Security

Cloudflare, 2분기 초대형 DDoS 공격 7,300만 건 차단

Donghwi Shin

16 Jul 2025 — 6 min read

💡

Editor Pick
- Cloudflare에서 6,500건 이상의 초대형 DDoS 공격 차단
- 보안이 취약한 포트, 유출 인증 정보가 DDoS 봇넷 확산 기여

Cloudflare가 2025년 2분기 동안 총 7,300만 건의 분산서비스거부(DDoS) 공격을 차단했다고 밝혔다. 이는 1분기 2,050만 건과 비교해 절반 이하로 줄어든 수치다. 그러나 공격의 규모와 복잡도는 더 커졌다는 분석이다.

Cloudflare는 이번 분기에만 6,500건 이상의 초대형 DDoS 공격을 차단했다고 전했다. 하루 평균 71건꼴이다. 1분기 동안 발생한 18일간의 대규모 공격 캠페인이 1,350만 건의 DDoS 공격을 유발한 것과 비교하면 양상은 달라졌다. 올해 상반기 누적 차단 건수는 약 2,800만 건으로, 이미 2024년 전체 기록을 넘어섰다.

이번 2분기에서 가장 주목할 만한 공격은 45초 만에 초당 7.3Tbps의 트래픽과 48억 개의 패킷을 발생시킨 초대형 공격이다. 이런 대규모 공격은 보통 언론의 관심을 받지만, Cloudflare는 공격자들이 최근 대규모 트래픽 홍수와 소규모 정밀 탐색을 병행하는 전략을 쓰고 있다고 지적했다. 기존 방어 체계를 우회하기 위한 방식이다.

3계층과 4계층 네트워크를 겨냥한 L3/4 DDoS 공격은 전 분기 대비 81% 감소해 320만 건으로 줄었다. 반면, HTTP 기반의 애플리케이션 레이어 DDoS 공격은 9% 증가해 410만 건을 기록했다. HTTP DDoS 공격의 70% 이상은 이미 알려진 봇넷에서 발생한 것으로 나타났다. 주요 공격 방식은 DNS와 TCP SYN, UDP 프로토콜을 이용한 Flooding 공격이었다.

가장 많이 공격받은 업종은 통신 서비스 제공업체와 인터넷 및 IT 서비스, 게임 및 도박 관련 기업이었다. 지역별로는 중국, 브라질, 독일, 인도, 한국 등이 집중 타깃이 됐다. 공격 발생지는 인도네시아, 싱가포르, 홍콩, 아르헨티나, 우크라이나가 상위권을 차지했다.

패킷 수 기준으로 초당 1억 건 이상의 트래픽을 발생시킨 초대형 공격도 급증했다. 전 분기 대비 592% 증가한 것으로 나타났다. 몸값을 요구하는 랜섬 DDoS 공격도 68% 늘어났다. 이는 공격자가 금전을 요구하며 실제로 공격을 감행하거나, 추가 공격을 예고하며 협박하는 형태다.

Cloudflare는 리눅스 기반 시스템과 IoT 기기를 노리는 ’데몬봇(DemonBot)’을 언급하며, 보안이 취약한 포트와 약한 인증 정보가 DDoS 봇넷의 확산을 키우고 있다고 경고했다. 데몬봇은 주로 UDP와 TCP, 애플리케이션 레이어 공격을 수행한다. 게임, 호스팅, 기업 서비스가 주된 표적이다.

전문가들은 IoT 기기의 보안 취약점, 오래된 펌웨어, 약한 SSH 인증 정보가 여전히 DDoS 공격의 주요 경로라고 설명했다. TCP 반사 공격, DNS 증폭, 버스트 레이어 회피 전략 등이 점점 더 많이 활용되고 있는 것도 우려를 낳고 있다.

유사 사례로는 지난해 10월 Cloudflare가 차단한 5.6Tbps 규모의 UDP DDoS 공격이 있다. 당시 1만3,000개의 IoT 기기가 동원됐고, 동아시아의 한 ISP를 겨냥했다. 이러한 초대형 공격은 점점 더 빈번해지는 추세다.