Embed Size (px)
Citation preview
Akamai 인터넷 현황 보안 보고서
2016년 4분기 Executive Summary
2 보고서 전문 다운로드: www.akamai.com/StateOfTheInternet
[인터넷 현황 보안 보고서] / 2016년 4분기 Executive Summary
AkAmAi ExEcutivE SummAry란? / 전세계 콘텐츠 전송
네트워크(CDN ) 분야를 이끌고 있는 Akamai는
전세계적으로 분산된 Akamai Intelligent PlatformTM
을 통해 매일 수조 건의 인터넷 트랜잭션을 처리
합니다. Akamai는 이 과정에서 광대역 접속, 클라
우드 보안, 미디어 전송 등의 지표에 관한 방대한
양의 데이터를 수집합니다. 정부와 기업이 인터넷
현황 보고서에 포함된 데이터를 적극 활용하면
보다 현명하고 전략적인 의사결정을 내리는 데
도움을 받을 수 있습니다. Akamai는 매 분기마다
수집된 데이터를 활용해 광대역 접속 속도 및 클라
우드 보안에 대해 중점적으로 다루는 인터넷 현황
보고서를 발행합니다.
3 보고서 전문 다운로드: www.akamai.com/StateOfTheInternet
[인터넷 현황 보안 보고서] / 2016년 4분기 Executive Summary
클라우드 보안
DDoS 공격 [2016년 4분기 vs 2015년 4분기]
총 DDoS 공격 건수 4% 증가
인프라 레이어(레이어 3 및 4) 공격 6% 증가
반사 기반 공격 건수 22% 증가
100Gbps를 초과하는 규모의 공격 140% 증가: 12 vs 5건
웹 애플리케이션 공격 [2016년 4분기 vs 2015년 4분기]
총 웹 애플리케이션 공격 건수 19% 감소
미국에서 발생한 공격 53% 감소
(현재 최다 공격 발생 국가)
SQLi 공격 건수 44% 증가
최대 규모의 공격
평균 공격 건수
2016년 2분기
29
2016년 3분기
30
2016년 4분기
2016년 3분기
2015년 4분기
517Gbps
623Gbps
309Gbps
2016년 4분기
30
보고서 개요 / 2016년 4분기 인터넷 현황 보안 보고서는 DDoS(Distributed
Denial-of-Services) 스크러빙 센터와 Akamai Intelligent PlatformTM에서 수집된
웹 애플리케이션과 DDoS 공격 관련 데이터를 통합해 작성되었습니다.
DDoS 업데이트 / 보안이 취약한 사물 인터넷(IoT) 디바이스에서 대량의 DDoS
공격 트래픽이 발생했습니다. IoT 디바이스가 빠르게 보급되면서 새로운 취약점과
취약한 시스템이 발생하고 있으며 이는 앞으로 공격에 보다 광범위하게 이용될
것으로 전망됩니다. 3분기 미라이(Mirai) 공격에는 주로 IP 기반 카메라와 라우터가
사용됐는데 전체 인터넷 기반 IoT 디바이스 중 일부에 불과합니다. 보안이 취약한
디바이스가 IoT 기반 봇넷에 추가됨에 따라 봇넷의 위력이 강화되고 DDoS
공격의 규모 역시 급증할 것으로 예상됩니다.
4 보고서 전문 다운로드: www.akamai.com/StateOfTheInternet
[인터넷 현황 보안 보고서] / 2016년 4분기 Executive Summary
이런 추세에 대응하기 위해 미국 연방거래위원회(FTC)는 네트워크 무선 라우터
제조사를 대상으로 소송을 제기했습니다. 이 제조사는 보안상 결함이 있는
소프트웨어를 시스템에 설치하게 함으로써 소비자들이 보안 리스크에 노출되도록
만들었습니다. FTC는 이전에도 보안이 취약한 소프트웨어를 제공한 제조사를
대상으로 소송을 제기한 적이 있는데 다른 제조사들이 시스템 보안에 보다
주의를 기울이도록 하기 위한 조치입니다.
