분산 서비스 거부(DDoS) 공격이란 무엇입니까?

DDoS 공격은 대상 리소스에 트래픽을 넘쳐나게 하거나, 작동하지 않을 정도로 과부하를 일으키거나, 애플리케이션 성능을 저하시키는 특별히 제작된 메시지를 보내는 방식으로 인프라를 저하시킵니다. DDoS 공격은 방화벽 상태 테이블과 같은 네트워크 인프라는 물론, 서버와 CPU와 같은 애플리케이션 리소스를 타겟으로 할 수 있습니다. DDoS 공격은 온라인 서비스의 가용성과 무결성을 손상시키고 상당한 중단을 초래하는 등 심각한 결과를 초래할 수 있으며, 재정적 손실과 평판 손상으로 이어질 가능성이 있습니다. 이러한 공격은 보안 및 위험 관리 팀의 주의를 데이터 유출로부터 보호하려는 연막막으로 사용될 수도 있습니다. 

DDoS 공격은 수천 명의 사람들이 동시에 출입문으로 몰려들려는 것과 같습니다. 그 결과, 반대편으로 통과할 정당한 이유가 있는 사람을 포함해 누구도 문을 통과할 수 없게 됩니다. 또는 이 공격은 문을 통과한 후 열쇠로 문을 잠그고 다른 사람이 들어오지 못하게 하는 것과 같은 것일 수도 있습니다. 

이와 같은 공격은 일반적으로 다수의 클라이언트 컴퓨터와 다른 네트워크로 연결된 장치를 통해 조정됩니다. 공격자가 제어하는 리소스는 이러한 명확한 목적을 위해 설정되었을 수도 있고, 공격자가 원격으로 장치를 제어하고 공격에 참여할 수 있도록 하는 맬웨어에 감염되었을 가능성이 더 큽니다.

공격은 매우 다양한 출처에서 발생하므로 이를 차단하는 것이 매우 어려울 수 있습니다. 다시 한 번, 문 앞에 사람들이 몰려 있는 상황을 상상해보세요. 단순히 불법적인 사람(또는 악의적인 트래픽 소스) 한 명을 차단하는 것만으로는 도움이 되지 않습니다. 그 자리를 대신할 수 있는 사람이 수천 명이나 있기 때문입니다. 자동화 프레임워크의 발전으로 공격자는 IP 주소, 자율 시스템 번호(ASN), 브라우저 사용자 에이전트 및 기타 원격 측정을 스푸핑하여 기존 보안 제어를 우회할 수 있습니다. 

DDoS(분산 서비스 거부) 공격과 DoS(서비스 거부) 공격을 구별하는 것이 중요합니다. 두 공격 모두 타겟 시스템이나 네트워크의 가용성을 방해하는 것을 목표로 하는 사이버 공격 유형이지만, 공격을 수행하는 방법은 서로 다릅니다. 

DoS 공격은 일반적으로 하나 또는 소수의 출처에서 시작되며, 공격자는 대상 시스템이나 네트워크에 트래픽이나 요청을 대량으로 쏟아부어 처리 용량을 초과합니다.

반면 DDoS 공격은 여러 소스 또는 봇넷을 통해 이루어지며, 봇넷이란 공격자가 제어하는 손상된 컴퓨터나 장치의 네트워크입니다. 공격자는 이러한 여러 소스를 조정하여 동시에 타겟에 대한 공격을 시작합니다. DDoS 공격은 여러 출처에서 발생하기 때문에 일반적으로 DoS 공격보다 완화하기 어렵습니다. 따라서 합법적인 트래픽과 악성 트래픽을 구별하기 어렵습니다.

DDoS 위협 환경은 끊임없이 변화하고 있지만 F5는 대부분의 공격이 다음과 같은 광범위한 범주에 속한다는 것을 발견했습니다. 

