사물인터넷(IoT) 악성코드 미라이(Mirai)에 감염된 기기 대부분이 대가성 분산서비스거부(DDoS, 이하 '디도스') 공격에 사용됐을 것이라는 분석이 제기됐다.
아카마이코리아(대표 손부한)는 2분기 세계 디도스 공격 시도가 늘어 4천건 이상을 기록했지만, 전보다 대규모 공격 사례는 드문 것으로 파악됐다는 내용을 담은 '2017년 2분기 인터넷 보안 현황 보고서'를 30일 공개했다.
아카마이는 2분기 세계 디도스 공격이 4천51건 발생, 전분기 대비 28% 늘었다고 지적했다. 재등장한 디도스 악성코드 피봇(PBot) 탓이라고 설명했다. 피봇은 낡은 PHP코드를 이용하는 소규모 디도스 봇넷이다.
이번 분기 400대 노드로 구성된 피봇 봇넷이 초당 75기가비트(Gbps) 공격에 동원됐다. 아카마이는 이 75Gbps짜리 공격이 이번 분기 최대 규모 디도스였다고 밝혔다. 수년만에 처음으로 100Gbps 이상의 대형 디도스 공격이 관측되지 않았다는 설명이다.
표적이 된 곳은 이번 분기 평균 32건 공격을 받았다. 전체 디도스 공격 유형 99%를 인프라(레이어3, 4) 공격이 차지했다. 발원 비중 상위 국가는 이집트(32%), 미국(8%), 터키(5%) 순이었다. 사용된 공격 기법 유형은 UDP프래그먼트(27%), DNS(15%), NTP(15%) 순으로 나타났다.
웹 애플리케이션 공격 건수는 전분기 대비 5% 늘었다. 발원지는 미국(33.8%), 중국(10.2%), 브라질(8.2%), 네덜란드(6.4%), 인도(3.3%) 순으로 많은 비중을 차지했다. 공격 기법 93% 가량을 SQLi, LFI, xss가 차지했다.
아카마이 인터넷 보안 현황 보고서 편집자 마틴 맥키 수석 보안 전문가는 "미라이 봇넷, 워너크라이(WannaCry), 페티야(Petya), SQLi 공격의 지속적인 증가, 피봇 재등장은 공격자들이 새로운 툴만 아니라 과거에 이미 효과성이 검증된 툴도 사용하고 있음을 보여준다"고 말했다.
아카마이 위협 연구팀은 맬웨어 명령제어 인프라가 도메인생성알고리즘(DGA)을 이용하는 방식 역시 기존 기술 재사용 사례라고 봤다. DGA는 지난 2008년 컨피커 웜에서 처음 발견돼 지금까지 널리 사용되는 맬웨어 통신 기법이라는 설명이다.
연구팀은 감염된 네트워크가 정상 네트워크보다 DNS룩업 트래픽을 약 15배 많이 발생시킨다고 지적했다. 감염된 네트워크에서 맬웨어가 무작위 요청하는 도메인 대다수는 등록돼 있지 않기 때문에, 접속 시도로 대량 트래픽이 발생한다.
관련기사
- '디도스 협박' 확산…일반기업들까지 위협2017.08.30
- 안랩, 성능 높인 네트워크보안장비 신모델 공개2017.08.30
- 아카마이, 클라우드보안(SECaaS) 대세 합류2017.08.30
- 아카마이 "2016년 4분기 디도스 공격 3천800건 이상"2017.08.30
연구팀은 지난해 9월 미라이 봇넷 등장 이래로 그 특성을 조사했고 2분기 그 명령제어 인프라를 집중 연구했다고 밝혔다. 미라이는 다른 봇넷처럼 디도스 범용화에 일조, 명령제어 노드 대부분이 대가성 공격(pay-for-play)에 사용된 걸로 추정됐다.
쉽게 말해 미라이 봇넷을 제어하는 해커가 일종의 청부 디도스 사업을 벌였을 것이란 얘기다. 아카마이코리아의 안준수 상무는 "봇넷 명령제어 노드 대부분이 특정 IP를 집중 공격하는 데 사용됐는데 이는 표적이나 목적이 불분명한 기존 디도스와 다른 특성"이라고 설명했다.
