웹사이트 스트레서 또는 부터는 DDoS 공격 대행 서비스로, 이를 통해 경험이 거의 없고 리소스가 거의 없는 해커가 표적을 대상으로 치명적인 공격을 감행할 수 있습니다. 정교한 웹사이트 스트레서는 무료 체험, 비디오 튜토리얼, 이메일 지원, 월 20달러 최저 요금의 구독 기반 패키지가 포함된 SaaS(Software as a Service) 오퍼링으로 위장합니다.
Meris 봇넷은 2021년과 2022년에 발생한 DDoS 공격 규모 기록을 경신한 매우 강력한 봇넷 운영입니다. 또한 Meris는 감염된 디바이스 수(약 25만 개의 라우터)와 전송 가능한 요청 규모(2022년 Google 공격 당시 초당 최대 4600만 개의 요청)에서도 주목할 만합니다.
봇넷이란 무엇인가요?
봇넷이라는 용어는 공격자가 제어할 수 있는 악성 소프트웨어(멀웨어)에 감염된 컴퓨터나 디바이스 그룹인 '로봇 네트워크'의 약어입니다. 봇넷에는 조직적인 사이버 공격을 시작하는 데 사용할 수 있는 수만 개의 디바이스가 포함될 수 있습니다. 봇넷의 일반적인 용도는 스팸 전송, 신용카드 정보 도용, 클릭 사기 캠페인 개입, DDoS 공격을 위한 막대한 양의 악성 트래픽 생성 등이 있습니다.
DDoS 공격이란 무엇인가요?
분산 서비스 공격(DoS)은 머신 또는 네트워크에 과도한 악성 트래픽을 보내 정상적인 요청을 처리하지 못하고 정상 사용자가 접속하지 못하게 만듭니다. DDoS 공격은 기업의 웹사이트, 웹 애플리케이션, API, 네트워크, 데이터센터, DNS 인프라를 표적으로 삼곤 합니다. 해커는 기업을 협박하거나 다른 형태의 사이버 공격으로부터 보안팀의 주의를 분산시키거나 복수를 하거나 정치적 성명을 발표하거나 순전히 재미를 위해 DDoS 공격을 수행할 수 있습니다.
Meris 봇넷은 어떻게 작동하나요?
Meris DDoS 봇넷은 Wi-Fi 접속 지점, IoT 게이트웨이, 스위치 및 기타 장비도 생산하는 라트비아의 MikroTik이 만든 라우터 운영 체제(RouterOS)의 취약점을 악용합니다. 'Meris'는 라트비아어로 전염병을 뜻합니다.
Meris는 DDoS 공격을 수행하기 위해 애플리케이션 레이어에 증폭 공격을 집중합니다. Meris 봇넷은 막대한 양의 RPS를 대상 서버로 전송해 CPU 및 메모리 리소스 용량을 과부하시킵니다. 25만 대 이상의 라우터를 제어하는 이 봇넷은 공격 규모에 대한 모든 기록을 경신할 수 있는 테라비트 규모의 증폭 DDoS 공격을 쉽게 시작할 수 있습니다.
전문가들은 공격자가 다른 디바이스의 요청을 감염된 라우터로 프록시해 공격의 출처를 숨긴다고 생각합니다. Meris 봇넷은 HTTP 파이프라이닝을 사용해 서버가 응답을 보낼 때까지 기다리지 않고 단일 연결로 여러 요청을 전송할 수 있으므로 봇넷의 RPS를 높이는 데 도움을 줍니다.
보다 강력한 봇넷을 구축하기 위해 Meris는 MikroTik 디바이스의 취약점(CVE-2018-14847, 패치됨)을 악용하고 원격 접속을 허용하기 위해 MikroTik 라우터에서 사용하는 운영 체제를 재구한 것으로 추정됩니다. 이 공격은 일부 패치된 MikroTik 라우터에서도 성공했습니다. 이 때문에 라우터가 봇넷에 이용되지 않도록 보호하기 위해 보안팀이 암호를 변경하고 방화벽을 업데이트했습니다.
Meris 봇넷은 얼마나 강력한가요?
2021년 연구진이 추정한 바에 따르면, Meris 봇넷은 25만 개 이상의 디바이스로 구성되었으며 4만 개 이상의 디바이스가 여전히 취약점에 노출되었습니다. 이러한 Meris 봇넷 규모로 인터넷 서비스 사업자(ISP)와 같은 대규모 네트워크에도 침투할 수 있습니다.
25만 대 이상의 디바이스를 보유한 Meris의 최대 용량은 초당 1억 1천만 건의 요청을 지원할 수 있습니다. 이에 비해 이전에 가장 큰 규모의 DDoS 공격은 Meris의 약 20%에 불과합니다.