볼륨 공격 은 가장 일반적인 DDoS 공격 유형 중 하나입니다. 이러한 공격은 대량의 데이터나 트래픽을 쏟아부어 대상의 네트워크 대역폭을 과부하시키는 것을 목표로 합니다. 이러한 기술에는 UDP(User Datagram Protocol) 플러드, ICMP(Internet Control Message Protocol) 플러드, NTP(Network Time Protocol), Memcached, DNS와 같은 프로토콜을 활용하여 대상이 수신하는 트래픽 양을 증폭시키는 반사 공격이 포함됩니다. 엄청난 규모의 트래픽으로 인해 대상 네트워크 인프라가 포화 상태가 되어 합법적인 사용자가 해당 인프라에 접속할 수 없게 됩니다. 플러드 기반 공격은 종종 3, 4 또는 7 계층을 대상으로 하며, SYN 플러드는 네트워크 방화벽과 기타 중요한 네트워크 인프라를 압도할 수 있는 매우 일반적인 공격입니다. 

• 볼륨형 DDoS 공격의 한 예로, 소프트웨어 개발 플랫폼인 GitHub은 2018년에 대규모 볼륨형 DDoS 공격을 경험하여 서비스가 중단되었습니다. 이 공격은 전례 없는 1.35TBps의 속도로 최고조에 달했으며, 당시 기록된 가장 큰 규모의 DDoS 공격 중 하나였습니다. 결과적으로 GitHub의 웹사이트와 서비스는 간헐적인 중단과 성능 저하를 겪었습니다.  

프로토콜 공격은 인터넷 통신의 기반인 TCP/IP 프로토콜 스택의 취약점을 노리는 공격입니다. 이러한 공격은 특히 네트워크 인프라가 트래픽을 추적하고 처리하는 능력을 표적으로 삼습니다. 예를 들어, SYN 플러딩 공격은 대상에게 TCP SYN 패킷을 대량으로 쏟아부어 대상이 합법적인 연결을 설정하는 능력을 저하시킵니다. 이러한 공격은 네트워크 장치(예: 라우터 및 방화벽)의 컴퓨팅 용량을 과부하시키는 경우가 많기 때문에 "계산" 공격이라고도 합니다.

• 2021년 11월, F5는 회사가 지금까지 본 것 중 가장 큰 프로토콜 공격을 관찰하고 완화했습니다. 금융 서비스 고객을 표적으로 삼은 이 공격은 불과 4분 동안 지속되었고, 불과 1.5분 만에 최대 공격 대역폭인 약 1.4TBps에 도달했습니다. 

애플리케이션 취약성 공격은 레이어 7 공격 이라고도 하며, 특히 네트워크 스택의 애플리케이션 계층을 대상으로 합니다 . 이러한 공격은 대상 서버에서 실행되는 애플리케이션이나 서비스의 소프트웨어 취약점을 악용해 CPU, 메모리, 데이터베이스 연결 등 서버 리소스를 고갈시키는 데 집중합니다. 애플리케이션 계층 공격의 예로는 HTTP GET 플러드(대량의 HTTP 요청 전송), 슬로로리스 공격(부분적인 요청으로 연결을 열어두기), HTTP POST 플러드, TLS 재협상, DNS 쿼리 등이 있습니다.

• 킬넷(Killnet)이라는 유명한 친러시아 해커조직이 2023년 2월 대형 유럽 기업을 상대로 정교한 L7 DDoS 공격을 감행했습니다. 이 공격의 목적은 엄청난 양의 트래픽으로 회사 서버를 과부하 시켜, 초당 최대 120,000건의 요청으로 사용자가 웹사이트에 접근하기 어렵게 만드는 것이었습니다. 이 특정 DDoS 공격은 35개의 다른 IP 주소와 19개국에 걸쳐 분산되었으며 애플리케이션 계층에 초점을 맞추었습니다. 

