Home > 전체기사
모바일 통한 디도스 공격, 갈수록 늘어나고 있다
  |  입력 : 2019-12-17 17:04
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
DNS 공격, 1사분기에 급증하고 서서히 내려가다가 연말에 다시 올라
아이폰이 특히 디도스 공격에 많이 활용돼...모바일과 사물인터넷이 문제


[보안뉴스 문가용 기자] 지난 3사분기 동안 발생한 디도스 공격이, 작년 3사분기보다 86% 증가했다고 한다. 도메인 이름 시스템(DNS)을 활용한 증폭 기술의 인기가 공격자들 사이에서 식을 줄을 모른다는 점도 눈에 띈다. 그래서 DNS 증폭 공격은 전체 DNS 공격의 45%를 차지했다. HTTP 플러드(HTTP Flood)와 TCP SYN 공격은 각각 14%와 7.7%의 점유율을 보였다. 보안 업체 넥서스가드(Nexusguard)가 집계해 발표한 내용이다.

[이미지 = iclickart]


또한 디도스 공격 트래픽의 원천으로서 모바일 장비의 활용률이 꾸준히 높은 수치를 기록하고 있다는 것도 주목할 만하다. 디도스 공격의 41%가 모바일 게이트웨이에서부터 출발한다. 이 트래픽의 3/4는 애플의 iOS 장비들에서 비롯된다고 한다. “사물인터넷 장비들 역시 공격 통로로서 지속적인 인기를 누리고 있습니다.” 넥서스가드의 연구 관리자인 토니 미우(Tony Miu)의 설명이다.

모바일과 사물인터넷 장비들이 디도스 공격에 자주 활용되는 이유는 무엇일까? 그 무엇보다 “늘 켜져 있다”는 특성 때문이라고 미우는 설명한다. “또한 보안 관련 특성이나 설정 옵션들이 아직은 부족한 것도 사실이죠. 컴퓨터나 다름없이 강력한데, 안전 장치는 부실한 것이 현실입니다. 게다가 연결성도 4G와 5G 등 날마다 발전하고 있죠. 공격자들에게는 이상적인 장치일 수밖에 없어요. 현재 디도스용 봇넷은 PC, 스마트폰, 사물인터넷 장비들로 구성되어 있다고 보면 됩니다.”

디도스 공격 분야에 있어서 대규모 트렌드 변화는 아직까지 나타나고 있지 않다는 것도 눈에 띈다. “공격자들은 1사분기에 왕성하게 활동하고, 그 다음 분기 때마다 조금씩 활동을 줄입니다. 그러면서 한 해의 끝에 다다르면서 살짝 오르기 시작하고요. 2018년에도 똑같은 패턴이 있었고, 올해도 그렇습니다.” 또한 공격의 대부분(86%)은 최대 90분까지 이어지며, 90%는 1 Gbps 이하를 기록했습니다.

애플의 iOS와 DNS 디도스
모바일 장비가 디도스 공격의 주요한 도구로서 활용된 건 올해 초부터 꾸준하게 있어왔던 일이다. 1사분기 당시 애플리케이션 공격들의 60% 이상이 모바일 게이트웨이로부터 출발했다. 그 출처는 모바일 장비이거나 모바일 장비에 연결된 컴퓨터였다. 3사분기에 와서는 모바일 장비들이 증폭 공격과 부피 공격 모두에 유용하게 활용되는 모습이 나타나기 시작했다.

희한한 건 보안의 측면에서 꽤나 준수한 모습을 보여 왔던 애플의 장비들이 디도스 공격에 자주 활용된다는 것이다. 넥서스가드에 의하면 “모든 DNS 공격의 31%가 애플 장비에서부터 시작된다”고 한다. 안드로이드 장비가 DNS 공격에 연루된 건 10% 정도다.

“애플은 앱 스토어를 통해 다운로드가 가능한 앱들을 확인하고 관리하는 측면에서는 정말 좋은 성적을 거두고 있습니다. 하지만 디도스 공격에 있어서는 안드로이드 장비보다 더 속수무책인 모습을 보입니다. 왜 그럴까요? 저희는 많은 사용자들이 애플을 탈옥시켜 사용하기 때문이라고 봅니다. 즉 애플이 설정한 보안 옵션들을 하나도 지키지 않은 iOS 장비들이 문제를 일으키고 있다는 것이죠.”

DNS 증폭 공격이 빠르게 증가하고 있다는 것도 눈여겨봐야 한다고 넥서스가드는 지적한다. “작년 3사분기에 비해 2배 증가했고, 그 인기는 약 48배 증가했다고 집계 됩니다.” DNS 증폭 공격은 적은 노력으로 엄청난 대역폭을 얻을 수 있게 해주는 것이 DNS 공격의 인기 비결이라고 넥서스가드는 설명한다.

“피해자는 주변의 네트워크 인프라로부터 상상 이상으로 큰 응답 트래픽을 받게 됩니다. 그러면서 네트워크 기능이 마비되죠. 그 정도로 큰 트래픽이 아주 작은 요청 몇 가지로 발동됩니다. 최대 증폭률은 약 54배 정도 되는 것으로 알려져 있습니다. 공격자들에게 매력적일 수밖에 없습니다.”

미우는 DNS 보안 장치인 DNSSEC이 DNS 증폭 공격의 증가에 큰 몫을 했다고 설명한다. “DNSSEC은 분명 DNS 남용을 막아주는 훌륭한 보안 장치입니다. 하지만 완벽하지는 않습니다. 한 가지 문제는 해결해주지만, 그 이면에서 다른 문제를 일으키기도 하죠. DNSSEC이 활성화 된 서버들은 너무나 긴 응답을 생성합니다. 그게 바로 DNSSEC의 문제점입니다.”

국가별로 보면 공격의 주요 발원지는 중국, 터키, 미국, 한국이었다. 이 중 터키의 통신망 하나, 중국의 통신망 하나, 한국의 통신망 하나에서 전체 디도스 공격의 40%가 출발하는 것으로 나타났다.

3줄 요약
1. DNS 이용한 증폭 공격의 꾸준한 강세, 올해에도 이어짐.
2. 모바일과 사물인터넷 장비로부터 출발한 디도스 공격 증가 중.
3. 국가별로는 중국, 터키, 미국, 한국이 디도스의 주요 발원지.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
그린존시큐리티 4개월 배너모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 팬더믹 이후, 가장 기승을 부리고 있는 사이버 공격 유형은 무엇이라고 보시나요?
랜섬웨어
피싱/스미싱
스피어피싱(표적 공격)/국가 지원 해킹 공격
디도스 공격
혹스(사기) 메일
악성 앱
해적판 소프트웨어
기타(댓글로)