Azure, 15Tbps 규모의 DDoS 공격에 50만 개 IP로 피격

 (bleepingcomputer.com)
2P by GN⁺ 17일전 | ★ favorite | 댓글 1개
  • Aisuru 봇넷이 Microsoft Azure 네트워크를 대상으로 초당 15.72Tbps 규모의 대규모 DDoS 공격 수행
  • 공격은 50만 개 이상의 IP 주소에서 발생했으며, 호주 내 특정 공개 IP를 향한 UDP 플러드 형태로 초당 36억 패킷에 도달
  • Aisuru는 Turbo Mirai 계열 IoT 봇넷으로, 가정용 라우터와 카메라를 악용해 미국 등 여러 국가의 ISP 네트워크를 통해 확산
  • Cloudflare와 Qi’anxin의 이전 공격 사례에서도 동일 봇넷이 11.5Tbps~22.2Tbps 규모 공격에 연루된 것으로 확인
  • 클라우드 인프라 전반에서 대규모 IoT 기반 DDoS 위협의 지속적 확산이 드러난 사례

Azure 대상 15.72Tbps DDoS 공격 개요

  • Microsoft는 Aisuru 봇넷이 Azure 네트워크에 대해 초당 15.72Tbps의 DDoS 공격을 수행했다고 발표

    • 공격은 50만 개 이상의 IP 주소에서 발생
    • 공격 유형은 고속 UDP 플러드로, 호주 내 특정 공용 IP를 목표로 함
    • 트래픽은 초당 약 36억 4천만 패킷(bpps) 수준에 도달

  • Microsoft Azure 보안팀의 Sean Whalen은 Aisuru가 Turbo Mirai급 IoT 봇넷으로,
    가정용 라우터와 카메라를 감염시켜 대규모 공격을 일으킨다고 설명

    • 주로 미국 및 기타 국가의 주거용 ISP 네트워크를 통해 확산

  • 공격 트래픽은 소스 스푸핑이 거의 없고, 랜덤 소스 포트를 사용

    • 이로 인해 추적(traceback)공급자 차단 조치가 용이했음

Aisuru 봇넷의 이전 활동

  • Cloudflare는 2025년 9월, 동일한 Aisuru 봇넷이 22.2Tbps 규모의 DDoS 공격을 일으켰다고 보고

    • 초당 106억 패킷에 달했으며, 약 40초간 지속
    • 이는 100만 개 4K 영상 동시 스트리밍에 해당하는 트래픽량

  • 중국 보안업체 Qi’anxin의 XLab은 11.5Tbps 규모 공격을 Aisuru 봇넷의 소행으로 분석

    • 당시 약 30만 개의 봇이 제어되고 있었음

감염 경로 및 확산

  • Aisuru는 IP 카메라, DVR/NVR, Realtek 칩, 라우터의 보안 취약점을 악용
    • 대상 제조사는 T-Mobile, Zyxel, D-Link, Linksys
  • 2025년 4월, TotoLink 라우터 펌웨어 업데이트 서버 침해를 통해 약 10만 대 장비가 추가 감염
    • 이 시점 이후 봇넷 규모가 급격히 확대

Cloudflare의 대응 및 영향

  • 보안 기자 Brian Krebs는 Cloudflare가 Aisuru 관련 도메인
    자사 “Top Domains” 순위에서 제거했다고 보도
    • 해당 도메인들이 Amazon, Microsoft, Google 등 합법 사이트보다 상위에 오르며 순위를 왜곡
  • Cloudflare는 Aisuru 운영자가 DNS 서비스(1.1.1.1) 에 악성 쿼리를 대량 전송해
    도메인 인기도를 인위적으로 높였다고 설명
    • CEO Matthew Prince는 이로 인해 랭킹 시스템이 심각하게 왜곡되었다고 언급
    • 이후 Cloudflare는 의심 도메인 비공개 처리 정책을 도입

