분산 거부 서비스 공격
1. 개요
1. 개요
분산 거부 서비스 공격(DDoS)은 다수의 좀비 PC 또는 감염된 장치로 구성된 봇넷을 이용해 특정 서버나 네트워크에 대량의 트래픽을 집중적으로 전송하여 정상적인 서비스를 마비시키는 사이버 공격이다. 공격의 핵심 목표는 서비스의 가용성을 저해하는 것으로, 합법적인 사용자가 표적이 된 서비스나 자원을 이용하지 못하게 만든다.
이 공격은 단일 출발지에서 이루어지는 서비스 거부 공격(DoS)과 구별되며, 공격 트래픽이 전 세계에 분산된 수많은 출발지에서 동시에 발생하기 때문에 공격 근원지를 차단하기가 훨씬 어렵다. DDoS 공격은 일반적으로 C&C 서버에 의해 제어되는 봇넷을 통해 실행되며, 공격 대상은 기업 웹사이트, 금융 기관, 게임 서버, 정부 기관 포털 등 다양하다.
공격의 영향은 표적이 된 서비스의 중단 시간과 규모에 따라 다르며, 경제적 손실, 브랜드 이미지 훼손, 고객 신뢰도 하락 등 심각한 결과를 초래할 수 있다. 따라서 DDoS 공격은 현대 사이버 보안 위협 중 가장 지속적이고 파괴적인 유형 중 하나로 간주된다.
2. DDoS 공격의 원리와 유형
2. DDoS 공격의 원리와 유형
분산 거래 서비스 공격(DDoS)은 공격자가 다수의 시스템을 장악하여 인터넷을 통해 특정 표적에 대량의 트래픽을 집중적으로 보내 서비스를 마비시키는 공격이다. 공격의 원리는 기본적으로 정상적인 사용자의 접근을 방해할 만큼 네트워크 대역폭, 시스템 자원, 또는 애플리케이션 처리 능력을 고갈시키는 데 있다. 공격 유형은 주로 공격이 표적하는 계층에 따라 대역폭 소진 공격, 자원 소진 공격, 애플리케이션 계층 공격으로 구분된다.
대역폭 소진 공격은 네트워크 계층에서 표적의 인터넷 연결 라인을 트래픽으로 포화시켜 정상적인 통신을 불가능하게 만든다. 대표적으로 UDP 플러드나 ICMP 플러드와 같은 공격이 있으며, 반사 및 증폭 기법과 결합되어 공격 규모를 극대화하는 경우가 많다. 이 공격의 성공 여부는 공격자가 동원할 수 있는 총 대역폭이 피해자의 대역폭을 초과하는지에 달려 있다.
자원 소진 공격은 표적 시스템의 내부 자산, 예를 들어 메모리나 CPU, 연결 테이블 등을 고갈시키는 데 초점을 맞춘다. 대표적인 예로 SYN 플러드 공격이 있다. 이 공격은 TCP 연결 설정 과정을 악용하여 불완전한 연결 요청을 대량으로 생성함으로써 서버의 연결 대기 큐를 가득 채우고, 더 이상 새로운 정상 연결을 수용하지 못하게 만든다.
애플리케이션 계층 공격(또는 레이어 7 공격)은 HTTP, DNS, SMTP와 같은 최상위 애플리케이션 프로토콜을 직접 공격한다. 웹 서버의 로그인 페이지나 검색 기능에 반복적으로 요청을 보내는 것이 그 예이다. 이 공격은 상대적으로 적은 트래픽으로도 서버의 애플리케이션 로직이나 데이터베이스를 혹사시켜 서비스를 중단시킬 수 있어 탐지가 더 까다롭다.
2.1. 대역폭 소진 공격
2.1. 대역폭 소진 공격
대역폭 소진 공격은 분산 거부 서비스 공격의 가장 기본적인 형태로, 표적이 되는 네트워크나 서버의 모든 사용 가능한 대역폭을 악의적인 트래픽으로 포화시켜 정상적인 트래픽의 흐름을 방해하는 것을 목표로 한다. 이 공격은 주로 OSI 모델의 3계층(네트워크 계층)과 4계층(전송 계층)을 대상으로 하며, 목표 시스템의 업링크를 마비시키는 데 중점을 둔다. 공격자는 수천 대에서 수백만 대에 이르는 좀비 PC나 IoT 기기로 구성된 봇넷을 이용해 동시에 엄청난 양의 데이터 패킷을 표적에게 집중적으로 전송한다.
