한국정보기술진흥원
한국정보기술신문
thumbnail

정보보안 ·

마이크로소프트 Azure, 역대 최대 15.7 Tbps DDoS 공격 막아내...Aisuru 봇넷이 50만 IP 동원한 사이버 공격

발행일
읽는 시간3분 9초

클라우드 사상 최대 규모 공격, Azure 보호 시스템이 실시간 자동 차단 성공

[한국정보기술신문] 마이크로소프트가 지난 10월 24일 자사 클라우드 서비스인 Azure에 대한 역대 최대 규모의 분산 서비스 거부 공격을 성공적으로 방어했다고 11월 17일 밝혔다. 이번 공격은 초당 15.72테라비트의 트래픽을 발생시켰으며, 이는 클라우드 환경에서 기록된 가장 큰 규모의 DDoS 공격으로 확인됐다.

마이크로소프트 Azure 보안 팀의 션 웨일런 선임 제품 마케팅 매니저는 공식 블로그를 통해 공격이 Aisuru 봇넷으로부터 발생했으며, 전 세계 다양한 지역에서 50만 개 이상의 IP 주소를 동원한 다중 벡터 공격이었다고 설명했다. 공격은 호주에 위치한 특정 공용 IP 주소를 표적으로 삼았으며, 초당 약 36.4억 개의 패킷을 생성하는 초고속 UDP 플러드 공격 형태로 진행됐다.

Turbo Mirai 계열 IoT 봇넷의 위협

Aisuru는 2024년 8월 처음 등장한 이후 지속적으로 기록을 경신하고 있는 Turbo Mirai 계열의 IoT 봇넷이다. 이 봇넷은 주로 미국과 여러 국가의 주거용 인터넷 서비스 제공업체에서 가정용 라우터와 보안 카메라 등 보안이 취약한 IoT 기기를 감염시켜 운영된다.

보안 업체 Qi'anxin의 XLab 연구팀에 따르면, Aisuru는 지난 4월 TotoLink 라우터 펌웨어 업데이트 서버를 해킹해 약 10만 대의 기기를 추가로 감염시키며 급격히 세력을 확장했다. 현재 이 봇넷은 약 30만 대 이상의 감염된 기기를 제어하고 있는 것으로 추정되며, IP 카메라, DVR, NVR, Realtek 칩, T-Mobile, Zyxel, D-Link, Linksys 등의 라우터 취약점을 적극 공략하고 있다.

클라우드플레어도 22.2 Tbps 공격 경험

Aisuru 봇넷의 공격 능력은 이번이 처음이 아니다. 지난 9월 클라우드플레어는 이 봇넷으로부터 22.2 Tbps에 달하는 DDoS 공격을 받았으며, 이는 초당 106억 개의 패킷을 발생시키는 규모였다. 당시 공격은 현재까지 기록된 최대 규모의 DDoS 공격으로 남아 있다.

네트워크 보안 업체 넷스카우트의 수석 엔지니어 롤랜드 도빈스는 지난 10월 Aisuru 운영자들이 공격 능력을 20 Tbps 이상으로 확대했다고 밝혔다. 이는 가정용 광케이블 인터넷 속도의 향상과 IoT 기기의 성능 개선이 공격 규모 확대에 기여하고 있음을 보여준다.

Azure DDoS Protection의 자동 대응 성공

이번 공격에서 주목할 점은 Azure DDoS Protection 시스템이 공격을 자동으로 감지하고 실시간으로 차단했다는 것이다. 마이크로소프트는 전 세계에 분산된 보안 센터를 통해 악성 트래픽을 걸러내고 정상적인 패킷만 목적지로 전달하는 방식으로 대응했다.

웨일런 매니저는 이번 공격의 UDP 플러드가 소스 IP 위조를 최소화하고 무작위 소스 포트를 사용했지만, 이것이 오히려 역추적을 단순화하고 공격자 제재를 용이하게 했다고 설명했다. Azure의 기계 학습 알고리즘은 이상 트래픽 패턴을 실시간으로 식별했으며, 공격이 진행되는 약 10분간 어떤 고객 서비스도 중단되지 않았다.

DDoS 서비스화와 다목적 악용

Aisuru 봇넷은 단순한 DDoS 공격 도구를 넘어 DDoS 임대 서비스로 운영되고 있는 것으로 파악된다. 보안 전문가들에 따르면, 이 봇넷은 정부, 법 집행 기관, 군사 시설 등 국가 안보 관련 자산에 대한 공격은 의도적으로 피하는 것으로 알려졌으나, 이는 범죄 조직의 주장일 뿐 신뢰하기 어렵다는 지적이 나온다.

더욱 우려스러운 점은 Aisuru가 DDoS 공격 외에도 자격 증명 스터핑, 인공지능 기반 웹 스크래핑, 스팸, 피싱 등 다양한 불법 활동에 활용되고 있다는 것이다. 봇넷은 RC4 기반 암호화, 가상화 방지 검사, 시스템 바이너리 위장 등 고급 기술을 통해 분석을 회피하고 감염 기기에 지속적으로 상주한다.

클라우드플레어 순위 조작 시도도 포착

지난 11월 초에는 클라우드플레어가 Aisuru와 연관된 여러 도메인을 공개 순위에서 삭제했다. 이들 도메인이 클라우드플레어의 DNS 서비스에 대량의 악성 쿼리 트래픽을 발생시켜 아마존, 마이크로소프트, 구글 등 정상적인 사이트를 제치고 최상위 도메인 순위에 오르는 현상이 발견됐기 때문이다.

클라우드플레어 CEO 매튜 프린스는 봇넷의 이러한 행위가 순위 시스템을 심각하게 왜곡했다고 확인하며, 향후 의심스러운 악성 도메인을 수정하거나 완전히 숨기는 조치를 취할 것이라고 밝혔다.

연말 시즌 대비 보안 강화 필요

마이크로소프트는 연말 시즌이 역사적으로 DDoS 공격의 고위험 기간이라는 점을 강조하며, 모든 인터넷 연결 애플리케이션과 워크로드에 대한 적절한 DDoS 보호 조치를 확인할 것을 권고했다. 공격자들이 인터넷 자체와 함께 확장하고 있으며, 가정용 광케이블의 속도 향상과 IoT 기기의 성능 개선이 공격 규모의 기준치를 계속 끌어올리고 있다는 것이다.

클라우드플레어의 2025년 2분기 DDoS 보고서에 따르면, 전년 동기 대비 40퍼센트 이상의 공격 증가세가 관찰됐다. 2024년 한 해 동안 클라우드플레어는 고객을 대상으로 한 2,130만 건의 DDoS 공격과 자체 인프라를 겨냥한 660만 건의 공격을 차단했다.

보안 전문가들은 가정 사용자들도 라우터 펌웨어를 최신 상태로 유지하고, 기본 관리자 자격 증명을 변경하며, 불필요한 WAN 접근과 UPnP를 비활성화하고, 지원이 종료된 장비를 교체함으로써 봇넷 감염으로부터 기기를 보호할 수 있다고 조언한다.

한국정보기술신문 정보보안분과 안서진 기자 news@kitpa.org