DDoS 공격 DDoS(Distributed Denial of Service) 공격이란?
DDoS(Distributed Denial of Service) 공격은 다수의 손상된 시스템이 종종 봇넷으로 조직되어 대상 네트워크, 서버 또는 온라인 서비스에 엄청난 양의 트래픽을 발생시키는 사이버 공격입니다. 트래픽 급증으로 인해 대상 시스템의 속도가 느려지거나 심하면 작동이 중단되어 합법적인 사용자의 액세스가 거부당할 수 있습니다. DDoS 공격은 가장 파괴적인 형태의 사이버 위협 중 하나로, 심각한 가동 중단, 재정적 손실, 평판 훼손을 초래할 수 있습니다. 클라우드 기반 서비스와 온라인 운영이 계속해서 성장함에 따라 DDoS 공격의 위험과 영향도 업계 전체로 확대되었습니다.
- DoS 및 DDoS 공격
- DDoS 공격의 유형
- DDoS 공격을 완화하는 방법
- HPE Aruba Networking 및 DDoS 보호
DoS 및 DDoS 공격
DoS(서비스 거부) 공격과 DDoS 공격은 모두 서비스 가용성을 방해하는 것을 목표로 하지만 접근 방식과 규모 면에서 상당한 차이가 있습니다. DoS 공격은 일반적으로 단일 소스에서 시작되어 수많은 요청을 보내 서버나 네트워크 리소스를 압도하여 제대로 작동하지 못할 때까지 이어집니다. DoS 공격은 영향력이 크지만 일반적으로 한 곳에서 시작되므로 더 쉽게 감지하고 완화할 수 있습니다.
반면 DDoS 공격은 공격을 실행하기 위해 다양한 지역에 분산된 경우가 많은 여러 소스에 의존합니다. 이런 소스는 일반적으로 공격자가 제어하는 감염된 장치로, 봇넷을 형성합니다. 공격자는 봇넷이 웹 사이트나 애플리케이션과 같은 대상에 요청을 홍수처럼 쏟아부어 리소스를 고갈시키고 응답하지 못하게 지시합니다. DDoS 공격은 분산된 특성으로 인해 차단하기가 훨씬 어렵습니다. 공격이 서로 다른 IP 주소와 지리적 위치에서 발생하는 것처럼 보이기 때문입니다. 따라서 DDoS 공격은 대응하기가 훨씬 더 어려울 수 있으며, 엄청난 양의 트래픽을 처리하고 합법적인 사용자와 악의적인 사용자를 구별하기 위해 고급 다계층 방어가 필요합니다.
DDoS 공격의 유형
DDoS 공격은 OSI 모델의 다양한 계층에서 취약점을 악용합니다. 공격자는 특정 계층을 표적으로 삼아 네트워크 성능의 다양한 측면에 영향을 미치고 서비스 가용성을 방해할 수 있습니다. DDoS 공격의 주요 유형은 볼륨 기반 공격, 프로토콜 기반 공격, 애플리케이션 레이어 공격의 세 가지 범주로 분류됩니다.
볼륨 기반 공격
볼륨 기반 공격은 대상의 대역폭을 압도하는 데 초점을 두며, 종종 네트워크 레이어(3레이어)를 대상으로 삼아 네트워크에 데이터를 범람시킵니다. 목표는 사용 가능한 모든 대역폭을 소비하여 합법적인 트래픽이 서버에 도달하는 것을 차단하는 것입니다.
- UDP 플러드: UDP 플러드에서는 대량의 UDP(사용자 데이터그램 프로토콜) 패킷이 서버의 무작위 포트를 대상으로 하여 네트워크를 압도하고 대역폭을 고갈시킵니다. UDP 플러드로 인해 대상 포트가 닫혀 있으면 서버가 ICMP 도달 불가 대상 오류 메시지로 응답하여 네트워크 트래픽이 증가하고 공격이 심화될 수 있습니다.