비대칭 공격은 반사 공격이나 증폭 공격이라고도 하며, 특정 네트워크 프로토콜의 기능을 악용하여 공격 트래픽 양을 증폭시킵니다. 비대칭 DDoS 공격에서 공격자는 취약한 네트워크나 서비스에 소량의 특수하게 조작된 네트워크 패킷을 전송하는데, 이때 일반적으로 위조된 소스 IP 주소를 사용합니다. 이러한 패킷은 대상 시스템이나 네트워크에서 훨씬 더 큰 응답을 생성하여 상당한 증폭 효과를 가져옵니다.  

• 2021년 2월, 위협 행위자들은 게임 및 도박 기관에 정보 보안 서비스를 제공하는 기술 회사를 상대로 몸값을 지불하지 않으면 DDoS 공격을 가하겠다고 위협했습니다. 공격자는 즉시 경고 사격으로 4Gbps SYN 플러드 공격을 감행했고, 5일 만에 DDoS 공격이 시작되었습니다. 거의 한 달 동안 계속된 공격이 이어졌고 위협 요인들은 점점 더 많은 공격 벡터를 추가했습니다. 결국 공격은 최대 500Gbps에 달했고 다중 벡터의 볼륨형 UDP, LDAP 반사, DNS 반사, NTP 반사, UDP 조각화 공격이 포함되었습니다.

위에서 언급한 방법 중 두 개 이상을 활용하는 다중 벡터 공격이 점점 더 흔해지고 있습니다. 공격자는 두 가지 이상의 공격 기술을 사용함으로써 영향력을 증폭시키고 동시에 여러 공격 벡터에 대한 방어의 어려움을 높일 수 있습니다.

• 인터넷 트래픽을 관리하고 지시하는 DNS 공급업체인 Dyn은 2016년 10월 대규모 DDoS 공격을 받았으며, 이로 인해 Twitter, Reddit, Netflix, Spotify를 포함한 여러 인기 웹사이트와 서비스가 중단되었습니다. 공격자는 DNS 반사 및 증폭 공격과 봇넷을 포함한 다양한 DDoS 기술을 조합하여 사용했습니다. 이 공격은 웹캠과 라우터와 같은 취약한 IoT 기기를 악용했는데, 이러한 기기는 보안 대책이 약하거나 기본 로그인 자격 증명을 갖고 있었습니다. 공격자는 이러한 장치를 손상시켜 엄청난 양의 트래픽을 생성할 수 있는 대규모 봇넷 네트워크를 만들었습니다.

다음은 DDoS 공격, 완화 및 예방과 관련된 몇 가지 주요 개념과 정의입니다.

