전 세계 최대 클라우드 플랫폼 기반의 서비스를 제공하는 아카마이코리아(대표 손부한)가 아카마이 인텔리전트 플랫폼을 기반으로 전세계 클라우드 보안과 위협 환경을 분석한 ‘2017년 2분기 인터넷 보안 현황 보고서’를 30일 발표했다.

2분기 디도스 및 웹 애플리케이션 공격이 증가한 것은 피봇(PBot) 디도스(DDoS) 멀웨어가 다시 등장한 여파가 컸다. 피봇은 수십년된 PHP 코드를 이용하는 소규모 디도스 봇넷으로 2분기 아카마이가 관측한 최대 공격 규모인 75Gbps의 디도스 공격에 사용됐다. 피봇은 상대적으로 적은 400개의 노드로 구성됐지만 상당한 규모의 공격 트래픽을 발생시켰다.

2분기 전 세계 디도스 공격은 4051건 발생해 지난 분기 대비 28% 증가했다. 100Gbps 넘는 대형 디도스 공격은 수년 만에 처음으로 단 한 건도 관측되지 않았다. 공격의 표적이 된 곳은 이번 분기 평균 32건의 디도스 공격을 받았고 인프라 공격(레이어 3, 4)이 전체 디도스 공격의 99%를 차지했다. 디도스 공격 상위 발원 국가는 이집트(32%), 미국(8%), 터키(5%) 순이었다. 2분기 가장 많이 사용된 디도스 공격 기법은 UDP 프래그먼트(27%), DNS(15%), NTP(15%)로 나타났다.

웹 애플리케이션 공격 건수는 지난 분기 대비 5% 증가했다. 웹 애플리케이션 공격 발원지는 미국(33.8%)이 지난 분기에 이어 1위를 차지했고 중국(10.2%), 브라질(8.2%), 네덜란드(6.4%), 인도(3.3%)가 그 뒤를 이었다. SQLi, LFI, XSS가 웹 애플리케이션 공격 기법의 약 93%를 차지했다.

아카마이 인터넷 보안 현황 보고서 편집자 마틴 맥키(Martin McKeay) 수석 보안 전문가는 “공격자는 끊임없이 기업 보안 체제의 취약점을 찾고 있다. 공격 효과가 높고 빈번하게 발견되는 취약점에 더 많은 노력과 리소스를 투입한다. 미라이 봇넷, 워너크라이(WannaCry), 페티야(Petya) 공격, SQLi 공격의 지속적인 증가, 피봇의 재등장은 공격자들이 새로운 툴뿐만 아니라 과거에 이미 효과성이 검증된 툴도 사용하고 있음을 보여준다”고 밝혔다.

아카마이 위협 연구팀은 멀웨어 명령 및 제어(C2) 인프라가 도메인 생성 알고리즘(DGA)을 이용하는 방식 역시 기존 기술이 다시 사용된 것으로 분석했다. DGA는 2008년 컨피커 웜(Conficker worm)에서 처음 발견돼 지금까지 멀웨어 통신 기법으로 널리 사용되고 있다.

아카마이 위협 연구팀은 감염된 네트워크는 정상 네트워크보다 DNS 룩업(lookup) 트래픽을 약 15배 많이 발생시킨다는 사실을 확인했다. 감염된 네트워크 상에서 멀웨어에 의해 무작위로 생성된 도메인의 대다수는 등록되어 있지 않다. 따라서 이 도메인에 접속을 시도하는 과정에서 대량의 트래픽이 발생했다. 감염된 네트워크와 정상 네트워크의 특징을 분석하는 일은 멀웨어 활동을 파악하는 주요 방법 중 하나다.

2016년 9월 미라이 봇넷이 처음 발견됐을 때 아카마이는 최초 공격을 받은 곳 중 하나였다. 아카마이 플랫폼은 그 이후에도 지속적으로 미라이 봇넷 공격을 받았지만 성공적으로 공격을 방어해왔다. 아카마이 연구원들은 아카마이만의 독자적인 가시성을 기반으로 미라이 봇넷의 다양한 특성을 조사했고 특히 2분기에는 미라이의 C2 인프라에 대해 집중적으로 연구했다.

미라이는 다른 봇넷과 마찬가지로 디도스 범용화에 일조하고 있는 것으로 보인다. 미라이 봇넷 C2 노드의 대부분이 특정 IP를 집중적으로 공격하는데 사용되고 대가성 공격(pay-for-play)에 사용된 노드는 더 많은 것으로 추정된다. 미라이 C2 노드는 단시간에 걸쳐 특정 IP를 공격한 후 활동을 멈췄고 다시 다른 표적을 공격했다.

2017년 2분기 아카마이 인터넷 현황 보안 보고서는 웹사이트에서 확인 가능하며 무료로 다운로드 받을 수 있다.