프린터, 암호화폐, 게이밍 플랫폼이 디도스 주요 공격 대상으로 떠올랐다.
카스퍼스키랩이 ‘2018년 2분기 디도스 인텔리전스 보고서’를 통해 사이버 범죄자들이 가상화폐 및 환전소, 게이밍 플랫폼을 대상으로 지속적으로 공격하고 있다고 밝혔다. 해커들이 채굴 풀을 공격하고 그 혼란을 틈타 Verge 암호화폐 3,500만 XVG를 가로챈 사건은 거래소를 상대로 한 범죄의 전형적인 사례이다.
게이밍 플랫폼에서는 주로 e스포츠 대회가 열리는 동안을 틈타 공격, 대회를 방해하지 않는 대가로 금전을 요구하는 방식이 행해진다. 이같은 상황에서 게임 서버뿐 아니라 자체 플랫폼에서 연결한 게이머들도 피해를 입는다. 팀 내 주요 플레이어를 대상으로 조직화된 디도스 공격이 발생하면 해당 팀은 각자의 역량과 무관하게 패배하고 대회에서 탈락한다.
사이버 범죄자들은 이와 유사한 전략을 사용해 트리밍 시장, 즉 비디오 게임 방송을 스트리밍하는 채널을 공격하기도 한다. 사이버 범죄자들이 디도스 공격으로 온라인 방송을 방해하면 결과적으로 스트리밍 업체가 금전적 손실을 입게 된다.
2분기에 주목할 만한 특징은 사이버 범죄자들이 과거의 취약점을 다시 공격에 사용하기 시작했다는 것이다. 예를 들어 2001년부터 알려져 있던 유니버셜 플러그 앤 플레이 프로토콜의 취약점을 이용한 디도스 공격이 보고된 바 있으며, 1983년에 정의된 CHARGEN 프로토콜의 취약점을 이용하는 조직화된 공격도 발견됐다.
상당히 오래된 서비스이고 프로토콜 범위도 제한적이지만, 인터넷에는 개방형 CHARGEN 서버를 다수 찾아볼 수 있다. 대부분 프린터와 복사기가 이에 해당된다. 이러한 고전적인 여러 수법에 대해 파악하고 있어도 사이버 범죄자들의 새로운 봇넷 생성을 막을 수는 없다. 일본에서는 5만 대에 달하는 CCTV가 디도스 공격에 동원된 사례도 있었다.
또한 홍콩이 디도스 공격을 가장 많이 받은 국가 2위, 디도스 공격 C&C 호스팅을 가장 많이 한 국가 3위에 올라 눈길을 끌고 있다. 홍콩이 10위권 안에 든 것은 처음이다. 홍콩을 겨냥한 공격은 2분기 동안 5배로 증가, 전체 디도스 공격 중 17%를 차지했다. 홍콩에서 주요 타깃이 된 리소스는 호스팅 서비스와 클라우드 컴퓨팅 플랫폼이다. 홍콩은 2분기 동안 활성 명령·제어(C&C) 서버를 가장 많이 호스팅한 국가 10위권에 베트남을 밀어내고 이름을 올렸다. 우리나라는 공격 대상 국가와 C&C 호스팅 국가 각각 4위를 기록했다.
이 기간 동안 디도스 봇넷 온라인 리소스 공격이 발생한 국가는 74개국이며, 중국(59.03%), 미국(12.46%), 홍콩(3.67%), 한국(3.21%) 순이다. 디도스 공격 대상 국가 순위는 중국(52.36), 미국(17.75%), 홍콩(12.88%), 한국(4.76%) 순이다.
같은 기간 내 윈도우 기반 디도스 봇넷 활동은 약 7배 감소한 반면 리눅스 기반 봇넷 활동은 25% 증가했다. 결과적으로 리눅스 봇을 이용한 공격이 2분기 전체 디도스 공격의 95%를 차지했으며 이로 인해 SYN 플러드 공격 비중도 57%에서 80%로 급증했다.
이창훈 카스퍼스키랩 코리아 지사장은 “사이버 범죄자들은 자금 규모가 큰 기업과 서비스를 공격하는 경우가 많다. 디도스 공격의 동기는 정치적 또는 사회 문제에 대한 시위, 개인적 복수, 경쟁 등 다양하지만, 대부분의 경우 돈이 목적이다. 디도스 공격을 전면에 내세워 공격을 멈추는 대가로 금전을 요구하는 방식이다. 피해액은 수십만 달러, 심지어 수백만 달러에 이를 수도 있다. 이같은 상황에서 디도스 공격을 방지할 수 있도록 보안 기능을 갖추는 것은 매우 현명한 투자” 라고 전했다.
이동언 기자 [email protected]