• 봇넷은 공격자의 제어를 받는 손상된 컴퓨터, 서버 또는 장치의 네트워크입니다. 이러한 손상된 장치는 봇 이나 좀비 라고 불리며, 집단적으로 DDoS 공격을 실행하는 데 사용됩니다. 공격자는 원격으로 봇넷에 명령을 내려 대상 사이트에 트래픽이나 요청을 대량으로 쏟아부어 공격의 영향력을 증폭시킬 수 있습니다.
• 스푸핑은 네트워크 패킷이나 통신의 실제 출처나 신원을 위조하거나 위장하는 것을 말합니다. DDoS 공격에서는 스푸핑을 사용하여 공격 트래픽의 출처를 숨기는 경우가 많습니다. 
• SYN 플러딩은 TCP의 3방향 핸드셰이크 프로세스를 악용하여 대상의 리소스를 압도하는 DDoS 공격입니다. 공격자는 대상에 대량의 SYN 패킷을 보내지만, SYN-ACK 패킷에 응답하지 않거나 소스 IP 주소를 스푸핑합니다. 이로 인해 대상 시스템은 도착하지 않는 ACK 패킷을 기다려야 하므로 리소스가 묶여 합법적인 연결이 설정되지 않습니다.
• UDP(User Datagram Protocol) 플러딩은 연결 없고 핸드셰이크가 필요하지 않은 UDP 프로토콜을 대상으로 하는 일종의 DDoS 공격입니다. 이 공격에서 공격자는 대상 네트워크나 서비스에 대량의 UDP 패킷을 보내서 해당 네트워크나 서비스의 리소스를 과부하 상태로 만듭니다. 
• DNS(도메인 이름 시스템) 증폭은 DNS 서버의 취약점을 악용하여 대량의 공격 트래픽을 생성하는 일종의 DDoS 공격입니다. 공격자는 위조된 소스 IP 주소를 포함한 작은 DNS 쿼리를 취약한 오픈 DNS 리졸버로 전송합니다. 스푸핑 사실을 모르는 이러한 리졸버는 더 큰 DNS 응답을 보내 대상을 향한 트래픽 볼륨을 증폭시키고, 대상의 리소스를 과부하 시켜 잠재적으로 서비스 중단을 일으킬 수 있습니다. 
• DDoS 완화는 DDoS 공격을 방어하고 그 영향을 최소화하기 위해 사용되는 전략과 기술을 말합니다. 완화 솔루션에는 네트워크 인프라 업그레이드, 트래픽 필터링, 속도 제한, 이상 감지, 트래픽 분산 등을 결합하여 공격 트래픽을 흡수하고 완화하는 것이 포함될 수 있습니다. 클라우드로 제공되는 DDoS 완화 솔루션은 공격이 네트워크 인프라와 애플리케이션에 도달하기 전에 공격을 탐지하고 완화하는 데 특히 효과적입니다. 그러나 최근 애플리케이션/L7 DoS가 증가함에 따라 보안 제어도 보호된 리소스 근처에 구축해야 합니다. 
• 사고 대응이란 DDoS 공격을 탐지, 분석하고 대응하는 프로세스를 말합니다. 여기에는 진행 중인 공격의 징후를 식별하고, 공격의 출처와 특성을 조사하고, 완화 조치를 실행하고, 정상적인 운영을 복구하는 것이 포함됩니다. 사고 대응 계획을 통해 조직은 DDoS 공격을 효과적으로 처리하고 그 영향을 최소화할 수 있습니다.

DDoS 공격은 기업, 조직 및 개인에게 심각한 영향을 미칠 수 있습니다. 

DDoS 공격은 상당한 재정적 손실 을 초래할 수 있습니다. 서비스가 중단되거나 접근이 불가능하면 거래 중단, 고객 참여 감소, 기회 손실 등으로 인해 기업 수익에 영향을 받을 수 있습니다. 또한 조직에서는 공격 완화, 사고 대응 및 복구 활동 수행, 잠재적 규제 처벌과 관련된 비용이 발생할 수 있습니다.

DDoS 공격이 성공하면 조직의 평판이 손상 되고 고객 신뢰가 침식될 수 있습니다. 회사의 서비스가 반복적으로 중단되거나 제공되지 않을 경우, 고객은 해당 회사가 신뢰할 수 있는 서비스를 제공할 수 있다는 확신을 잃을 수 있습니다. 신뢰를 회복하고 손상된 평판을 회복하는 것은 어렵고 시간이 많이 걸리는 과정이 될 수 있습니다.

DDoS 공격은 심각한 운영 중단을 초래할 수 있습니다. 온라인 서비스에 크게 의존하는 조직의 경우, 직원들이 중요한 시스템에 접근하거나 효과적으로 협업할 수 없게 되어 생산성이 저하될 수 있습니다. 서비스 중단은 공급망, 고객 지원 및 전반적인 비즈니스 운영에 영향을 미쳐 지연, 비효율성 및 운영 비용 증가로 이어질 수 있습니다.

강력한 DDoS 완화 전략에 투자 하고 사이버 보안 전문가를 참여시켜 보안 대책을 설계하고 구현함으로써 조직은 DDoS 공격의 위험과 영향을 크게 줄이고, 재정적 안정성과 평판을 보호하고, 운영의 연속성을 보장할 수 있습니다.