DDoS 공격 증가 추세

  • Cloudflare의 2025년 1분기 DDoS 보고서에 따르면
    • 전년 대비 358% 증가, 분기 대비 198% 증가한 공격량 기록
    • 2024년 한 해 동안 고객 대상 2,130만 건, 자사 인프라 대상 660만 건의 공격 차단
    • 일부는 18일간 지속된 다중 벡터 공격 캠페인으로 확인

요약

  • Aisuru 봇넷은 IoT 기기 감염을 통한 초대형 DDoS 공격 인프라로 성장
  • Microsoft Azure, Cloudflare 등 주요 클라우드 사업자들이 역대 최대 규모 공격을 방어
  • DNS 서비스 왜곡, IoT 취약점 악용, 글로벌 트래픽 폭증이 결합된 복합적 위협 양상
  • 클라우드 및 네트워크 사업자에게 지속적 방어 체계 강화 필요성을 보여주는 사례
GN⁺ 17일전  [-]
Hacker News 의견

  • Aisuru DDoS 봇넷이 정부나 군사기관은 피하고 주로 온라인 게임을 공격 대상으로 삼는다는 게 흥미로움
    그런데 왜 누가 돈을 내고 게임 서버를 다운시키는지 이해가 안 됨. 몇 시간 동안 게임을 못 하게 해서 얻는 게 뭘까 하는 의문이 생김
    관련 블로그 글

    • 결국 이유는 분노와 권력욕임. “내가 못 하면 아무도 못 해” 식의 심리로, 서버 운영자에게 협박을 걸어 모더 권한을 요구하기도 함
      또 다른 경우는 경쟁 서버를 공격해 유료 아이템이나 랭크 판매 수익을 독점하려는 목적도 있음
    • e스포츠 도박이 큰 이유임. 실제로 Fortnite 대회에서도 경쟁자를 불리하게 만들기 위해 DDoS를 쓴 사례가 있음
    • 일부는 게임 내 시장 조작을 노림. 거래 가능한 화폐나 아이템이 있는 게임에서는 서버 중단이 가격에 영향을 줌
      또 어떤 경우엔 이벤트나 토너먼트를 방해하거나, 단순히 개발자에게 앙심을 품은 트롤링일 수도 있음
    • 게임 자체보다 도박 사이트 간 경쟁이 더 큰 이유일 수도 있음. 몇 시간 동안 경쟁 사이트를 다운시키면 큰 돈이 오감
      최근 CoffeeZilla 영상에서도 이런 게이밍 카지노의 이상한 행태가 언급됐음
    • 다시 말하지만, e스포츠 도박 시장이 너무 커서 이런 일이 벌어짐

  • 관련 기사들을 보면 Aisuru 봇넷이 Cloudflare의 주요 도메인 목록에서 제거되거나, 레지던셜 프록시로 전환하는 등 진화 중임

  • 2025년 4월 TotoLink 펌웨어 서버가 해킹돼 10만 대의 라우터가 감염된 사건이 있었음
    오픈소스 프로젝트(OpenWRT 등)는 좋은데, 서버 보안은 누가 지키는지 걱정됨. 디지털 서명으로 막을 수 있을까 하는 의문이 생김

    • OpenWRT는 펌웨어와 패키지를 디지털 서명으로 보호함. 업데이트 전 서명을 직접 검증할 수도 있음
      하지만 빌드 후 서명 전 단계에서 감염되면 대규모 피해가 가능하므로 재현 가능한 빌드(reproducible builds) 가 중요함
      OpenWRT 보안 문서
    • 민간 기업도 사실 보안 인력에 최소한만 투자함. 상용 라우터가 오히려 더 취약한 경우가 많음
    • 그래서 OpenWRT는 자동 업데이트를 기본 비활성화
    • 오픈소스 저장소는 수백 명이 감시하지만, 기업 빌드 서버는 한두 명이 볼까 말까임
    • 어떤 이는 이 논의가 단순히 “보안은 어쩌냐” 식으로 논점을 흐리는 발언이라고 지적함

