 협박 공격의 목표였다. 레빌은 VOIP 서비스 제공 업체들을 상대로 전 세계에서 디도스 협박 공격을 벌였다. 이로 인해 한 VOIP 서비스 제공 업체는 900만~1200만달러에 이르는 손실을 입었다.
-디도스포하이어 서비스로 인해 공격을 감행하기 쉬워졌다. 넷스카우트는 대규모 디도스 공격에 필요한 기술적 요구 사항과 비용을 없애는 19개 디도스포하이어 서비스를 조사했다. 디도스포하이어 서비스가 제공하는 공격 형태는 총 200가지가 넘었다.
-아시아태평양(APAC) 지역이 다른 지역보다 7% 많은 공격을 받았다. 중국, 홍콩, 대만의 지정학적 긴장감이 이어지면서 아태 지역의 2020년 하반기 대비 공격 빈도가 다른 지역을 크게 웃돌았다.
-서버급 봇넷 공격이 발생했다. 사이버 범죄자들은 사물인터넷(IoT) 봇넷 수를 늘렸을 뿐만 아니라 고성능 서버와 대용량 네트워크 기기도 포섭했다. 기트미라이(GitMirai), 메리스(Meris), 드비니스(Dvinis) 봇넷이 예다.
-다이렉트-패스 공격이 인기를 끌고 있다. 공격자들은 조직을 상대로 다이렉트-패스 또는 비스푸핑 공격이라 불리는 TCP·UCP 기반 플러드(flood) 공격을 감행했다. 한편 증폭(amplification) 공격 수가 줄면서 전체 공격 수는 감소했다.
-공격이 특정 산업에 집중됐다. 소프트웨어 퍼블리셔 업계(606% 증가)가 가장 큰 피해를 입었고 보험·중개업(257% 증가), 컴퓨터 제조업(162% 증가), 학계(102%)가 뒤를 이었다.
-가장 빠른 디도스 공격이 2020년 하반기보다 107% 증가했다. DNS, DNS 증폭, ICMP, TCP, ACK, TCP RST, TCP SYN 벡터를 이용한 453Mpps의 멀티벡터 공격이 러시아에서 발생했다.