- ICMP 플러드(ping 플러드): ping 플러드라고도 하는 ICMP 플러드는 대상 서버로 대량의 ICMP 에코 요청(ping)을 전송합니다. 서버는 각 ping에 응답하려고 시도하며 이 과정에서 네트워크 리소스가 소모되고 지연이 발생하거나 극단적인 경우 서버가 중단될 수 있습니다.
- 증폭 공격: 이러한 유형의 공격은 DNS와 같은 취약한 프로토콜을 악용해 대상 서버를 향한 트래픽을 증폭합니다. 예를 들어 DNS 증폭은 개방형 DNS 리졸버를 사용하여 대상에 대량의 응답 데이터를 전송함으로써 네트워크에 심각한 혼잡을 유발합니다.
프로토콜 기반 공격
프로토콜 기반 DDoS 공격은 네트워크(3레이어) 및 전송(4레이어) 계층에서 프로토콜의 취약점을 악용합니다. 이러한 공격은 메모리나 연결 테이블과 같은 서버 리소스를 고갈시켜 합법적인 사용자가 연결하기 어려워집니다.
- SYN 플러드(4레이어): SYN 플러드는 대상에 수많은 SYN 요청을 보내지만 핸드셰이크를 완료하지 않음으로써 TCP 핸드셰이크 프로세스를 표적으로 삼습니다. 이는 여러 개의 불완전한 연결을 유지함으로써 서버의 메모리 리소스를 고갈시키고, 결국 새로운 연결을 차단하게 됩니다.
일반적으로 TCP 연결을 설정하려면 클라이언트가 서버에 SYN 요청을 보내고, 서버가 SYN-ACK 요청을 다시 보내서 이를 확인하고 클라이언트가 ACK로 응답하여 연결을 설정합니다. SYN 플러딩 공격에서 공격자는 소스 IP 주소를 스푸핑하여 서버에 SYN 요청을 대량으로 보내므로, 서버가 클라이언트에 SYN-ACK 응답을 다시 보낼 수 없습니다. - 죽음의 핑(3레이어): 죽음의 핑은 IP 프로토콜에서 정의한 크기 제한을 초과하는 대형 ICMP 패킷을 전송합니다. 대상이 패킷을 재조립하려고 하면 비정상적으로 큰 데이터 크기로 인해 충돌이나 정지가 발생하여 서비스가 중단될 수 있습니다.
- 스머프 공격(3레이어): 스머프 공격에서는 공격자가 스푸핑된 ICMP 요청을 브로드캐스트 주소로 보내는데, 이로 인해 네트워크의 여러 장치가 스푸핑된 주소에 응답하게 됩니다. 이로 인해 대상은 ICMP 응답의 홍수에 압도당하고 네트워크가 포화 상태에 도달합니다.
- IP 스푸핑(3레이어 및 4레이어): IP 스푸핑은 패킷의 소스 IP 주소를 위장하여 공격 트래픽이 합법적이거나 신뢰할 수 있는 소스에서 온 것처럼 보이게 합니다. IP 스푸핑은 다른 프로토콜 기반 공격의 효과를 높이는 경우가 많아 공격의 진짜 출처를 식별하고 차단하기가 어려워집니다.
애플리케이션 레이어 공격
애플리케이션 레이어(7레이어) 공격은 대상에 과부하가 걸리는 요청을 보내 특정 애플리케이션 서비스를 중단시키는 데 중점을 둡니다. 이러한 공격은 합법적인 트래픽 패턴을 모방하기 때문에 매우 효과적이며 이를 감지하고 완화하기는 어렵습니다.
- HTTP 플러드: HTTP 플러드는 웹 서버에 수많은 HTTP GET 또는 POST 요청을 보내서 웹 서버의 리소스를 소모합니다. HTTP 플러드는 특정 리소스를 많이 사용하는 URL을 대상으로 하기 때문에 서버 처리 용량과 대역폭이 고갈될 수 있습니다.
- 슬로로리스: 슬로로리스는 일부 HTTP 요청을 완료하지 않고 전송하여 대상 서버에의 여러 연결을 열어 둡니다. 이는 열려 있는 연결을 유지하기 위해 서버 리소스를 소모하여 결국 합법적인 사용자에게 서비스 거부가 발생하게 됩니다.
