대역폭이 아니라 요청 수로 때린다 Aisuru·Kimwolf 봇넷과 205Mrps의 경고
🤖 AI Summary
DDoS를 이야기할 때 우리는 보통 "초당 몇 Tbps"라는 대역폭 숫자를 떠올립니다. 그런데 2025년 말 등장한 Aisuru·Kimwolf 봇넷은 대역폭이 아니라 초당 요청 수(rps) 축에서 205Mrps(초당 약 2억 건)를 찍었습니다. 회선을 막는 게 아니라 서버가 요청을 처리하다 쓰러지게 만드는 공격이죠. 이 봇넷은 주로 저가·미인증 Android TV 박스와 IoT 기기를 감염시키고, DNS·전자서명·블록체인(ENS)까지 동원한 탐지 회피형 C2 구조로 단속에 강합니다. 이 글은 rps와 bps의 차이, 봇넷의 정체와 C2 구조, 그리고 "왜 엣지에서 흡수해야 하는가"의 원리를 벤더중립으로 정리합니다. (대역폭 기준 기록과 2026 DDoS 동향은 2026 DDoS 위협 리포트 분석에서 다뤘습니다.)
블로그 목차
같은 'DDoS'인데, 측정하는 축이 다르다
DDoS 규모는 흔히 두 가지 축으로 잽니다. 하나는 bps(bits per second), 즉 초당 얼마나 많은 데이터를 쏟아붓느냐 — 회선(대역폭)을 가득 채워 통로를 막는 방식입니다. 다른 하나는 rps(requests per second), 즉 초당 얼마나 많은 요청을 보내느냐 — 서버가 그 요청을 받아 처리하느라 CPU·연결·메모리 자원이 먼저 고갈되게 만드는 방식입니다.
둘은 체감이 다릅니다. 대역폭 공격은 "수도관을 물로 꽉 채워 막는" 쪽이라면, 요청 공격은 "창구에 사람을 끝없이 보내 직원을 마비시키는" 쪽입니다. 특히 로그인·검색·API 같은 애플리케이션 계층(L7) 요청은 서버가 요청마다 DB 조회나 API 호출을 해야 하므로, 적은 대역폭으로도 더 큰 피해를 줄 수 있습니다. 게다가 각 봇이 정상처럼 보이는 요청을 보내 평소 트래픽과 구분하기도 어렵죠. Aisuru·Kimwolf가 보여준 205Mrps가 바로 이 rps 축의 기록입니다.
205Mrps라는 숫자의 의미
Cloudflare가 하이퍼볼류메트릭(hyper-volumetric, 초대용량) DDoS로 분류한 이 공격에서, 205Mrps는 초당 약 2억 건의 요청입니다. 이 수치는 2025년 12월 19일 시작된 'The Night Before Christmas' 공격 캠페인에서 관측된 최대 요청률입니다. 같은 캠페인에서 측정 축별 최대치는 각각 패킷 9Bpps · 비트 24Tbps · 요청 205Mrps였고(평균은 3Bpps·4Tbps·54Mrps), 이 세 숫자는 서로 다른 축의 각 최대치이지 한 공격이 동시에 낸 값이 아닙니다.
같은 봇넷이 만든 다른 기록도 있습니다. Cloudflare는 Aisuru·Kimwolf가 비트 축 31.4Tbps, 패킷 축 14.1Bpps, 요청 축 2억 rps 초과의 공격을 각각 별개의 기록으로 일으켰다고 설명합니다. 즉 31.4Tbps는 205Mrps와 다른 축의 별개 기록이며, 한 공격으로 합치면 사실이 어긋납니다. 이 글이 보는 것은 31.4Tbps라는 대역폭 기록이 아니라, rps라는 다른 축에서 벌어진 일입니다.
누가 때렸나 Aisuru·Kimwolf의 정체
이 공격들의 배후로 지목된 것이 Aisuru와 Kimwolf 봇넷입니다. Aisuru는 2016년 유출된 Mirai 코드에 뿌리를 둔 '부모(parent)' 봇넷이고, Kimwolf는 그 안드로이드 변종으로 사실상 같은 그룹이 운영하는 것으로 분석됩니다.
