유명한 DDoS 공격 | 역대 최대 DDoS 공격

분산 서비스 거부 공격(DDoS)에서는 요청으로 표적 서버를 압도하고 웹 애플리케이션을 오프라인 상태로 만들기 위해 여러 개의 장치가 사용됩니다. 가장 큰 DDoS 공격 중 일부는 대대적으로 보도되었습니다.

학습 목표

이 글을 읽은 후에 다음을 할 수 있습니다:

  • 가장 강력한 DDoS 공격 규모 설명
  • 가장 악명 높은 일부 사이버 공격의 동기 파악
  • 역사적으로 가장 중요한 DDoS 공격의 사례를 알아봅니다

관련 콘텐츠


계속 알아보시겠어요?

인터넷에서 가장 인기 있는 인사이트를 한 달에 한 번 정리하는 Cloudflare의 월간 요약본 theNET를 구독하세요!

Cloudflare가 개인 데이터를 수집하고 처리하는 방법은 Cloudflare의 개인정보 취급방침을 참조하세요.

글 링크 복사

역사상 최대 규모의 DDoS 공격은 무엇입니까?

현재까지 최대 규모의 DDoS 공격은 2017년 9월에 일어났습니다. 이 공격은 Google 서비스를 목표로 했고, 규모는 2.54Tbps에 달했습니다. Google Cloud는 2020년 10월에 이 공격이 있었다고 밝혔습니다.

공격자는 스푸핑된 패킷을 18만 개의 웹 서버로 보냈으며 이 서버들은 Google에 응답을 보냈습니다. 이 공격은 고립된 사건이 아니었습니다. 공격자들은 이전 6개월 동안 Google 인프라에 수 차례의 DDoS 공격을 감행했었습니다.

다른 유명한 DDoS 공격에는 어떠한 것이 있나요?

AWS가 보고한 2020년 2월의 공격

AWS는 2020년 2월에 대규모 DDoS 공격을 완화했다고 보고했습니다. 이 공격이 가장 심했던 순간에는 유입 트래픽이 초당 2.3테라비트(Tbps)의 속도였습니다. AWS는 이 공격이 어떤 고객을 대상으로 하는지 밝히지 않았습니다.

공격자는 하이재킹한 CLDAP(Connection-less Lightweight Directory Access Protocol) 웹 서버를 사용하였습니다. CLDAP는 사용자 디렉토리용 프로토콜로서, 이 프로토콜의 과거 버전인 LDAP를 대체한 것입니다. CLDAP는 최근 몇 년간 여러 DDoS 공격에 사용된 바 있습니다.

2018년 2월의 GitHub DDoS 공격

기록에 남아 있는 확인 가능한 최대 규모의 DDoS 공격은 수백만 명의 개발자가 사용하는 인기 있는 온라인 코드 관리 서비스인 GitHub를 표적으로 삼았습니다. 이 공격은 1.3Tbps에 달했고, 초당 1억 2,690만이라는 속도로 패킷을 전송했습니다.

GitHub 공격은 멤캐시트 DDoS 공격이었으므로 봇넷이 관련되지 않았습니다. 대신 공격자들은 멤캐시트로 알려진 인기 있는 데이터베이스 캐싱 시스템의 증폭 효과를 활용했습니다. 공격자는 스푸핑된 요청으로 멤캐시트 서버에 폭주를 일으키는 방법으로 약 50,000배까지 공격을 증폭할 수 있었습니다.

다행히 GitHub는 DDoS 방어 서비스를 이용하고 있었으며 이로 인해 공격이 시작된 후 10분 안에 자동으로 경보를 받을 수 있었습니다. 이 경보로 완화 프로세스가 실행되었고, GitHub는 신속하게 공격을 중지할 수 있었습니다. 이 대규모의 DDoS 공격은 20분만에 종결되었습니다.

2016년 Dyn 공격

또 다른 대규모 DDoS 공격은 2016년 10월에 주요 DNS 공급자인 Dyn을 목표로 한 것이었습니다. 이 공격은 엄청나게 파괴적이었으며 AirBnB, Netflix, PayPal, Visa, Amazon, 뉴욕타임스지, Reddit, GitHub를 비롯한 많은 주요 사이트를 중단시켰습니다. 이 공격은 Mirai라고 하는 맬웨어를 이용하여 이루어졌습니다. Mirai는 카메라, 스마트 TV, 라디오, 프린터, 심지어 베이비 모니터와 같은 손상된 사물 인터넷(IoT) 장치로 봇넷을 생성합니다. 이렇게 손상된 장치는 공격 트래픽을 생성하기 위해 단일 피해자에게 요청을 보내도록 모두 프로그래밍됩니다.

다행히 Dyn은 하루 만에 공격을 해결할 수 있었습니다. 하지만 공격 동기는 전혀 밝혀지지 않았습니다. 핵티비즘 그룹이 위키리크스 설립자인 Julian Assange가 에콰도르에서 인터넷 접속을 거부당한 것에 대한 대응으로 이 공격의 책임자라고 주장했지만 이 주장을 뒷받침할 증거는 없었습니다. 또한, 이 공격은 불만이 있는 게이머가 저지른 것이라는 의혹도 있습니다.

2015년 GitHub 공격

당시 사상 최대의 DDoS 공격이었던 이 공격 역시 GitHub를 표적으로 하여 발생했습니다. 정치적인 동기를 내포한 이 공격은 며칠 동안 지속되었고 DDoS 완화 구현 전략에 스스로 적응했습니다. 이 DDoS 공격은 중국에서 출발했으며, 중국의 국가 검열을 피하기 위한 목적을 가진 두 개의 GitHub 프로젝트의 url을 겨냥했습니다. 이 공격의 의도는 GitHub에 압력을 가하여 해당 프로젝트들을 제거하기 위한 것으로 추측되고 있습니다.

