DDoS 및 애플리케이션 보안 위협
네트워크 계층 (L3/L4) DDoS 공격
공격 동향: 소규모 공격의 정상화, 매우 대규모 공격의 규모가 크게 증가
DDoS 공격은 2024년에 계속해서 강력한 성장을 보입니다. 체적 기반 DDoS 공격의 수는 전년 대비 144% 증가했으며, 100Gbps 미만의 소규모 공격 수는 전년 대비 146% 급증했습니다. 공격자들은 저강도 지속적인 공격을 통해 방어 자원을 소비하는 데 더 기울어져 있으며, 이 전략은 보호 능력이 약한 기업에 큰 압박을 가합니다. 동시에, 300Gbps를 초과하는 대규모 공격의 수는 전년 대비 73% 증가했으며, 연간 최고 트래픽량은 1.5Tbps를 초과하여 공격자들이 단일 공격의 파괴력을 향상시키는 데 계속해서 더 많은 투자를 하고 있음을 나타냅니다.
높은 공격 기간: 휴일이 공격 집중 기간이 되다
월별 피크 공격 데이터에 따르면 2024년 12월 공격 대역폭 규모가 사상 최고치를 기록했으며, 전년 대비 115% 증가했습니다. 또한 6월, 8월 및 10월의 최대 공격 대역폭도 1Tbps를 초과하여 전자 상거래 프로모션, 여름 대량 트래픽 피크 및 연말 결제 기간과 같은 주요 비즈니스 사이클에 집중되었습니다. 이 추세는 공격자들이 점점 더 휴일과 피크 비즈니스 기간을 이용하여 공격을 감행하고 있음을 보여줍니다. 따라서 기업은 이러한 기간 동안 DDoS 공격 보호에 더 많은 주의를 기울여야 하며, 다양한 공격 패턴에 대응할 수 있는 방어 능력을 확보해야 합니다.
공격이 맥박 유형의 집중 발생을 보이며, 지역 간 협조 공격의 위험이 증가합니다
2024년 9월과 12월에 전 세계 공격 트래픽은 전 세계적으로 '짧은 폭발' 패턴을 보였으며, 연중 다른 시기에 비해 공격 밀도가 크게 증가했습니다. 현지화된 기업, 특히 유럽, 미국 및 동남아시아의 기업들이 공격의 주요 대상이 되었으며, 글로벌 다지역 협조 공격이 중요한 트렌드가 되었습니다. 글로벌화 및 초국경 비즈니스는 지역 인프라의 현지화된 차단 능력을 강화해야 합니다.
공격 전략: 프로토콜 취약점의 깊은 착취
공격 유형의 분포 측면에서 SYN Flood 공격은 여전히 저비용 공격을 지배하고 있으며, 특히 100 Gbps 미만의 규모에서 58%를 차지합니다. 반면 UDP Flood는 중간 규모 공격을 지배하고 있으며, 100-300 Gbps 공격의 91%와 300 Gbps 이상 공격의 69%를 차지합니다. 전통적인 프로토콜 취약점의 악용은 여전히 공격의 주요 형태이며, 반사 공격에 대한 보호는 DDoS 방어를 처리하기 위한 인터넷 서비스의 핵심 요구 사항입니다.
공격 출처의 지리적 분석
2024년에는 공격 트래픽이 주로 미국과 중국과 같은 지역에서 발생하며, 노출된 인프라(예: 강화되지 않은 반사 소스)가 공격자에 의해 반사 공격의 준비 장소로 자주 악용됩니다. 이러한 지역의 공격 트래픽이 더 많음에도 불구하고, 공격이 직접 이러한 지역에서 발생한다는 의미는 아닙니다. 기업은 인프라 보호를 강화하고, 특히 일반적인 반사 프로토콜(예: DNS, NTP 등)이 남용되는 것을 방지하고, 불필요한 포트를 닫고, 서비스 인증을 강화하며, 필요한 트래픽 필터링 정책을 배포하여 인터넷 서비스가 반사 공격의 소스가 되는 위험을 줄여야 합니다. 동시에, 전 세계에 배포된 애플리케이션 서비스의 경우, 분산된 액세스 아키텍처와 보호 메커니즘을 채택하고, 트래픽 처리를 현지화하여 가능한 한 다른 지역 간의 공격 위험을 격리하는 것이 권장됩니다.
