DDoS편집자 확인

DDoS 공격의 핵심 원리는 목표 시스템에 정상적인 처리 능력을 초과하는 엄청난 양의 네트워크 트래픽을 집중적으로 보내어 서비스를 마비시키는 것이다. 이는 마치 한 도로에 수만 대의 차량을 동시에 진입시켜 정체를 유발하는 것과 유사한 원리이다. 공격자는 단일 출발지가 아닌 수천, 수만 개에 달하는 분산된 출발지(주로 감염된 봇넷 장치들)로부터 공격 패킷을 동시에 발송하여 방어 시스템이 공격 출발지를 식별하고 차단하는 것을 극도로 어렵게 만든다.

트래픽 과부하의 구체적 메커니즘은 공격 유형에 따라 다르다. 예를 들어, 볼류메트릭 공격은 UDP 플러드나 ICMP 플러드와 같이 대량의 데이터 패킷을 목표 서버나 네트워크 대역폭으로 직접 전송하여 포화 상태를 만든다. 이때 공격 패킷은 종종 위조된 출발지 IP 주소를 사용하며, 목표 서버는 존재하지 않는 출발지에 대한 응답을 기다리며 리소스를 소모하게 된다. 다른 한편으로, 증폭 공격은 작은 크기의 요청 패킷을 공격자가 조작하여 목표 시스템을 향해 수십 배에서 수천 배 큰 응답 패킷이 반사되도록 유도한다[1]. 이를 통해 공격자는 상대적으로 적은 자원으로 목표에 막대한 트래픽 부하를 가할 수 있다.

이러한 과부하의 결과는 시스템의 핵심 자원 고갈로 이어진다. 주요 피해 형태는 다음과 같다.

결국, 트래픽 과부하 원리는 서비스 가용성의 세 가지 핵심 요소인 대역폭, 연결 상태, 컴퓨팅 성능 중 하나 이상을 고갈시킴으로써 서비스 거부 상태를 유발하는 것이다. 이는 가장 직관적이고 원시적인 형태의 DDoS 공격 방식으로, 방어 측면에서는 단순한 공격이지만 그 규모가 방대해질수록 대응이 매우 어려워진다.

봇넷은 DDoS 공격을 수행하는 데 핵심적인 역할을 한다. 이는 악성 코드에 감염되어 공격자의 명령을 받는 다수의 장치(주로 IoT 기기, 개인용 컴퓨터, 서버 등)로 구성된 네트워크이다. 공격자는 C&C 서버를 통해 봇넷에 명령을 전달하여 특정 표적에 대해 동시에 공격을 개시하도록 조종한다.

봇넷을 활용한 공격의 주요 강점은 공격의 규모와 출처의 분산성에 있다. 수천, 수만 대의 좀비 장치에서 발생하는 트래픽은 단일 출처의 공격보다 훨씬 더 큰 대역폭을 소모시킬 수 있다. 또한 공격 트래픽이 전 세계에 흩어져 있는 다양한 IP 주소에서 유입되기 때문에, 공격의 진원지를 식별하고 차단하는 것이 극히 어려워진다. 이는 방어 측이 단순한 IP 차단 목록으로 대응하는 전통적인 방법을 무력화시킨다.

봇넷을 구축하고 유지하는 방법은 지속적으로 진화해 왔다. 초기에는 주로 트로이 목마나 웜을 통해 PC를 감염시켰지만, 최근에는 보안이 취약한 IP 카메라, 라우터, 스마트 가전과 같은 IoT 기기들이 주요 표적이 되고 있다[2]. 이러한 장치들은 종종 기본 비밀번호를 변경하지 않거나 보안 업데이트를 적용하지 않아 쉽게 악용된다.

효과적인 DDoS 방어는 이러한 봇넷 기반 공격의 특성을 이해하고, 이상 트래픽을 조기에 탐지하며, 분산된 공격 소스를 식별해 낼 수 있는 기술과 정책을 수립하는 데 달려 있다.

