넷스카우트, 디도스 공격 상반기 세계서 800만건 이상 발생

글로벌 보안기업 넷스카우트(한국지사장 김재욱)는 2025년 상반기에 넷스카우트가 탐지한 디도스(DDoS) 공격 지형(Attack Landscape) 분석 리포트를 12일 발표했다.

넷스카우트는 2025년 상반기 동안 전 세계에서 800만 건 이상의 디도스 공격을 모니터링했으며, 이 중 320만 건 이상이 EMEA(유럽·중동·아프리카) 지역에서 발생했다고 밝혔다. 디도스 공격은 이제 지정학적 영향력을 행사할 수 있는 정밀 유도형 무기(Precision-Guided Weapons)로 발전, 핵심 주요 인프라(Critical Infrastructure)를 불안정하게 만들고 있다고 짚었다.

분석 리포트에 따르면, ‘노네임057(16)(NoName057(16))’과 같은 해커 그룹은 매달 수백 건의 조직적 공격을 수행하며 통신, 교통, 에너지, 국방 분야를 표적으로 삼았다. 유료 DDoS(DDoS-for-Hire) 서비스는 공격 도구를 대중화시켜, 초보 공격자도 정교한 공격 캠페인을 수행할 수 있게 했다.

AI 기반 자동화(AI-Enhanced Automation), 다중 벡터 공격(Multi-Vector Attacks), 무차별 폭격(Carpet Bombing) 기법은 기존 방어 체계를 위협한다. 봇넷(Botnet)은 수만 대의 IoT 기기, 서버, 라우터를 감염시켜 장시간 공격을 수행하고, 심각한 혼란을 초래했다. 각각의 요소만으로도 충분히 위험하지만, 이들이 결합해 전례 없는 사이버 리스크를 전 세계 조직과 서비스 제공업체 네트워크에 가중시키고 있다.

리포터의 주요 내용은 다음과 같다

▲전 세계 공격량 급증(Massive Global Attack Volume): 넷스카우트는 2025년 상반기 동안 네덜란드에서 발생한 3.12Tbps 공격과 미국에서 발생한 1.5Gpps 공격을 포함해 초당 1테라비트(Tbps)를 초과하는 대규모 공격 50건 이상과 초당 기가패킷(Gpps) 단위의 다수 공격을 탐지해 확인했다.

▲지정학적 사건이 초래한 전례 없는 DDoS 공격 증가(Geopolitical Events Triggered DDoS): 인도-파키스탄 갈등(2025년 5월)에서는 핵티비스트 그룹이 인도 정부 및 금융 부문을 공격했으며, 이란-이스라엘 갈등(2025년 6월)에서는 이란에 1만5000건 이상, 이스라엘에 279건의 공격이 발생했다.

▲봇넷 기반 공격 고도화(Botnet-Driven Attacks) : 2025년 3월 하루 평균 880건 이상의 봇넷 기반 DDoS(디도스) 공격이 발생했으며, 최대 1600건까지 급증했다. 공격 지속 시간도 평균 18분으로 증가했다.

▲신규 위협 행위자 등장(New Threat Actors): 유료로 제공하는 DDoS 공격 인프라를 활용한 DieNet은 3월 이후 60건 이상의 공격을 주도했으며, Keymous+는 23개국 28개 산업 분야에 걸쳐 73건의 공격을 실행했다.

▲NoName057(16)의 지배력 유지(Maintained Dominance) :이 그룹은 3월 한 달에만 475건 이상의 공격을 주장했으며, 이는 두 번째로 활발한 그룹보다 337% 많은 수치다. 이들은 스페인, 대만, 우크라이나의 정부 웹사이트를 표적으로 삼아 집중적으로 겨냥했다.