[그래픽] 이은현
해킹 일러스트

디도스(DDoS·분산 서비스 거부) 공격이 산업·국가를 가리지 않고 글로벌 인터넷 인프라 전반으로 확산되고 있으며, 한국이 세계에서 다섯 번째로 많은 피해를 입은 것으로 나타났다. 초당 7.3테라비트(Tbps)에 달하는 역대 최대 규모 공격이 발생하는 등 디도스 위협의 강도와 빈도 모두 증가세를 보였다.

클라우드플레어는 16일 공개한 ’2025년 2분기 디도스 위협 보고서’에서 지난 6월 한 달간 전체 디도스 공격의 38%가 집중됐다고 밝혔다. 이 기간 동안 동유럽의 한 뉴스 매체는 LGBTQ 프라이드 행사 보도 이후 대규모 공격을 받기도 했다.

이번 분기 클라우드플레어가 자동 차단한 최대 공격 규모는 초당 7.3Tbps로, 역대 최고치를 기록했다. 하루 평균 71건, 총 6천500건의 초대형 볼류메트릭 공격이 차단됐고, HTTP 디도스 공격은 전년 대비 129% 증가한 것으로 나타났다.

반면 L3·L4 계층 공격은 전 분기 대비 81% 감소했지만, 전체 디도스 공격은 전년 동기 대비 44% 늘었다. 특히 초당 1억 패킷 이상을 쏟아붓는 초대형 볼류메트릭 공격은 전 분기보다 592% 증가했으며, 1Tbps를 초과한 공격도 두 배 이상 늘었다.

가장 많은 공격을 받은 산업군은 통신, 서비스 제공자, 통신사 순이었다. 인터넷, 정보기술, 게임 산업이 그 뒤를 이었으며, 농업 산업은 전 분기 대비 8계단 상승한 8위에 오르며 새로운 타깃으로 떠올랐다.

국가별로는 중국, 브라질, 독일 순으로 공격이 집중됐으며, 한국은 5위를 기록해 전 분기보다 4계단 상승했다. 러시아와 아제르바이잔은 각각 40단계, 31단계 급등해 위협 행위자 혹은 공격 대상국으로 변화한 양상을 보였다.

공격 발신지로는 인도네시아, 싱가포르, 홍콩이 상위권을 차지했고, 러시아와 에콰도르는 순위가 급상승했다. 클라우드플레어는 해당 통계가 실제 공격자의 물리적 위치가 아닌 봇넷 노드나 프록시 서버의 위치를 반영한 것이라고 설명했다.

HTTP 디도스 공격의 주요 발신 네트워크는 오스트리아 드라이, 미국 디지털오션, 독일 헷츠너 순이었다. 이 중 다수는 클라우드나 가상머신(VM) 기반 서비스 제공업체로, VM 기반 봇넷의 확산이 디도스 공격 증가의 주요 원인으로 지목됐다.

L3·L4 계층 공격에서는 DNS(도메인 이름 시스템), SYN(동기화 신호), UDP(사용자 데이터그램 프로토콜)가 주요 벡터로 활용됐다. 특히 DNS 기반 공격은 전체 L3·L4 공격의 약 3분의 1을 차지했다.

보고서는 이외에도 Teeworlds, RIPv1, RDP(원격 데스크톱 프로토콜), DemonBot, VxWorks 등 오래되거나 비표준 프로토콜을 악용한 새로운 유형의 공격이 빠르게 증가하고 있다고 밝혔다. Teeworlds 기반 공격은 전 분기 대비 385% 급증했다.

보고서에 따르면 전체 디도스 공격의 94%는 500Mbps 이하의 소규모였지만, 보호되지 않은 서버에는 큰 영향을 미칠 수 있다고 경고했다. HTTP 디도스의 6%는 초당 100만 요청을, L3·L4 공격의 0.05%는 1Tbps를 초과했다.

공격 지속 시간은 대부분 짧았으며, 최고 규모로 기록된 7.3Tbps 공격도 단 45초간 이어졌다. 클라우드플레어는 이같은 ‘짧고 강한’ 공격이 탐지를 회피하고 방어 체계가 작동되기 전에 혼란을 극대화하기 위한 전략이라고 분석했다.

클라우드플레어는 “디도스 방어는 이제 선택이 아닌 필수”라며 “지속적이고 자동화된 실시간 대응 체계만이 이런 고강도·고속 공격에 효과적으로 대응할 수 있다”고 강조했다.