공격의 주요 기법으로는 UDP 플러드와 ICMP 플러드가 있다. UDP 플러드는 연결 설정이 필요 없는 UDP 패킷을 무작위 포트 번호로 대량 전송하여 표적 시스템이 존재하지 않는 서비스에 대한 응답을 생성하도록 유도하고, 이 과정에서 시스템 자원과 네트워크 대역폭을 소모시킨다. ICMP 플러드(예: 핑 플러드)는 네트워크 진단용 ICMP 패킷(예: Echo Request)을 대량으로 보내 표적이 이에 대한 응답을 생성하게 만들어 대역폭을 고갈시킨다. 이 외에도 IP 패킷의 출발지 주소를 위조(IP 스푸핑)하여 공격 트래픽의 근원지를 감추는 기법이 일반적으로 함께 사용된다.
이러한 공격의 효과는 표적의 네트워크 용량에 비례한다. 공격 트래픽의 규모가 표적의 수용 가능한 대역폭을 초과하면 네트워크 경로상의 라우터나 스위치가 포화 상태에 이르러 정상적인 데이터 패킷의 손실이 발생하거나 심각한 지연이 생긴다. 결과적으로 합법적인 사용자는 웹사이트에 접속하거나 서비스를 이용하는 것이 사실상 불가능해진다. 대역폭 소진 공격은 비교적 단순한 구조지만, 충분히 큰 규모의 봇넷을 동원할 경우 방어가 매우 어려운 공격 방식으로 평가받는다.
2.2. 자원 소진 공격
2.2. 자원 소진 공격
자원 소진 공격은 서버나 네트워크 장비의 연결 상태, 메모리, CPU 처리 능력과 같은 한정된 시스템 자원을 고갈시켜 정상적인 서비스를 방해하는 DDoS 공격 유형이다. 대역폭을 포화시키는 대신, 표적 시스템 내부의 핵심 자원을 집중적으로 소모시키는 것이 특징이다. SYN 플러드 공격이 대표적인 예로, 공격자는 다량의 TCP 연결 요청(SYN 패킷)을 보내지만 연결을 완성하지 않아 서버가 대기 상태의 불완전한 연결을 유지하게 만든다. 이로 인해 서버의 연결 큐가 가득 차 더 이상 정상적인 연결 요청을 처리할 수 없게 된다.
이 유형의 공격은 상대적으로 적은 양의 트래픽으로도 큰 피해를 입힐 수 있어 효율성이 높다. 주요 공격 기법으로는 다음과 같은 것들이 있다.
공격 기법 | 설명 | 영향받는 자원 |
|---|---|---|
반복적인 불완전한 TCP 연결 요청을 전송 | 연결 상태 테이블(메모리) | |
다량의 정상적이지만 무의미한 HTTP 요청(GET/POST) 전송 | 웹 서버 애플리케이션, CPU, 메모리 | |
매우 느리게 헤더를 전송하거나 연결을 유지하여 웹 서버의 동시 연결 한도를 점유 | 웹 서버의 동시 연결 슬롯 | |
조작된 과대 사이즈의 ICMP 패킷을 전송하여 시스템 충돌 유도 | 시스템 버퍼, 처리 프로세스 |
애플리케이션 계층(OSI 7계층의 7계층)을 표적으로 하는 공격도 이 범주에 포함된다. Slowloris나 HTTP 플러드와 같은 공격은 웹 서버의 로그인 페이지나 검색 기능처럼 자원을 많이 소모하는 동작에 집중하여, 적은 수의 공격 장비로도 서버의 처리 능력을 마비시킨다. 이러한 공격 트래픽은 정상적인 사용자 트래픽과 구분하기 어려워 탐지와 차단이 더욱 복잡해진다.
방어를 위해서는 연결 수와 요청 빈도에 대한 임계값 설정, 비정상적인 연결 패턴 탐지, 웹 애플리케이션 방화벽(WAF) 도입 등의 조치가 필요하다. 또한, 서버의 핵심 자원 사용량을 지속적으로 모니터링하여 갑작스러운 소모 현상을 조기에 발견하는 것이 중요하다.
2.3. 애플리케이션 계층 공격
2.3. 애플리케이션 계층 공격
애플리케이션 계층 공격(OSI 모델의 7계층)은 표적 서버의 실제 애플리케이션 또는 서비스(예: 웹 서버, DNS 서버, 이메일 서버)를 표적으로 하는 정교한 공격 방식이다. 이 공격은 상대적으로 적은 양의 트래픽으로도 서버의 핵심 애플리케이션 자원(예: 데이터베이스 연결, CPU, 메모리)을 고갈시켜 정상 사용자의 서비스 이용을 방해한다. 따라서 대역폭을 포화시키는 볼류메트릭 공격과 구별되며, 탐지가 더 어려운 경우가 많다.
