Cloudflare DDoS 위협 보고서 제23호에 오신 것을 환영합니다. 이 보고서는 분산 서비스 거부(DDoS) 공격의 진화하는 위협 환경에 대해 Cloudflare 네트워크의 데이터를 기반으로 한 포괄적인 분석을 제공합니다. 이번 호에서는 2025년 3분기에 초점을 맞추고 있습니다.
2025년 3분기는 전 세계적으로 약 100만~400만 개의 호스트를 감염시킨 Aisuru 봇넷의 그림자에 덮였습니다. Aisuru는 정기적으로 초당 1테라비트(Tbps) 및 초당 10억 패킷(Bpps)을 초과하는 초대형 볼류메트릭 DDoS 공격을 수행했습니다. 이러한 공격 건수는 전 분기 대비(QoQ) 54% 급증했으며, 매일 평균 14건의 초대형 볼류메트릭 공격이 발생했습니다. 공격 규모는 전례가 없을 정도였으며, 트래픽은 최대 29.7Tbps, 초당 패킷 수는 최대 14.1Bpps까지 치솟았습니다.
이 보고서에는 Aisuru 외에도 다음과 같은 주요 인사이트가 추가로 포함되어 있습니다.
2025년 9월에는 AI에 대한 대중적 우려와 규제 검토가 커지면서, AI 기업을 겨냥한 DDoS 공격 트래픽이 전월 대비 최대 347%까지 급증했습니다.
희토류 광물과 전기차 관세를 둘러싼 EU-중국 간 무역 긴장이 고조되면서, 2025년 3분기에는 광업, 광물 및 금속 산업과 자동차 산업을 대상으로 한 DDoS 공격이 크게 증가했습니다.
전반적으로 2025년 3분기에 Cloudflare의 자동 방어 시스템은 총 830만 건의 DDoS 공격을 차단했습니다. 이는 평균적으로 시간당 거의 3,780건에 달하는 DDoS 공격이 발생한 것입니다. 이 DDoS 공격 건수는 전 분기 대비 15%, 전년 동기 대비 40% 증가한 값입니다.
2025년은 아직 한 분기가 남았음에도, Cloudflare는 이미 3,620만 건의 DDoS 공격을 완화했습니다. 이는 2024년 동안 Cloudflare가 완화한 DDoS 공격의 170%에 해당합니다.
2025년 3분기 동안 Cloudflare는 830만 건의 DDoS 공격을 자동으로 탐지 및 완화했으며, 이는 전 분기 대비 15%, 전년 동기 대비 40% 증가한 수치입니다.
2025년 3분기 전체 DDoS 공격의 71%에 해당하는 네트워크 계층 DDoS 공격은 총 590만 건으로, 전 분기 대비 87%, 전년 동기 대비 95% 증가했습니다. 반면, 2025년 3분기 전체 DDoS 공격의 29%에 해당하는 HTTP DDoS 공격은 총 240만 건으로, 전 분기 대비 41%, 전년 동기 대비 17% 감소했습니다.
2025년 3분기 동안 Cloudflare는 매시간 평균 3,780건의 DDoS 공격을 차단했습니다.
Aisuru, 고도로 정교한 대규모 볼류메트릭 DDoS 공격으로 기록을 경신
파괴적인 힘
Aisuru는 이동통신 공급자, 게임 회사, 호스팅 공급자, 금융 서비스 등을 표적으로 삼았습니다. 또한, 봇넷 트래픽이 인터넷 서비스 제공업체(ISP)를 통해 지나가는 양이 워낙 많다 보니, Krebs on Security가 보도한 바와 같이 “[미국 내] 광범위한 인터넷 부수 피해”를 초래하기도 했습니다.
