ddos-mitigation

2025년 4분기 DDoS 위협 보고서: 기록적인 31.4 Tbps 공격이 대규모 DDoS 공격의 한 해를 마무리하다 (새 탭에서 열림)

2025년 DDoS 공격은 전년 대비 121% 급증하며 총 4,710만 건에 달했고, 연말에는 31.4 Tbps라는 역대 최대 규모의 공격이 발생하며 위협의 정점을 찍었습니다. 특히 안드로이드 TV를 감염시킨 'Aisuru-Kimwolf' 봇넷의 출현으로 초당 수억 개의 요청을 보내는 하이퍼 볼류메트릭(Hyper-volumetric) 공격이 일상화되었으며, 통신 및 IT 인프라를 겨냥한 공격의 강도가 그 어느 때보다 강력해졌습니다. 클라우드플레어는 이러한 거대 공격들을 자율 방어 시스템을 통해 성공적으로 차단하며 진화하는 봇넷 위협에 대응하고 있습니다. ### 2025년 DDoS 공격의 급격한 양적 팽창 * 2025년 한 해 동안 발생한 DDoS 공격은 총 4,710만 건으로, 이는 2023년 대비 236%나 증가한 수치입니다. * 클라우드플레어는 매시간 평균 5,376건의 공격을 자동으로 완화했으며, 이 중 네트워크 계층 공격은 시간당 3,925건에 달했습니다. * 특히 네트워크 계층(Network-layer) 공격은 전년 대비 3배 이상 폭증하며 4분기 전체 공격의 78%를 차지하는 주된 위협으로 자리 잡았습니다. ### 'Aisuru-Kimwolf' 봇넷과 크리스마스 캠페인 * 2025년 12월 19일부터 시작된 "The Night Before Christmas" 캠페인은 클라우드플레어 인프라와 고객을 대상으로 초당 2억 건(200 Mrps)이 넘는 HTTP DDoS 공격을 퍼부었습니다. * 이 공격의 주체인 Aisuru-Kimwolf 봇넷은 전 세계적으로 100만~400만 대에 달하는 감염된 안드로이드 TV 기기들로 구성되어 있습니다. * 캠페인 기간 중 최대 9 Bpps(초당 패킷 수), 24 Tbps, 205 Mrps의 기록적인 수치가 관측되었으며, 이는 국가 전체의 통신 연결을 방해할 수 있는 파괴적인 수준입니다. ### 하이퍼 볼류메트릭 공격의 기록적 갱신 * 2025년 4분기 하이퍼 볼류메트릭 공격은 전 분기 대비 40% 증가했으며, 공격의 절대적인 규모는 2024년 말과 비교해 700% 이상 커졌습니다. * 특히 31.4 Tbps 규모의 역대 최대 공격이 발생했으나, 클라우드플레어의 자율 DDoS 방어 시스템이 단 35초 만에 이를 감지하고 자동으로 차단했습니다. * 이러한 거대 공격은 주로 통신사, ISP(인터넷 서비스 제공업체), 게이밍 산업 및 생성형 AI 서비스 기업들을 집중적으로 겨냥했습니다. ### 공격 대상 산업 및 지역의 변화 * **산업별:** 통신 서비스 산업이 정보 기술(IT) 서비스를 제치고 가장 많이 공격받은 산업 1위에 올랐으며, 도박 및 카지노, 게이밍 산업이 그 뒤를 이었습니다. * **지역별:** 중국이 여전히 가장 많은 공격을 받는 가운데, 홍콩이 12계단 상승해 2위를 기록했고 영국은 한 분기 만에 36계단이나 급등하며 6위로 부상했습니다. * 공격자들은 즉각적인 경제적 타격이 크거나 사회적 기반 시설 역할을 하는 지점을 전략적으로 선택하여 공격의 효과를 극대화하고 있습니다. 기업과 기관은 이제 단순한 트래픽 차단을 넘어, 수백만 대의 IoT 기기를 동원하는 초거대 규모의 하이퍼 볼류메트릭 공격에 대비해야 합니다. 특히 통신, 게이밍, AI 서비스와 같이 레이턴시에 민감한 산업군은 실시간 자동 완화 기능을 갖춘 클라우드 기반 보안 체계를 구축하여 예고 없이 찾아오는 대규모 공격에 상시 대응할 수 있는 능력을 갖추는 것이 필수적입니다.

장인정신과 아름다움 (새 탭에서 열림)

Linear는 서비스 마비 수준의 DDoS 공격을 단순한 보안 위협이 아닌, 시스템 전반의 기술 부채를 해결하고 성능을 극한으로 끌어올리는 기회로 삼았습니다. 공격자가 악용한 비효율적인 쿼리와 아키텍처의 약점을 근본적으로 개선함으로써, 사건 종료 후 Linear는 공격 전보다 훨씬 더 빠르고 안정적인 서비스로 거듭났습니다. 이는 보안 대응이 단순히 방어벽을 세우는 것을 넘어 시스템의 기초 체력을 강화하는 과정임을 시사합니다. ### DDoS 공격의 양상과 초기 대응의 한계 * 단순한 네트워크 트래픽 과부하가 아니라, 데이터베이스에 과부하를 주는 고비용 API 호출을 집중적으로 노린 정교한 애플리케이션 계층(L7) 공격이었습니다. * IP 차단이나 속도 제한(Rate Limiting) 같은 전통적인 방어 수단은 공격자가 패턴을 지속적으로 변경함에 따라 '두더지 잡기'식의 한계에 부딪혔습니다. * 공격이 지속되는 동안 시스템의 가장 느린 부분들이 병목 현상을 일으키며 전체 서비스 중단으로 이어지는 과정을 목격했습니다. ### 데이터베이스 성능 최적화와 쿼리 개선 * 공격자가 검색 및 필터링 기능을 악용한다는 점에 착안하여, 실행 계획(Query Plan) 분석을 통해 인덱스가 제대로 작동하지 않던 지점들을 대대적으로 수정했습니다. * 특히 '소프트 삭제(Soft Delete)' 처리를 위한 필터 조건이 쿼리 성능을 저하시키는 주요 원인임을 파악하고, 이를 최적화하여 데이터 조회 속도를 획기적으로 높였습니다. * Postgres 데이터베이스의 불필요한 Full Table Scan을 제거하고, 가장 빈번하게 호출되는 엔드포인트의 응답 시간을 밀리초 단위로 단축했습니다. ### 동기화 엔진 및 아키텍처 재설계 * Linear의 핵심인 오프라인 우선(Offline-first) 동기화 아키텍처에서 발생하는 오버헤드를 줄이기 위해 동기화 로직을 전면 재검토했습니다. * 클라이언트와 서버 간의 데이터 상태 비교 프로세스를 효율화하여, 동일한 작업을 수행할 때 발생하는 CPU 및 메모리 점유율을 대폭 낮췄습니다. * 결과적으로 인프라를 증설하지 않고도 이전보다 몇 배나 많은 동시 요청을 처리할 수 있는 구조적 회복 탄력성을 확보했습니다. 보안 사고는 시스템의 가장 취약한 고리를 드러내는 가혹한 테스트 베드가 될 수 있습니다. Linear의 사례처럼 공격에 단순히 방어적으로 대응하기보다 시스템 내부의 효율성을 높여 '공격의 가성비'를 떨어뜨리는 전략은, 보안과 성능이라는 두 마리 토끼를 잡을 수 있는 탁월한 접근 방식입니다. 성능 최적화가 곧 최선의 보안 대책이 될 수 있다는 점을 시사합니다.