볼류메트릭 공격은 대규모의 데이터 트래픽을 대상 시스템이나 네트워크에 집중시켜 대역폭을 포화시키는 것을 목표로 한다. 이는 공격자가 조작한 다수의 출발지(IP 주소)에서 대상으로 향하는 엄청난 양의 데이터를 생성함으로써, 정상적인 사용자의 요청이 처리될 수 있는 통로를 막아버린다. 가장 기본적이면서도 흔한 DDoS 공격 유형에 속하며, 공격의 규모는 초당 전송되는 데이터량(bps)이나 패킷 수(pps)로 측정된다.

주요 공격 방식으로는 UDP 플러드와 ICMP 플러드가 있다. UDP 플러드 공격은 대상의 무작위 포트로 많은 UDP 패킷을 보낸다. 대상 시스템은 해당 포트에서 수신 대기 중인 애플리케이션이 없음을 알리는 ICMP '목적지 도달 불가' 패킷을 생성하게 되는데, 이 과정에서 시스템 자원이 소모된다. ICMP 플러드 공격(예: 스머프 공격, 핑 플러드)은 많은 ICMP 에코 요청(ping) 패킷을 보내 네트워크 대역폭을 가득 채운다.

볼류메트릭 공격의 효과를 극대화하기 위한 방법으로 증폭 공격이 자주 활용된다. 이는 공격자가 출발지 IP 주소를 대상의 주소로 위조(IP 스푸핑)한 후, 작은 쿼리를 보내면 큰 응답을 반환하는 공개 서버(예: DNS 서버, NTP 서버)에 요청을 보낸다. 서버는 큰 응답 패킷을 위조된 출발지, 즉 실제 공격 대상으로 보내게 되어, 공격자는 적은 양의 트래픽으로 대상에게 거대한 트래픽을 유도할 수 있다. 이러한 공격은 탐지가 상대적으로 쉬운 편이지만, 순간적인 대역폭 포화로 인해 방어 없이는 효과적으로 막아내기 어렵다.

프로토콜 공격은 OSI 모델의 3계층(네트워크 계층)과 4계층(전송 계층)에서 작동하는 프로토콜의 취약점이나 정상적인 핸드셰이크 과정을 악용하여 서버나 네트워크 인프라 자체의 리소스를 고갈시키는 것을 목표로 한다. 볼류메트릭 공격과 달리, 상대적으로 적은 양의 트래픽으로도 표적 시스템의 연결 상태 테이블, 방화벽, 로드 밸런서 등의 자원을 소모시켜 정상 서비스를 방해할 수 있다는 특징이 있다.

대표적인 공격 유형으로는 SYN 플러드 공격이 있다. 이 공격은 TCP 연결 설정 과정의 3-way handshake를 악용한다. 공격자는 수많은 SYN 패킷을 보내지만, 이에 대한 응답(ACK)을 보내지 않는다. 이로 인해 표적 서버는 대기 상태의 반개방 연결을大量으로 유지하게 되고, 결국 새로운 정상 연결을 수용할 수 있는 리소스가 고갈된다. 비슷한 원리의 공격으로 FIN 패킷이나 RST 패킷을 이용하는 공격도 존재한다.

다른 주요 프로토콜 공격에는 다음과 같은 것들이 포함된다.

이러한 공격들은 종종 네트워크 장비(라우터, 방화벽)의 처리 능력을 목표로 하기 때문에, 서버의 애플리케이션 계층 공격보다 더 근본적인 인프라 마비를 초래할 수 있다. 방어를 위해서는 비정상적인 프로토콜 패턴을 탐지하고, SYN 쿠키와 같은 기술을 적용하거나, 인라인 장비를 통해 악성 패킷을 조기에 필터링하는 조치가 필요하다.