300Gbps가 넘는 대형 DDoS 공격은 더욱 빈번하게 발생하고 있습니다. Akamai
네트워크에서 관측된 300Gbps 이상의 DDoS 공격 10건 중 7건이 2016년에
발생했고 이 중 3건이 2016년 4분기에 발생했습니다. 100Gbps가 넘는 공격은
2015년 4분기 대비 140% 증가했습니다. 2016년 4분기에 발생한 12건의
메가톤급 공격 중 2건은 소프트웨어·기술 전문 기업을 노렸고 5건은 게임사를
겨냥했습니다. 미디어·엔터테인먼트 기업 역시 5건의 메가톤급 공격을 받았으며
이 중 3건은 300Gbps 이상을 기록했습니다.
10/1110/1510/1710/1811/1
11/1312/212/412/5
12/1712/1712/20
Gbps
공격
날짜
게임 미디어·엔터테인먼트 소프트웨어·기술
261517
300306
173292
104163
122151161157
2016년 4분기 100Gbps를 초과한 DDoS 공격
2016년 4분기 100Gbps를 초과한 DDoS 공격 건수 12건, 200Gbps를 초과한 공격 건수 5건
5 보고서 전문 다운로드: www.akamai.com/StateOfTheInternet
[인터넷 현황 보안 보고서] / 2016년 4분기 Executive Summary
미라이 및 IoT 봇넷은 2016년 3분기부터 언론에 보도가 됐지만 2016년 4분기 최대
규모의 공격은 Spike DDoS 툴킷에서 발생했습니다. Spike는 일반적으로 XOR,
BillGates 등 x86 Linux 기반의 멀웨어와 관련성이 높은 멀웨어입니다. Akamai
보안 인텔리전스 대응팀(SIRT)이 2014년 9월 Spike에 대한 보안 위협주의보를
발표했을 당시 최대 공격 규모는 215Gbps를 기록했는데 2016년 4분기 최대
공격 규모인 517Gbps의 절반도 되지 않는 규모였습니다.
300Gbps가 넘는 DDoS 공격은 예상된 일입니다. 지금까지 메가톤급 공격을
발생시킨 봇넷의 역사를 살펴보면 2014년 중반 XOR, 2015년 말 BillGates, 2016
년 상반기 Kaiten(이후 미라이로 변형됨), 9월 미라이, 4분기에 Spike가 발생했고
300Gbps 가 넘는 공격의 절반은 2016년 9월과 12월 사이에 발생했습니다.
2014년 7월부터 2016년 12월 사이에 봇넷에서 발생한 DDoS 공격 중 300Gbps를 초과한 공격 건수
10/167/14
321
7/14
312
12/15
309
4/16
337
6/16
363
9/16
623
9/16
555517
10/16
300
10/16
306
Mirai BillGates Kaiten XOR Spike
4개의 봇넷이 2014년 7월~2016년 12월 사이에 300Gbps를 초과하는 공격 10건 발생시킴 (이 중 7건이 2016년에 발생)
6 보고서 전문 다운로드: www.akamai.com/StateOfTheInternet
[인터넷 현황 보안 보고서] / 2016년 4분기 Executive Summary
Akamai가 4분기에 관측한 DDoS 공격 기법은 25가지였고, 이 중 가장 빈번하게
사용된 3가지 공격 기법은 UDP Fragment(27%), DNS(21%), NTP(15%)였습니다.
IoT 디바이스가 DDoS 공격에 점차 빈번하게 사용되고 있는 반면 NTP는 서버가
패치되고 구형 서버의 사용이 중단됨에 따라 점점 줄어드는 추세입니다.
CHARGEN은 4번째로 빈번하게 사용된 공격 기법으로 프린터가 사용하는 테스트
및 측정 프로토콜입니다. CHARGEN이 지속적으로 사용되고 있다는 점을 보면
프린터 프로토콜이 외부로 노출된 이유에 대한 확인이 필요해 보입니다.
Akamai는 이번 분기 보고서에 새로운 반사 DDoS 공격 기법으로 CLDAP
(Connectionless Lightweight Directory Access Protocol)를 추가했습니다. CLDAP
는 Windows 네트워크에서 네트워크 로그온을 할때 인증 정보에 접속하기 위해
사용되는데 공격자들은 DDoS 트래픽을 증폭시킬 목적으로 CADAP를 악용합니다.