Meris 봇넷은 수십만 개의 IoT 디바이스를 감염시킨 가장 악명 높은 봇넷 중 하나인 Mirai를 능가합니다. 그러나 Mirai는 IoT 디바이스의 제한된 네트워킹 기능과 적은 컴퓨팅 성능으로 제한을 받습니다. 반면 Meris는 IoT 디바이스보다 훨씬 더 강력한 처리 성능과 더 효과적인 데이터 전송 기능을 갖춘 여러 라우터를 사용합니다. Meris 봇넷의 이면에서 사용되는 기술을 기반으로 해커는 상당한 처리 능력을 이용하고 고속 이더넷에 접속할 수 있기 때문에 Meris는 클라우드 기반 DDoS 방어로 보호되지 않는 기업에 훨씬 더 강력한 위협이 될 수 있습니다.
어떤 기업이 표적이 되었나요?
Meris 봇넷은 다양한 기업을 표적으로 삼는 데 사용되었습니다. 이 대규모 공격은 은행, 금융 서비스, 보험(BFSI) 업계의 기업을 겨냥했습니다. 주목할 만한 공격은 다음과 같습니다.
- 200만 건 이상의 RPS를 발생시킨 Krebs on Security에 대한 공격
- 검색 엔진 Yandex에 대한 공격이 의심됨
- 1720만 RPS를 기록한 클라우드 기업 Cloudflare에 대한 공격이 의심됨
- 2022년 6월 Google에 공격이 의심됨(1시간 이내에 10만 건의 RPS에서 4600만 건의 RPS로 요청 수가 증가하며 역사상 가장 큰 규모의 레이어 7 DDoS 공격으로 기록됨)
기업은 Meris 봇넷을 어떻게 방어할 수 있나요?
Meris 봇넷 및 기타 DDoS 공격을 방어하기 위해 보안팀은 DNS 방화벽, API 보안, 웹 애플리케이션 방화벽, 포괄적인 DDoS 방어 솔루션 등 여러 레이어의 사이버 보안 방어 솔루션을 배포해 공격으로 인해 피해를 입기 전에 기업 네트워크 엣지에서 공격을 차단할 수 있습니다. 이때 보안 솔루션으로는 웹사이트, 애플리케이션, API, DNS 인프라(권한 DNS 네임서버, GSLB 등), 네트워크 인프라에 대한 보호 기능이 포함되어야 합니다.
강력한 DDoS 방어 솔루션은 전용 방어 용량, 자동화된 방어 워크플로우, 머신과 인적 인텔리전스의 조합, 온프레미스, 클라우드 또는 하이브리드 배포의 유연성을 활용해 포괄적이고 효과적인 DDoS 방어를 제공하는 완전한 접근 방식을 제공해야 합니다.
자주 묻는 질문(FAQ)
봇넷 또는 로봇 네트워크는 사이버 범죄자가 제어할 수 있도록 멀웨어에 감염된 컴퓨터 네트워크를 말합니다. 봇넷을 제어하는 사람을 '봇 허더(herder)'라고 하며, 감염된 각 시스템을 봇이라고 합니다. 봇넷은 컴퓨터, 서버, 사물 인터넷(IoT) 디바이스 및 기타 유형의 머신으로 구성될 수 있습니다.
봇 허더는 봇넷 공격을 시작하기 위해 명령 및 제어 서버에서 봇으로 명령을 전송해 봇이 다른 머신의 취약점 스캔, 멀웨어 전송, 랜섬웨어 확산, 암호화폐 채굴, 티켓 스캘핑 아웃핏 구매, 피싱 및 스팸 이메일 전송, 웹사이트 스트레서 서비스 제공 등의 작업을 수행하도록 지시합니다.
고객이 Akamai를 선택하는 이유
Akamai는 온라인 비즈니스를 지원하고 보호하는 사이버 보안 및 클라우드 컴퓨팅 기업입니다. 시장을 대표하는 보안 솔루션, 탁월한 위협 인텔리전스, 글로벌 운영팀이 모든 곳에서 기업 데이터와 애플리케이션을 보호하는 심층적 방어 기능을 제공합니다. Akamai의 풀스택 클라우드 컴퓨팅 솔루션은 세계에서 가장 분산된 플랫폼에서 성능과 경제성을 제공합니다. 글로벌 기업들은 자신감 있게 비즈니스를 성장시키는 데 필요한 업계 최고 수준의 안정성, 확장성, 전문성을 제공하는 Akamai를 신뢰합니다.