「일본 GW를 노린 공격」이라고 생각하고 조사했더니, 전 세계 규모의 봇 경제가 보였다
1. 시작 — 직감에서 시작된 조사 #
「최근 공격 차단 건수가 줄어든 것 같다」
BASTION을 본격 운영한 지 약 1개월. 사내에서 이런 이야기가 나왔습니다. 기분 탓일까, 아니면 정말로 공격이 줄어든 걸까 — 그런 생각으로 공격 로그를 분석하던 중, **2026년 5월 1일에 비정상적인 스파이크가 있었다**는 것을 알게 됩니다.
평소의 3배인 약 4만 건의 차단이 발생했습니다.
그러나 데이터를 파헤쳐가자, 완전히 다른 이야기가 보이기 시작했습니다. 본 글은 그 「진상 추적」의 기록입니다.
2. 가설 검증 — 일본 타깃설은 부정되었다 #
「일본 GW를 노린 공격」이라면, 주변국(중국, 한국, 러시아)으로부터의 정찰 증가가 관찰되어야 합니다. 하지만 데이터는 그것을 보여주지 않았습니다.
| 국가 | 5/1 비율 | 평소(5/8) 비율 | 차이 |
|---|---|---|---|
| US | 33.5% | 54.6% | -21.1% |
| RU | 2.9% | 8.3% | -5.4% |
| CN | 2.0% | 4.8% | -2.8% |
| JP | 0.0% | 0.7% | -0.6% |
| (정체불명) | 48.3% | 22.5% | +25.8% |
주변국 비율은 오히려 감소. 대신 증가한 것은 「정체불명 소규모 ASN」 그룹이었습니다. 이것만으로도 「일본 타깃설」은 무너집니다.
더욱이, 웹서버 레벨의 Agent가 포착한 이벤트는 5/1이 오히려 더 적었습니다(432행 vs 평소 570행). **스파이크의 정체는 L1/L4의 TCP 포트 스캔**이었으며, 일본 웹사이트를 노린 캠페인이 아니었던 것입니다.
그렇다면, **「정체불명 ASN」은 도대체 무엇일까?** 여기서부터 조사가 본격적으로 시작됩니다.
3. 「정체불명 ASN」을 하나하나 특정해 나가다 #
사용한 것은 공개 정보뿐입니다. 구체적으로는:
- Team Cymru의 whois 서비스 — ASN→조직명 매핑
- Spamhaus DROP / EDROP / ASNDROP 리스트 — 알려진 봇 인프라
- Tor Project의 Exit Node 리스트 — 익명화 통신 탐지
이것만으로도 상당히 깊은 곳까지 파헤칠 수 있습니다. 상용 라이선스는 전혀 필요하지 않습니다.
조사 대상은 5/1 스파이크에서 두드러진 41개의 ASN. 이들이 「전 세계 규모의 봇 경제」 구조를 드러냈습니다.
4. 최대 발견 — 주범 후보는 Namecheap이었다 #
사전 조사에서 5/1 스파이크의 상위 공격원 중 하나로 **AS22612**라는 「정체불명」 ASN이 있었습니다. 하루에 1,152건의 이벤트를 발생시켰습니다.
Team Cymru로 조회하니:
Namecheap — 도메인 레지스트라 겸 VPS 사업자. 전 세계적으로 유명한 기업이지만, abuse 대응의 느림으로 공격자들이 자주 이용하는 것으로 알려져 있습니다.
더욱 흥미로운 것은 행동 패턴입니다. AS22612는 30일 중 단 4일만 출현했는데, 그중 5/1에만 전체 이벤트의 99% (1,152/1,163)가 집중되어 있습니다. “5/1만을 위해 임대된 일회용 VPS”의 전형적인 행동 양상입니다.
5. 봇 인프라의 3층 구조 #
조사를 진행하면서 5/1 스파이크에 참여한 공격원이 3개의 명확한 층으로 나뉘는 것을 발견했습니다.
| 층 | 성질 | 5/1 비율 | 대표 사례 |
|---|---|---|---|
| 층1 | 일회용 인프라(Use-and-burn) | 44% (18 ASN) | IOFLOOD, Biznet, Layerstack, OFFERHOSTINC 등 |
| 층2 | Bulletproof hosters | 32 ASN 참여 | Aeza (RU), Stark Industries (MD), DMZHOST (SC) 등 |
| 층3 | 지속적 대형 클라우드 | 46% (19 ASN) | Google Cloud, AWS, DigitalOcean, Linode 등 |
5.1 층1: 일회용 인프라 — “24시간 만에 사라지는 공격 기반” #
전 세계의 저가 VPS 사업자로부터 단기간 임대되어 공격 당일만 가동되고 이후 소멸하는 패턴입니다. 조사에서 확인된 사업자로는 미국의 IOFLOOD, 인도네시아의 Biznet, 홍콩의 Layerstack, 헝가리의 Rackforest, 방글라데시의 Wolast, 말레이시아의 SKSA 등 전 세계에 분산되어 있습니다.
