아카마이코리아(www.akamai.co.kr 대표 손부한)가 아카마이 인텔리전트 플랫폼을 통해 전세계 클라우드 보안과 위협 환경을 분석한 ‘2017년 1분기 인터넷 보안 현황 보고서’를 22일 발표했다.

보고서에 따르면 올해 1분기 전세계 디도스 공격은 3174건 발생해 전년동기 대비 30% 감소했다. 이 중 100Gbps 넘는 대형 디도스 공격은 89% 줄었고, 최대 공격 규모는 120Gbps를 기록했다.

1분기에는 미라이 악성코드 봇넷 공격이 발견됐다. 미라이 도메인네임시스템(DNS) WT(Water Torture) 공격이 금융 서비스 업계를 대상으로 일어난 것. 공격이 진행되는 동안 영향 받은 DNS 서버 대부분은 1~2Mbps 사이의 균등한 비율로 쿼리(query)를 받았지만 1월15일 관찰에서는 14Mbps 규모의 공격도 받은 것으로 조사됐다.

1분기 가장 많이 사용된 디도스 공격 기법은 UDP 프래그먼트(29%), DNS(20%), NTP(15%) 순이었다. 새로운 반사 공격 기법인 CLDAP(Connectionless Lightweight Directory Access Protocol)도 발견됐고 공격 규모 대부분은 1Gbps를 초과했다.

UDP 프래그먼트는 UDP 요청을 보낼 때 패킷 크기를 크게 보내서 그것을 처리하는 과정에서 더욱 많은 자원을 사용하게끔 유도하는 공격이다. DNS 공격은 DNS 요청을 많이 보내 운 서버의 자원을 고갈시켜 사이트에 제대로 접속할 수 없도록 한다.

NTP는 네트워크 타임 프로토콜이라는 서버 간 시간을 일치시키기 위해 개발된 프로토콜을 이용해 최근 접속된 서버들의 목록을 공격지로 요청함으로써 공격서버에 수많은 응답이 가도록 한다. CLDAP는 기존 디렉토리 조회 및 관리용 프로토콜인 LDAP 요청의 응답을 공격지로 보내는 반사 공격을 CLDAP를 이용해 보내는 기법이다.

웹 애플리케이션 공격 건수는 전년 대비 35% 증가했다. 웹 애플리케이션 공격 발원지는 미국(34%)이 지난 분기에 이어 1위를 차지했고 네덜란드(12.7%), 브라질(8.1%), 중국(5.5%), 독일(4.6%)이 뒤를 이었다.

아카마이 인터넷 보안 현황 보고서 편집자인 마틴 맥키 수석 보안 전문가는 “인터넷과 특정 산업에 대한 위험이 여전히 존재하고 공격은 계속 진화하고 있다”며 “미라이와 같은 봇넷을 이용한 공격은 점차 교묘해지고 있고 사물인터넷(IoT) 취약점을 디도스 봇넷 및 멀웨어에 악용되는 공격 역시 증가하고 있다”고 말했다.

이어 “미라이가 유일한 위협이라는 것은 근시안적 생각”이라며 “소스 코드가 공개되면서 미라이의 모든 요소를 다른 봇넷에 통합할 수 있게 됐으며 미라이 기능을 추가하지 않고 변형되고 있다는 증거도 발견됐다”고 언급했다.

<최민지 기자>cmj@ddaily.co.kr