곰곰이 생각해 보세요. Aisuru의 공격 트래픽이 해당 ISP들을 직접 겨냥한 것도 아닌데 미국 인터넷 인프라 일부를 교란할 수 있다면, 보호가 없거나 충분하지 않은 ISP들, 각종 핵심 인프라, 의료 서비스, 응급 서비스, 군사 시스템을 정면으로 노렸을 때 어떤 일이 벌어질지 쉽게 상상하실 수 있을 것입니다.
임대형 봇넷 및 DDoS 통계
Aisuru의 일부 “청크”는 유통업자들이 임대형 봇넷 형태로 판매하고 있어, 누구든 수백에서 수천 달러만 들이면 국가 백본망을 마비시키고 인터넷 회선을 포화시켜 수백만 명의 사용자와 필수 서비스 접근을 방해하는 등 한 나라 전체에 혼란을 일으킬 수 있는 상황입니다.
2025년이 시작된 이후 Cloudflare는 이미 2,867건의 Aisuru 공격을 완화했습니다. 2025년 3분기 동안에만 Cloudflare는 Aisuru가 수행한 대규모 볼류메트릭 공격 1,304건을 완화했습니다. 이는 전 분기 대비 54% 증가한 수치입니다. 여기에는 전 세계 기록을 경신한 29.7Tbps 규모의 DDoS 공격과 14.1Bpps DDoS 공격도 포함됩니다.
29.7Tbps 공격은 초당 평균 1만5천 개의 목적지 포트를 쓸어버린 UDP 융단 폭격형 공격이었습니다. 이 분산 공격은 방어를 회피하기 위해 여러 패킷 속성을 무작위화했지만, Cloudflare의 완전 자동화된 방어 시스템이 이 공격을 포함한 모든 공격을 탐지하고 차단했습니다. Cloudflare에서 대규모 볼류메트릭 DDoS 공격을 완화하는 방법에 대해 자세히 알아보세요.
대부분의 DDoS 공격은 비교적 규모가 작지만, 3분기에는 초당 1억 패킷(Mpps)을 넘긴 DDoS 공격의 건수가 전 분기 대비 189% 증가했습니다. 마찬가지로 1Tbps를 초과하는 공격은 전 분기 대비 227% 증가했습니다. HTTP 계층에서는 100건 중 4건의 공격이 초당 100만 요청을 초과했습니다.
또한 공격의 대부분은 매우 짧게 끝나며, HTTP DDoS의 71%와 네트워크 계층 DDoS의 89%가 10분 이내에 종료됩니다. 그 정도 속도라면 사람도, 온디맨드 방식의 서비스도 대응하기에는 턱없이 빠른 수준입니다. 공격 자체는 몇 초만에 끝날 수 있지만, 그로 인한 피해는 심각할 수 있으며 복구에는 훨씬 더 긴 시간이 걸립니다. 그 결과 엔지니어링 및 운영팀은 중요한 시스템을 다시 온라인으로 올리고, 분산 시스템 전반의 데이터 일관성을 점검하며, 고객에게 안전하고 안정적인 서비스를 복구하기 위해 복잡하고 여러 단계에 걸친 작업에 발이 묶이게 됩니다.
대규모 볼류메트릭 여부에 관계없이 단기 DDoS 공격의 영향은 공격이 끝난 후에도 지속될 수 있습니다.
상위 소스 10개 중 7개는 아시아에 위치하고 있으며, 인도네시아가 선두를 달리고 있습니다. 인도네시아는 DDoS 공격의 최대 발원지이며, 2024년 3분기 이후 1년 내내 세계 1위를 유지하고 있습니다. 그 이전에도 인도네시아는 항상 공격 출처 상위 목록에 있었습니다. 2024년 2분기에는 인도네시아가 이전 분기 및 연도의 낮은 순위에서 상승하여 두 번째로 큰 출처였습니다.
인도네시아가 주요 DDoS 발원지로 떠오른 흐름을 보여주듯, 불과 5년 만에(2021년 3분기 이후) 인도네시아에서 발생한 HTTP DDoS 공격 요청의 비중은 무려 31,900%나 급증했습니다.