특히 흥미로운 것은 AS208220 (OFFERHOSTINC, 세이셸)입니다. **ASN 등록일이 2025년 5월 19일**로, 즉 5/1 공격 불과 반년 전에 등록된 신규 ASN입니다. 공격자는 새로운 인프라를 지속적으로 보충하고 있습니다.
5.2 층2: Bulletproof hosters — Spamhaus가 “봇 운영 인프라”로 인정한 32개사 #
이들은 Spamhaus가 공식적으로 ASN-DROP 리스트 (Spamhaus가 “봇넷 운영 인프라”로 판정한 ASN 목록)에 등록한 사업자입니다.
그중 5/1 스파이크에 참여한 사업자는:
- Aeza (러시아)
- Stark Industries (몰도바)
- PROSPERO (러시아)
- DMZHOST (세이셸)
- STORMINDUSTRIES (룩셈부르크)
- IP Volume Inc (네덜란드)
- VPSVAULTHOST (영국)
- Serverion (네덜란드)
- 기타 24개사
이들은 abuse 신고를 무시하는 약관으로 공격자로부터 프리미엄 요금을 받는 비즈니스 모델입니다. bulletproof hosting이라 불리며, 전 세계적인 합법적 회색지대 사업으로 자리 잡고 있습니다.
지리적 분포(국가별 ASN 수): GB 6개사, DE 3개사, HK 3개사, NL 2개사, UA 2개사, MD 2개사, SC 2개사, BG 2개사, RO 2개사, US 2개사, RU 2개사, LT 1개사, LU 1개사, SG 1개사, IR 1개사. **사법권이 모호한 지역에 집중**되어 있음을 알 수 있습니다.
5.3 층3: 지속적 대형 클라우드 — 상시 가동되는 “배경 노이즈” #
Google Cloud, AWS, DigitalOcean, Linode, Vultr, Hetzner, OVH, Contabo와 같이 누구나 사용할 수 있는 대형 클라우드입니다. 이들은 30일 내내 활동이 관측되었으며, 5/1에도 평소의 몇 배에 달하는 활동이 있었습니다.
정상 고객과 공격자가 같은 인프라를 공유하고 있어 ASN 단위로 차단할 수 없습니다. 개별 IP의 행동 패턴을 관찰하여 악의적인 VM 인스턴스만 식별해야 합니다.
6. Tor는 0% — 익명성보다 경제적 합리성 #
조사에서 의외였던 것은 Tor 사용률입니다.
공격자는 Tor와 같은 익명화 네트워크를 사용하지 않았습니다. 이유는 명확합니다. Tor는 느리고 대역폭 제한이 있으며 봇 스캔에 적합하지 않기 때문입니다. 그보다는 “흔적이 남아도 버리면 그만”인 VPS가 경제적으로 더 합리적입니다.
7. 행동 패턴 분석 — 지속성으로 알 수 있는 “인프라의 성질” #
30일간의 로그를 사용하여 각 ASN이 5/1 외의 날에도 등장하는지 분석했습니다.
| 카테고리 | 일수 | ASN 수 | 인프라 성질 |
|---|---|---|---|
| A. 5/1 단발만 | 1일 | 18 (44%) | 일회용 VPS |
| B. Hit-and-run | 2-3일 | 4 (10%) | 단기 캠페인 |
| E. 지속(양측) | 4일 이상 | 19 (46%) | 상시 가동 인프라 |
「소진율(burn rate)」은 53.7%입니다. 절반 이상의 ASN이 단기간에 사라지는 운영을 하고 있다는 것입니다.
지속적으로 활동하는 19개의 ASN은 대부분 Google Cloud / AWS / DigitalOcean / Vultr / Hetzner와 같은 대형 클라우드이며, 이들은 정규 고객과 공격자가 혼재되어 있기 때문에 「악의적인 인스턴스만」을 식별해야 합니다.