다음은 공격에 대항하기 위해 사용되는 일반적인 DDoS 완화 기술입니다. 조직은 종종 이러한 방법론을 조합하여 DDoS 공격의 영향을 효과적으로 완화할 수 있는 계층적 방어 전략을 구축합니다 . 조기 감지는 신속한 사고 대응 및 완화 조치를 시작하는 데도 중요합니다. 이를 통해 조직은 영향이 확대되기 전에 이를 억제할 수 있습니다.

트래픽 필터링은 들어오는 네트워크 트래픽을 검사하고 필터를 적용하여 특정 유형의 트래픽을 차단하거나 허용하는 것을 말합니다. 이 기술은 네트워크 엣지 라우터, 방화벽, 전용 DDoS 완화 장치 등 다양한 수준에서 사용될 수 있습니다. 악성 또는 원치 않는 트래픽을 걸러내면 조직은 DDoS 공격의 영향을 줄이고 합법적인 트래픽이 의도한 목적지에 도달하도록 보장할 수 있습니다.

속도 제한은 특정 소스나 지정된 시간 프레임 내에서 들어오는 요청이나 패킷의 수를 제한합니다. 속도 제한을 시행함으로써 조직은 엄청난 트래픽 유입을 방지하여 DDoS 공격의 영향을 완화할 수 있습니다. 

이상 감지는 네트워크 트래픽 패턴과 동작을 모니터링하여 정상적인 패턴에서 벗어난 부분을 식별하는 것을 말합니다. 이 솔루션은 통계 분석과 머신 러닝 알고리즘을 활용하여 기준 동작을 설정하고 DDoS 공격을 나타낼 수 있는 비정상적인 활동을 감지합니다. 이상 탐지 시스템은 진행 중인 공격을 나타내는 비정상적인 트래픽 급증, 패킷 플러딩 또는 기타 패턴을 식별할 수 있습니다. 

행동 분석은 사용자, 시스템 또는 네트워크 엔터티의 행동을 모니터링하여 의심스럽거나 악의적인 활동을 탐지하고 식별하는 데 중점을 둡니다. 행동 분석 기술은 합법적인 트래픽과 공격적 트래픽을 구분하는 데 도움이 되며, 이를 통해 조직은 거짓 양성 반응을 최소화하면서 DDoS 공격에 효과적으로 대응할 수 있습니다. 이러한 분석은 서비스 거부 공격의 징후가 될 수 있는 시스템 스트레스를 감지하는 지능형 프록시를 통해 클라이언트 측은 물론 서버 측에서도 수행할 수 있습니다. 

CDN(콘텐츠 전송 네트워크)을 구축하면 볼륨형 공격의 영향을 완화하고 가용성과 성능을 향상시키는 데 도움이 될 수 있습니다. CDN은 분산 네트워크 인프라를 사용하여 악성 트래픽을 식별하고 차단함으로써 합법적인 요청이 대상에 도달하도록 보장합니다.

로드 밸런서 와 애플리케이션 전송 컨트롤러(ADC) 도 트래픽을 지능적으로 분산하고 관리하여 DDoS 공격에 대한 방어 메커니즘 역할을 할 수 있습니다. 로드 밸런서는 속도 제한, 트래픽 셰이핑, 트래픽을 특수 DDoS 보호 솔루션으로 리디렉션하는 등 다양한 기술을 적용하여 DDoS 공격을 감지하고 완화할 수 있습니다. 

클라우드 기반 DDoS 보호 서비스를 구현하면 DDoS 공격을 방어하기 위한 전담적이고 확장 가능한 완화 기능을 제공하는 데 도움이 될 수 있습니다. 이러한 서비스를 통해 트래픽을 리디렉션함으로써 조직은 고급 완화 기술, 실시간 위협 인텔리전스 및 전문 공급업체의 전문 지식으로부터 이점을 얻을 수 있습니다.