흥미로운 건 감염 대상입니다. 고성능 서버가 아니라 저가·미인증 오프브랜드 Android TV 박스와 DVR·웹캠·WiFi 라우터 같은 일상 IoT 기기가 주력입니다. 이런 기기는 보안 업데이트가 거의 없고, 잘 꺼지지 않으며, 기본 관리자 비밀번호를 그대로 쓰는 경우가 많습니다. 심지어 일부 저가 TV 박스는 프록시 SDK가 미리 심긴 채 팔려, 봇넷이 수 분 만에 장악하기도 합니다. 이 기기들 대부분은 평범한 가정과 소상공인이 쓰는 물건이고, 소유자는 자기 TV 박스나 공유기가 공격에 동원되고 있다는 사실조차 모르는 경우가 많습니다.
규모는 출처마다 다르게 추정되니 구분해서 봐야 합니다.
Cloudflare는 Aisuru·Kimwolf 봇넷 전체를 주로 Android TV로 구성된
추정 100만~400만 대로 봅니다.안드로이드 변종 Kimwolf만 따로 보면 추정치가 출처별로 다릅니다. XLab은
약 180만 대 이상, Cloudflare는약 200만 대로 봅니다(3일간 약 270만 개 IP가 관측됐지만, 동적 IP라 기기 수와는 다릅니다).흔히 보이는
"약 300만 대"는 2026년 3월 미국 법무부가 단속 대상으로 삼은4개 봇넷(Aisuru·Kimwolf·JackSkid·Mossad)의 합산치입니다. Aisuru·Kimwolf 단독 규모와 섞으면 안 됩니다.
왜 잡기 어려운가 블록체인까지 쓰는 C2
봇넷의 위협은 규모만이 아니라 명령제어(C2) 구조에 있습니다. Aisuru·Kimwolf는 감염 기기에 명령을 내리는 C2를 탐지·차단에 강하도록 설계했습니다.
DNS에 숨긴 C2— Aisuru는 C2 서버 주소를DNS레코드에 숨겨 전달합니다. 평범한 DNS 조회처럼 보여 트래픽에서 가려내기 어렵고, 운영자는 DNS 레코드만 바꿔 서버를 갈아끼웁니다.블록체인 은닉(ENS)— Kimwolf는 한발 더 나아가 이더리움 블록체인의 이름 서비스(ENS)에 C2를 숨깁니다. 블록체인 기록은운영자 개인키 없이는 등록기관·당국도 압수하기 어려워, 생태계에서 가장 내려받기 힘든 방식으로 꼽힙니다.암호화·서명— 통신은 DNS-over-TLS로 감싸고, 명령은타원곡선(ECC) 전자서명으로 인증해 제3자가 가짜 명령을 끼워 넣거나 봇넷을 가로채기 어렵게 만들었습니다.
이런 구조 때문에 C2 서버 몇 대를 내려도 기기들이 다음 거점을 찾아갑니다. 한 번의 단속으로 완전히 사라지지 않는 이유입니다.
2026년 3월, 일부 무력화 그러나 사이클은 계속된다
2026년 3월 19일, 미국 법무부가 캐나다·독일과 함께 Aisuru를 포함한 4개 봇넷(Aisuru·Kimwolf·JackSkid·Mossad)의 C2 인프라를 무력화하는 작전에 참여했습니다. 법원 문서에 따르면 봇넷별 DDoS 공격 명령은 Aisuru 20만 건 이상, JackSkid 9만 건 이상, Kimwolf 2만5천 건 이상, Mossad 1천 건 이상으로 집계됐습니다(기기 수가 아니라 명령 횟수입니다).
의미 있는 진전이지만, 법무부 스스로 이를 봇넷 통신을 '무력화(disrupt)'해 추가 감염과 향후 공격을 막거나 줄이려는 작전이라고 설명했지, 완전한 박멸이라고 하지 않았습니다. 보안 업계도 "이 정도 규모의 디스럽션이 공격 역량을 일시적으로 줄여도 근본 생태계를 없애는 경우는 드물다"며 "봇넷 사이클은 계속된다"고 봅니다. 공격을 만든 진짜 토대는 전 세계에 흩어진 허술한 저가 IoT 기기인데, 그 감염원이 그대로인 한 변종은 다시 조립되기 때문입니다.
그래서 무엇을 봐야 하나 엣지에서 흡수한다는 것
rps 축 공격의 핵심 교훈은 분명합니다. 오리진 서버 한 곳이 초당 수억 요청을 직접 받으면 버틸 수 없다는 것입니다. 그래서 방어의 출발점은 "요청을 오리진까지 보내기 전에, 사용자와 가까운 분산된 엣지에서 최대한 흡수·차단한다"는 원리입니다.
