이원영 기자
대량 기기로부터 서버나 네트워크에 다수 요청을 송신하는 등 서비스를 이용할 수 없게 하는 분산형 서비스 방해 공격, 디도스(DDoS) 공격 발생 건수는 지난 몇 년간 증가해왔다. 2022년 8월 19일 구글은 지난 6월 1일 대규모 디도스 공격을 받았지만 회사 보호 서비스인 클라우드 아머(Cloud Armor)가 정점에서 초당 4,600만 회 요청을 저지했다고 밝혔다.
구글 보고서에 따르면 6월 1일 9시 45분경 초당 1만 요청을 초과하는 디도스 공격이 고객 HTTP/S 로드밴런서를 대상으로 실행됐다. 공격 개시 8분 뒤에는 초당 10만 요청까지 급증했다고 한다. 구글 클라우드 아머는 공격 주기 초기에 이를 감지해 트래픽을 평가하고 공격 패턴을 식별하는 규칙을 만든 뒤 곧바로 트래픽 차단을 시작했다고 한다.
이후에도 공격은 계속되어 정점에는 초당 4,600만 요청에 도달했다고 한다. 이 규모 공격은 트래픽이 많은 사이트 TOP10에 드는 위키피디아 1일 요청 모두를 불과 10초에 수신하는 것과 같다. 이런 종류 디도스 공격으로는 사상 최대였다는 것. 최근 대규모 디도스 공격으로는 2022년 6월 클라우드플레어가 보고한 초당 2,600만 요청 사례가 있지만 이번 공격은 이를 적어도 76% 넘는 것이다.
이번 공격에선 정점이 되기 전에 대책이 이뤄졌기 때문에 각 서버는 영향을 받지 않고 처리는 평소처럼 이뤄지고 있었다고 한다. 구글은 아마도 공격자는 공격을 수행하는데 많은 비용이 든 반면 에상 효과는 얻을 수 없다고 판단한 것으로 보인다고 밝혔다.
6월 1일 검출된 디도스 공격에선 예상 외로 대량 트래픽이 발생한 것에 더해 주목해야 할 특징이 있었다고 한다. 이 공격에는 132개국에서 5,256개 소스 IP가 관여하고 있으며 상위 4개국이 공격 트래픽 전체 중 31%를 차지하고 있었다고 한다. 더구나 소스 IP 중 22% 정도인 1,169개가 토르 출구 노드에 대응하고 있었지만 이런 노드로부터 요구량은 공격 트래픽 중 불과 3%에 지나지 않았다고 한다. 하지만 만일 피크시 3%였다고 가정하면 초당 130만 요청에 해당하기 때문에 토르 출구 노드가 웹앱과 서비스에 상당량 바람직하지 않은 트래픽을 송신할 가능성이 있다고 지적했다.
구글은 공격 규모가 앞으로도 확대되고 전술도 계속 발전할 것이라며 계층에 방어와 제어를 도입해 다중 방어 전략을 채택하는 게 좋으며 트래픽을 흡수할 수 있다고 밝혔다. 관련 내용은 이곳에서 확인할 수 있다.
이석원 기자
정용환 기자