DDoS 공격이 가장 많이 발생한 국가는 미국(24%), 영국(10%), 독일(7%)이었
습니다. 중국은 지난 1년 동안 DDoS 공격 발생 상위 10대 국가 순위에서 항상
1위를 차지했는데 이번 분기에는 미라이 봇넷의 영향으로 인해 4위(6%)로 하락
했습니다. 캐나다는 전 분기 대비 큰 폭으로 상승하며 11위를 기록했습니다.
이번 분기에도 한 기업당 평균 30건의 DDoS 공격을 받았는데 이는 기업이 첫
공격을 받은 이후에 추가 공격을 받을 가능성이 높다는 것을 의미합니다. 일부
기업은 거의 지속적으로 공격을 받고 있었고 가장 빈번하게 공격을 받는 기업의
경우 하루 3~5회의 공격을 받았습니다.
7 보고서 전문 다운로드: www.akamai.com/StateOfTheInternet
[인터넷 현황 보안 보고서] / 2016년 4분기 Executive Summary
웹 애플리케이션 공격 통계 / 이번 분기 웹 애플리케이션 공격의 95%는 SQL 인젝션
(SQLi), 로컬 파일 인클루전(LFI), 크로스 사이트 스크립팅(XSS)이 차지했습니다.
3분기와 동일하게 여러 기법을 결합해 사용하는 공격이 이어졌고 SQLi는 2016년
2분기 44%, 3분기 49%, 4분기 51%를 차지하며 2015년 4분기 이후 44% 증가했습니
다. 반면 LFI 는 2016년 2분기 45%에서 3분기 45%, 4분기 37%로 감소했습니다.
Akamai는 미국 추수감사절 기간인 11월 22일~29일에 평균 최고 접속 속도
33Tbps를 처리했습니다. 이 휴가철 쇼핑 기간 동안 4곳의 유통 세부 업종을
대상으로 상당한 규모의 웹 애플리케이션 공격이 발생했는데 의류 및 신발
유통업체, 이커머스 포털 사이트, 소비자 전자제품 기업, 미디어·엔터테인먼트
기업 등이 있었습니다.
Akamai는 3분기 미라이 공격 이후 포트 23 및 2323을 스캐닝하는 소급 분석
(retrospective analysis)을 실시했습니다. 미라이는 이러한 포트를 통해 보안이
취약한 디지털 비디오 레코더(DVR)와 IP 기반 폐쇄 회로 텔레비전(CCTV) 시스템에
로그인합니다. 최초 버전의 미라이는 스캐닝 트래픽이 크게 증가하기 시작한
2016년 5월 13일부터 시스템을 감염시켜 왔을 수도 있고 7월 말에 트래픽이
2번째로 급증한 것 역시 미라이 코드 공개로 인해 발생한 것일 수 있습니다.
SQLi
51.29%
37.26%
LFI
7.16%
XSS
1.96%
RFI
1.48%
PHPi
0.85%
기타
2016년 4분기 웹 애플리케이션 공격 빈도
웹 애플리케이션 공격의 88%는 SQLi와 LFI가 차지
8 보고서 전문 다운로드: www.akamai.com/StateOfTheInternet
[인터넷 현황 보안 보고서] / 2016년 4분기 Executive Summary
미국과 네덜란드는 2분기 연속으로 웹 애플리케이션 공격이 가장 많이 발생한
국가 1, 2위를 기록했으며 독일이 그 뒤를 이었습니다. 지역별로 구분해서 살펴보면
아메리카의 경우 웹 애플리케이션 공격 트래픽이 가장 많이 발생한 상위 3대
국가는 미국, 브라질, 캐나다 순이었습니다. EMEA(유럽∙중동∙아프리카) 지역은
네덜란드, 독일, 러시아가 1~3위를 차지했습니다. 아시아 태평양 지역에서는
중국, 인도, 일본 순으로 웹 애플리케이션 공격 트래픽이 가장 많이 발생했습니다.
