- AI 기술 활용한 공격, 해커 집단의 지속적 공격, 국가 차원의 DDoS 무기화로 인해 전 세계 기업과 기관들의 핵심 주요 인프라가 위험에 노출

 

글로벌 보안기업 넷스카우트는 오늘 2025년 상반기에 넷스카우트가 탐지한 디도스(DDoS) 공격 지형(Attack Landscape) 분석 리포트를 발표했다.

 

넷스카우트는 2025년 상반기 동안 전 세계에서 800만 건 이상의 디도스 공격을 모니터링했으며, 이 중 320만 건 이상이 EMEA(유럽·중동·아프리카) 지역에서 발생했다. 디도스 공격은 이제 지정학적 영향력을 행사할 수 있는 정밀 유도형 무기(Precision-Guided Weapons)로 발전해, 핵심 주요 인프라(Critical Infrastructure)를 불안정하게 만들고 있다.

 

‘노네임057(16)(NoName057(16))’과 같은 해커 그룹은 매달 수백 건의 조직적 공격을 수행하며 통신, 교통, 에너지, 국방 분야를 표적으로 삼았다. 유료 DDoS(DDoS-for-Hire) 서비스는 공격 도구를 대중화시켜, 초보 공격자도 정교한 공격 캠페인을 수행할 수 있게 했다. AI 기반 자동화(AI-Enhanced Automation), 다중 벡터 공격(Multi-Vector Attacks), 무차별 폭격(Carpet Bombing) 기법은 기존 방어 체계를 위협한다.

 

봇넷(Botnet)은 수만 대의 IoT 기기, 서버, 라우터를 감염시켜 장시간 공격을 수행하고, 심각한 혼란을 초래했다. 각각의 요소만으로도 충분히 위험하지만, 이들이 결합해 전례 없는 사이버 리스크를 전 세계 조직과 서비스 제공업체 네트워크에 가중시키고 있다.

 

 

■ 전 세계 공격량 급증(Massive Global Attack Volume)

넷스카우트는 2025년 상반기 동안 네덜란드에서 발생한 3.12Tbps 공격과 미국에서 발생한 1.5Gpps 공격을 포함해 초당 1테라비트(Tbps)를 초과하는 대규모 공격 50건 이상과 초당 기가패킷(Gpps) 단위의 다수 공격을 탐지하여 확인했다.

 

■ 지정학적 사건이 초래한 전례 없는 DDoS 공격 증가(Geopolitical Events Triggered DDoS)

인도-파키스탄 갈등(2025년 5월)에서는 핵티비스트 그룹이 인도 정부 및 금융 부문을 공격했으며, 이란-이스라엘 갈등(2025년 6월)에서는 이란에 15,000건 이상, 이스라엘에 279건의 공격이 발생했다.

 

■ 봇넷 기반 공격 고도화(Botnet-Driven Attacks)

2025년 3월 하루 평균 880건 이상의 봇넷 기반 DDoS(디도스) 공격이 발생했으며, 최대 1,600건까지 급증했다. 공격 지속 시간도 평균 18분으로 증가했다.

 

■ 신규 위협 행위자 등장(New Threat Actors)

유료로 제공되는 DDoS 공격 인프라를 활용한 DieNet은 3월 이후 60건 이상의 공격을 주도했으며, Keymous+는 23개국 28개 산업 분야에 걸쳐 73건의 공격을 실행했다.

 

■ NoName057(16)의 지배력 유지(Maintained Dominance)

해당 그룹은 3월 한 달에만 475건 이상의 공격을 주장했으며, 이는 두 번째로 활발한 그룹보다 337% 많은 수치다. 이들은 스페인, 대만, 우크라이나의 정부 웹사이트를 표적으로 삼아 집중적으로 겨냥했다.

 

넷스카우트 리처드 험멜(Richard Hummel) 위협 인텔리전스 디렉터는 “해커 활동가 집단이 자동화, 공유 인프라, 진화하는 전술을 더욱 활용함에 따라 조직들은 기존 방어 체계만으로는 더 이상 충분하지 않다는 점을 인식해야 한다”고 설명하고, “AI 어시스턴트)와 WormGPT, FraudGPT 같은 대규모 언어 모델(LLM)의 통합은 보안 위협에 대한 우려를 더욱 증폭시킨다. 최근 NoName057(16) 그룹 무력화(Takedown)가 디도스 봇넷 활동을 일시적으로 줄이는 데 성공했지만, 이들이 다시 최상위 디도스 위협으로 복귀하지 않을 것이라는 보장은 없다”고 밝혔다.

 

또한, “오늘날의 정교한 공격에 대응하기 위해서는 머신러닝 기반의 지능적이고 검증된 디도스 방어가 반드시 필요하다”고 덧붙였다.

 

넷스카우트는 수동(Passive), 능동(Active), 반응(Reactive) 관점을 모두 활용해 글로벌 디도스 지형을 지도화하고 있으며, 이를 통해 전례 없는 수준의 글로벌 공격 트렌드 가시성을 제공한다.

 

넷스카우트는 라우팅된 IPv4 공간의 3분의 2를 보호하며, 2025년 상반기 글로벌 피크 트래픽 800Tbps 이상을 처리한 네트워크 에지를 안전하게 지키고 있다. 수백만 대의 악용되거나 침해된 장치를 활용하는 다수의 봇넷 및 유료 DDoS 서비스 추적을 통해 매일 수만 건의 DDoS 공격을 모니터링한다.

 

#넷스카우트#디도스#DDoS#AI