# Azure, 15Tbps 규모의 DDoS 공격에 50만 개 IP로 피격

> Clean Markdown view of GeekNews topic #24441. Use the original source for factual precision when an external source URL is present.

## Metadata

- GeekNews HTML: [https://news.hada.io/topic?id=24441](https://news.hada.io/topic?id=24441)
- GeekNews Markdown: [https://news.hada.io/topic/24441.md](https://news.hada.io/topic/24441.md)
- Type: GN+
- Author: [neo](https://news.hada.io/@neo)
- Published: 2025-11-18T13:33:37+09:00
- Updated: 2025-11-18T13:33:37+09:00
- Original source: [bleepingcomputer.com](https://www.bleepingcomputer.com/news/microsoft/microsoft-aisuru-botnet-used-500-000-ips-in-15-tbps-azure-ddos-attack/)
- Points: 2
- Comments: 1

## Topic Body

- **Aisuru 봇넷**이 Microsoft Azure 네트워크를 대상으로 초당 15.72Tbps 규모의 **대규모 DDoS 공격** 수행  
- 공격은 **50만 개 이상의 IP 주소**에서 발생했으며, 호주 내 특정 공개 IP를 향한 **UDP 플러드** 형태로 초당 36억 패킷에 도달  
- Aisuru는 **Turbo Mirai 계열 IoT 봇넷**으로, 가정용 라우터와 카메라를 악용해 미국 등 여러 국가의 **ISP 네트워크**를 통해 확산  
- Cloudflare와 Qi’anxin의 **이전 공격 사례**에서도 동일 봇넷이 11.5Tbps~22.2Tbps 규모 공격에 연루된 것으로 확인  
- 클라우드 인프라 전반에서 **대규모 IoT 기반 DDoS 위협의 지속적 확산**이 드러난 사례  

---

### Azure 대상 15.72Tbps DDoS 공격 개요
- Microsoft는 **Aisuru 봇넷**이 Azure 네트워크에 대해 초당 15.72Tbps의 DDoS 공격을 수행했다고 발표  
  - 공격은 50만 개 이상의 IP 주소에서 발생  
  - 공격 유형은 **고속 UDP 플러드**로, 호주 내 특정 공용 IP를 목표로 함  
  - 트래픽은 초당 약 **36억 4천만 패킷(bpps)** 수준에 도달  

- Microsoft Azure 보안팀의 Sean Whalen은 Aisuru가 **Turbo Mirai급 IoT 봇넷**으로,  
  **가정용 라우터와 카메라**를 감염시켜 대규모 공격을 일으킨다고 설명  
  - 주로 미국 및 기타 국가의 **주거용 ISP 네트워크**를 통해 확산  

- 공격 트래픽은 **소스 스푸핑이 거의 없고**, **랜덤 소스 포트**를 사용  
  - 이로 인해 **추적(traceback)** 및 **공급자 차단 조치**가 용이했음  

### Aisuru 봇넷의 이전 활동
- Cloudflare는 2025년 9월, 동일한 Aisuru 봇넷이 **22.2Tbps 규모의 DDoS 공격**을 일으켰다고 보고  
  - 초당 106억 패킷에 달했으며, 약 40초간 지속  
  - 이는 **100만 개 4K 영상 동시 스트리밍**에 해당하는 트래픽량  

- 중국 보안업체 Qi’anxin의 XLab은 **11.5Tbps 규모 공격**을 Aisuru 봇넷의 소행으로 분석  
  - 당시 약 **30만 개의 봇**이 제어되고 있었음  

### 감염 경로 및 확산
- Aisuru는 **IP 카메라, DVR/NVR, Realtek 칩, 라우터**의 보안 취약점을 악용  
  - 대상 제조사는 **T-Mobile, Zyxel, D-Link, Linksys** 등  
- 2025년 4월, **TotoLink 라우터 펌웨어 업데이트 서버 침해**를 통해 약 10만 대 장비가 추가 감염  
  - 이 시점 이후 봇넷 규모가 급격히 확대  

### Cloudflare의 대응 및 영향
- 보안 기자 Brian Krebs는 Cloudflare가 **Aisuru 관련 도메인**을  
  자사 “Top Domains” 순위에서 제거했다고 보도  
  - 해당 도메인들이 **Amazon, Microsoft, Google** 등 합법 사이트보다 상위에 오르며 순위를 왜곡  
- Cloudflare는 Aisuru 운영자가 **DNS 서비스(1.1.1.1)** 에 악성 쿼리를 대량 전송해  
  도메인 인기도를 인위적으로 높였다고 설명  
  - CEO Matthew Prince는 이로 인해 **랭킹 시스템이 심각하게 왜곡**되었다고 언급  
  - 이후 Cloudflare는 **의심 도메인 비공개 처리 정책**을 도입  

