Azure, 15Tbps 규모의 DDoS 공격에 50만 개 IP로 피격

• Aisuru 봇넷이 Microsoft Azure 네트워크를 대상으로 초당 15.72Tbps 규모의 대규모 DDoS 공격 수행
• 공격은 50만 개 이상의 IP 주소에서 발생했으며, 호주 내 특정 공개 IP를 향한 UDP 플러드 형태로 초당 36억 패킷에 도달
• Aisuru는 Turbo Mirai 계열 IoT 봇넷으로, 가정용 라우터와 카메라를 악용해 미국 등 여러 국가의 ISP 네트워크를 통해 확산
• Cloudflare와 Qi’anxin의 이전 공격 사례에서도 동일 봇넷이 11.5Tbps~22.2Tbps 규모 공격에 연루된 것으로 확인
• 클라우드 인프라 전반에서 대규모 IoT 기반 DDoS 위협의 지속적 확산이 드러난 사례

Azure 대상 15.72Tbps DDoS 공격 개요

• Microsoft는 Aisuru 봇넷이 Azure 네트워크에 대해 초당 15.72Tbps의 DDoS 공격을 수행했다고 발표

  • 공격은 50만 개 이상의 IP 주소에서 발생
  • 공격 유형은 고속 UDP 플러드로, 호주 내 특정 공용 IP를 목표로 함
  • 트래픽은 초당 약 36억 4천만 패킷(bpps) 수준에 도달

• Microsoft Azure 보안팀의 Sean Whalen은 Aisuru가 Turbo Mirai급 IoT 봇넷으로,
  가정용 라우터와 카메라를 감염시켜 대규모 공격을 일으킨다고 설명

  • 주로 미국 및 기타 국가의 주거용 ISP 네트워크를 통해 확산

• 공격 트래픽은 소스 스푸핑이 거의 없고, 랜덤 소스 포트를 사용

  • 이로 인해 추적(traceback) 및 공급자 차단 조치가 용이했음

Aisuru 봇넷의 이전 활동

• Cloudflare는 2025년 9월, 동일한 Aisuru 봇넷이 22.2Tbps 규모의 DDoS 공격을 일으켰다고 보고

  • 초당 106억 패킷에 달했으며, 약 40초간 지속
  • 이는 100만 개 4K 영상 동시 스트리밍에 해당하는 트래픽량

• 중국 보안업체 Qi’anxin의 XLab은 11.5Tbps 규모 공격을 Aisuru 봇넷의 소행으로 분석

  • 당시 약 30만 개의 봇이 제어되고 있었음

감염 경로 및 확산

• Aisuru는 IP 카메라, DVR/NVR, Realtek 칩, 라우터의 보안 취약점을 악용
  • 대상 제조사는 T-Mobile, Zyxel, D-Link, Linksys 등
• 2025년 4월, TotoLink 라우터 펌웨어 업데이트 서버 침해를 통해 약 10만 대 장비가 추가 감염
  • 이 시점 이후 봇넷 규모가 급격히 확대

Cloudflare의 대응 및 영향

• 보안 기자 Brian Krebs는 Cloudflare가 Aisuru 관련 도메인을
  자사 “Top Domains” 순위에서 제거했다고 보도
  • 해당 도메인들이 Amazon, Microsoft, Google 등 합법 사이트보다 상위에 오르며 순위를 왜곡
• Cloudflare는 Aisuru 운영자가 DNS 서비스(1.1.1.1) 에 악성 쿼리를 대량 전송해
  도메인 인기도를 인위적으로 높였다고 설명
  • CEO Matthew Prince는 이로 인해 랭킹 시스템이 심각하게 왜곡되었다고 언급
  • 이후 Cloudflare는 의심 도메인 비공개 처리 정책을 도입

DDoS 공격 증가 추세

• Cloudflare의 2025년 1분기 DDoS 보고서에 따르면
  • 전년 대비 358% 증가, 분기 대비 198% 증가한 공격량 기록
  • 2024년 한 해 동안 고객 대상 2,130만 건, 자사 인프라 대상 660만 건의 공격 차단
  • 일부는 18일간 지속된 다중 벡터 공격 캠페인으로 확인

요약

• Aisuru 봇넷은 IoT 기기 감염을 통한 초대형 DDoS 공격 인프라로 성장
• Microsoft Azure, Cloudflare 등 주요 클라우드 사업자들이 역대 최대 규모 공격을 방어
• DNS 서비스 왜곡, IoT 취약점 악용, 글로벌 트래픽 폭증이 결합된 복합적 위협 양상
• 클라우드 및 네트워크 사업자에게 지속적 방어 체계 강화 필요성을 보여주는 사례