애플리케이션 계층 공격(Layer 7 attack)은 OSI 모델의 7계층, 즉 애플리케이션 계층을 표적으로 하는 DDoS 공격 유형이다. 이 공격은 웹 서버, 데이터베이스, API 등 실제 애플리케이션 서비스를 마비시키는 데 초점을 맞춘다. 일반적인 HTTP나 HTTPS 요청을 가장하기 때문에 상대적으로 적은 트래픽으로도 표적 서버의 핵심 자원(예: CPU, 메모리)을 고갈시켜 서비스 장애를 유발할 수 있다는 특징이 있다.

주요 공격 방식으로는 HTTP GET Flood와 HTTP POST Flood가 있다. HTTP GET Flood는 정적 또는 동적 페이지를 요청하는 다량의 HTTP GET 요청을 보내 웹 서버나 애플리케이션을 포화시키는 방식이다. HTTP POST Flood는 로그인이나 검색과 같이 서버 측에서 처리 부담이 큰 작업을 수행하는 HTTP POST 요청을 지속적으로 전송하여 서버 자원을 소모시킨다. 또한, Slowloris 공격은 매우 느린 속도로 HTTP 요청 헤더를 전송하거나 연결을 장시간 유지하여 사용 가능한 모든 연결 풀을 점유하여 정상 사용자의 접속을 막는 기법이다.

이러한 공격은 정상적인 사용자 트래픽과 구분하기 어려운 경우가 많다. 공격자는 합법적인 User-Agent 문자열을 사용하거나, 실제 브라우저처럼 행동하는 봇을 활용하기 때문이다. 따라서 단순한 트래픽 양(대역폭)만을 모니터링하는 전통적인 방식으로는 탐지와 방어가 쉽지 않다.

방어를 위해서는 애플리케이션 계층의 트래픽을 심층 분석하는 기술이 필요하다. 이는 웹 애플리케이션 방화벽(WAF)을 통해 비정상적인 요청 패턴(예: 초당 과도한 요청 수, 비정상적인 Referer 또는 쿠키, 특정 URL에 대한 집중 공격)을 식별하고 차단하는 방식으로 이루어진다. 또한, 속도 제한(Rate Limiting)이나 챌린지 응답 테스트(예: CAPTCHA, JavaScript challenge)를 적용하여 봇 트래픽을 걸러내는 방법도 효과적이다.

트래픽 모니터링은 DDoS 공격을 탐지하는 가장 기본적이고 핵심적인 방법이다. 이 방법은 네트워크나 서버로 유입되는 데이터 패킷의 양, 속도, 소스, 유형 등을 실시간으로 관찰하고 분석하여 정상적인 기준치에서 벗어나는 이상 징후를 포착하는 데 목적을 둔다. 일반적으로 대역폭 사용량, 초당 패킷 수(PPS), 초당 연결 시도 수(CPS) 같은 지표를 지속적으로 추적한다.

관리자는 정상 운영 시의 평균 트래픽 수준을 기준선으로 설정하고, 이를 초과하는 급격한 변동이 발생하면 공격 가능성을 의심한다. 예를 들어, 특정 시간대에 갑자기 대역폭이 포화 상태가 되거나, 평소와는 다른 프로토콜이나 포트로부터 대량의 트래픽이 집중되는 경우가 여기에 해당한다. 모니터링 도구는 이러한 변칙 패턴을 시각적으로 보여주거나 경보를 발생시킨다.

효과적인 트래픽 모니터링을 위해서는 네트워크의 핵심 지점(예: 인터넷 업링크 앞단, 데이터 센터 진입로)에 탐지 센서를 배치하고, 플로우 데이터(예: NetFlow, sFlow, IPFIX)를 수집하여 분석하는 것이 일반적이다. 이 데이터를 기반으로 공격 트래픽의 특성을 신속하게 식별하고, 이후 행위 기반 탐지나 방어 조치로 이어지게 한다.

