Akamai 인터넷 현황 보안 보고서

2016년 2분기 Executive Review

2 보고서 전문 다운로드: www.akamai.com/StateOfTheInternet

[인터넷 현황 보안 보고서] / 2016년 2분기 Executive Review

Akamai 인터넷 현황 보고서란? / 전세계 콘텐츠 전

송 네트워크(CDN) 분야를 이끌고 있는 Akamai는 전

세계적으로 분산된 Akamai Intelligent PlatformTM

을 통해 매일 수조 건의 인터넷 트랜잭션을 처리합

니다. Akamai는 이 과정에서 광대역 접속, 클라우

드 보안, 미디어 전송 등의 지표에 관한 방대한 양의

데이터를 수집합니다. 정부와 기업이 인터넷 현황

보고서에 포함된 데이터를 적극 활용하면 보다 현

명하고 전략적인 의사결정을 내리는 데 도움을 받

을 수 있습니다. Akamai는 매 분기마다 수집된 데

이터를 활용해 광대역 접속 속도 및 클라우드 보안

에 대해 중점적으로 다루는 인터넷 현황 보고서를

발행합니다.

3 보고서 전문 다운로드: www.akamai.com/StateOfTheInternet

[인터넷 현황 보안 보고서] / 2016년 2분기 Executive Review

클라우드 보안

DDoS 공격 [2016년 2분기 vs 2015년 2분기]

총 DDoS 공격 건수 129% 증가

인프라 레이어(레이어 3 및 4) 공격 151% 증가

NTP 반사 공격 276% 증가(역대 최고치 기록)

UDP Flood 공격 70% 증가

웹 애플리케이션 공격 [2016년 2분기 vs. 2016년 1분기]

총 웹 애플리케이션 공격 건수 14% 증가

브라질에서 발생한 공격 197% 증가 (새로운 최다 공격 발생 국가)

미국에서 발생한 공격 13% 감소 (이전 최다 공격 발생 국가)

SQLi 공격 건수 7% 증가

최대 규모의 공격

고객당 평균 공격 건수

2016년 2분기

272016년 1분기

29

2016년 2분기

2016년 1분기

2015년 2분기

363Gbps

289Gbps

249Gbps

2015년 4분기

24

클라우드 보안 / 2016년 2분기 인터넷 현황 보안 보고서는 DDoS 스크러빙

센터와 Akamai Intelligent PlatformTM에서 수집된 웹 애플리케이션 및 DDoS

공격 관련 데이터를 통합해 작성되었습니다.

DDOS 업데이트 / DDoS 스크러빙 센터에서 확인된 공격 활동은 지속적으

로 증가세를 보였습니다. DDoS 공격 총 발생 건수는 전년 동기 대비 2배 이상

증가하며 다시 한 번 신기록을 경신했습니다. 반면, 평균 공격 규모는 36%

감소한 3.85Gbps를 기록했는데 이는 Akamai가 통계를 집계하기 시작한

이후 가장 낮은 수치입니다. 공격 규모의 감소와 더불어 여러 공격 기법을

동시에 사용하는 멀티벡터 공격 역시 10% 줄어들었습니다. 평균 공격 규모가

줄어들기는 했지만, 자체적으로 공격을 막아낼 수 있는 기업은 거의 없었습

니다.

4 보고서 전문 다운로드: www.akamai.com/StateOfTheInternet

[인터넷 현황 보안 보고서] / 2016년 2분기 Executive Review

이번 분기에는 패킷 전송률이 높은 공격이 두드러졌습니다. 1분기에는 30Mpps(초당 백만 패킷) 이상의 공격이 6건에 불과했으나, 2분기에는 무려 21건이나 발생하면서 신기록을 수립했습니다. 이처럼 패킷 전송률이 높은 공격 중에 최대 공격 규모가 100Gbps를 넘은 공격은 6건에 불과했습니다.

한편, 2분기에는 300Gbps 이상을 기록한 공격들의 기법 구성이 달라졌습니 다. 기존에 주로 사용되던 공격 기법은 Padded SYN이나 UDP Flood 페이로 드 등이었으나 , 최근 발생한 공격에서는 반사 공격 등 다른 기법이 사용 되었습니다. 이는 이미 광범위하게 확산되어 있는 기존의 공격 툴과 결합 된 새로운 하이브리드 봇넷이 등장했음을 의미합니다.