- DNS 쿼리 플러드: 공격자는 DNS 서버에 과도한 DNS 쿼리를 보내 리소스를 소모하고 합법적인 요청에 응답하지 못하게 만듭니다. 공격자는 DNS 인프라를 공격함으로써 특정 도메인과 관련된 서비스의 가용성을 방해할 수 있습니다.
- 봇 기반 공격: 감염된 장치의 네트워크인 봇넷은 합법적인 것처럼 보이는 요청을 대량으로 서버에 전송할 수 있습니다. 이러한 요청은 일반적인 사용자 행동과 유사하기 때문에 정상 트래픽과 악성 트래픽을 구별하기 어렵습니다.
DDoS 공격을 완화하는 방법
DDoS 공격을 효과적으로 완화하려면 악성 트래픽을 필터링 및 감지하고 이에 대응하는 방어 전략을 함께 사용해야 합니다. 널리 사용되는 방법은 다음과 같습니다.
- 속도 제한: 단일 IP 주소에서 허용되는 요청 수에 제한을 설정하면 조직에서 DDoS 공격으로 인해 서버가 과부하되는 것을 방지할 수 있습니다. 속도 제한은 기계 학습을 활용하여 요청 수에 대한 임곗값을 자동으로 조정함으로써 DDoS 공격 중에 동적이고 정확한 제어를 가능하게 합니다. 속도 제한은 의심스러운 트래픽을 필터링하여 합법적인 요청과 악성 요청을 구별하는 데도 도움이 됩니다. 고급 보안 SD-WAN 솔루션은 이 기능을 통합하여 조직을 DDoS 공격으로부터 보호할 수 있습니다.
- ZTNA(제로 트러스트 네트워크 액세스): ZTNA는 최소 권한의 원칙을 적용하여 사용자 아이덴티티를 기반으로 네트워크 리소스에 대한 액세스를 제한합니다. 이를 통해 악의적인 행위자가 중요 시스템에 무단으로 접근할 가능성이 줄어들어 DDoS 공격이 네트워크의 민감한 부분에 도달하기 어려워집니다.
- 방화벽: WAF(웹 애플리케이션 방화벽)는 네트워크와 사용자 간의 역방향 프록시 역할을 하며 들어오는 요청을 검사하여 악성 트래픽을 탐지하고 차단합니다. WAF는 특히 애플리케이션 레이어 공격에 대응하는 데 유용합니다. 반면, IDS/IPS 기능을 갖춘 NGFW(차세대 방화벽)는 알려진 공격 시그니처와 비정상적인 트래픽 동작을 탐지하고 대응하여 보호 레이어를 한 단계 추가하고 DDoS 시도로 이어질 수 있는 의심스러운 요청을 사전에 차단합니다.
- 블랙홀 라우팅: 이 기술은 트래픽을 null 경로로 유도하는 데 사용되며, 이 경우 트래픽은 사실상 폐기됩니다. DDoS 공격이 특정 IP 주소를 대상으로 하는 경우 네트워크 관리자는 해당 IP로의 모든 트래픽을 차단하도록 라우팅을 구성할 수 있습니다. 또한 SD-WAN 솔루션은 영향을 받지 않는 네트워크 링크를 통해 트래픽을 동적으로 라우팅하여 네트워크 다른 부분과의 연결을 유지하는 데 도움이 됩니다.
- CDN(콘텐츠 전송 네트워크): CDN은 다양한 지역에 위치한 여러 서버에 네트워크 트래픽을 분산시켜 과부하 위험을 최소화합니다. CDN 인프라 전반에서 부하를 분산함으로써 DDoS 트래픽을 흡수하고 분산하는 데 도움이 됩니다.
효과적인 DDoS 완화 방법에는 일반적으로 여러 기술을 계층화하여 포괄적인 보호를 제공하는 것이 포함됩니다. 사전 대응 모니터링과 정기적인 테스트도 진화하는 DDoS 전술에 대한 방어 효과를 유지하는 데 도움이 됩니다.