DDoS 공격자들은 희토류 광물을 노립니다
여러 매체 보도에 따르면, 2025년 3분기에는 전기차(EV) 관세, 희토류 수출, 사이버보안 문제를 둘러싼 긴장이 고조된 제25차 EU–중국 무역정상회의와 맞물려, 광업, 광물 및 금속 산업을 겨냥한 DDoS 공격이 크게 증가했습니다. BBC는 “중국이 희토류와 중요 광물에 대한 수출 규제도 강화했다”고 보도했습니다. 전반적으로, 광업, 광물 및 금속 산업은 세계 순위에서 24단계 상승하여 세계에서 49번째로 공격을 많이 받는 산업이 되었습니다.
자동차 산업은 DDoS 공격이 가장 크게 급증하여 한 분기 만에 62단계 상승하며 세계에서 여섯 번째로 공격을 많이 받은 산업이 되었습니다. 사이버 보안 기업들도 DDoS 공격이 크게 늘어났습니다. 사이버 보안 산업은 17단계 상승하여 세계에서 13번째로 공격을 많이 받은 산업이 되었습니다.
AI에 대한 DDoS 공격 347% 급증
2025년 9월, Tony Blair Institute 여론조사에서는 영국인들이 AI를 기회보다 경제적 위험으로 더 인식하고 있는 것으로 나타났으며, 이는 자동화와 신뢰 문제를 둘러싼 큰 화제를 불러일으켰습니다. 영국 법률위원회가 정부의 AI 활용에 대한 검토를 시작하면서, AI 윤리, 규제, 생성형 AI 도입이 주요 이슈로 떠오른 한 달이 되었습니다. 2025년 9월에는 주요 생성형 AI 서비스를 대상으로 한 HTTP DDoS 공격 트래픽이 전월 대비 최대 347%까지 급증하는 모습도 확인되었습니다.
상위 10위
2025년 3분기에는 정보기술(IT) 및 서비스 업종이 가장 많이 공격받은 산업으로 꼽혔으며, 그 뒤를 통신 업계와 도박 및 카지노 업계가 이었습니다. 특히 자동차 부문은 전 분기 대비 62단계나 급등했습니다. 미디어, 생산, 출판도 큰 폭으로 상승했으며, 은행 및 금융 서비스 산업, 소매 산업, 소비자 가전 산업이 그 뒤를 이었습니다.
지정학적 사건과 DDoS 공격 활동 사이에는 직접적인 상관관계가 있습니다.
약탈을 멈춰라!
몰디브어로 ‘Lootuvaifi’(약탈을 멈춰라!)라는 구호는 2025년 몰디브 시위에서 핵심 구호로 자리 잡았는데, 이는 시위대가 ‘정부의 부패와 민주주의 후퇴’에 항의하며 거리로 나설 때 등장한 구호입니다. 시위는 특히 ‘언론의 자유의 종말’로 불린 미디어 법안을 계기로 정점에 달했으며, 유엔 인권최고대표는 이 법안이 철회되지 않을 경우 ‘몰디브 국민의 언론의 자유와 표현의 자유를 심각하게 훼손할 것’이라고 지적했습니다. 2025년 몰디브 시위에는 대량의 DDoS 공격이 동반되었습니다. 그에 따라, 몰디브는 DDoS 공격 증가폭이 가장 컸던 국가가 되었습니다. 2025년 3분기에 몰디브는 무려 125계단이나 뛰어올라, 전 세계에서 38번째로 공격을 많이 받은 국가가 되었습니다.