### DDoS 공격 증가 추세
- Cloudflare의 2025년 1분기 DDoS 보고서에 따르면  
  - 전년 대비 **358% 증가**, 분기 대비 **198% 증가**한 공격량 기록  
  - 2024년 한 해 동안 고객 대상 **2,130만 건**, 자사 인프라 대상 **660만 건**의 공격 차단  
  - 일부는 **18일간 지속된 다중 벡터 공격 캠페인**으로 확인  

### 요약
- Aisuru 봇넷은 **IoT 기기 감염을 통한 초대형 DDoS 공격 인프라**로 성장  
- Microsoft Azure, Cloudflare 등 주요 클라우드 사업자들이 **역대 최대 규모 공격**을 방어  
- **DNS 서비스 왜곡, IoT 취약점 악용, 글로벌 트래픽 폭증**이 결합된 복합적 위협 양상  
- 클라우드 및 네트워크 사업자에게 **지속적 방어 체계 강화 필요성**을 보여주는 사례

## Comments



### Comment 46483

- Author: neo
- Created: 2025-11-18T13:33:38+09:00
- Points: 1

###### [Hacker News 의견](https://news.ycombinator.com/item?id=45955900) 
- Aisuru DDoS 봇넷이 정부나 군사기관은 피하고 주로 **온라인 게임**을 공격 대상으로 삼는다는 게 흥미로움  
  그런데 왜 누가 돈을 내고 게임 서버를 다운시키는지 이해가 안 됨. 몇 시간 동안 게임을 못 하게 해서 얻는 게 뭘까 하는 의문이 생김  
  [관련 블로그 글](https://www.netscout.com/blog/asert/asert-threat-summary-aisuru-and-related-turbomirai-botnet-ddos)
  - 결국 이유는 **분노와 권력욕**임. “내가 못 하면 아무도 못 해” 식의 심리로, 서버 운영자에게 협박을 걸어 모더 권한을 요구하기도 함  
    또 다른 경우는 경쟁 서버를 공격해 **유료 아이템이나 랭크 판매 수익**을 독점하려는 목적도 있음
  - **e스포츠 도박**이 큰 이유임. 실제로 [Fortnite 대회](https://fortnitetracker.com/article/1087/ddos-scandal-from-contesting-pros-arise-durin)에서도 경쟁자를 불리하게 만들기 위해 DDoS를 쓴 사례가 있음
  - 일부는 게임 내 **시장 조작**을 노림. 거래 가능한 화폐나 아이템이 있는 게임에서는 서버 중단이 가격에 영향을 줌  
    또 어떤 경우엔 이벤트나 토너먼트를 방해하거나, 단순히 개발자에게 앙심을 품은 **트롤링**일 수도 있음
  - 게임 자체보다 **도박 사이트 간 경쟁**이 더 큰 이유일 수도 있음. 몇 시간 동안 경쟁 사이트를 다운시키면 큰 돈이 오감  
    최근 CoffeeZilla 영상에서도 이런 **게이밍 카지노**의 이상한 행태가 언급됐음
  - 다시 말하지만, **e스포츠 도박 시장**이 너무 커서 이런 일이 벌어짐

- 관련 기사들을 보면 Aisuru 봇넷이 **Cloudflare의 주요 도메인 목록에서 제거**되거나, **레지던셜 프록시로 전환**하는 등 진화 중임  
  - [Cloudflare scrubs Aisuru botnet from top domains list](https://news.ycombinator.com/item?id=45857836)  
  - [Aisuru botnet shifts from DDoS to residential proxies](https://news.ycombinator.com/item?id=45741357)  
  - [DDoS Botnet Aisuru Blankets US ISPs in Record DDoS](https://news.ycombinator.com/item?id=45574393)

- 2025년 4월 TotoLink 펌웨어 서버가 해킹돼 **10만 대의 라우터가 감염**된 사건이 있었음  
  오픈소스 프로젝트(OpenWRT 등)는 좋은데, 서버 보안은 누가 지키는지 걱정됨. 디지털 서명으로 막을 수 있을까 하는 의문이 생김
  - OpenWRT는 펌웨어와 패키지를 **디지털 서명**으로 보호함. 업데이트 전 서명을 직접 검증할 수도 있음  
    하지만 빌드 후 서명 전 단계에서 감염되면 대규모 피해가 가능하므로 **재현 가능한 빌드(reproducible builds)** 가 중요함  
    [OpenWRT 보안 문서](https://openwrt.org/docs/guide-developer/security#reproducible_builds)
  - 민간 기업도 사실 **보안 인력에 최소한만 투자**함. 상용 라우터가 오히려 더 취약한 경우가 많음
  - 그래서 OpenWRT는 **자동 업데이트를 기본 비활성화**함
  - 오픈소스 저장소는 수백 명이 감시하지만, 기업 빌드 서버는 한두 명이 볼까 말까임
  - 어떤 이는 이 논의가 단순히 “보안은 어쩌냐” 식으로 **논점을 흐리는 발언**이라고 지적함

