좀비 TV 400만 대의 35초 — 2025년 DDoS 공격은 어떻게 역대 기록을 갈아치웠나

2025년 한 해 동안 Cloudflare가 자동으로 차단한 DDoS 공격은 4,710만 건이다. 시간당 5,376건 꼴이다. 그리고 그 정점에는 고작 35초 동안 31.4 Tbps의 트래픽을 쏟아부은 단일 공격이 있다. 서울시 전체 인터넷 트래픽을 한 서버에 35초간 집중시킨 것과 비슷한 규모다. 공격자의 무기? 악성코드에 감염된 안드로이드 TV 수백만 대였다.

2024년 vs 2025년 — 숫자가 말하는 현실

Cloudflare 2025 Q4 DDoS 위협 리포트는 공격의 양과 질 모두에서 기록적인 해를 보여준다.

Q4만 따로 떼어 봐도 전분기 대비 31%, 전년 동기 대비 58%가 늘었다. 초대형 공격(hyper-volumetric attack)은 전분기 대비 40% 증가했고, 2024년 말과 비교하면 규모가 700% 이상 커졌다.

[💡 잠깐! 이 용어는?] Hyper-volumetric Attack(초대형 공격): 일반적인 DDoS를 크게 넘어서는 규모의 공격이다. 보통 수백 Gbps 이상이나 수천만 rps 이상의 트래픽을 생성하는 공격을 가리킨다. 이 규모가 되면 단일 데이터센터로는 흡수가 불가능하고, 글로벌 분산 네트워크가 필수다.

Aisuru-Kimwolf — 거실의 TV가 무기가 되는 세상

31.4 Tbps 기록을 세운 주인공은 Aisuru-Kimwolf 봇넷이다. 이 봇넷의 구성원은 대부분 안드로이드 TV 기기다. 거실에 놓인 스마트 TV가 주인 모르게 사이버 공격의 병사가 되어 있는 것이다. 추정 감염 호스트 수는 100만~400만 대에 달한다.

공격 주체:    Aisuru-Kimwolf 봇넷
감염 기기:    안드로이드 TV 100만~400만 대
최대 규모:    31.4 Tbps (역대 최대)
지속 시간:    35초
공격 계층:    네트워크 레이어 (L3/L4)
방어 결과:    Cloudflare 자동 방어 시스템이 차단

비유하면 이렇다. 하나의 수도꼭지에서 나오는 물은 별것 아니지만, 400만 개의 수도꼭지를 동시에 한 하수구에 쏟아부으면 어떤 배수 시스템도 버틸 수 없다. 각각의 안드로이드 TV는 미미한 트래픽을 생성하지만, 수백만 대가 동시에 움직이면 31.4 Tbps라는 괴물이 된다.

Q4에 Aisuru-Kimwolf가 일으킨 초대형 공격만 902건이다. 하루 평균 53건이다. 패킷 집중형 384건, 대역폭 집중형 329건, 요청 집중형 189건으로 분류된다.

[💡 잠깐! 이 용어는?] 봇넷(Botnet): 악성코드에 감염되어 공격자의 원격 명령을 받는 기기들의 네트워크다. 기기 소유자는 감염 사실을 모르는 경우가 대부분이다. 과거에는 PC가 주 대상이었지만, 최근에는 보안이 허술한 IoT 기기와 스마트 TV가 집중 타깃이 되고 있다.

공격 벡터 분석 — DNS Flood가 선두

2025 Q4 기준, 전체 DDoS 공격 중 78%가 네트워크 레이어(L3/L4) 공격이었다. HTTP 레이어보다 네트워크 인프라 자체를 노리는 공격이 압도적으로 많았다는 뜻이다.

HTTP DDoS 쪽에서는 Aisuru-Kimwolf 봇넷이 **2,000만 rps(초당 요청 수)**를 넘는 초대형 캠페인을 벌였다. "크리스마스 전야(The Night Before Christmas)"라는 별명까지 붙은 대규모 공격이었다.

[💡 잠깐! 이 용어는?] SYN Flood: TCP 연결의 첫 단계인 SYN 패킷을 대량으로 보내 서버의 연결 대기 큐를 채우는 공격이다. 서버는 각 SYN에 대해 자원을 할당하고 응답(SYN-ACK)을 보낸 뒤 ACK를 기다리는데, 공격자는 ACK를 보내지 않으므로 서버 자원이 고갈된다.

누가 쏘고, 누가 맞는가

공격 발원지 TOP 5

1. 방글라데시 — 2025 Q4에 인도네시아를 제치고 1위로 부상
2. 에콰도르
3. 인도네시아 — 1년간 1위를 지키다가 3위로 하락
4. 아르헨티나
5. 홍콩

표적 산업

초대형 공격의 집중 표적은 통신(Telecommunications) 산업이었다. 그 뒤를 게임, 생성형 AI 서비스가 이었다. 생성형 AI 서비스가 DDoS 표적 리스트에 등장한 것은 2025년의 새로운 현상이다.

랜섬 DDoS의 귀환

DDoS 공격을 받은 Cloudflare 고객 중 랜섬 DDoS(돈을 내지 않으면 트래픽을 쏟아붓겠다는 협박)를 경험했다고 보고한 비율이 전분기 대비 68% 증가했다.

348 Tbps로 31.4 Tbps를 삼키다

Cloudflare의 자율 방어 시스템은 31.4 Tbps 공격을 포함한 모든 초대형 공격을 사람의 개입 없이 자동으로 탐지하고 차단했다. 가능한 이유는 Cloudflare 네트워크의 총 용량이 348 Tbps를 넘기 때문이다. 31.4 Tbps가 역대 최대라 해도 전체 용량의 10% 미만이다. 댐에 비유하면, 역대 최대 홍수가 밀려왔지만 댐의 총 저수 용량이 그 10배 이상이라 넘칠 일이 없는 것과 같다.

탐지_방식: ML 기반 자율 탐지 + 실시간 트래픽 분석
방어_위치: 330개 이상 데이터센터에서 분산 처리
총_네트워크_용량: 348+ Tbps
Q4_차단_초대형_공격: 902건
차단_성공률: 100%
인간_개입: 불필요

마무리

2025년 DDoS는 두 가지 전환점을 찍었다. 첫째, 공격 규모가 수십 Tbps 영역에 진입했다. 둘째, 공격 무기가 PC에서 IoT 기기(특히 스마트 TV)로 이동했다. 인프라를 운영하는 입장에서 핵심 교훈은 자동화된 방어 체계 없이는 이 속도와 규모의 공격에 대응할 수 없다는 것이다. 35초 만에 끝나는 공격에 사람이 반응해서 대처하는 것은 물리적으로 불가능하다. 방어 시스템이 공격보다 먼저 움직여야 하는 시대가 이미 와 있다.

참고:

• Cloudflare DDoS Threat Report Q4 2025: https://blog.cloudflare.com/ddos-threat-report-2025-q4/
• Cloudflare Radar: https://radar.cloudflare.com/reports/ddos-2025-q4