‘모든 것을 차단하라’
‘모든 것을 차단하라’, 프랑스어로 ‘블로꽁 투(Bloquons Tout)’라 불리는 전국적 시위는 2025년 9월, 긴축 정책, 연금 제도 변경, 생활비 상승 등에 반대해 프랑스 노동조합들이 주도하며 시작됐습니다. 노동조합들이 국가 마비를 목표로 파업과 교통 봉쇄를 조직한 가운데, 사이버 위협 행위자들은 프랑스의 웹사이트와 인터넷 서비스를 겨냥해 대규모 DDoS 공격을 퍼부었습니다. 프랑스는 전 분기 대비 65단계 상승하여 세계에서 18번째로 공격을 많이 받은 국가가 되었습니다.
‘브뤼셀에서 가자 지구를 위한 레드라인을 그리다’
시위가 벌어진 다른 여러 국가에서도 DDoS 공격 증가가 함께 관측됐습니다. 예를 들어 벨기에는 63계단이나 뛰어올라 전 세계에서 74번째로 많이 공격받은 국가가 되었는데, 이는 ‘수만 명의 시위대가 브뤼셀에서 가자 지구를 위한 레드라인을 그리면서’ 발생한 결과입니다.
상위 10위
2025년 3분기에는 중국이 가장 많이 공격받은 국가로 남았고, 그 뒤를 터키와 독일이 이었습니다. 올해 3분기 동안 가장 큰 변화는 미국에 대한 DDoS 공격 증가였으며, 미국은 순위가 11계단 올라 전 세계에서 다섯 번째로 많이 공격받는 국가가 되었습니다. 필리핀은 상위 10개국 중 증가폭이 가장 컸으며, 순위가 20계단 상승했습니다.
네트워크 계층 DDoS 공격
Aisuru 공격의 영향을 일부 받은 UDP DDoS 공격은 전 분기 대비 231% 증가하며, 네트워크 계층에서 가장 많이 사용된 공격 벡터가 되었습니다. DNS 폭주가 2위, SYN 폭주가 3위, ICMP 폭주가 4위를 차지했으며, 이는 전체 네트워크 계층 DDoS 공격의 절반 이상을 차지했습니다.
첫 대규모 등장 이후 거의 10년이 지났지만, Mirai 기반 DDoS 공격은 여전히 흔합니다. 네트워크 계층 DDoS 공격 100건 중 거의 2건은 Mirai 봇넷의 변종에 의해 수행됩니다.
HTTP DDoS 공격
HTTP DDoS 공격의 70% 가까이가 이미 Cloudflare에 알려진 봇넷을 통해 발생합니다. 이는 고객들이 Cloudflare를 이용함으로써 얻는 이점 중 하나를 보여줍니다. 봇넷이 수백만 명의 Cloudflare 고객 중 한 명을 공격하면, 모든 고객이 자동으로 해당 봇넷으로부터 보호받게 되는 것입니다.
나머지 약 20%의 HTTP DDoS 공격은 가짜 브라우저나 헤드리스 브라우저에서 발생했거나, 의심스러운 HTTP 속성을 포함하고 있었습니다. 나머지 약 10%는 일반 폭주, 비정상적인 요청, 캐시 버스팅 공격, 로그인 엔드포인트를 겨냥한 공격 등이었습니다.
기존의 DDoS 솔루션이 더 이상 적합하지 않은 이유
우리는 DDoS 공격의 정교함과 규모가 빠르게 성장하는 시대에 접어들었습니다. 몇 년 전만 해도 상상할 수 없었던 수준을 이미 뛰어넘었습니다. 많은 조직이 진화하는 위협 환경에 뒤처지지 않기 위한 노력 속에서 어려움을 겪었습니다.
온프레미스 방어 장치나 온디맨드 스크러빙 센터 솔루션에 의존하는 조직은, 현재의 위협 환경을 고려해 방어 전략을 재검토하는 것이 도움이 될 수 있습니다.
Cloudflare는 방대한 전역 네트워크와 자율적 DDoS 완화 시스템을 통해, DDoS 공격의 크기, 지속 시간, 양에 관계없이 모든 고객에게 무료 무제한 DDoS 방어를 제공하기 위해 최선을 다하고 있습니다.