Firing Line의 앱: DDoS 공격의 지속적인 힘
애플리케이션은 회사의 얼굴입니다. 요즘은 고객의 호감도가 눈 깜짝할 새에 결정되기 때문에 어떤 종류의 다운타임도 일어날 수 없습니다. 업무를 수행하지 못하는 매 순간은 재정적 손실이나 평판 손상으로 이어질 수 있습니다.
교란하고 피해를 입힐 수 있는 수많은 새로운 사이버 공격이 있지만, 가장 눈에 띄는(그리고 교란적인) 위협 중 하나로 남아 있는 것은 분명히 "구식" 위협입니다.
분산 서비스 거부(DDoS) 공격은 새로운 것이 아닙니다. 사실, 서비스 거부 공격과 유사한 최초의 사건은 1974년 일리노이 대학의 13세 학생이 학습 관리 시스템에 연결된 단말기로 가득 찬 방을 무너뜨린 사건으로 보고되었습니다.
그 이후 시대는 바뀌었지만 DDoS 공격은 계속해서 진화하고, 더욱 강력해지며, 엄청난 피해를 입히고 있습니다. 이는 특히 COVID-19 여파 속에서 더욱 그렇습니다. 지난 2분기 동안의 여러 업계 보고서에서 전 세계적으로 상당한 급증이 나타났다고 강조했습니다.
하지만 팬데믹이 시작되기 전에도 DDoS 위협은 계속 증가하고 있었습니다. 예를 들어, F5 보안 사고 대응팀의 최근 데이터 분석에 따르면 2019년에 서비스 제공업체를 대상으로 한 모든 공격의 77%가 DDoS와 관련이 있는 것으로 나타났습니다. 2017년에는 약 30%였습니다.
어떤 위험들이 있나요?
DDoS 공격은 일반적으로 세 가지 형태로 나타납니다. 가장 흔한 공격은 고대역폭 공격, 즉 볼륨 플러드 공격입니다. 목표 피해자의 네트워크로 엄청난 양의 트래픽이 전송되어 사용자의 접근이 거부될 정도로 많은 대역폭을 소모하게 됩니다.
그리고 프로토콜 공격(때때로 "계산" 또는 "네트워크" 공격이라고 함)은 프로토콜의 취약점이나 정상적인 동작을 악용하여 서비스를 거부합니다. 이러한 프로토콜은 일반적으로 ICMP(인터넷 제어 메시지 프로토콜), TCP(전송 제어 프로토콜), UDP(사용자 데이터그램 프로토콜) 등과 같은 OSI 계층 3 및 계층 4 프로토콜입니다. 목표는 네트워크나 중간 리소스(예: 방화벽)의 계산 능력을 고갈시켜 서비스 거부를 달성하는 것입니다.
마지막으로, 가장 위험하다고 할 수 있는 공격은 애플리케이션 계층 공격(OSI 계층 7 공격이라고도 함)입니다. 이는 네트워크 자체가 아니라 웹 서버, 웹 애플리케이션 플랫폼 및 특정 웹 기반 애플리케이션을 타겟으로 합니다. 이는 공격자가 서버를 중단시키고 웹사이트나 애플리케이션에 접근할 수 없게 만들려고 시도하는 경우입니다. 이러한 공격은 알려진 애플리케이션 취약점, 그 기반이 되는 비즈니스 로직을 표적으로 삼거나 HTTP/HTTPS(Hypertext Transfer Protocol/Secure) 및 SNMP(Simple Network Management Protocol)와 같은 상위 계층 프로토콜을 남용할 수 있습니다. 이러한 성격의 공격은 종종 대역폭을 덜 사용하고 항상 트래픽이 갑자기 증가하는 것을 나타내지 않으므로 거짓 긍정 없이 감지하고 완화하기가 훨씬 어렵습니다. 애플리케이션 계층 공격은 초당 요청 수로 측정됩니다.