  • DDoS는 종종 보안팀의 주의를 분산시키는 용도로 쓰임. 혼란 중에 더 은밀한 공격을 감행함

    • 하지만 이런 경우가 “자주” 있는지는 의문임. DDoS 대응 중 보안 설정을 완화하지 않기 때문에 효율적인 전략은 아닐 수도 있음
    • MS가 기록적인 공격을 받아도 서비스에 지연이 없었다는 점이 흥미로움. 원래 느려서 눈치 못 챈 걸 수도 있다는 농담도 있음

  • IoT는 여전히 보안이 부실한 기기들의 파도임. 더 나은 방법이 필요함

    • ISP가 고객이 쓰는 라우터를 제한하면 보안은 좋아지겠지만, 자유가 줄어드는 점이 걱정됨
    • “IoT의 S는 Security의 S”라는 농담처럼, 보안이 빠진 구조적 문제임
    • “더 나은 방법이 필요하다”는 말에 “그 전엔 더 큰 파도가 올 것”이라는 냉소적 반응도 있음
    • 유럽의 자동 보안 업데이트 의무화 정책이 역설적으로 봇넷 확산의 원인이 됐다는 분석도 있음. 업데이트 서버가 해킹되면 수십만 대가 동시에 감염됨

  • 블로그 접속을 시도했는데 프록시 에러가 발생함. 아이러니하게도 관련 글이 DDoS로 막힌 듯한 상황임

  • 국제 사이버 범죄 전담 기관이 없는지 이해가 안 됨. 이런 악성 행위를 막을 수 있을 텐데

    • 각국의 주권 문제와 정치적 이해관계 때문에 불가능함. 일부 국가는 이런 범죄로 이익을 얻기도 함
    • 실제로 국제 공조 수사는 꾸준히 이루어지고 있음. 하지만 정치적 제약 때문에 새로운 기관이 생겨도 큰 변화는 없을 것임
    • UN 같은 기존 조직도 전쟁·인신매매·자금세탁을 완전히 막지 못했음. 그래도 완전한 무법 상태보다는 낫겠지만 한계가 있음
    • 중국과 러시아는 서방의 실패를 바람. 이런 상황에서 협력은 기대하기 어려움
    • “Team America, World Police?”라는 농담처럼, 국제 경찰이 생겨도 억제보다는 예방 중심의 접근이 필요함
      예를 들어 보안 기준을 의무화하는 조약을 만들면, 취약한 소비자 라우터가 줄고 DDoS 시장 자체가 축소될 수 있음
      하지만 범죄자들은 강자 대신 약자만 공격하기 때문에 사회적 관심이 적음

  • 이렇게 많은 노드를 가지고도 멋진 기술을 만들 생각은 안 하고, 단지 자존심을 세우려는 데 쓰는 게 아쉬움
    Tor 같은 네트워크나 분산 아카이브 시스템도 만들 수 있을 텐데, 결국 범죄에 낭비되는 게 안타까움

  • “누가 이득을 보나(Cui bono)?”라는 질문이 떠오름. 이런 대규모 공격이 정말 가치가 있는지 의문임. 혹시 몸값 요구가 숨어 있는 걸까

    • 실제로는 비용이 거의 없음. 수개월째 무작위로 Minecraft 서버 같은 곳을 공격하고 있음

  • “호주 한 엔드포인트만 공격했다”는 점이 이상함. 세계 최대 규모의 DDoS를 왜 거기에 썼을까?
    CDN이 있다면 중복 구조일 텐데, 누가 돈을 내고 무엇을 얻었을까 궁금함

    • DDoS는 신호가 아니라 소음임. 공격의 목적은 로그를 뒤덮어 진짜 목표를 숨기는 것일 수 있음. APT28/29가 이런 전략을 씀
    • 혹은 단순히 호주 게이머들 간의 감정싸움일 수도 있음. “Simmo가 Jonno 여동생과 헤어져서 빡쳤다”는 식의 농담도 나옴
    • 실제로는 이런 공격이 매일 발생하고 있으며, 대부분은 Cloudflare Magic Transit 같은 방어 솔루션으로 막고 있음.
      너무 깊게 의미를 부여할 필요는 없다는 의견임
답변달기