행위 기반 탐지는 정상적인 네트워크 트래픽의 패턴과 행위를 기준으로 하여, 이와 다른 이상 행위를 식별하는 방식이다. 이 방법은 단순한 트래픽 양의 증가만을 보는 것이 아니라, 패킷의 구성, 연결 시도 빈도, 프로토콜 사용 방식, 사용자 또는 시스템의 일반적인 행동 양상 등을 분석한다. 예를 들어, 특정 IP 주소에서 초당 수천 건의 HTTP GET 요청을 보내거나, 정상적인 연결 절차를 무시하고 비정상적인 TCP 플래그 조합을 사용하는 패킷을 보낼 경우 이를 공격 시도로 판단한다.

이 기법의 핵심은 머신 러닝과 행위 분석을 활용하여 기준이 되는 '정상 행위'의 프로파일을 지속적으로 학습하고 업데이트하는 것이다. 시스템은 시간대별, 서비스별 평균 접속 횟수, 지리적 위치별 접속 패턴, 일반적인 세션 지속 시간 등의 기준선을 설정한다. 이후 실시간 트래픽을 이 기준과 비교하여 통계적으로 유의미한 편차가 발생하면 경고를 생성하거나 차단 정책을 자동으로 적용한다. 이는 공격자가 트래픽 양을 정상 수준으로 유지하면서도 악의적인 패턴으로 공격하는 정교한 DDoS 공격을 탐지하는 데 유용하다.

행위 기반 탐지 시스템의 효과는 정상 행위 프로파일의 정확성과 시스템의 학습 능력에 크게 의존한다. 따라서 초기 설정 단계에서 충분한 학습 기간이 필요하며, 비즈니스 활동의 변화(예: 신제품 출시로 인한 트래픽 급증)로 인한 정상 행위 변화를 시스템이 올바르게 인식할 수 있도록 지속적인 튜닝이 요구된다. 또한, 이 방법은 탐지까지 일정 시간이 소요될 수 있어, 실시간 차단이 매우 중요한 경우 다른 탐지 기법과 함께 다층적으로 사용되는 경우가 많다.

네트워크 기반 방어는 인터넷 서비스 제공자 수준이나 조직의 네트워크 경계에서 DDoS 공격 트래픽을 걸러내거나 분산시키는 기술을 포괄한다. 이 접근법의 핵심은 공격 트래픽이 목표 시스템에 도달하기 전에 차단하여 서비스 가용성을 유지하는 것이다. 대표적인 기술로는 블랙홀 라우팅, 스크러빙 센터, Anycast 네트워크 배포 등이 있다.

트래픽 필터링은 공격 방어의 기본 수단이다. 인그레스 필터링은 위조된 출발지 IP 주소를 가진 패킷이 네트워크로 유입되는 것을 차단한다. 반면, 이그레스 필터링은 내부 네트워크에서 위조된 패킷이 외부로 나가는 것을 방지하여 봇넷에 감염된 장치가 공격에 활용되는 것을 막는다. 또한, 라우터와 방화벽에서 Rate Limiting을 설정하여 특정 포트나 프로토콜로 들어오는 연결 요청의 초당 허용 횟수를 제한할 수 있다.

이러한 네트워크 수준의 방어는 특히 대규모 볼류메트릭 공격이나 프로토콜 공격에 효과적이다. 그러나 고도화된 애플리케이션 계층 공격은 정상 트래픽과 유사하게 위장되어 네트워크 계층만으로는 탐지가 어려울 수 있다. 따라서 네트워크 기반 방어는 종종 트래픽 모니터링 및 행위 기반 탐지 시스템과 연동되어 다층 방어 체계를 구성한다.

클라우드 기반 방어 서비스는 DDoS 공격을 완화하기 위해 클라우드 컴퓨팅 인프라와 전문 기술을 활용하는 서비스다. 기업이 자체적으로 방어 인프라를 구축하는 대신, 서비스 제공업체(Cloud Service Provider, CSP)나 전문 보안 업체가 운영하는 대규모 클라우드 네트워크를 통해 공격 트래픽을 흡수하고 필터링한다. 이 방식의 핵심은 공격 트래픽을 사용자의 원본 서버로 직접 유입되기 전에, 공급자의 글로벌 분산 네트워크(Anycast 네트워크)에서 차단하고 정상 트래픽만 전달하는 것이다. 이는 특히 대규모 볼류메트릭 공격에 효과적이다.