클라우드 인프라 및 데이터 서비스 산업이 가장 큰 타격을 입었습니다
클라우드 인프라 및 데이터 서비스 산업은 공격의 주요 대상이 되었습니다. 최신 데이터에 따르면 클라우드 인프라 및 데이터 서비스 부문은 모든 산업에서 60,000회 이상 공격을 받았으며, 이는 다른 산업보다 훨씬 많습니다. 조직들이 비즈니스를 클라우드로 점점 더 많이 이전함에 따라 클라우드 인프라 및 데이터 서비스의 보안이 특히 중요해졌습니다. 공격자들은 민감한 데이터에 접근하는 것뿐만 아니라 클라우드 인프라 및 데이터 서비스에 대한 공격을 통해 조직의 운영과 명성에도 영향을 미치려고 합니다. 따라서 클라우드 서비스 제공업체와 사용자는 보안 조치를 강화하고 잠재적 위협을 인식하고 대응하는 능력을 향상시켜 점점 심각해지는 사이버 보안 상황에 대처해야 합니다.
HTTP/S 공격
HTTP/S DDoS 공격의 볼륨 폭발, 메가 공격은 높은 빈도로 유지됨
2024년에는 HTTP/S DDoS 공격이 더욱 정교한 공격 패턴을 보이고 있습니다. 100,000 QPS 미만의 소규모 HTTP/S 공격 수는 전년 대비 491% 증가했으며, 300,000 QPS 이상의 메가 공격 수는 187% 증가하여 연간 최고 값이 200만 QPS를 초과했습니다. 공격자들은 '대규모 저강도 탐색 + 간헐적 고압 돌파' 전술을 통해 기업의 애플리케이션 계층 약점을 타격하는 데 집중하고 있습니다. 공격자들은 '대규모 저강도 탐색 + 간헐적 고압 침투' 전략을 사용하여 기업의 애플리케이션 계층 약점을 타격하는 데 주력하고 있습니다.
고공격 기간: 피크 비즈니스 시간이 계속해서 가장 큰 피해를 입습니다
2024년에는 5월, 9월 및 12월이 HTTP/S 공격의 주요 피크 기간이 되었으며, 특히 전자 상거래 프로모션, 여름 대량 트래픽 피크 및 연말 결제 기간 동안 공격자들은 고빈도 요청을 통해 서버 리소스를 대량으로 점유하여 애플리케이션 시스템에 엄청난 압력을 가하고 있습니다. 전자 상거래, 금융 등 여러 산업은 이러한 시간대에 대한 보호 전략에 특별한 주의를 기울여야 합니다.
전 세계 공격 급증, 교차 도메인 협업 보호에 대한 수요 증가
전 세계 HTTP/S 공격은 9월에 254% 증가했으며, 유럽과 미국에서 60% 이상의 공격이 발생했습니다. 이러한 '교차 도메인 공격' 패턴은 글로벌 기업들이 더 심각한 보안 문제에 직면하고 있음을 나타내며, 엣지 노드의 보호 능력을 개선해야 할 필요성이 있습니다.
취약점 착취 공격
임의 파일 읽기 취약점과 취약점 스캐너가 여전히 가장 큰 위협
2024년에는 취약점 악용 공격이 높은 발생 추세를 지속할 것이며, 고위험 취약점 공격의 총 수가 17억 건을 초과할 것으로 예상됩니다. 이 중 36.5%는 임의 파일 읽기/다운로드 취약점으로, SQL 주입 및 스캐너 공격과 같은 전통적인 공격 유형을 훨씬 초과합니다. 공격자는 점점 더 취약점을 스캔하고 구성 오류 및 권한 허점을 포함한 '낮은 기술 장벽'의 공격 벡터를 통해 침투하려는 경향이 있습니다. 기업은 민감한 데이터 유출을 방지하기 위해 권한 제어 및 디렉터리 접근 제어를 강화해야 합니다.
신규 위협 추세: 대역폭 절도 공격
2024년에는 다운로드 대역폭 절도 공격이 새로운 보안 위협 추세가 되고 있으며, 특히 전자상거래, 클라우드 스토리지 및 온라인 스트리밍 미디어와 같은 산업에서 그렇습니다. EdgeOne은 기업이 트래픽 절도 공격에 효과적으로 대응할 수 있도록 도와줍니다. 이러한 공격은 종종 악성 스크립트나 시뮬레이션된 사용자 행동을 통해 잘못된 다운로드 요청을 시작하여 대역폭 자원을 소비하고, 정상 사용자의 접근 불가능성이나 플랫폼 성능의 저하를 초래합니다. 공격자는 플랫폼 자원을 이용하여 경제적 손실이나 비즈니스 중단을 초래하여 기업에 심각한 위협을 가합니다.
