디도스(DDoS) 공격이 특정 산업·국가를 넘어 글로벌 인터넷 인프라 전반으로 퍼졌다는 조사 결과가 나왔다.
16일 클라우드플레어가 공개한 '2025년 2분기 디도스 위협 보고서'에 따르면 올해 디도스 공격 범위가 이같이 확대된 것으로 나타났다. 해당 보고서는 자체 네트워크 기반 분석으로 작성됐다.
보고서는 지난 6월 한 달 동안 전체 디도스 공격의 38%가 집중됐다고 밝혔다. 당시 LGBTQ 프라이드 행사를 보도한 동유럽 뉴스 매체가 대규모 공격을 받은 사례도 소개됐다.
클라우드플레어가 이번 분기 자동 차단한 최대 공격은 초당 7.3테라비트(Tb)에 달했으며, 이는 역대 최고 규모인 것으로 전해졌다. 전체적으로는 하루 평균 71건, 총 6천500건의 초대형 볼류메트릭 디도스 공격이 차단됐고 HTTP 디도스 공격은 전년 대비 129% 증가했다.
L3·L4 계층 공격은 전 분기보다 81% 감소한 것으로 나타났다. 반면 디도스 공격은 전년 동기 대비 44% 늘었다. 특히 대규모 볼류메트릭 공격 중 초당 1억 패킷을 넘는 공격은 전 분기 대비 592% 급증했으며, 1Tbps를 초과한 공격도 두 배 이상 증가했다.
산업별로는 통신, 서비스 제공자, 통신사가 가장 많은 공격을 받았다. 인터넷, 정보기술, 게임 산업이 그 뒤를 이었다. 농업 산업은 8계단 상승해 8위에 오르며 새로운 위협 산업으로 부상했다.
국가별로는 중국, 브라질, 독일 순으로 공격이 집중됐다. 한국은 5위를 기록해 전분기보다 4단계 상승했다. 러시아와 아제르바이잔은 각각 40단계, 31단계 급등해 위협 행위자 혹은 표적으로서의 변화를 보였다.
공격의 주요 출처로는 인도네시아, 싱가포르, 홍콩이 상위권을 차지했고, 러시아와 에콰도르도 급상승했다. 클라우드플레어는 이런 순위가 실제 공격자의 위치가 아닌 봇넷 노드나 프록시 위치를 반영한 것이라고 설명했다.
HTTP 디도스 공격의 상위 출처 네트워크는 오스트리아의 드라이, 미국의 디지털오션, 독일의 헷츠너 순이었다. 이 중 8곳은 클라우드나 가상머신(VM) 기반 서비스를 제공하고 있어 VM 기반 봇넷 확산이 주요 요인으로 지목됐다.
L3·L4 공격 벡터는 도메인 이름 시스템(DNS), 동기화 신호(SYN), 사용자 데이터그램 프로토콜(UDP) 순으로 많이 사용됐다. 이들 공격은 대부분 폭주 트래픽을 유발해 서버를 과부하 상태로 몰아간다. 특히 DNS 폭주는 L3·L4 전체 공격의 3분의 1을 차지했다.
이 외에도 보고서는 티월즈(Teeworlds), RIPv1, 원격 데스크톱 프로토콜(RDP), 디몬봇(DemonBot), VxWorks 등 오래되거나 비표준 프로토콜을 악용한 새로운 위협도 빠르게 증가하고 있다고 밝혔다. 특히 티월즈 기반 공격은 전 분기 대비 385% 급증했다.
클라우드플레어는 공격의 94%는 500Mbps 이하였지만 소규모 공격이라도 보호되지 않은 서버에는 심각한 영향을 줄 수 있다고 밝혔다. 특히 HTTP 디도스의 6%는 1Mrps를 넘었고 L3·L4의 0.05%는 1Tbps를 초과했다.
관련기사
- [SW키트] "AI도 돈 내고 긁어"…클라우드플레어의 'AI 크롤링 유료화' 뜰까2025.07.07
- "창작자 수익 보호"…클라우드플레어, AI 크롤러 웹사이트 접근 유료화2025.07.02
- 클라우드플레어, 실시간 로그 분석·포랜식 통합 솔루션 공개2025.06.29
- "클로드로 업무 대체"…클라우드플레어, 기업용 AI 연결 인프라 확대2025.05.07
공격 지속 시간은 대부분 짧았으며, 세계 최대 규모로 기록된 7.3Tbps 공격도 단 45초 동안 발생한 것으로 나타났다. 이런 짧고 강한 공격은 탐지를 회피하고 방어망이 작동하기 전 혼란을 극대화하기 위한 전략으로 분석된다.
클라우드플레어는 "디도스 방어는 더 이상 옵션이 아닌 필수"라며 "지속적이고 자동화된 실시간 대응만이 이러한 고속·고강도 공격에 효과적으로 맞설 수 있다"고 밝혔다.
