공격이 집중되는 시기에 최대 196.42 Gbps 규모를 포함한 모든 DDoS 공격을 차단한 2026년 1분기 위협 보고서입니다.
관측 기간 동안 총 112건의 DDoS 공격이 발생했습니다. 관측 기간 후반부의 평균 공격 규모는 전반부 대비 약 290% 증가하여 공격자가 점진적으로 화력을 강화하는 에스컬레이션 패턴을 보였습니다.
대역폭(bps) 기준으로 전체의 72.3%가 5~15 Gbps 범위에 집중되어 있었습니다. 대부분이 중소 규모의 공격이지만, 소수의 대형 공격이 평균을 크게 끌어올리는 전형적인 롱테일(long-tail) 분포를 보입니다.
특히 100 Gbps를 초과하는 대형 공격 3건이 관측되었으며, 최대 27,640개의 소스 IP를 동원한 대규모 봇넷 공격이었습니다.
모든 공격이 5~20분 이내에 집중되었으며, 67.9%가 15~20분 동안 지속되었습니다. 5분 미만이나 20분을 초과하는 공격은 단 한 건도 관측되지 않았습니다.
이는 공격자가 장시간 지속 공격 대신, 짧은 버스트(burst) 공격을 반복하는 전술을 사용하고 있음을 보여줍니다. 이러한 짧은 공격은 수동 대응이 사실상 불가능하며, 자동화된 실시간 DDoS 탐지 및 차단 시스템의 필요성을 강하게 시사합니다.
일요일에 전체 공격의 42%(47건)가 집중되었습니다. 토요일은 4건으로 가장 적었으며, 보안 인력이 줄어드는 반면 게임/웹/쇼핑몰 등의 서비스 이용자가 몰리는 시간대를 전략적으로 노리는 패턴이 확인되었습니다.
상위 2개 서비스가 전체 공격의 66.1%를 차지했으며, 게이트웨이 서비스가 가장 큰 공격(196.42 Gbps)의 타겟이었습니다. 아래 차트에서는 실제 IP 대신 해당 서버에서 운영 중인 서비스명으로 라벨을 표기하였습니다.
마인크래프트 서버는 약 9일간 32건의 공격을 받았으며, 평균 6시간 간격으로 반복 공격이 발생했습니다. 이는 하나의 캠페인(campaign)으로서 지속적이고 의도적인 표적 공격의 특성을 보입니다.
전체 공격 트래픽의 94.3%가 UDP 프로토콜이었습니다. UDP의 압도적 비율은 주로 UDP 기반 증폭/반사(Amplification/Reflection) 공격에 의존하고 있음을 보여줍니다.
| 증폭 벡터 | 소스 포트 | 출현 빈도 | 이벤트당 평균 | 특징 |
|---|---|---|---|---|
| NTP Amplification | 123/UDP | 50.0% | 538.2 Mbps | 가장 빈번한 벡터, 최대 556.9x 증폭 |
| DNS Amplification | 53/UDP | 34.2% | 4,128.6 Mbps | 가장 파괴적인 벡터, ANY 쿼리 악용 |
| CLDAP Amplification | 389/UDP | 5.3% | 289.5 Mbps | LDAP 변형, 최대 70x 증폭 |
| SSDP Amplification | 1900/UDP | 2.6% | - | UPnP 기기 악용 |
웹 서비스(HTTP, 포트 80)와 DNS 서비스(포트 53)가 가장 빈번하게 타겟팅되었습니다. 주목할 만한 발견은 Minecraft 서버 포트(25565)가 상위에 등장한 것으로, 방학 시즌이 되면서 게이밍 인프라를 향한 DDoS 공격이 다시 증가하는 추세가 확인되었습니다.
대형 패킷(1400 bytes 이상)이 전체의 55.2%를 차지하여 대역폭 소진형(volumetric) 공격이 주를 이루고 있음을 보여줍니다. 동시에 소형 패킷(0~99 bytes)도 8%를 차지하며 패킷 레이트 기반(pps) 공격도 혼합되어 있었습니다.
400~499 bytes 범위는 출현 시 이벤트 트래픽의 평균 72.6%를 차지하는 특징적인 크기로, NTP 증폭 공격 응답 패킷의 전형적 크기와 정확히 일치합니다.
총 58개국에서 발원한 공격 트래픽이 관측되었습니다. 러시아(76.3%)와 브라질(63.2%)이 거의 모든 공격에서 소스 국가로 등장했습니다.
그러나 단건 기여 트래픽을 기준으로 보면 이야기가 달라집니다. 우크라이나(1,936 Mbps/건), 한국(1,190 Mbps/건), 인도네시아(1,174 Mbps/건)가 이벤트당 더 큰 트래픽을 생성했으며, 이는 해당 국가에 고대역폭 봇넷 노드가 존재함을 시사합니다.
공격에 동원된 소스 IP 수는 봇넷의 규모를 가늠하는 지표입니다. 전체의 55.3%가 600~1,500개의 소스 IP로 수행되었으며, 소스 IP 수와 공격 규모 사이에는 강한 양의 상관관계가 관측되었습니다.
| 지표 | 수치 |
|---|---|
| 평균 소스 IP 수 | 4,212개 |
| 중앙값 | 846개 |
| 최소 | 408개 |
| 최대 | 27,640개 |
게이트웨이 서비스를 타겟으로 한 196.42 Gbps / 55.65 Mpps 규모의 DDoS 공격이 발생했습니다.
두 공격 모두 ParkAppsHouse IDC의 DDoS 방어 시스템에 의해 자동으로 탐지 및 차단되었으며, 고객 서비스에 대한 영향은 없었습니다.
이번 관측 기간의 데이터가 보여주는 핵심 트렌드와 이에 따른 권고사항입니다.
일 평균 4.3건의 공격이 발생하며, DDoS는 더 이상 드문 이벤트가 아닙니다. 모든 인터넷 서비스 운영자는 DDoS를 "만약(if)"이 아닌 "언제(when)"의 문제로 인식해야 합니다.
모든 공격이 20분 이내에 종료되어 사람이 인지하고 대응하기에는 너무 짧습니다. 상시 가동(always-on), 인라인(in-line), 자동화된(automated) 시스템이 필수입니다.
일요일에 42%의 공격이 집중되는 패턴은 보안 인력이 줄어드는 동시에 게임/웹 서비스 이용자가 몰리는 시간대를 노리고 있음을 보여줍니다. 주말/비근무 시간에도 대응 가능한 상시 방어 체계가 필수적입니다.
NTP, DNS, CLDAP 등 다양한 증폭 벡터가 혼합 사용되고 있으며, 비전형적 프로토콜까지 동원된 복합 공격이 관측되었습니다.