분산 서비스 거부(DDoS) 랜섬 공격의 악의적 공격자들은 목표 웹 자산 또는 네트워크를 중단시키겠다고 협박함으로써 돈을 탈취하려고 합니다.
이 글을 읽은 후에 다음을 할 수 있습니다:
관련 콘텐츠
인터넷에서 가장 인기 있는 인사이트를 한 달에 한 번 정리하는 Cloudflare의 월간 요약본 theNET를 구독하세요!
글 링크 복사
랜섬 분산 서비스 거부(RDDoS) 랜섬 공격의 악의적 공격자들은 분산 서비스 거부(DDoS) 공격으로 표적의 웹 자산 또는 네트워크를 중단시키겠다고 협박함으로써 해당 개인 또는 조직에게서 돈을 탈취하려고 합니다. 문제의 악의적 공격자들은 DDoS 공격을 자행한 후 공격을 중단하려면 몸값을 내라는 랜섬 메시지를 보내거나 먼저 DDoS 공격을 하겠다고 협박하는 랜섬 메시지를 먼저 보내기도 합니다. 두 번째의 경우에는 공격자가 실제로 공격을 수행할 역량이 없을 수도 있지만, 그렇다고 이러한 협박이 거짓이라고 가정하는 것은 현명하지 않습니다.
DDoS 랜섬 공격에 대한 가장 좋은 방어책은 강력한 DDoS 완화 서비스입니다. 위협을 하는 사람 또는 집단에게 몸값을 지불하는 것은 좋지 않습니다.
DDoS 공격은 합법적인 사용자가 서비스를 받을 수 없도록 애플리케이션, 웹 사이트, 네트워크 등의 자원을 소진하려고 시도하는 것입니다. DDoS 공격에서는 고속도로의 정체 현상처럼 쓰레기 네트워크 트래픽을 폭주시킵니다. 단일 출발지에서 오는 서비스 거부(DoS) 공격과 달리, DDoS 공격은 다양한 출발지(종종 스푸핑된 출발지)에서 트래픽을 보내 차단을 어렵게 한다는 점에서 "분산" 공격입니다.
DDoS 공격자들은 다수의 네트워크 프로토콜을 이용합니다. 다양한 DDoS 공격 유형 알아보기.
DDoS 공격은 조직의 운영에 중대한 영향을 미칠 수 있습니다. 가동 중단이 매출 상실로 이어지는 경우도 많습니다. 오랜 시간 동안 오프라인 상태로 있게 되면, 기업의 신뢰도에도 영향이 있습니다.
DDoS 랜섬 공격은 공격자가 대상 사업체 또는 조직을 협박하는 랜섬 메시지를 공격 대상에게 보내면서 시작하는 경우가 많습니다. 경우에 따라, 공격자는 랜섬 메시지를 전송하기 전에 심각성을 알릴 수 있게 소규모 공격을 수행할 수도 있습니다. 이러한 협박이 실제적인 것이며 공격자가 실제로 이를 실행하겠다고 마음먹으면 다음과 같이 공격이 이루어집니다.
1. 공격자가 공격 트래픽을 공격 대상에 보내기 시작합니다. 이는 자체적인 봇넷을 이용한 것일 수도 있고 공격 수행을 위해 고용한 DDoS 서비스일 수도 있습니다. 여러 명의 개인이 DDoS 도구를 이용해 함께 공격 트래픽을 생성하기도 합니다. 공격 트래픽은 OSI 모델의 계층 3, 4, 7을 대상으로 할 수 있습니다.
2. 공격 대상 애플리케이션이나 서비스가 공격 트래픽에 압도되어 매우 느려지거나 완전히 중단됩니다.
3. 공격자의 자원이 소진되거나 공격자가 다른 이유로 공격을 중단하거나 공격 대상이 공격을 완화할 수 있게 될 때까지 공격은 계속됩니다. 완화 방법에는 속도 제한, IP 차단, 블랙홀 라우팅, DDoS 방어 서비스 등이 있으며 고도로 분산화된 공격에는 처음 세 가지 방법을 적용하기 어렵습니다.
4. 공격자는 몸값 지불 요구를 다시 보내거나 후속 공격을 자행하며 둘 다 하는 경우도 있습니다.
DDoS 랜섬 메시지는 악의적인 공격자가 사업체에 돈을 요구하면서 요구를 받아들이지 않으면 DDoS 공격을 자행하겠다는 내용의 메시지를 말합니다. 이들은 이메일로 보내는 경우가 많습니다. 공격자가 다수의 메시지를 보내는 경우도 있으며 이 경우 메시지마다 구체적인 협박 또는 요구 사항에 대한 세부 내용을 포함시킵니다.
DDoS 랜섬 메시지의 협박에는 몇 가지 형태가 있습니다.
협박의 위험성을 강화하기 위해 특정 규모와 지속 시간의 DDoS 공격을 자행할 역량이 있다고 주장하기도 합니다. 이러한 주장이 꼭 맞는 것은 아닙니다. 누군가 자신에게 3Tbps의 공격을 24시간 동안 자행할 역량이 있다고 주장한다고 해도 그러한 자원을 실제로 갖고 있지 않은 경우도 있습니다.
공격자는 자신의 위협에 신뢰성을 더하기 위해 Fancy Bear, Cozy Bear, Lazarus Group, Armada Collective 등의 잘 알려진 "해커"그룹과 제휴하고 있다고 주장할 수 있습니다. 이러한 주장은 사실일 수 있지만, 확인하기는 어렵습니다. 공격자 측의 허풍이거나 모방 시도일 수 있습니다.