서비스는 주로 두 가지 형태로 제공된다. 하나는 항시 보호(Always-On) 방식으로, 모든 사용자 트래픽이 공급자의 클라우드 네트워크를 거쳐 필터링된 후 목적지로 전달된다. 다른 하나는 주문형(On-Demand) 방식으로, 평소에는 정상 경로로 트래픽이 흐르다가 공격이 감지되면 DNS 레코드를 변경하거나 BGP 라우팅을 조정하여 트래픽을 공급자의 방어 네트워크로 우회시키는 방식이다. 주문형 방식은 일반적으로 비용이 낮지만, 라우팅 변경에 따른 지연 시간이 발생할 수 있다.

클라우드 기반 방어의 주요 장점은 확장성과 경제성이다. 공급자는 전 세계에 분산된 데이터 센터와 초고용량 네트워크를 보유하고 있어, 단일 기업이 감당하기 어려운 수준의 대규모 공격 트래픽도 처리할 수 있다. 사용자는 방어를 위한 고가의 하드웨어를 구입하거나 대역폭을 확장할 필요 없이, 서비스 구독 형태로 전문적인 보호를 받을 수 있다. 또한, 서비스 제공업체는 실시간으로 진화하는 공격 패턴에 대한 위협 인텔리전스를 축적하여 모든 고객의 방어 효율성을 지속적으로 향상시킨다.

하드웨어 및 소프트웨어 솔루션은 DDoS 공격을 방어하기 위해 조직의 네트워크 경계나 데이터 센터 내부에 직접 배치되는 장비와 프로그램을 의미한다. 이는 방화벽, 침입 탐지 시스템(IDS), 침입 방지 시스템(IPS), 전용 DDoS 완화 어플라이언스 등을 포함한다. 이러한 솔루션은 네트워크 트래픽을 실시간으로 분석하여 정상 트래픽과 공격 트래픽을 구분하고, 악의적인 패킷을 차단하는 역할을 한다.

주요 하드웨어 기반 솔루션으로는 전용 DDoS 완화 어플라이언스가 있다. 이 장비는 고성능의 ASIC(주문형 반도체)이나 FPGA(현장 프로그래머블 게이트 어레이)를 사용하여 초당 수백 기가비트에 이르는 대규모 트래픽을 처리할 수 있다. 일반적인 동작 방식은 다음과 같다.

소프트웨어 기반 방어는 서버나 네트워크 장비에 설치되는 프로그램 형태로 구현된다. 예를 들어, 웹 애플리케이션 방화벽(WAF)은 애플리케이션 계층 공격을 방어하는 데 특화된 소프트웨어 솔루션이다. WAF는 HTTP/HTTPS 요청을 검사하여 SQL 삽입, 크로스 사이트 스크립팅(XSS)과 같은 공격과 함께 애플리케이션을 표적으로 하는 DDoS 공격(예: Slowloris)을 차단한다. 또한, 운영체제의 네트워크 스택을 강화하거나 로드 밸런서의 설정을 최적화하여 연결 수를 제한하는 방법도 소프트웨어적 접근에 포함된다.

이러한 온프레미스 솔루션의 장점은 조직이 보안 정책을 완전히 통제할 수 있고, 내부 네트워크 트래픽에 대한 가시성을 유지한다는 점이다. 그러나 대규모 볼류메트릭 공격을 처리하려면 지속적인 하드웨어 업그레이드 비용이 들며, 공격 트래픽이 조직의 업스트림 대역폭을 포화시키면 효과가 제한될 수 있다는 단점이 있다. 따라서 많은 조직은 이를 클라우드 기반 방어 서비스와 결합한 하이브리드 방어 체계를 구축한다.