2분기, 사이버 테러리스트의 DDoS 공격을 받은 기업 수가 사상 최대를 기록
이 블로그는 Max Gebhardt가 공동 작성
2022년은 여러 나라에 걸친 정부 교체, 제2차 세계대전 이후 유럽 대륙에서 발발한 첫 번째 대규모 지상전, 대퇴직(The Great Resignation), 잠재적 주식 시장 침체, 40년 만의 인플레이션 최고치 등의 격변과 함께 시작되었습니다. 변화는 기회를 수반하고, 때때로는 악의가 있는 사람에게도 기회가 찾아옵니다.
Akamai는 최근 지난 10년 동안 DDoS(Distributed Denial-of-Service) 복잡성이 대두되는 사실과 동유럽의 기록적인 공격을 강조해왔습니다.위의 글로벌 이벤트는 위협 환경에도 상당한 영향을 미쳤습니다. 공격의 기술과 유형은 빠르게 바뀌지 않지만, 곧 보게 될 지정학적 바람에 따라 공격 대상은 갑자기 바뀔 수 있습니다.
공격 대상의 위험한 증가
사이버 테러리스트들은 2분기에 Akamai Prolexic 역사상 기록적인 수의 고객사 소유지(클라우드 현재 상태 또는 물리적 데이터 센터를 기반으로 한 자산 그룹화)에 DDoS 공격을 가했습니다.
또한 한 분기에 공격받은 고유 IP가 5년 만에 최고치를 기록했으며, 공격받은 고객 수도 사상 최고치를 기록했습니다(그림 2).
완전 관리 서비스의 중요성
Prolexic 플랫폼의 고객은 일반적으로 공격 빈도에 따라 초 고위험군 고객과 비정기 표적 고객(중간에는 거의 없음)으로 나뉩니다.
초 고위험군 고객은 끊임없는 공격과 공격 위협을 받고 있습니다. 대부분의 경우 공격이 없는 날이 드뭅니다. 예를 들면, Prolexic에서 공격을 가장 많이 받은 고객사는 작년에 하루 평균 3.1건의 공격을 받았습니다.
반면, 비정기 표적 고객은 일반적으로 분기 또는 반기별로 대규모 DDoS 공격을 경험합니다. 실제로 2022년 2분기에 공격을 받은 비정기 표적 고객사의 소유지의 경우 마지막 주요 DDoS 공격 이후 다시 공격을 받는 날까지의 평균 일수는 106일이었습니다. 2022년 2분기에 공격받은 비정기 표적 고객 소유지 중 전년도에 DDoS 공격을 받지 않은 곳은 단 10%뿐이었습니다.
공격 불규칙성은 조직이 완전 관리 솔루션을 고려해야 하는 많은 이유 중 하나입니다. DDoS 공격은 빈도는 낮지만 큰 충격을 불러일으키는 이벤트로 이에 대비되지 않은 기업에 회복할 수 없는 평판 손상을 입히는 등 극단적인 결과를 초래합니다.
사내 팀에 의존하여 최신 위협을 방어하고 최신 위협에 대처하는 것은 해당 팀이 모든 공격을 차단하고 인시던트 대응 프로세스를 완벽하게 수행하지 않는 한 사실상 불가능합니다.
Prolexic은 전 세계 6개 지역에 있는 225명 이상의 고도로 훈련된 일선 보안 전문가가 상시 제공하는 완전 관리 서비스를 통해 이러한 문제를 해결합니다. 이 전문가들은 DDoS 방어를 최적화하고 고객의 인프라를 보호하기 위해 사전, 공격 중, 사후 방어 공격 검토 및 분석 등을 수행합니다.
새로운 공격 트렌드
공격 대상이 고객 기반 전반으로 계속 확대됨에 따라 이러한 트렌드가 측정 가능한지 알아보기 시작했습니다. 이 연구를 위해 가장 공격을 많이 받은 고객사 소유지의 상위 10%를 초 고위험군으로 정의하고 나머지는 비정기 표적으로 정의했습니다.
결과는 흥미로웠습니다. 2017년에 비정기 표적 고객사 소유지는 전체 공격의 10%를 차지했지만, 2022년에 두 배 이상 증가하여 26.1%를 기록했습니다 (그림 3). 이는 공격자가 적절한 보호가 없는 취약한 지점과 취약한 피해자를 탐색하면서 더 넓은 포획망을 던지고 있음을 나타냅니다. 즉, 가장 뻔한 외부 자산뿐만 아니라 깊은 정찰을 통해서만 발견할 수 있는 신뢰도 높은 인프라를 표적으로 삼기도 합니다.
권장 사항
DDoS 공격이 증가하고 있는 상황에서 스스로를 보호하고 반격할 준비가 되어 있으신가요? 아니면 마지막 순간에 방어하기 위해 허둥대고 있으신가요? 온라인 비즈니스의 성장을 위해서는 검증된 DDoS 방어 전략을 갖추는 것이 필수적입니다. 최신 위협을 방지하려면 다음 권장 사항을 따르세요.
사이버 보안 및 인프라 보안 기관(CISA) 권장 사항을 즉시 검토 및 실행합니다.
중요한 서브넷 및 IP 공간을 검토하고 방어 제어가 구비되어 있는지 확인합니다.
DDoS 보안 제어를 상시 가동형 방어 태세의 첫 번째 방어 레이어로 배포하여 긴급 통합 시나리오를 방지하고 인시던트 대응 담당자의 부담을 줄입니다. 신뢰할 수 있고 입증된 클라우드 기반의 벤더사를 확보합니다(없는 경우).
위기 대응팀을 사전에 동원하여 런북 및 인시던트 대응 계획을 최신 상태로 유지합니다. 혹시 재난 이벤트를 처리할 런북을 보유하고 있습니까? 플레이북 내의 연락처가 업데이트되어 있는지 확인합니다. 오래된 기술 자산이나 오래 전에 퇴사한 직원이 나오는 플레이북은 도움이 되지 않을 것입니다.