- DDoS는 종종 **보안팀의 주의를 분산**시키는 용도로 쓰임. 혼란 중에 더 은밀한 공격을 감행함
  - 하지만 이런 경우가 “자주” 있는지는 의문임. DDoS 대응 중 보안 설정을 완화하지 않기 때문에 **효율적인 전략은 아닐 수도 있음**
  - MS가 기록적인 공격을 받아도 서비스에 **지연이 없었다는 점**이 흥미로움. 원래 느려서 눈치 못 챈 걸 수도 있다는 농담도 있음

- IoT는 여전히 **보안이 부실한 기기들의 파도**임. 더 나은 방법이 필요함
  - ISP가 고객이 쓰는 라우터를 제한하면 보안은 좋아지겠지만, **자유가 줄어드는 점**이 걱정됨
  - “IoT의 S는 Security의 S”라는 농담처럼, 보안이 빠진 구조적 문제임
  - “더 나은 방법이 필요하다”는 말에 “그 전엔 더 큰 파도가 올 것”이라는 냉소적 반응도 있음
  - 유럽의 **자동 보안 업데이트 의무화 정책**이 역설적으로 봇넷 확산의 원인이 됐다는 분석도 있음. 업데이트 서버가 해킹되면 수십만 대가 동시에 감염됨

- 블로그 접속을 시도했는데 **프록시 에러**가 발생함. 아이러니하게도 관련 글이 DDoS로 막힌 듯한 상황임

- 왜 **국제 사이버 범죄 전담 기관**이 없는지 이해가 안 됨. 이런 악성 행위를 막을 수 있을 텐데
  - 각국의 **주권 문제**와 정치적 이해관계 때문에 불가능함. 일부 국가는 이런 범죄로 이익을 얻기도 함
  - 실제로 국제 공조 수사는 꾸준히 이루어지고 있음. 하지만 **정치적 제약** 때문에 새로운 기관이 생겨도 큰 변화는 없을 것임
  - UN 같은 기존 조직도 **전쟁·인신매매·자금세탁**을 완전히 막지 못했음. 그래도 완전한 무법 상태보다는 낫겠지만 한계가 있음
  - 중국과 러시아는 서방의 실패를 바람. 이런 상황에서 **협력은 기대하기 어려움**
  - “Team America, World Police?”라는 농담처럼, 국제 경찰이 생겨도 **억제보다는 예방 중심의 접근**이 필요함  
    예를 들어 **보안 기준을 의무화하는 조약**을 만들면, 취약한 소비자 라우터가 줄고 DDoS 시장 자체가 축소될 수 있음  
    하지만 범죄자들은 **강자 대신 약자만 공격**하기 때문에 사회적 관심이 적음

- 이렇게 많은 **노드**를 가지고도 멋진 기술을 만들 생각은 안 하고, 단지 자존심을 세우려는 데 쓰는 게 아쉬움  
  Tor 같은 네트워크나 **분산 아카이브 시스템**도 만들 수 있을 텐데, 결국 범죄에 낭비되는 게 안타까움

- “누가 이득을 보나(Cui bono)?”라는 질문이 떠오름. 이런 대규모 공격이 정말 가치가 있는지 의문임. 혹시 **몸값 요구**가 숨어 있는 걸까
  - 실제로는 **비용이 거의 없음**. 수개월째 무작위로 Minecraft 서버 같은 곳을 공격하고 있음

- “호주 한 엔드포인트만 공격했다”는 점이 이상함. 세계 최대 규모의 DDoS를 왜 거기에 썼을까?  
  CDN이 있다면 중복 구조일 텐데, **누가 돈을 내고 무엇을 얻었을까** 궁금함
  - DDoS는 **신호가 아니라 소음**임. 공격의 목적은 로그를 뒤덮어 **진짜 목표를 숨기는 것**일 수 있음. APT28/29가 이런 전략을 씀
  - 혹은 단순히 **호주 게이머들 간의 감정싸움**일 수도 있음. “Simmo가 Jonno 여동생과 헤어져서 빡쳤다”는 식의 농담도 나옴
  - 실제로는 이런 공격이 **매일 발생**하고 있으며, 대부분은 Cloudflare Magic Transit 같은 방어 솔루션으로 막고 있음.  
    너무 깊게 의미를 부여할 필요는 없다는 의견임