주요 공격 유형으로는 HTTP GET Flood와 HTTP POST Flood가 있다. HTTP GET Flood는 웹 페이지나 대용량 파일을 반복적으로 요청하는 공격이며, HTTP POST Flood는 로그인이나 검색과 같이 서버 측에서 처리 부하가 큰 요청을 지속적으로 보낸다. 또한, Slowloris 공격은 불완전한 HTTP 요청을 매우 느리게 전송하여 서버의 연결 풀을 점유하고, 정상 연결을 차단하는 기법이다.
이러한 공격을 효과적으로 탐지하고 완화하기 위해서는 일반적인 트래픽 볼륨 분석만으로는 부족하다. 대신, 사용자 세션의 행동 패턴, 초당 요청 수(RPS), 특정 URL에 대한 집중 접속, 비정상적인 지리적 위치에서의 접속 등을 분석해야 한다. 방어 측은 웹 애플리케이션 방화벽(WAF)을 배치하여 악성 HTTP 요청을 필터링하거나, 의심스러운 IP 주소에 대해 요청 속도를 제한(레이트 리미팅)하는 방법을 사용한다.
공격 유형 | 표적 계층 | 주요 특징 | 대표 예시 |
|---|---|---|---|
HTTP GET/POST Flood | 애플리케이션 (7계층) | 서버의 애플리케이션 로직/자원 고갈 | 웹 페이지 반복 요청, 로그인 폼 제출 |
Slowloris | 애플리케이션 (7계층) | 최소한의 대역폭으로 연결 자원 점유 | 불완전한 HTTP 헤더를 느리게 전송 |
DNS 쿼리 Flood | 애플리케이션 (7플레이어) | DNS 서버의 해석 자원 고갈 | 대량의 재귀적 DNS 쿼리 전송 |
3. 공격 도구 및 기법
3. 공격 도구 및 기법
분산 거래 서비스 공격을 수행하는 데는 다양한 도구와 기법이 활용된다. 공격자는 일반적으로 악성 소프트웨어에 감염된 다수의 컴퓨터나 장치로 구성된 봇넷을 구축하고, 이를 원격에서 제어하기 위해 C&C 서버를 운영한다. C&C 서버는 명령 및 제어 서버로, 공격자는 이를 통해 봇넷에 속한 모든 좀비 머신에 동시에 공격 명령을 내려 대규모 트래픽을 특정 표적에 집중시킨다. 봇넷의 규모는 수백에서 수백만 대에 이르며, 공격의 파괴력을 결정하는 핵심 요소가 된다.
반사 및 증폭 공격은 공격자의 실제 위치를 숨기고 공격 효과를 극대화하는 기법이다. 이 기법은 응답 패킷이 요청 패킷보다 훨씬 큰 프로토콜의 특성을 악용한다. 공격자는 출발지 IP 주소를 표적의 IP 주소로 위조한 후, 이러한 특성을 가진 공개 서버(예: DNS 서버, NTP 서버, SNMP 서버)에 작은 요청 패킷을 대량으로 전송한다. 그러면 서버들은 위조된 출발지 주소, 즉 표적에게 훨씬 큰 응답 패킷을 보내게 되어, 표적의 네트워크 대역폭이 빠르게 소진된다. 대표적인 증폭 공격 유형과 증폭 배율은 다음과 같다.
공격 유형 | 사용 프로토콜 | 일반적인 증폭 배율 |
|---|---|---|
DNS 반사 공격 | DNS (UDP 53) | 최대 54배 |
NTP 반사 공격 | NTP (UDP 123) | 최대 556배 |
SNMP 반사 공격 | SNMP (UDP 161) | 최대 650배 |
Memcached 반사 공격 | Memcached (UDP 11211) | 최대 51,000배 이상[1] |
공격 도구는 사용자 친화적인 그래픽 인터페이스를 제공하는 경우도 있어, 상대적으로 낮은 기술 수준의 공격자도 봇넷을 임대하거나 도구를 구매해 손쉽게 공격을 실행할 수 있다. 이는 DDoS 공격의 접근성을 높이고 위협을 확대하는 요인으로 작용한다.
3.1. 봇넷과 C&C 서버
3.1. 봇넷과 C&C 서버
봇넷은 악성 소프트웨어에 감염되어 공격자의 통제를 받는 다수의 컴퓨터, 서버, IoT 기기 등으로 구성된 네트워크이다. 이 감염된 각 기기를 좀비 PC 또는 봇이라고 부른다. 공격자는 이 봇넷을 이용해 대규모의 분산 거부 서비스 공격을 동시에 실행하여 표적 시스템에 엄청난 양의 트래픽을 집중시킨다. 봇넷의 규모는 수백 대에서 수백만 대에 이르며, 규모가 클수록 공격의 파괴력이 증가한다.