랜섬 메시지는 특정한 형태로 지불을 요구합니다. 비트코인으로 지불하라고 요청하는 경우가 많지만, 다른 암호화폐나 달러, 유로 등의 통화를 요구하기도 합니다. 대부분의 경우, 특정 시점이 되면 금액을 지정하고 지불 방법에 대한 지침을 줍니다.
마지막으로, 요구에 긴급성을 부여하고 대상 피해자가 준수할 가능성을 높이려고 랜섬 메모에는 위협적인 공격이 시작되기 전에 또는 현재 공격이 종료되기 위해 몸값을 전달을 위한 엄격한 기한이 지정될 수 있습니다. 일부 공격자는 필요한 지불 금액이 정해진 기한을 지나면 매시간 또는 매일 늘어날 거라고 덧붙이기도 합니다.
아닙니다. 몸값을 지불하는 것은 범죄자에게 돈을 주는 것이기도 하지만, 그렇게 한다고 공격자의 행위가 중단된다는 보장도 없습니다. 반대로, 몸값을 지불하는 조직은 점점 만만한 공격 대상이 됩니다. 공격자의 요구를 수용할 용의가 있다는 것이 입증되었으므로 미래의 요구도 수용할 가능성이 커지는 것입니다.
게다가 공격자들이 돈을 받게 되면 이 자금을 활용하여 미래의 공격을 위한 역량을 확대할 수 있게 됩니다.
마지막으로 위협 자체가 실제적이지 않을 가능성도 있는데, 이런 경우라면, 그냥 돈을 날린 것입니다.
DDoS 랜섬 요구를 받게 되면 이를 적절한 사법기관에 신고하고 실제로 공격이 발생할 경우에 대비해 보호 장치를 갖추어야 합니다. Cloudflare DDoS 방어는 어떠한 규모의 DDoS 공격도 막아낼 수 있는 서비스의 한 예입니다.
보안에 대한 모든 위협은 진지하게 받아들여야 합니다. 그헐지만 모든 DDoS 랜섬 위협이 실제적인 것은 아닙니다. 짧은 이메일을 작성하고 보내는 것은 매우 쉬운 일입니다. 대규모 DDoS 공격을 자행하기 위해 손상된 장치들로 구성된 대규모 네트워크(봇넷이라고 함)을 유지하고 관리하고 활성화하기 위한 자원은 훨씬 크기 때문입니다.
그렇긴 해도 다크웹에는 청부 DDoS 서비스가 많이 있으며 공격자는 이들과 계약하여 공격을 자행할 수도 있습니다. 공격자가 이렇게 하려면 돈이 많이 필요한데 이 돈은 DDoS 랜섬 위협을 통해 구할 수도 있습니다.
랜섬 DDoS 공격은 숫자 게임인 경우가 많습니다. 몸값을 요구하는 공격자에게 실제 공격을 자행할 역량이 있는지 여부를 떠나 이들은 공격 대상 중 소수라도 몸값을 지불하기를 바라는 것입니다.
위협의 실제적 가능성을 평가하려 하기보다는 어떠한 경우에도 웹 자산 또는 네트워크를 온라인으로 유지할 수 있는 DDoS 방어 서비스를 이용하는 것이 가장 안전한 방법입니다.
무료 요금제 고객을 포함한 Cloudflare의 모든 고객은 매우 규모가 큰 DDoS 공격도 완화할 수 있는 DDoS 방어 서비스를 이용할 수 있습니다. 또한, Cloudflare Magic Transit을 이용하는 기업 요금제 고객은 계층 3 DDoS 공격으로부터 네트워크 인프라를 보호할 수 있습니다. Cloudflare 네트워크의 용량은 296 Tbps로 이는 역사상 최대 규모의 DDoS 공격보다 몇 배 더 큽니다. 보안 위협은 모두 기록하고 모니터링해야 하지만, 이러한 수준의 Cloudflare 방어 서비스를 이용하는 고객은 DDoS 랜섬 메시지나 기타 DDoS 관련 위협을 걱정하지 않아도 됩니다.
랜섬 메시지를 받은 적인 있다면, Cloudflare에 연락하시기 바랍니다.
랜섬웨어 공격도 온라인에서 금전을 탈취하기 위해 널리 쓰이는 방법입니다. 랜섬웨어는 조직의 시스템 및 데이터베이스를 암호화해, 쓸 수 없게 만드는 악의적 소프트웨어를 말합니다. 암호화가 완료되면 이를 풀어주는 대가로 공격자가 조직에 돈을 요구하는 것입니다. 랜섬웨어는 어떤 방식으로든 시업체의 내부 시스템 또는 네트워크에 들어와야 합니다. 피싱 공격과 결합한 악의적 이메일 첨부파일이 가장 널리 쓰이는 위협 벡터입니다.
DDoS 랜섬 공격은 랜섬웨어와 달리, 회사의 시스템을 암호화하지 않으며 단지 시스템을 중단하는 것이 목표입니다. 또한, 공격자가 공격을 수행하기 위해 회사 내부 시스템에 액세스할 필요도 없습니다. 하지만, 충분히 강력한 DDoS 방어 기능을 갖춘다면 DDoS 랜섬 공격은 회사 기능에 거의 영향이 없을 것입니다.