AISURU/킴울프 봇넷
AISURU/Kimwolf로 추적되는 분산 서비스 거부(DDoS) 봇넷이 초당 최대 31.4테라비트(Tbps)의 트래픽을 기록한 전례 없는 공격과 연관되어 있습니다. 이처럼 극심한 강도에도 불구하고 공격은 단 35초 만에 종료되었습니다. 2025년 11월에 발생한 이 사건은 현재까지 관측된 DDoS 공격 중 가장 큰 규모로 기록되고 있습니다.
목차
초고용량 HTTP 공격의 증가
보안 연구원들은 이 사건이 2025년 4분기 동안 AISURU/Kimwolf에 의해 발생한 대규모 HTTP DDoS 공격 급증의 일부라고 밝혔습니다. 이러한 공격은 기존 방어 체계가 완전히 대응하기 전에 현대 인터넷 인프라를 마비시키도록 설계된, 짧은 시간 동안 엄청난 처리량을 요구하는 공격 방식이 증가하는 추세를 보여줍니다.
'크리스마스 이브' 캠페인
AISURU/Kimwolf는 2025년 12월 19일에 시작된 '크리스마스 이브'라는 대규모 공격 작전과도 연관되어 있습니다. 이 작전 기간 동안 초고용량 공격은 평균 초당 30억 패킷(Bpps), 4Tbps의 대역폭, 그리고 초당 5,400만 건의 요청(MRPS)을 기록했습니다. 최고치는 각각 9Bpps, 24Tbps, 205MRPS에 달하여, 이 봇넷이 지속적이고 극심한 트래픽량을 생성할 수 있는 능력을 보여주었습니다.
2025년 DDoS 공격 활동의 폭발적인 증가
2025년 한 해 동안 DDoS 공격 활동이 급격히 증가하여 전년 대비 121% 급증했습니다. 평균적으로 매시간 5,376건의 공격이 자동으로 차단되었습니다. 연간 총 공격량은 두 배 이상 증가하여 약 4,710만 건에 달했습니다. 이러한 증가세의 상당 부분은 네트워크 계층 공격에서 비롯되었으며, 2024년 1,140만 건에 비해 2025년에는 3,440만 건이 차단되었습니다. 특히 4분기에는 네트워크 계층 공격이 전체 DDoS 공격의 78%를 차지했는데, 이는 전 분기 대비 31%, 2024년 대비 58% 증가한 수치입니다.
규모와 빈도의 증가
2025년 4분기에는 전 분기 대비 대규모 공격이 40% 증가하여 1,304건에서 1,824건으로 급증했습니다. 같은 해 1분기에는 이러한 공격이 717건에 불과했습니다. 공격 빈도뿐 아니라 규모 또한 크게 확대되어 2024년 말에 관찰된 대규모 공격에 비해 700% 이상 증가했습니다.
해킹된 기기를 통한 봇넷 확장
AISURU/Kimwolf는 200만 대 이상의 안드로이드 기기로 구성된 봇넷을 제어하는 것으로 평가되었습니다. 대부분은 IPIDEA와 같은 가정용 프록시 네트워크를 통해 은밀하게 등록되고 라우팅되는, 브랜드가 없는 안드로이드 TV입니다. 이러한 프록시 서비스는 공격의 출처를 숨기고 트래픽을 증폭시키는 데 악용되었습니다.
프록시 인프라 중단 및 법적 조치
이러한 활동에 대응하여 전문가들은 최근 IPIDEA 주거용 프록시 네트워크를 차단하고 명령 및 제어 운영과 트래픽 프록시에 사용된 수십 개의 도메인을 해체하기 위한 법적 조치를 시작했습니다. 이번 조치로 IPIDEA의 도메인 확인 기능에도 차질이 생겨 감염된 기기를 관리하고 프록시 서비스를 상업화하는 능력이 크게 저하되었습니다. 악성코드 배포 및 주거용 프록시 네트워크에 대한 불법 접근을 용이하게 한 것으로 확인된 다수의 계정과 도메인이 정지되었습니다.
악성코드 배포 및 은밀한 프록시 등록
조사 결과, IPIDEA는 프록시 소프트웨어 개발 키트(SDK)가 포함된 최소 600개의 트로이목마화된 안드로이드 애플리케이션과 OneDrive 동기화 도구 또는 윈도우 업데이트로 위장한 3,000개 이상의 트로이목마화된 윈도우 바이너리를 통해 기기를 등록한 것으로 나타났습니다. 또한, 베이징에 기반을 둔 이 조직은 사용자의 안드로이드 기기를 사용자 모르게 동의 없이 프록시 종료 노드로 전환하는 VPN 및 프록시 애플리케이션을 광고했습니다. 운영자들은 합법적인 서비스처럼 위장했지만 궁극적으로는 IPIDEA가 통제하는 중앙 집중식 인프라에 연결된 최소 12개의 가정용 프록시 서비스와도 연관되어 있는 것으로 밝혀졌습니다.
2025년 4분기에 관찰된 주요 DDoS 공격 동향
공격 대상 업종, 피해 지역 및 공격 발생지: 통신 사업자와 이동통신사가 가장 많이 공격받았으며, 그 뒤를 정보 기술, 도박, 게임 및 컴퓨터 소프트웨어 업종이 이었습니다. 공격을 가장 많이 받은 국가는 중국, 홍콩, 독일, 브라질, 미국, 영국, 베트남, 아제르바이잔, 인도, 싱가포르였습니다. 방글라데시는 인도네시아를 제치고 DDoS 공격의 최대 발생지로 부상했으며, 에콰도르, 아르헨티나, 홍콩, 우크라이나, 대만, 싱가포르, 페루 등이 주요 발생지였습니다.
방어 전략에 대한 시사점
DDoS 공격은 정교함과 규모 면에서 급속도로 증가하여 이전에 예상했던 한계를 훨씬 뛰어넘고 있습니다. 이러한 진화하는 위협 환경은 기존 방어 체계만으로 대응하려는 기업들에게 심각한 어려움을 야기합니다. 온프레미스 완화 장비나 온디맨드 스크러빙 센터에 주로 의존하는 기업들은 대규모의 단시간 공격이라는 현실에 맞춰 DDoS 방어 전략을 재평가해야 할 필요가 있습니다.