봇넷의 생성과 운영에는 C&C 서버가 핵심 역할을 한다. C&C는 '명령 및 제어'를 의미하며, 공격자가 봇넷에 속한 모든 좀비 PC에게 명령을 내리고 통제하는 중앙 서버를 가리킨다. 공격자는 C&C 서버를 통해 공격 시작 시간, 표적 IP 주소, 사용할 공격 기법 등의 명령을 배포한다. C&C 서버와 봇들 간의 통신은 은닉을 위해 IRC, HTTP, 또는 P2P 네트워크와 같은 합법적으로 보이는 프로토콜을 이용하기도 한다.
C&C 서버의 구조는 중앙집중형에서 분산형까지 진화해왔다. 초기에는 단일 C&C 서버를 사용했으나, 이는 차단되면 전체 봇넷이 무용지물이 되는 단점이 있었다. 이를 극복하기 위해 다중 C&C 서버, 도메인 생성 알고리즘, 또는 완전한 P2P 구조를 채택하여 탄력성과 생존성을 높인다. 최근에는 합법적인 클라우드 서비스나 소셜 미디어 플랫폼을 C&C 채널로 악용하는 사례도 나타난다[2].
구조 유형 | 설명 | 장단점 |
|---|---|---|
중앙집중형 (Star) | 단일 C&C 서버가 모든 봇을 제어한다. | 구현이 간단하지만, 서버 차단 시 전체 봇넷이 마비된다. |
다중 C&C (Multi-server) | 여러 대의 C&C 서버가 계층 구조로 운영된다. | 일부 서버가 차단되어도 다른 서버를 통해 제어가 가능하다. |
P2P (분산형) | 봇들이 서로를 통해 명령을 전파하며, 고정된 C&C 서버가 없다. | 추적과 차단이 매우 어렵지만, 명령 전파가 느리고 복잡하다. |
3.2. 반사 및 증폭 공격
3.2. 반사 및 증폭 공격
반사 및 증폭 공격은 공격자가 상대적으로 적은 양의 요청을 보내 목표 서버에 대량의 응답 트래픽이 집중되도록 유도하는 DDoS 기법이다. 이 공격은 공격자가 자신의 IP 주소를 위장(스푸핑)하여 다수의 중간 서버(반사체)에 요청 패킷을 보내는 방식으로 작동한다. 반사체 서버는 요청을 받으면 정상적인 응답 패킷을 생성하지만, 패킷의 출발지 주소가 공격자에 의해 위조된 목표 서버의 주소이기 때문에 응답이 공격 대상으로 향하게 된다. 이 과정에서 응답 패랫의 크기가 요청 패킷보다 훨씬 크다면 트래픽이 증폭되는 효과가 발생한다.
주요 반사 및 증폭 공격에는 DNS 증폭 공격, NTP 증폭 공격, SNMP 증폭 공격, CLDAP 증폭 공격 등이 있다. 이들은 모두 특정 프로토콜의 설상상 취약점이나 정상적인 기능을 악용한다. 예를 들어, DNS 증폭 공격은 작은 크기의 DNS 질의 패킷에 대해 매우 큰 DNS 응답 레코드(예: TXT 레코드)를 반환하도록 유도하여 증폭률을 극대화한다. 각 공격 유형의 특징은 아래 표와 같다.
공격 유형 | 사용 프로토콜 | 일반적인 증폭 배율 | 설명 |
|---|---|---|---|
DNS 증폭 | DNS (UDP 53) | 28 ~ 54배 | ANY 타입 등의 질의로 대용량 응답을 유도한다. |
NTP 증폭 | NTP (UDP 123) | 556배 |
|
SNMP 증폭 | SNMP (UDP 161) | 650배 | 대량의 관리 정보를 요청하는 GETBULK 작업을 악용한다. |
CLDAP 증폭 | CLDAP (UDP 389) | 56 ~ 70배 | 연결 없는 LDAP 프로토콜을 이용해 디렉터리 서비스 응답을 유도한다. |
이러한 공격은 공격자에게 몇 가지 이점을 제공한다. 첫째, 공격 트래픽의 출처가 실제로는 합법적인 공용 서버들이기 때문에 공격 근원지를 추적하기 어렵다. 둘째, 적은 양의 대역폭으로도 막대한 양의 공격 트래픽을 생성할 수 있어 공격 효율이 매우 높다. 따라서 방어 측면에서는 반사체가 될 수 있는 공용 서비스의 불필요한 UDP 포트를 차단하거나, 스푸핑된 IP 주소로부터의 패킷을 네트워크 경계에서 차단(BCP38[3])하는 것이 기본적인 대응책이다.
4. DDoS 공격 탐지 방법
4. DDoS 공격 탐지 방법
DDoS 공격을 탐지하는 방법은 크게 트래픽 분석에 기반한 방법과 시스템 또는 사용자의 행동 패턴을 모니터링하는 방법으로 나눌 수 있다. 효과적인 탐지는 공격의 초기 단계에서 이상 징후를 포착하여 신속한 대응을 가능하게 한다.