DDoS 공격으로부터 보호하기 위한 다른 모범 사례로는 TCP(전송 제어 프로토콜)와 UDP(사용자 데이터그램 프로토콜) 요청 관리를 활성화하여 합법적인 요청만 처리되도록 하는 것이 있습니다. 정기적인 모니터링과 로깅은 공격을 조기에 감지하고 부정적인 영향을 완화하는 데 도움이 됩니다. 트래픽 증가, 오류 또는 비정상적인 활동 패턴이 발생하면 추가 조사를 위한 알림이 발송될 수 있습니다. 애플리케이션과 클라이언트 간의 트래픽을 암호화하면 공격자가 트래픽을 가로채고 수정하는 것이 더 어려워집니다. 정기적인 소프트웨어 업데이트를 통해 최신 보안 기능과 패치로 시스템을 보호하고 DDoS 공격을 포함한 알려진 위협을 완화할 수 있습니다.

DDoS 공격이 규모와 복잡성이 점점 커지면서 기업에서는 이러한 공격이 기업 네트워크에 도달하기 전에 차단하기 위해 여러 계층의 보호가 필요합니다. 이러한 공격은 대개 대량의 트래픽과 자동화된 봇넷이나 인간이 주도하는 도구를 사용하여 은밀하고 느리게 진행되는 애플리케이션을 타깃으로 하는 공격 기법을 결합합니다. 이러한 공격의 빈도와 중단 비용이 계속해서 증가함에 따라 이러한 공격을 완화하기 위한 종합적이고 계층적인 방어가 이제 임무에 매우 중요해졌습니다.

다음 사례 연구를 시청하거나 읽어 실제 DDoS 공격에 대해 알아보고 이를 어떻게 완화했는지 알아보세요.

• F5가 이메일 제공업체에 대한 26Gbps 규모의 볼륨형 DDoS 공격을 어떻게 차단했는지 알아보세요.
• 호주의 Heritage Bank가 24시간 연중무휴 DDoS 보호를 제공하고 은행의 규제 지침을 충족하는 F5 제품군을 구축한 사례를 알아보세요.

DDoS 공격이 계속해서 진화함에 따라 , 조직은 최신 동향과 개발 사항에 대해 계속 알고 있어야 합니다. 

최근의 추세는 사물 인터넷(IoT) 봇넷이 점점 더 널리 퍼지고 있다는 것입니다. 스마트 카메라, 라우터, 커넥티드 가전제품 등 IoT 기기는 보안 대책이 취약하고 손상될 가능성이 높은 경우가 많습니다. 공격자는 이러한 장치의 취약점을 악용해 악성 소프트웨어를 감염시키고 이를 봇넷의 일부로 편입시킵니다. 수천 대의 IoT 기기가 침해를 받으면 컴퓨팅 능력이 결합되어 엄청난 양의 DDoS 공격 트래픽이 생성될 수 있습니다. 

서버 리소스를 고갈시키거나 특정 애플리케이션의 취약점을 악용하는 것을 목표로 하는 애플리케이션 계층 공격은 종종 합법적인 사용자 행동을 모방하기 때문에 탐지 및 완화가 더 어렵습니다. 애플리케이션 계층 공격은 애플리케이션 동작에 대한 더 깊은 이해와 특수한 보호 메커니즘이 필요하기 때문에 방어하기가 특히 어렵습니다.

DDoS-as-a-Service 플랫폼 의 등장으로 기술적으로 능숙하지 않은 사람도 DDoS 공격을 쉽게 실행할 수 있게 되었습니다. 이러한 플랫폼은 다크 웹에서 발견되며, 사용자가 DDoS 공격 리소스를 임대하고 배포할 수 있는 사용하기 쉬운 인터페이스를 제공하며, 종종 임대형 봇넷을 활용합니다.