보안팀이 직면한 가장 큰 과제 중 하나는 DDoS 공격이 너무 쉽게 시작될 수 있다는 것입니다. 온라인 리소스가 매우 다양하기 때문에 버튼 하나만 클릭하면 누구나 사이버 범죄자가 될 수 있습니다. 원하는 타겟을 공격하기 위해 비용을 지불하는 서비스도 있습니다. 해커 활동가, 불만을 품은 전직 직원, 기성 코드를 활용하는 "스크립트 키디" 또는 국가 행위자 등 누구나 이에 가담합니다.
불행히도 완전히 표적이 되는 것을 피할 방법은 없지만 조직을 더 잘 보호하기 위해 취할 수 있는 몇 가지 조치가 있습니다.
안전하게 지내기
무엇보다도 DDoS 대응 계획을 수립하는 것이 중요합니다. 이는 사고 대응을 위한 모든 단계(인력, 프로세스, 역할, 절차 등)를 개략적으로 설명한 플레이북이어야 합니다.
앱 기반 DDoS 공격을 효과적으로 완화하려면 모든 조직에서 다음을 수행해야 합니다.
- 일반적인 교통 흐름을 학습 하고 이를 통해 얻은 통찰력을 활용하여 이상 징후를 근절합니다.
- 정확하게 말하세요. 합법적인 활동 급증과 공격을 구분할 수 있다는 것은 위험을 추가하지 않고도 원하는 사용자 경험을 유지할 수 있다는 것을 의미합니다. 손상된 시스템 성능에 대한 가시성을 확보하는 것은 매우 중요합니다.
- 나쁜 행위자를 찾아보세요. 애플리케이션 계층 공격에는 연결이 설정되는 것이 포함됩니다. 즉, 공격의 근원을 찾을 수 있는 기회가 있다는 의미입니다.
- 공격 시그니처를 생성합니다. 대규모 프록시 서버가 관련되어 있을 경우 공격 출처를 차단하면 합법적인 사용자의 접근이 차단될 수 있습니다. 공격에 대한 고유한 특징을 통해 세부적인 수준까지 차단할 수 있습니다. 공격의 약점을 찾아 위협 행위자에 대항해 사용할 수 있습니다.
특정 DDoS 보호 솔루션을 구현할 때는 항상 조직이 공격을 받는 빈도(또는 가능성), 공격을 방어하기 위한 내부 기술, 사용 가능한 예산, 네트워크의 용량 및 제한 사항을 기반으로 해야 합니다. 배포 옵션은 다음과 같습니다.
- 온프레미스 네트워크 용량이 중간 규모의 공격(10~50Gbps 범위)을 처리할 수 있고, 정기적으로 공격 대상이 지정되며, 숙련된 사내 DDoS 완화 인력이 있는 경우 온프레미스 DDoS 솔루션이 효과적일 수 있습니다.
- 아웃소싱 솔루션 네트워크 회로가 10Gbps 이상의 공격을 처리할 수 없고 공격 위험이 낮으며 온프레미스 솔루션을 관리할 수 있는 내부 전문성이 없다면 DDoS 스크러빙 센터(아웃소싱 서비스)를 사용하는 것이 좋습니다.
- 하이브리드 DDoS. 네트워크 용량을 초과하는 빈번하거나 대규모의 DDoS 공격에 취약하고 사내 완화 전문 지식이 제한적인 경우, 하이브리드 모델을 선택하고 온프레미스 DDoS 솔루션과 함께 관리형 서비스를 사용할 수 있습니다.
이러한 권장 사항 외에도 네트워크 트래픽을 모니터링하고 분석하는 방화벽과 침입 탐지 시스템으로 네트워크 인프라를 보호하는 것이 좋습니다. 또한, 악성 소프트웨어 감염을 막기 위해 바이러스 백신 솔루션을 사용하고, 가용성을 유지하기 위해 부하 분산 및 중복성을 사용하는 것이 좋습니다.
동시에 원격 관리를 관리 네트워크(전체 인터넷이 아닌)로 제한하고 인터넷에 연결된 네트워크 포트와 서비스를 자주 스캔하는 등의 기술적, 관리적 제어를 간과하지 않는 것이 중요합니다.
모든 사람은 DDoS를 심각하게 받아들여야 하며, 언젠가는 공격을 받을 것이라는 점을 예상해야 하며, 비즈니스 목표와 긴밀히 연계된 계획과 완화 조치를 마련해야 합니다.