트래픽 분석 기반 탐지는 네트워크를 흐르는 데이터 패킷의 양과 패턴을 실시간으로 분석한다. 일반적으로 정상적인 트래픽의 기준치(베이스라인)를 설정하고, 이를 크게 벗어나는 변동을 탐지한다. 주요 지표로는 초당 패킷 수(PPS), 초당 비트 수(BPS), 특정 포트나 프로토콜로 집중되는 연결 요청, 지리적으로 비정상적으로 분산된 IP 주소 출현 등이 있다. 예를 들어, 평소보다 수백 배 증가한 ICMP 패킷이나 SYN 패킷이 관측되면 대역폭 소진 공격이나 자원 소진 공격의 가능성이 높다. 이러한 방법은 네트워크 장비나 별도의 트래픽 분석 시스템을 통해 구현된다.
행동 기반 탐지는 트래픽 양보다는 서버나 애플리케이션의 상태 변화에 주목한다. 서버의 CPU나 메모리 사용률이 갑자기 급증하거나, 웹 애플리케이션의 응답 시간이 현저히 느려지는 현상, 특정 페이지에 대한 로그인 실패 횟수의 폭발적 증가 등을 모니터링한다. 특히 애플리케이션 계층 공격은 트래픽 양이 적어도 정상적인 사용자처럼 위장하여 서버의 핵심 자원(예: 데이터베이스 연결)을 고갈시키므로, 행동 기반 분석이 더 효과적일 수 있다. 일부 시스템은 사용자의 일반적인 행동 패턴을 학습하여, 이를 벗어나는 비정상적인 요청 시퀀스를 탐지하기도 한다.
탐지 유형 | 주요 분석 대상 | 탐지 가능한 공격 유형 예시 | 장점 |
|---|---|---|---|
트래픽 분석 기반 | 대규모 공격을 빠르게 식별 가능, 네트워크 경계에서 차단 가능 | ||
행동 기반 탐지 | 서버 자원 사용률(CPU, 메모리), 애플리케이션 응답 시간, 사용자 세션 동작 | 애플리케이션 계층 공격(HTTP 플러드), 느린 공격(Slowloris), 데이터베이스 고갈 공격 | 낮은 볼륨의 정교한 공격 탐지에 유리, 공격의 실제 영향을 측정 |
현대의 탐지 시스템은 두 방법을 혼합하여 사용하며, 머신 러닝과 인공지능 기술을 도입하여 정상 패턴과 공격 패턴을 더 정확하게 구분하고 있다. 이를 통해 기존에 알려지지 않은 새로운 유형의 공격(제로데이 공격)을 탐지하는 능력도 향상되고 있다.
4.1. 트래픽 분석 기반 탐지
4.1. 트래픽 분석 기반 탐지
트래픽 분석 기반 탐지는 네트워크 트래픽의 통계적 특성이나 패턴을 실시간으로 모니터링하여 비정상을 감지하는 방법이다. 이 방식은 일반적으로 정상 상태의 트래픽 기준선을 설정하고, 이를 벗어나는 변칙을 탐지하는 원리를 사용한다. 분석 대상은 주로 패킷 전송률, 대역폭 사용량, 특정 프로토콜의 비율, 출발지 IP 주소의 다양성 등이다.
탐지 방법은 크게 두 가지로 구분된다. 첫째는 임계값 기반 탐지로, 사전에 정의된 특정 수치를 초과하는 트래픽을 공격으로 판단한다. 예를 들어, 초당 패킷 수나 초당 비트 수가 평소의 10배를 넘어서면 경보를 발생시킨다. 둘째는 통계적 프로파일링 기반 탐지로, 장기간의 트래픽 데이터를 학습하여 정상적인 트래픽의 통계적 모델을 만들고, 이 모델과 현저히 다른 트래픽을 이상 징후로 식별한다.
분석은 네트워크의 다양한 지점에서 수행될 수 있다. 일반적으로 라우터나 스위치와 같은 네트워크 장비, 또는 전용 침입 탐지 시스템에서 트래픽을 샘플링하여 분석한다. 효과적인 탐지를 위해 다음과 같은 주요 지표를 종합적으로 고려한다.