DDoS 공격의 절반 이상(57%)은 게임사를 겨냥해 발생했고, 26%는 소프트웨 어∙기술 부문에서 발생했는데 소프트웨어∙기술 기업 중 게임사에게 서비스 를 제공하는 기업들도 있었습니다. 금융 서비스(5%), 미디어∙엔터테인먼트 (4%), 인터넷∙통신(4%), 교육(1%)이 그 뒤를 이었으며 그 밖의 부문이 나머지(3%)를 차지했습니다. 한 고객사는 무려 373회의 공격을 받기도 했습니다.

2016년 1분기에 비해 NTP 반사 공 격이 44% 증가하면서 전체 DDoS 공 격의 16%를 차지했습니다. booter/stressor 사이트에서 널리 사용하는 반 사 공격 툴은 DNS, CHARGEN, NTP 등과 같은 서비스의 취약점을 이용 해서 서버의 트래픽 부담을 가중시 킵니다. 2016년 2분기에 전세계적으 로 추적한 약 8만 건의 반사 공격 중 59%가 NTP 반사 공격이었습니다.

NTP SSDP CHARGEN

QOTDSENTINEL RPC TFTP

59%

17%

7%5%5%

4%3%

2016년 2분기에도 NTP가 반사 공격 소스로 가장 많이(59%) 사용되었습니다.

2016년 2분기 DDoS 반사 공격 소스

5 보고서 전문 다운로드: www.akamai.com/StateOfTheInternet

[인터넷 현황 보안 보고서] / 2016년 2분기 Executive Review

봇 활동 / 하루 동안 분석한 결과 Akamai Intelligent Platform에서 처리되는

웹 트래픽의 43%는 봇 트래픽이었습니다. 봇 트래픽의 63%는 악성 자동화

툴과 스크레이핑 활동으로 인해 발생했습니다.

또한 계정 탈취(ATO, Account Takeover) 봇넷에 대해서도 분석했습니다. 이

같은 봇넷의 IP 주소들은 2만 개가 넘는 도메인 및 하위 도메인을 겨냥했습

니다. 거의 모든 업계가 공격 대상에 포함되었는데 그중에서도 특히 금융

서비스와 유통 부문이 주된 공격 대상이었습니다.

점 하나는 공격 1건을 나타내고 분기별로 막대 그래프 중간에 표시된 상자는 중간값을 나 타냅니다. 세로축은 로그값으로 표시되었기 때문에 상단에 위치한 공격은 하단에 위치한 공격보다 그 규모가 수천 배 더 큽니다.

100Mbps

(100Gbps 이상)

1Mbps

1Kbps

2016년 2분기에는 DDoS 공격 규모 중간값이 약간 감소했지만 공격 발생 건수는 지속적으로 증가했습니다.

2015년 3분기

2015년 4분기

2016년 1분기

2016년 2분기

분기별 DDoS 규모 및 빈도

2014년 3분기

2014년 4분기

2015년 1분기

2015년 2분기

2014년 2분기

6 보고서 전문 다운로드: www.akamai.com/StateOfTheInternet

[인터넷 현황 보안 보고서] / 2016년 2분기 Executive Review

웹 애플리케이션 공격 통계 / 브라질이 처음으로 애플리케이션 공격이 가장 많 이 발생한 국가로 기록되었습니다. 2016년 4월 호텔 업계를 대상으로 발생 한 공격 활동이 가장 큰 원인입니다. 2016년 1분기에 43%의 웹 애플리케이 션 공격이 발생했던 미국은 발생률이 23%로 크게 감소하며 근소한 차이로 2위를 차지했습니다. 브라질에서 악성 트래픽 규모가 점차 증가했는데 특히, 클라우드 기반의 IaaS 데이터 센터에서 이런 추세가 두드러졌습니다. 전반적으로 전체 웹 애플리케이션 공격의 64%가 미국을 겨냥해 집중적 으로 발생했습니다.

