Anonymous Sudan이란?

Anonymous Sudan은 서방 기관과 정부를 대상으로 DDoS 공격을 감행한 해커 단체입니다. 이 단체의 운영 방식과 DDoS 공격으로부터 조직을 보호하는 방법을 알아보세요.

학습 목표

이 글을 읽은 후에 다음을 할 수 있습니다:

  • Anonymous Sudan의 기원에 대한 힌트를 제공하는 신호에 대한 설명
  • Anonymous Sudan이 조직을 표적으로 삼는 데 사용한 일반적인 전술 이해
  • DDoS 공격으로부터 조직을 보호하기 위해 필요한 조치를 취하기

글 링크 복사

Anonymous Sudan이란?

Anonymous Sudan은 2023년 초부터 스웨덴, 덴마크, 미국, 호주, 기타 국가의 표적에 대한 다양한 분산 서비스 거부(DDoS) 공격에 참여한 해커 단체입니다. 이 단체는 수단에 기반을 두고 있으며 소위 '반무슬림 활동'을 표적으로 삼고 있다고 주장하지만, 위협 연구자들이 러시아와의 물류 및 이데올로기적 연계 가능성이 있다고 확인하므로 이 단체의 실제 기원은 불분명합니다.

Anonymous Sudan은 대중의 관심을 끌기 위해 공개 경고와 아울러 기타 형태의 선전 수단을 사용해왔습니다. 하지만 이 단체는 DDoS 공격을 이용한 많은 단체 중 가장 최근의 사례일 뿐이며, 조직에서는 표준 DDoS 완화 모범 사례에 따라 자체를 보호할 수 있습니다.

Anonymous Sudan의 기원과 목표는?

앞서 언급했듯이 Anonymous Sudan의 기원과 동기는 아직까지 명확하지 않습니다.

이 단체는 자칭 "반무슬림 활동"을 하는 국가와 조직을 표적으로 삼는 수단의 풀뿌리 핵티비스트 그룹이라고 주장합니다. 이러한 공격의 예는 다음과 같습니다.

하지만 Anonymous Sudan은 다른 이유로 조직을 공격하기 위해 Killnet과 같은 친 러시아 공격 그룹과 협력하기도 했습니다. 이러한 활동의 예는 다음과 같습니다.

이러한 이유와 함께 Anonymous Sudan이 사용하는 언어와 공격 인프라 등의 신호로 인해 일부 위협 연구자들은 이 그룹이 러시아에서 기원했거나 러시아의 지원을 받는 것으로 추정하고 있습니다. 이 단체의 기원과 동기에 대해 자세히 알아보고자 하는 노력은 여전히 진행되고 있습니다.

참고: Anonymous Sudan에서는 오래 된 공격 그룹 Anonymous와 이름을 공유하지만, Anonymous Sudan에서는 Anonymous와 아무런 관련이 없다고 주장하고 있습니다.

Anonymous Sudan에서는 어떤 공격 전술을 사용할까요?

Anonymous Sudan에서는 주로 조직의 웹 사이트 및/또는 웹 인프라를 악성 트래픽으로 폭주시키는 DDoS 공격을 사용합니다. 적절한 보호 장치가 마련되지 않은 상태에서 DDoS 트래픽이 너무 많으면 웹 사이트에서 합법적인 요청에 응답하는 기능이 압도되어 실제 사용자가 웹 사이트에 접속할 수 없게 됩니다.

Anonymous Sudan은 2023년 초에 등장한 이후 다양한 공격 전술을 사용했습니다. 몇 가지 반복되는 패턴에는 다음이 포함됩니다.

