지난해 2024년 10월 29일, 사이버 보안 역사상 가장 큰 규모의 분산 서비스 거부(DDoS) 공격이 발생했다. 공격은 초당 5.6 테라비트(Tbps)에 이르렀으며, 약 13,000개의 감염된 기기를 이용한 미라이(Mirai) 기반 봇넷으로 수행됐다. 공격 대상은 동아시아에 위치한 한 인터넷 서비스 제공업체(ISP)였으며, 공격자는 이를 통해 서비스 중단을 노렸다.
이번 공격은 UDP 기반 트래픽으로 이루어졌으며, 약 80초 동안 지속됐다. 그러나 클라우드플레어(Cloudflare)의 자동화된 탐지 및 방어 시스템 덕분에 서비스에는 아무런 영향이 없었다. 모든 대응은 완전히 자동으로 이루어져 경고조차 발생하지 않았다.
이번 공격은 2024년 초에 클라우드플레어가 보고한 또 다른 대규모 DDoS 공격 기록(3.8Tbps)을 넘어선 새로운 기록이었다. 최근 DDoS 공격의 양적 증가 추세는 뚜렷하게 나타나고 있다. 2024년 3분기에는 특히 하이퍼볼류메트릭(hyper-volumetric) 공격이 급증했으며, 4분기 들어서는 1Tbps를 초과하는 공격이 전 분기 대비 1,885% 증가했다. 또한 초당 1억 패킷을 넘는 공격도 175% 늘어났으며, 이 중 16%는 10억 패킷을 초과하는 수준이었다.
4분기 동안 기록된 HTTP DDoS 공격 중 하이퍼볼류메트릭 공격은 전체의 3%에 불과했으며, 나머지 63%는 초당 요청 수가 50,000개 이하인 소규모 공격이었다. 네트워크 계층(Layer 3 및 Layer 4)에서의 DDoS 공격도 유사한 경향을 보였다. 전체 공격 중 93%는 500Mbps를 넘지 않았고, 87%는 초당 패킷 수가 50,000개 이하로 제한됐다.
DDoS 공격의 또 다른 특징은 지속 시간이 점점 짧아지고 있다는 점이다. 클라우드플레어에 따르면 HTTP DDoS 공격의 약 72%, 네트워크 계층 공격의 약 91%가 10분 이내에 종료됐다. 반면 1시간을 초과한 공격은 각각 22%와 2%에 불과했다. 이러한 짧은 지속 시간은 사람이 직접 대응하기 어려운 수준으로, 항상 가동 중인 자동화된 DDoS 방어 서비스의 필요성을 강조하고 있다.
공격자들은 트래픽이 가장 많은 휴일이나 대규모 할인 행사 기간에 공격을 집중적으로 수행하며 최대 효과를 노린다. 특히 2024년 4분기 동안 랜섬 DDoS 공격이 분기별로 78%, 전년 동기 대비 25% 증가하며, 크리스마스 시즌에 정점을 찍었다.
클라우드플레어는 2024년 4분기에 가장 많은 공격을 받은 지역으로 중국, 필리핀, 대만을 지목했다. 그 뒤를 홍콩과 독일이 이었다. 주요 공격 대상은 통신사, 서비스 제공업체 및 캐리어, 인터넷 관련 업계, 마케팅 및 광고 업계 등이었다.
클라우드플레어는 “짧은 시간 동안 이루어지는 대규모 공격은 자동화된 방어 시스템의 중요성을 다시 한번 상기시킨다”고 강조했다. 이번 사례는 증가하는 DDoS 위협 속에서 더욱 정교하고 안정적인 방어 체계가 필수적임을 보여준다.