LFI(로컬 파일 인클루전)와 SQLi(SQL 인젝션)가 웹 애플리케이션 공격의 약 90%를 차지했습니다. 이번 분기에는 공격 기법 목록에서 쉘쇼크(Shellshock) 를 제외시켰습니다. 쉘쇼크는 일반적으로 기업이 자사 사이트의 취약점을 스캐닝할 때 사용되며 실제 공격과는 관련이 없는 경우가 대부분이기 때문 입니다.

2016년 2분기 웹 애플리케이션 공격 빈도

가장 빈번하게 사용된 2가지 공격 기법인 SQLi과 LFI가 전체 웹 애플리케이션 공격의 약 90%를 차지했습니다.

SQLiLFI XSS RFI PHPi 기타

44.70%44.11%

5.91%

2.27%1.81% 1.21%

7 보고서 전문 다운로드: www.akamai.com/StateOfTheInternet

[인터넷 현황 보안 보고서] / 2016년 2분기 Executive Review

2016년 2분기 웹 애플리케이션 공격 발생 상위 10대 국가

2016년 1분기에 43%의 웹 애플리케이션 공격이 발생했던 미국은 2분기에 발생률이 23%로 감소했고 대신 브라질이 1위를 차지했습니다.

25%

애플리케이션공격이 가장 많이

발생한 국가: 브라질

캐나다 2%

인도 2%

싱가포르 3%

프랑스 3%

네덜란드 3%

중국 4%

러시아 7%

독일 9%

브라질25%

기타19%

미국23%

[인터넷 현황 보안 보고서] / 2016년 2분기 Executive Review

[인터넷 현황 보안 보고서]

인터넷 현황 보고서 / 보안팀데이비드 페르난데스, Akamai SIRT호세 아르테아가, Akamai SIRT에즈라 캘텀, 위협 연구소마틴 맥키, 수석 보안 전문가데이브 루이스, 보안 전문가존 톰슨, 고객 애널리틱스 라이언 바넷, 위협 연구소래리 캐시달러, Akamai SIRT미겔 세라노, 보안 마케팅오리 시걸, 위협 연구소요세프 데이야, 위협 연구소

설계숀 도티, 크리에이티브 디렉션브렌던 오하라, 아트 디렉션 및 디자인

연락처SOTIsecurity@akamai.comTwitter: @akamai_soti / @akamaiwww.akamai.com/StateOfTheInternet

©2016 Akamai Technologies, Inc. All Rights Reserved. 명시적 서면 허가 없이 어떠한 형태 또는 매체로든 본 문서의 전부 또는 일부를 복제하는 행위는 금지됩니다. Akamai와 Akamai 물결 로고는 상표로 등록되어 있습니다. 본 문서에 표시된 기타 상표는 해당 소유자의 재산입니다. Akamai는 본 간행물에 포함된 정보가 발행일 기준으로 정확하다고 간주하며, 해당 정보는 통보 없이 변경될 수 있습니다. 2016년 9월 발행.

Akamai는 미국 매사추세츠주 케임브리지에 본사를 두고 있으며 전세계 57여 개의 지사를 운영하고 있습니다. Akamai의 우수한 솔루션과 고객 서비스는 기업들이 전세계 고객들에게 우수한 인터넷 경험을 제공할 수 있도록 도와줍니다. Akamai 코리아는 서울시 강남구 강남대로 382 메리츠타워 21층에 위치해 있으며 대표전화는 02-2193-7200입니다.

전세계 콘텐츠 전송 네트워크(CDN) 서비스 분야를 이끌고 있는 Akamai는 빠르고 안전하며 신뢰할 수 있는 인터넷 환경을 제공합니다. Akamai는 웹 성능, 모바일 성능, 클라우드 보안, 미디어 전송과 관련된 우수한 솔루션을 공급하고 있으며 이 과정에서 사용 디바이스나 장소에 상관없이 소비자, 기업, 엔터테인먼트 경험을 최적화하는 방법을 크게 바꿔놓고 있습니다. Akamai의 인터넷 전문가들과 솔루션이 어떻게 기업의 성장을 뒷받침하고 있는지 자세히 알아보려면 Akamai 홈페이지(www.akamai.co.kr) 혹은 블로그(blogs.akamai.com)를 방문하거나 트위터에서 @Akamai를 팔로우하십시오.

보고서 전문 다운로드

[인터넷 현황 보안 보고서]

2016년 2분기