분석 지표 | 설명 | 공격 탐지 활용 예 |
|---|---|---|
패킷 속도 | 단위 시간당 도착하는 패킷 수 | 갑작스러운 패킷 수의 급증은 대역폭 소진 공격의 징후일 수 있다. |
대역폭 사용률 | 사용 중인 대역폭의 총량 | 평소 사용량 대비 90% 이상의 지속적 사용은 공격을 암시한다. |
프로토콜 분포 | TCP, UDP, ICMP 등 프로토콜 비율 | 정상적으로 낮은 UDP 비율이 급격히 높아지면 UDP 플러드 공격 가능성이 있다. |
IP 주소 다양성 | 패킷의 출발지 IP 주소 수 | 단일 IP의 과도한 트래픽 또는 지리적으로 산발적인 수많은 IP의 트래픽은 봇넷 공격을 나타낸다. |
패킷 크기 분포 | 평균 패킷 크기 및 분포 | 비정상적으로 작거나 큰 패킷이 집중되면 특정 공격 기법을 의심할 수 있다. |
이 방법의 장점은 비교적 구현이 간단하고 알려진 공격 패턴에 대해 빠르게 대응할 수 있다는 점이다. 그러나 지능적이고 분산된 공격은 정상 트래픽을 모방하거나 점진적으로 트래픽을 증가시켜 기준선을 교란할 수 있어 탐지가 어려울 수 있다. 따라서 트래픽 분석 기반 탐지는 종종 행동 기반 탐지와 같은 다른 기법과 결합하여 사용된다.
4.2. 행동 기반 탐지
4.2. 행동 기반 탐지
행동 기반 탐지는 정상적인 사용자나 시스템의 일반적인 행동 패턴을 기준으로 설정하고, 이 기준에서 벗어나는 이상 행위를 탐지하는 방식이다. 이 방법은 특정 공격 서명을 찾는 트래픽 분석 기반 탐지와 달리, 공격의 패턴이 지속적으로 진화하거나 새로운 형태로 등장하는 경우에도 효과적일 수 있다.
기본 원리는 정상 상태를 정의하는 것이다. 예를 들어, 특정 서버에 대한 일반적인 시간당 접속 횟수, 사용자 세션의 평균 지속 시간, 특정 API 엔드포인트에 대한 요청 빈도 등을 장기간 모니터링하여 기준선을 설정한다. 이후 실시간 트래픽을 모니터링하며 이 기준선에서 통계적으로 유의미하게 벗어나는 변칙을 탐지한다. 변칙의 예로는 특정 IP 주소에서의 극단적으로 높은 요청률, 비정상적인 패킷 크기 분포, 평소와 다른 지리적 위치에서의 접속 폭증 등이 포함된다.
이 기법은 기계 학습 알고리즘을 활용하여 구현되는 경우가 많다. 시스템은 정상 트래픽 데이터를 학습하여 모델을 구축하고, 새로운 트래픽이 이 모델과 얼마나 일치하는지 평가한다. 이상 징후가 감지되면 관리자에게 경고를 생성하거나, 사전 정의된 정책에 따라 자동으로 차단 조치를 취할 수 있다. 행동 기반 탐지는 알려지지 않은 제로데이 DDoS 공격을 식별하는 데 강점을 보이지만, 정상 행동의 기준을 정확히 설정하는 것과 높은 오탐지 가능성이라는 과제를 안고 있다.
5. DDoS 공격 대응 및 방어 전략
5. DDoS 공격 대응 및 방어 전략
DDoS 공격에 대한 방어는 단일 기술이 아닌, 네트워크 인프라, 운영 체계, 외부 서비스 활용을 결합한 다층적 전략을 필요로 한다. 효과적인 대응의 핵심은 공격 트래픽을 정상 트래픽과 구분하여 차단하거나 흡수하는 데 있다.
첫 번째 방어선은 네트워크 인프라 자체를 강화하는 것이다. 라우터와 스위치에서 액세스 제어 목록(ACL)을 구성해 알려진 악성 IP 대역을 차단하거나, 인그레스 필터링(Ingress Filtering)을 통해 출발지 IP 주소가 위조된 패킷을 근원지에서 차단할 수 있다. 또한, 네트워크 대역폭을 여유 있게 설계(과프로비저닝)하거나, 트래픽을 여러 경로로 분산시키는 로드 밸런싱 기술은 일부 대규모 공격의 영향을 줄이는 데 도움을 준다. 그러나 이러한 인프라 기반 방어만으로는 현대적인 복합 공격을 완전히 막기에는 한계가 있다.
이러한 한계를 극복하기 위해 전문적인 클라우드 기반 DDoS 완화 서비스를 활용하는 경우가 증가한다. 이 서비스는 Anycast 네트워크를 이용해 전 세계에 분산된 청정 센터로 공격 트래픽을 유도한다. 청정 센터에서는 실시간 트래픽 분석, 행동 패턴 인식, 머신 러닝 알고리즘 등을 통해 악성 트래픽을 필터링한 후, 정제된 트래픽만을 고객의 서버로 전송한다. 이 방식은 기업이 자체 인프라에 투자할 부담을 줄이면서도 대규모 공격을 효과적으로 처리할 수 있게 한다.