단일 분기 트래픽 해적 행위 규모가 2 PB를 초과하며, 게임 산업이 전체의 70% 이상을 차지하다
2024년 9월부터 12월까지 트래픽 도난 공격의 규모는 2 PB를 초과했습니다(차단된, 생성되지 않은 도난 트래픽 포함). 게임 산업이 이 중 77%를 차지했습니다. 4분기에는 이전 분기 대비 도난 트래픽이 134% 증가했습니다. 공격자들은 게임 업데이트 패키지, 이미지 및 기타 정적 리소스를 반복적으로 다운로드하여 막대한 트래픽 요금을 발생시켜 기업의 대역폭 비용 및 시스템 리소스에 심각한 영향을 미칩니다. 특히 게임 산업에서는 게임 설치 및 업데이트 패키지 파일이 일반적으로 크기 때문에 트래픽 도난의 주요 대상이 됩니다. EdgeOne은 모든 플랫폼 비즈니스에 대해 무료 트래픽 안티 스키밍 기능을 제공하여 기업이 스키밍으로 인한 재정 손실을 크게 줄입니다.
트래픽 스크래핑 공격의 IP 추적 난이도가 증가하여 단일 분기에서 47,000개 이상의 IP가 포함됩니다
2024년 4분기에는 트래픽 도난 공격에 47,000개 이상의 IP가 관여하여 9월 대비 367% 증가했습니다. 이 중 87%의 공격 트래픽 출처는 보다 분산된 네트워크 세그먼트를 가지고 있어 공격자들이 탐지를 우회하기 위해 분산된 저강도 접근 방식을 사용하고 있음을 나타냅니다. 기존의 IP 블랙리스트 기법은 더 이상 이러한 복잡한 공격 패턴에 대응할 수 없습니다. 보호 효과를 개선하기 위해 기업은 비정상 트래픽을 정확하게 식별하고 장치 지문 인식 및 사용자 행동 분석과 같은 다차원 위험 관리 방법을 결합하여 예방을 강화해야 합니다. EdgeOne은 플랫폼 전반의 지능형 데이터베이스를 통해 도난 원천과 클라이언트 지문을 자동으로 식별하고 차단함으로써 기업 및 개인 사이트의 정적 콘텐츠를 효과적으로 보호합니다.
애플리케이션 계층 HTTPS 공격 사례
라이브 스트리밍 서비스 플랫폼은 전 세계적으로 라이브 스트리밍 서비스를 제공하며, 사용자는 여러 엔드포인트(예: 애플릿, 앱, 웹 등)를 통해 액세스합니다. 2024년 플랫폼은 공격자가 많은 자원을 투자하고 다양한 고도로 은밀한 공격 방법을 구현한 정교한 전술을 사용하는 대규모 응용 프로그램 계층 DDoS 공격을 겪었습니다. 2025년 공격은 봇 네트워크의 도움을 받는 공격자에 의해 수행되었습니다:
이러한 유형의 응용 프로그램 계층 공격은 다양한 위협 메커니즘을 결합하며, 공격자는 클라이언트와 요청을 깊이 사용자 정의할 뿐만 아니라 봇 네트워크를 통해 대규모 분산 공격을 시작하여 단일 클라이언트의 요청 빈도를 줄입니다. 전통적인 IP 빈도 제한 및 헤더 기능 필터링은 이러한 공격을 효과적으로 식별하고 구별할 수 없기 때문에 새로운 하이브리드 공격은 기업 보호 시스템에 새로운 도전을 제시합니다.
이러한 공격은 향후 1-2년 내에 점차 증가할 것으로 예상됩니다. 인터넷 서비스, 특히 금융, 게임, 전자상거래, 소매 및 인터넷 SaaS 서비스는 이 새로운 위협 추세에 대응하기 위해 보안 보호 기준선을 업그레이드할 것을 권장합니다:
더 큰 규모의 DDoS 공격에 대응하기 위해 더 충분한 보호 자원을 갖춘 분산된 엣지 보안 메커니즘을 사용합니다.(예: Tencent Cloud EdgeOne)
공격의 출처를 효율적으로 식별하기 위해 네트워크의 가장 바깥쪽 경계에 보안 솔루션을 배포하여 새로운 TLS 지문 및 클라이언트 지문 기술을 더 잘 적용합니다.
전체 가용성 위험을 완화하기 위해 여러 통계 지표를 기반으로 한 주파수 제한 메커니즘을 배포합니다.
공격 기간 동안이 아닌 시기에 클라이언트 지문과 요청 특성을 분석하여 긍정적인 보호 메커니즘을 구축하고 동적으로 화이트리스트에 추가하여 보안 신뢰 기준선을 확립합니다.
클러스터 분석 전략을 사용하여 TLS 지문 및 HTTP 헤더와 같은 메트릭을 집계하고 분석하여 보호 효율성을 향상시킵니다.
강력한 보호 기능을 갖춘 텐센트 클라우드 EdgeOne은 글로벌 기업이 다양한 복잡한 네트워크 보안 위협에 대처하고 인터넷 서비스의 보안을 지키는 데 도움을 줍니다.