전 세계적으로 800만 건 이상의 DDoS 공격 발생...공격의 정교화, 인프라 수준, 위협 행위자 역량 전반 분석
넷스카우트(지사장 김재욱)은 3월 5일, ‘2025년 하반기 DDoS(분산 서비스 거부) 위협 인텔리전스 보고서(DDoS Threat Intelligence Report)’를 발표했다. 이 보고서는 공격자 간의 정교한 협업, 복원력이 강화된 봇넷(Botnets), 침해된 IoT 인프라가 전 세계적으로 800만 건 이상의 DDoS 공격을 유발했음을 공개했다.
이 중 일부 공격은 초당 30테라비트(Tbps)에 달하는 규모를 기록했으며, 이는 글로벌 차원의 보안 위협에 대응하고 있는 노력을 지속적으로 앞지르는 초대규모, 조직화된 위협 활동이라는 새로운 시대(New Era)를 의미한다. 한편, 유료 DDoS 공격 대행 서비스(DDoS-for-Hire Services)의 급속한 확산은 더 광범위한 위협 행위자들에게 힘을 실어주며, 디지털로 연결된 조직과 기업에 대한 운영 위험을 가중시키고 있다고 업체 측은 밝혔다.
DDoS 공격의 영향은 단순히 트래픽을 과도하게 발생시키는 수준을 넘어, 사전 정찰(Reconnaissance)과 방어를 우회하는 적응형 회피(Adaptive Evasion)까지 포함하면서 기존 보안 체계를 무력화하고 있다. 이에 따라 조직은 공격에 자동으로 대응할 수 있는 지능형(Intelligent), 자율형(Autonomous) 방어 체계를 갖춰야 하며, 그렇지 않으면 실제 서비스 중단과 같은 심각한 비즈니스 피해로 이어질 수 있다.
넷스카우트 리처드 허멜(Richard Hummel) 위협 인텔리전스 부문 디렉터는 “위협 행위자들은 정교하고 조직화된 DDoS 공격에 대응하기 위한 적절한 방어 체계를 구축하지 않은 조직을 식별하여 핵심 인프라를 공격 대상으로 삼고 있다”라고 말하며, “기존의 전통적인 보안 방어 체계는 더 이상 효과적이지 않으며, 공격 규모와 복잡성이 새로운 한계에 도달함에 따라 자동화되고 사전 예방적인 방어를 구현하는 것은 이제 단순한 기술적 문제가 아닌 비즈니스 필수 과제가 되었다”라고 강조했다.
보고서에 따르면 지난 2005년 하반기에는 전 세계 203개 국가에서 800만 건 이상의 DDoS 공격이 발생한 가운데, 멀티-벡터 공격과 IoT 기반 초대형 트래픽 공격, 핵심 인프라 표적 공격, 공격자 간 협업 확대, 지속적인 핵티비스트 활동, 그리고 AI를 활용한 공격 자동화 및 규모 확대 등으로 DDoS 위협이 더욱 고도화되고 있는 것으로 나타났다.
보고서의 주요 연구 결과는 다음과 같다.
· 글로벌 규모의 대규모 공격(Massive Attacks on a Global Scale) : 전 세계 203개 국가 및 지역에서 800만 건 이상의 공격이 식별되었다.
· 멀티-벡터 공격 지속 활용(Continued Use of Multi-Vector Attacks) : 전체 DDoS 공격의 약 42%가 두 개에서 다섯 개의 서로 다른 공격 벡터(Distinct Attack Vectors)를 동시에 사용했으며, 일부 공격은 탐지 및 대응을 어렵게 하기 위해 공격 과정 중 동적으로 변화했다.
· 광대역 및 모바일 서비스에 영향을 주는 아웃바운드 공격(Outbound Attacks Impact Broadband and Mobile Services) : 해킹된 IoT 기기나 고객 장비(Customer-Premises Equipment, CPE)가 초당 1Tbps(태라바이트)가 넘는 대량의 공격 트래픽을 외부로 발생시키는 사례가 확인됐다. 이로 인해 통신사는 서비스 장애는 물론 법적 책임과 기업 이미지 훼손 같은 위험까지 겪을 수 있다.
· 핵심 인프라 공격 지속 (Critical Infrastructure Targeted) : NTP와 DNS 같은 인터넷 핵심 서비스가 지속적으로 공격을 받고 있는 것으로 나타났다. 안정적인 서비스 운영을 위해서는 장애가 발생해도 버틸 수 있는 글로벌 분산형 네트워크 구조가 필수적인 것으로 확인됐다.
· 위협 행위자 협업 확대 (Threat Actors Scale Up Collaboration) : 2025년 7월 한 달 동안 2만 건 이상의 봇넷 공격이 발생했으며, 여러 공격 조직이 협력할 경우 기존 방어 체계가 빠르게 무력화되고 정부, 금융, 교통 등 주요 서비스까지 중단시킬 수 있는 것으로 나타났다.
· 위협 행위자의 지속성 (Threat Actor Persistence) : 국제 수사기관이 여러 DDoS 대행 공격 플랫폼을 폐쇄했음에도 불구하고, 핵티비스트 그룹과 봇넷은 여전히 활동을 이어가며 공격을 지속하고 있는 것으로 확인됐다.
· AI 활용으로 공격 속도와 규모 증가 (AI Integration Accelerates Operations and Collaboration) : 공격자들은 AI를 활용해 취약점을 더 빠르게 찾고 봇넷을 확장하고 있으며, 실제로 다크웹에서 악성 AI 도구 관련 언급이 219% 증가한 것으로 나타났다. 특히 Keymous+와 같은 공격 조직은 협력을 통해 공격 규모를 크게 확대했으며, 사용된 공격 트래픽 규모도 약 4배 증가한 것으로 확인됐다.
<저작권자(c)스마트앤컴퍼니. 무단전재-재배포금지>