조직은 사전에 명확한 사고 대응 절차를 수립하고 정기적으로 훈련해야 한다. 일반적인 절차는 다음과 같은 단계를 포함한다.
단계 | 주요 활동 |
|---|---|
탐지 및 평가 | 트래픽 모니터링 도구를 통해 공격 신호를 감지하고, 공격 유형, 규모, 표적을 신속히 평가한다. |
대응 계획 수립 | 평가 결과를 바탕으로, 인프라 조정, 클라우드 스크러빙 센터로의 트래픽 재라우팅, ISP에 대한 공지 등 구체적 행동을 결정한다. |
완화 실행 | 결정된 계획에 따라 기술적 조치를 실행하고, 필터링 규칙을 적용하며, 진행 상황을 모니터링한다. |
복구 및 보고 | 공격이 종료된 후 시스템을 정상 상태로 복구하고, 피해 내용을 분석하여 향후 방어 체계를 개선하는 보고서를 작성한다. |
이러한 다각적인 전략을 통해 조직은 DDoS 공격으로 인한 서비스 중단 시간을 최소화하고 비즈니스 연속성을 유지할 수 있다.
5.1. 네트워크 인프라 방어
5.1. 네트워크 인프라 방어
네트워크 인프라 방어는 분산 거부 서비스 공격의 직접적인 영향을 받는 네트워크 경계에서 이루어지는 1차 방어선이다. 이는 공격 트래픽이 내부 시스템에 도달하기 전에 차단하거나 걸러내는 것을 목표로 한다. 주요 전략으로는 인그레스 필터링과 이그레스 필터링을 통해 출발지 IP 주소가 위조된 패킷을 차단하는 것이 포함된다. 또한, 라우터와 스위치에서 액세스 제어 목록을 구성하여 의심스러운 트래픽을 차단하거나 속도를 제한할 수 있다.
네트워크 아키텍처 설계 단계에서의 대비도 중요하다. 서버와 중요 자원을 여러 데이터 센터에 분산시키고, 로드 밸런서를 활용하여 트래픽을 여러 서버에 나누는 방식은 단일 지점의 과부하를 방지한다. 네트워크 대역폭을 여유 있게 확보하는 것도 기본적인 완화 조치이다. 이를 통해 소규모의 대역폭 소진 공격을 흡수할 수 있는 용량을 갖출 수 있다.
보다 진화된 기술적 방어 수단도 활용된다. BGP 흐름 명세나 리모트 트리거 블랙홀 같은 기법을 사용하면, 공격 트래픽을 식별한 후 네트워크 경로 상에서 차단 지점을 설정하여 목표 시스템에 도달하지 못하도록 할 수 있다. 다음 표는 주요 네트워크 인프라 방어 기법을 정리한 것이다.
방어 기법 | 설명 | 주요 목적 |
|---|---|---|
인그레스/이그레스 필터링 | 네트워크 경계에서 위조된 출발지 IP를 가진 패킷을 차단 | IP 스푸핑 방지 |
대역폭 과프로비저닝 | 평소 사용량보다 훨씬 큰 네트워크 용량을 확보 | 소규모 공격 흡수 |
트래픽 분산 | 다중 데이터 센터와 로드 밸런서 활용 | 단일 지점 장애 방지 |
RTBH (리모트 트리거 블랙홀) | 공격 트래픽의 목적지 IP를 널 라우트로 보내 폐기 | 네트워크 코어에서 공격 트래픽 차단 |
ACL (액세스 제어 목록) | 라우터/스위치에서 특정 포트나 프로토콜 트래픽 차단 | 대상 시스템으로의 불필요한 접근 차단 |
이러한 인프라 수준의 방어는 공격의 초기 충격을 줄이는 데 필수적이지만, 대규모이거나 복잡한 공격에는 한계가 있을 수 있다. 따라서 클라우드 기반 완화 서비스나 전문 보안 운영 센터의 모니터링과 연동된 다층 방어 전략이 필요하다.
5.2. 클라우드 기반 완화 서비스
5.2. 클라우드 기반 완화 서비스
클라우드 기반 완화 서비스는 분산 거부 서비스 공격의 대규모 트래픽을 온프레미스 인프라에 도달하기 전에 클라우드 네트워크 상에서 차단하거나 걸러내는 서비스이다. 이 서비스는 공급업체가 운영하는 전 세계에 분산된 대용량 스크러빙 센터를 통해 작동한다. 고객은 자신의 트래픽을 이 센터로 유도하기 위해 DNS 레코드를 변경하거나 BGP 라우팅을 재구성한다. 악성 트래픽은 센터에서 식별 및 제거된 후, 정상 트래픽만 고객의 원본 서버로 전달된다[4].