이 공격 트래픽은 중국에서 가장 인기 있는 검색 엔진인 바이두를 방문한 모든 사람들의 브라우저에 자바스크립트 코드를 주입하는 방식으로 만들어졌습니다. 바이두의 분석 서비스를 사용하고 있었던 다른 사이트도 악성 코드를 주입하고 있었으며 이러한 코드는 감염된 브라우저가 표적인 GitHub 페이지로 HTTP 요청을 보내도록 만들었습니다. 이 공격이 끝난 후에, 해당 악성코드는 바이두에서 시작된 것이 아니라 중개 서비스에 의해 추가되고 있었던 것으로 판단되었습니다.

2013년 Spamhaus 공격

당시로서는 사상 최대 규모였던 또 다른 공격은 스팸 이메일과 스팸 관련 활동을 방지하는 데 도움을 주는 조직인 Spamhaus를 향한 2013년 공격입니다. Spamhaus는 모든 스팸의 거의 80%를 필터링하는 책임을 지고 있으므로 스팸 이메일이 의도한 수신자에게 도달하는 것을 확인하고자 하는 사람들에게 인기 있는 표적이 됩니다.

이 공격은 Spamhaus에 300Gbps의 속도로 트래픽을 몰아 넣었습니다. 공격이 시작되자 Spamhaus는 Cloudflare에 가입했고, Cloudflare의 DDoS 방어 기능으로 이 공격을 완화했습니다. 공격자들은 Cloudflare를 가동 중지시키기 위해 특정 인터넷 익스체인지와 대역폭 공급업체를 추격하는 것으로 이에 대응했습니다. 이 공격은 목표를 달성하지 못했지만, 런던 인터넷 익스체인지(LINX)에 큰 문제를 가져왔습니다. 이 공격의 주범은 이 DDoS 공격 개시로 돈을 받은 영국의 10대 해커청부업자인 것으로 판명되었습니다.

이 공격 및 관련 완화 방법은 Cloudflare 블로그에서 자세히 알아보세요.

2000년 Mafiaboy 공격

2000년 ‘마피아보이’로 알려진 15세 해커가 그 당시 가장 인기 있는 검색 엔진이었던 CNN, Dell, E-Trade, eBay, Yahoo를 비롯한 여러 주요 웹 사이트를 가동 중지시켰습니다. 이 공격으로 인해 주식 시장에 혼란을 초래하는 등 엄청난 결과가 초래되었습니다.

나중에 Michael Calce라는 이름의 고교생으로 밝혀진 마피아보이는 여러 대학교의 네트워크를 해킹하고 이러한 대학교의 서버를 활용해 DDoS 공격을 수행하는 방법으로 이 공격을 조율했습니다. 이러한 공격의 직접적인 여파로 인해 오늘날의 많은 사이버 범죄 법률이 제정되었습니다.

2007년 에스토니아 공격

2007년 4월, 에스토니아는 정부 서비스뿐만 아니라 금융 기관과 매스컴을 표적으로 하는 대규모 DDoS 공격을 받았습니다. 그 당시 에스토니아 정부는 온라인 정부의 얼리 어답터였으며 사실상 종이를 사용하지 않았고, 심지어 전국적인 선거도 온라인으로 실시했기 때문에 이 공격은 참담한 결과를 낳았습니다.

많은 사람들이 사이버 전쟁의 첫 번째 행위로 간주하는 이 공격은 제2차 세계 대전 기념물인 ‘Bronze Soldier of Tallinn’의 이전과 관련하여 러시아와 빚어진 정치적 갈등에 대한 대응으로 발생한 것이었습니다. 러시아 정부가 개입했다는 의혹을 받고 있으며 그 결과 러시아에서 온 에스토니아 국민이 체포되었지만, 러시아 정부는 에스토니아 사법당국이 러시아에서 어떠한 추가 조사도 실시하지 못하게 했습니다. 이 사건으로 인해 사이버 전쟁 관련 국제법이 마련되었습니다.

DDoS 방어 서비스 공급자가 이러한 규모의 공격을 완화할 수 있습니까?

답은 네트워크 용량에 달려 있습니다. 즉, 서비스를 계속 제공하면서 문제의 DDoS 공격으로 인한 트래픽 양을 흡수할 수 있는가 하는 것입니다. 현재는 많은 DDoS 방어 및 완화 공급자들이 그렇게 하기에 충분한 네트워크 용량을 갖고 있습니다.

Cloudflare에서 완화한 가장 큰 DDoS 공격은 1.2 Tbps였지만, Cloudflare는 296 Tbps의 네트워크 용량을 갖추고 있으며 이는 기록된 가장 큰 규모의 DDoS 공격보다 훨씬 큽니다. Cloudflare에서는 패킷 속도 및 HTTP 요청 속도가 매우 빠른 DDoS 공격도 완화한 바 있습니다. 2020년 6월, Cloudflare에서는 754Mpps(초당 백만 패킷)의 DDoS 공격을 완화했습니다. 그리고 2021년 8월, Cloudflare에서는 17.2Rpps(초당 백만 요청)의 DDoS 공격을 완화했습니다.

대다수의 DDoS 공격은 이 글에서 설명한 공격만큼 크지 않다는 점을 명심해야 합니다. Cloudflare의 연구 결과 대부분의 DDoS 공격은 10Gbps 초과하지 않습니다. 하지만, DDoS 완화 기능을 갖추고 있지 않다면, 이러한 작은 DDoS 공격만으로도 웹 사이트와 응용 프로그램이 오랜 시간 동안 오프라인 상태로 될 수 있습니다.