8. 방어 측면의 시사점 — BASTION의 설계 결정은 옳았다 #
이 조사를 통해 BASTION의 몇 가지 설계 결정이 결과적으로 정답이었다는 것을 알 수 있습니다.
8.1 자동 만료 TTL이 「소진 사이클」과 일치 #
BASTION은 의도적 차단을 유한한 TTL로 자동 만료시키는 설계입니다. 당초에는 「오탐의 영구화를 방지하기 위해」 결정한 사양이었지만, 결과적으로 공격 인프라의 전형적인 수명과 일치하는 합리적인 설계가 되었습니다.
8.2 개별 IP 차단이 아닌 ASN 단위 탐지가 필수 #
일회용 VPS는 24시간 내에 IP가 변경됩니다. 개별 IP를 계속 추적하는 것은 땜질식 대응에 불과합니다. 동일 ASN 내에서 여러 IP가 동시에 이종 스캔을 수행하는 행동 패턴을 포착하면 IP가 변경되어도 탐지할 수 있습니다. BASTION이 그룹 상관 탐지에서 ASN 단위 그룹화를 구현한 이유가 바로 이것입니다.
8.3 Spamhaus ASN-DROP과의 연동 #
Spamhaus가 공식적으로 bulletproof hosters로 지정한 ASN은 410개입니다. 이들로부터의 트래픽은 자동으로 의심스러운 것으로 취급하는 설계가 효과적입니다. BASTION의 향후 개선 사항으로 ASN-DROP 목록의 자동 통합 및 감도 증가를 구현할 예정입니다.
8.4 24/7 자동 방어의 의의 #
5/1과 같이 SOC 인력이 부족해지는 시간대에 공격이 집중되는 이상, 사람 없이도 자동으로 완결되는 방어 체제가 필수입니다. BASTION은 처음부터 이를 전제로 설계되었습니다.
9. 교훈 — 「기분 탓」의 조사에서 드러난 것 #
「공격 차단 건수가 줄어든 것 같다」는 사내의 무심코 한 말에서 시작된 조사가 최종적으로 세계 규모의 봇 이코노미 구조를 가시화하는 결과가 되었습니다.
조사를 정리하면:
- 5/1의 스파이크는 일본 타겟이 아닌 글로벌 봇 활동의 증가였다
- 주범은 Namecheap의 VPS를 24시간 렌탈한 일회용 공격
- 전 세계의 저가 VPS가 공격 인프라로 대량 소비되고 있다
- 32개 Spamhaus 인증 bulletproof hosters가 당일 참여했다
- Tor 경유는 0%, 모두 VPS 경유 — 경제 합리성으로 움직이는 현대 공격자상
- BASTION의 자동 만료 TTL·ASN 단위 탐지·24/7 자동 방어는 결과적으로 이 「일회용 이코노미」에 대한 올바른 설계였다
「차단 건수가 줄어든 것은 BASTION의 효과인가?」라는 최초 질문에 대한 답변은 아직 확정적으로 말할 수 없습니다. 30일 샘플은 너무 짧습니다. 추석이나 연말연시 등 다른 연휴에서도 동일한 관찰을 계속하여 재현성을 확인할 필요가 있습니다.
다만 조사 과정에서 얻은 지식이 당초 질문의 답변보다 더 가치 있는 것이 되었습니다.
10. 향후 전개 #
- 추석(8/13-15), 연말연시(12/29-1/4)의 재현 확인 — 한국 고유 연휴에서도 동일한 스파이크가 있는가
- Spamhaus ASN-DROP의 자동 통합 — BASTION의 감도 판정에 통합
- 「단기 VPS 캠페인 탐지」의 알고리즘화 — 「단기간에 집중하여 대량 스캔을 수행하는 ASN」을 기계적으로 특정
- 캘린더 연동 감도 자동 조정 — 연휴 전후 임계값을 더욱 엄격하게 설정
이들은 순차적으로 진행하겠습니다. BASTION의 진화는 계속됩니다.
12. 문의 #
BASTION 도입을 검토하시는 기업, 공동 실증 프로그램에 관심 있는 분은 문의 양식에서 연락 주시기 바랍니다.
본 기사와 같은 「실제 환경 로그의 통계 분석」은 BASTION 도입 기업 고객을 위해 분기별 리포트로 제공 가능합니다. 범위에 따른 개별 견적으로 제안해 드립니다.