리소스 / 2016년 4분기 Akamai의 사이버 보안 리소스 확인하기:
1. 미라이 봇넷 위협 주의보 / 미라이 코드 공개 전후로 발생한 공격 및 관련 정보
2. mDNS 반사 위협 주의보 / 게임, 소프트웨어 및 기술 산업 내 mDNS(멀티캐스트
도메인 네임 시스템) 프로토콜의 악용
3. State of the Dark Web 2016 / 시장과 제품, 개인정보 보호 서비스 및 정책, 실행을
변화시키는 새로운 암호화 화폐
2016년 4분기 전세계 웹 애플리케이션 공격 발생 국가
전세계적으로 발생했고 특히 미국에서 가장 많이 발생
국가 공격 발생 건수 비율(%)
미국 97,918,896 28%
네덜란드 61,499,919 17%
독일 32,384,205 9.2%
브라질 19,379,729 5.5%
러시아 16,643,150 4.7%
중국 14,275,358 4.0%
영국 11,908,055 3.4%
리투아니아 9,793,507 2.8%
프랑스 8,772,176 2.5%
인도 8,638,666 2.4%
<10만 1백만 - 5백만
1천만 - 2천5백만
5백만 - 1천만
NA>2천5백만
10만 - 1백만
[인터넷 현황 보안 보고서] / 2016년 4분기 Executive Summary
[인터넷 현황 보안 보고서]
인터넷 현황 보고서 / 보안팀마틴 맥키, 수석 보안 전문가, 수석 편집자호세 아르테아가, Akamai SIRT아만다 파크레딘, 편집자데이브 루이스, 보안 전문가 래리 캐시달러, Akamai SIRT채드 시먼, Akamai SIRT존 톰슨, 고객 애널리틱스 라이언 바넷, 위협 연구소 에즈라 캘텀, 위협 연구소
디자인숀 도티, 크리에이티브 디렉션브렌던 오하라, 아트 디렉션 및 디자인
연락처[email protected]: @akamai_soti / @akamaiwww.akamai.com/StateOfTheInternet
©2017 Akamai Technologies, Inc. All Rights Reserved. 명시적 서면 허가 없이 어떠한 형태 또는 매체로든 본 문서의 전부 또는 일부를 복제하는 행위는 금지됩니다. Akamai와 Akamai의 물결 로고는 상표로 등록되어 있습니다. 본 문서에 표시된 기타 상표는 해당 소유자의 재산입니다. Akamai는 본 간행물에 포함된 정보가 발행일 기준으로 정확하다고 간주하며 해당 정보는 예고 없이 변경될 수 있습니다. 2017년 02월 발행.
Akamai는 미국 매사추세츠주 케임브리지에 본사를 두고 있으며 전세계 57여 개의 지사를 운영하고 있습니다. Akamai의 우수한 솔루션과 고객 서비스는 기업들이 전세계 고객들에게 우수한 인터넷 경험을 제공할 수 있도록 도와줍니다. Akamai 코리아는 서울시 강남구 강남대로 382 메리츠타워 21층에 위치해 있으며 대표전화는 02-2193-7200입니다.
전세계 콘텐츠 전송 네트워크(CDN) 서비스 분야를 이끌고 있는 Akamai는 빠르고 안전하며 신뢰할 수 있는 인터넷 환경을 제공합니다. Akamai는 웹 성능, 모바일 성능, 클라우드 보안, 미디어 전송과 관련된 우수한 솔루션을 공급하고 있으며 이 과정에서 사용 디바이스나 장소에 상관없이 소비자, 기업, 엔터테인먼트 경험을 최적화하는 방법을 크게 바꿔놓고 있습니다. Akamai의 인터넷 전문가들과 솔루션이 어떻게 기업의 성장을 뒷받침하고 있는지 자세히 알아보려면 Akamai 홈페이지(www.akamai.co.kr) 혹은 블로그(blogs.akamai.com)를 방문하거나 Twitter에서 @Akamai를 팔로우하십시오.
보고서 전문 다운로드
2016년 4분기 인터넷 현황 보안 보고서