HPE Aruba Networking 및 DDoS 보호
HPE Aruba Networking DDoS 보호는 SASE(보안 액세스 서비스 엣지) 플랫폼에 통합되어 있으며, 안전한 SD-WAN 기능과 ML 기반 적응형 DDoS 보호 및 ZTNA(제로 트러스트 네트워크 액세스)를 결합하여 DDoS 공격을 방어할 수 있는 고급 툴을 제공합니다.
HPE Aruba Networking SASE는 안전한 EdgeConnect SD-WAN을 통해 기계 학습을 사용하여 현재 네트워크 동작에 따라 실시간으로 DoS 임곗값을 동적으로 조정합니다. 이 적응형 DDoS 기능에는 향상된 방어 관리를 위한 자동 속도 제한과 스마트 버스트라는 두 가지 핵심 기능이 포함되어 있습니다. 자동 속도 제한은 기계 학습을 통해 네트워크 패턴을 분석하여 트래픽에 대한 최소 임곗값을 설정하는 반면, 스마트 버스트는 합법적인 트래픽 버스트를 처리하여 방화벽 영역 전체에 사용되지 않는 흐름 용량을 분산하는 방식으로 악성 트래픽이 네트워크 대역폭을 소비하지 못하도록 제한합니다. 이러한 기능을 함께 사용하면 악성 트래픽으로 인한 중단을 방지하는 동시에 비즈니스 크리티컬 애플리케이션이 원활하게 작동하게 할 수 있습니다.
또한 이 솔루션은 관리자가 임곗값 위반을 모니터링하고 주요 트래픽 소스를 확인하며 DDoS 이벤트를 분석할 수 있도록 다양한 실시간 분석 및 보고 도구를 제공합니다. 이러한 가시성은 네트워크 팀이 정보를 바탕으로 조정하고 네트워크 보안을 새로운 위협에 맞춰 유지하는 데 도움이 됩니다. EdgeConnect SD-WAN에 내장된 차세대 방화벽은 IDS/IPS 및 역할 기반 세분화와 같은 기능으로 네트워크 보호를 강화합니다. IDS/IPS는 공격 패턴을 감지하고 세분화를 통해 네트워크 내 측면 이동을 제한합니다.
HPE Aruba Networking ZTNA는 '신뢰하지 않고 항상 검증한다'는 접근 방식에 따라 내부 서비스를 인터넷에서 숨기고 DDoS 공격의 진입점을 제거합니다. 인증된 장치와 승인된 장치만 특정 리소스에 액세스할 수 있으므로 공격자가 서비스를 직접 대상으로 삼는 것을 방지할 수 있습니다. VPN과 달리 ZTNA는 광범위한 액세스를 허용하지 않아 공격 표면을 줄이고, 애플리케이션 세분화를 통해 승인된 리소스에 대한 엄격하고 고유한 연결을 적용하여 위협을 억제합니다. HPE Aruba Networking ZTNA는 지속적으로 ID를 검증하여 합법적인 트래픽만 승인된 애플리케이션에 도달하도록 허용함으로써 네트워크 리소스 과부하 위험을 최소화하고 대규모 공격의 가능성을 줄여줍니다.
SD-WAN과 ZTNA 외에도 HPE Aruba Networking SASE는 SWG(보안 웹 게이트웨이)를 통합하여 사용자와 장치를 웹 기반 위협으로부터 보호하고 CASB(클라우드 액세스 보안 브로커)를 통해 SaaS 애플리케이션에 대한 액세스를 보호하며 사용량을 모니터링하고 데이터 손실을 방지합니다.
HPE Aruba Networking SASE는 이러한 기술을 통합하여 DDoS 방어에 대한 다층적 접근 방식을 제공함으로써 조직이 DDoS 공격의 영향을 줄이는 동시에 네트워크 무결성을 보호하고 안전한 비즈니스 운영을 유지하도록 지원합니다.