여기에는 한계도 함께 봐야 합니다. 엣지가 정적 콘텐츠를 캐시로 흡수하더라도, 캐시되지 않는 동적 요청(로그인·검색·API 등)은 결국 처리가 필요합니다. rps 공격이 무서운 건 바로 이 동적 경로를 노리기 때문이고, 그래서 "대역폭만 늘리면 된다"는 발상으로는 막기 어렵습니다. 자기 서비스에서 어떤 요청이 캐시로 흡수되고 어떤 요청이 오리진까지 가는지를 먼저 파악하는 것이 출발점입니다.
이것만 기억하세요
DDoS는 대역폭(bps)만의 싸움이 아닙니다. Aisuru·Kimwolf 봇넷이 보여준 205Mrps(초당 약 2억 건 요청)는 회선이 아니라 서버의 요청 처리 자원을 노리는 rps 축 공격입니다. 이 봇넷은 저가 Android TV박스·IoT를 감염시키고(Cloudflare 추정 100만~400만 대, Kimwolf 단독 약 180만~200만 대), DNS와 이더리움 ENS 블록체인까지 쓰는 탐지 회피형 C2로 단속에 강합니다. 주의할 사실 — 205Mrps와 31.4Tbps는 다른 축의 별개 기록이고, '약 300만 대'는 미국 법무부 기준 4개 봇넷 합산이며, 2026년 3월 국제공조는 일부 무력화(디스럽션)이지 박멸이 아닙니다. 방어의 원리는 분산된 엣지에서 요청을 최대한 흡수하되, 캐시되지 않는 동적 요청 경로를 함께 점검하는 것입니다.
자주 묻는 질문 (FAQ)
Q. 205Mrps가 31.4Tbps와 같은 공격인가요?
아니에요. 다른 측정 축의 별개 기록입니다. 31.4Tbps는 대역폭(bps) 축, 205Mrps는 2025년 12월 19일 'The Night Before Christmas' 캠페인의 최대 요청 수(rps)예요. 같은 캠페인에서도 비트(24Tbps)·패킷(9Bpps)·요청(205Mrps)은 각각 다른 축의 최대치라, 한 공격이 동시에 낸 수치로 합치면 안 됩니다.
Q. rps와 bps는 어떻게 다른가요?
bps(초당 비트)는 회선 대역폭을 채워 통로를 막고, rps(초당 요청)는 서버가 요청을 처리하느라 CPU·연결·메모리가 고갈되게 합니다. 애플리케이션 계층(L7) 요청 공격은 적은 대역폭으로도 큰 피해를 주고, 정상처럼 보이는 요청이라 평소 트래픽과 구분이 어려워요. 205Mrps는 초당 약 2억 건 요청입니다.
Q. Aisuru·Kimwolf 봇넷은 무엇을 감염시키나요?
주로 저가·미인증 Android TV 박스와 IoT 기기(DVR·웹캠·WiFi 라우터)예요. Cloudflare는 봇넷 전체를 추정 100만~400만 대로 봅니다. 안드로이드 변종 Kimwolf만 따로 보면 XLab은 약 180만 대 이상, Cloudflare는 약 200만 대로 추정해요(3일간 270만 IP 관측됐지만 동적 IP라 기기 수와 다름). 흔히 인용되는 '약 300만 대'는 미국 법무부 기준 4개 봇넷(Aisuru·Kimwolf·JackSkid·Mossad) 합산치예요.
Q. 왜 이런 봇넷은 차단하기 어렵나요?
C2 구조가 탐지·차단에 강하게 설계됐어요. Aisuru는 C2를 DNS에 숨겨 평범한 조회처럼 위장하고, Kimwolf는 이더리움 블록체인 이름 서비스(ENS)에 C2를 숨깁니다. 블록체인 기록은 운영자 개인키 없이는 압수가 어려워 가장 내려받기 힘들죠. 여기에 명령을 ECC 전자서명으로 인증하고 DNS-over-TLS로 통신을 감싸, 한 번 단속해도 완전히 사라지지 않아요.
Q. 2026년 3월 단속으로 봇넷은 사라졌나요?
완전히는 아니에요. 2026년 3월 19일 미국 법무부가 캐나다·독일과 4개 봇넷 C2를 무력화했지만, 법무부도 '디스럽션(통신 무력화)'으로 설명했지 박멸이라고 하지 않았어요. 업계는 '봇넷 사이클은 계속된다'고 봅니다. 감염원(저가 IoT)이 남아 있는 한 변종이 다시 등장하므로 상시 대비가 필요합니다.