  • HTTP 공격 시작.공격자들은 대상 인프라를 압도하도록 특별히 설계된 HTTP 트래픽을 대량으로 전송했습니다.
  • 유료 인프라 사용.연구에 따르면 다른 많은 공격 그룹과 달리 Anonymous Sudan은 감염된 개인 및 IoT 장치의 봇넷을 사용하여 공격을 수행하지 않는 것으로 나타났습니다. 오히려 이 그룹은 개인 장치보다 더 많은 트래픽을 발생시킬 수 있는 임대 서버 클러스터를 사용하여 공격을 시작했습니다. Anonymous Sudan에서 이러한 서버를 임대할 수 있는 재정적 리소스를 가지고 있다는 사실은 일부 연구자들이 Anonymous Sudan이 풀뿌리 핵티비스트가 아니라고 생각하는 또 다른 이유입니다.
  • 공개 발표 및 선전을 통해 위협을 가함. Anonymous Sudan은 실제 공격에 앞서 표적을 위협하는 경우가 많으며, 때로는 실제 공격이 이루어지지 않는 위협을 하기도 합니다. 이데올로기적 동기에 대하여 주목을 받고 잠재적 표적에 불확실성을 심는 것 등이 그 이유일 가능성이 높습니다

Anonymous Sudan이 시작한 것과 같은 DDoS 공격으로부터 조직을 보호하려면?

DDoS 완화는 웹 사이트와 웹 인프라를 DDoS 공격으로부터 보호하는 관행입니다. 조직에서는 이와 같은 모범 사례를 통해 Anonymous Sudan이 시작한 공격을 비롯한 대규모 DDoS 공격으로부터 자체를 보호할 수 있습니다.

  • 상시 가동되는 전용 DDoS 완화 기능을 사용합니다. DDoS 완화 서비스는 대용량 대역폭, 네트워크 트래픽의 지속적인 분석, 사용자 지정 가능한 정책 변경을 통해 DDoS 트래픽을 흡수하고 표적 인프라에 도달하지 못하도록 방지합니다. 조직에서는 계층 7 트래픽, 계층 3 트래픽, DNS에 대한 DDoS 방어 기능을 갖추고 있는지 확인해야 합니다
  • 웹 애플리케이션 방화벽(WAF)을 사용합니다. WAF는 사용자 지정 가능한 정책을 사용하여 웹 애플리케이션과 인터넷 간의 악의적 HTTP 트래픽을 필터링, 검사, 차단합니다
  • 레이트 리미팅을 구성합니다. 레이트 리미팅은 특정 기간 동안 네트워크 트래픽의 양을 제한하여 특정 IP 주소의 요청으로 인해 웹 서버가 과부하되는 것을 근본적으로 방지합니다
  • CDN에 콘텐츠를 캐시합니다. 캐시는 요청된 콘텐츠의 사본을 저장하여 원본 서버 대신 제공합니다. 콘텐츠 전송 네트워크(CDN)에서 리소스를 캐싱하면 DDoS 공격 시 조직의 서버에 가해지는 부담을 줄일 수 있습니다
  • 공격에 대응하기 위한 내부 프로세스를 수립합니다. 여기에는 기존 보안 보호 및 기능에 대한 이해, 불필요한 공격면 식별, 공격 패턴을 찾기 위한 로그 분석, 공격이 시작되면 어디를 살펴보고 무엇을 해야 하는지에 대한 프로세스 마련 등이 포함됩니다

DDoS 완화 전략을 자세히 알아보세요.

Cloudflare에서 도움을 드리는 방법

Cloudflare에서는 공격이 표적 앱, 네트워크, 인프라에 도달하기 전에 조직에서 공격을 모니터링, 방지, 완화할 수 있도록 지원하는 계층 3~7 DDoS 방어 기능을 제공합니다. Cloudflare에서는 안전한 앱 전송을 위한 다른 중요한 서비스와 함께 WAF도 제공합니다.

Cloudflare의 애플리케이션 및 네트워크 계층 DDoS 완화 서비스에 대해 자세히 알아보세요. 조직에서 현재 공격을 받고 있는 경우 Cloudflare의 공격을 받고 있는 페이지를 방문하여 신속한 진단과 지원을 받으세요.