이 접근 방식의 주요 장점은 무한에 가까운 대역폭과 탄력적인 확장성을 제공한다는 점이다. 공격 규모가 갑자기 증가하더라도 클라우드 공급자의 거대한 네트워크 용량을 활용하여 공격을 흡수할 수 있다. 또한, 하드웨어 장비 구입 및 유지보수 비용 없이 서비스형으로 제공되므로, 중소기업도 비교적 낮은 진입 장벽으로 전문적인 방어를 도입할 수 있다.
주요 서비스 유형은 다음과 같다.
서비스 유형 | 설명 | 주요 특징 |
|---|---|---|
항시형 보호 | 모든 트래픽이 항상 스크러빙 센터를 경유하도록 설정 | 지속적인 보호가 필요한 금융, 게임 등 중요 서비스에 적합 |
온디맨드 보호 | 평소에는 정상 경로로 트래픽 흐름, 공격 감지 시에만 트래픽을 스크러빙 센터로 전환 | 비용 효율적이지만, 전환 시 약간의 레이턴시 발생 가능 |
이러한 서비스는 복잡한 애플리케이션 계층 공격을 방어하기 위해 웹 애플리케이션 방화벽 기능을 통합하는 경우가 많다. 그러나 클라우드 서비스에 대한 의존도가 높아지고, 모든 트래픽이 제3자를 경유함에 따른 레이턴시 증가 및 데이터 프라이버시 고려사항이 주요 논의 대상이 된다.
5.3. 사고 대응 절차
5.3. 사고 대응 절차
분산 거부 서비스 공격이 발생했을 때, 체계적인 사고 대응 절차를 따르는 것은 피해를 최소화하고 서비스를 신속하게 복구하는 데 필수적이다. 일반적인 사고 대응 절차는 준비, 탐지 및 분석, 봉쇄 및 제거, 복구, 사후 분석의 단계로 구성된다.
첫 단계는 공격 발생 전의 준비 단계이다. 이 단계에서는 명확한 대응 계획을 수립하고, 담당자와 의사소통 채널을 지정하며, 네트워크 트래픽 기준선을 설정한다. 또한 클라우드 기반 완화 서비스 업체와의 계약을 사전에 체결하거나, 내부 방어 장비의 설정을 점검한다. 정기적인 훈련과 모의 훈련을 통해 대응 절차를 숙달하는 것도 중요하다.
공격이 감지되면 즉시 분석 단계에 돌입한다. 공격의 유형(대역폭 소진 공격, 애플리케이션 계층 공격 등), 규모, 공격 소스, 대상 시스템을 신속히 파악한다. 이 정보는 이후의 대응 결정에 근거가 된다. 분석과 동시에 봉쇄 단계를 진행하여 피해 확산을 막는다. 주요 조치로는 공격 트래픽을 C&C 서버나 반사체로 차단하거나, 트래픽을 스크러빙 센터로 우회시키는 것이 포함된다.
대응 단계 | 주요 활동 | 담당자/수단 예시 |
|---|---|---|
준비 | 대응 계획 수립, 기준선 설정, 계약 체결 | 보안팀, 네트워크팀 |
탐지 및 분석 | 트래픽 모니터링, 공격 유형 및 소스 분석 | SIEM, 네트워크 분석 도구 |
봉쇄 및 제거 | 방화벽/라우터 ACL 설정, 트래픽 우회, ISP 협조 | 네트워크팀, 클라우드 기반 완화 서비스 |
복구 | 시스템 점검, 정상 트래픽 복원, 모니터링 강화 | 시스템관리자, 애플리케이션팀 |
사후 분석 | 사고 보고서 작성, 대응 과정 평가, 계획 개선 | 보안팀, 경영진 |
공격이 종료되면 복구 단계에서 시스템을 정상 상태로 되돌린다. 차단 정책을 점진적으로 해제하고, 시스템 무결성을 확인하며, 강화된 모니터링을 유지한다. 마지막 사후 분석 단계에서는 공격의 원인, 대응 과정의 효과성, 개선점을 문서화한다. 이 보고서는 향후 대응 계획과 방어 전략을 업데이트하는 데 활용된다.
6. 법적 및 윤리적 고려사항
6. 법적 및 윤리적 고려사항
분산 거부 서비스 공격을 실행하는 행위는 대부분의 국가에서 명백한 불법 행위에 해당한다. 이는 사이버 범죄로 분류되며, 컴퓨터 사기 및 남용 금지법이나 정보통신망법과 같은 법률에 의해 처벌 대상이 된다. 공격을 주도하거나 봇넷을 구축, 운영하는 행위, 악성 코드를 유포하는 행위 등은 형사상의 책임을 지게 된다. 또한 공격으로 인해 서비스 장애나 금전적 손실이 발생한 경우, 민사상 손해배상 청구도 가능하다. 일부 국가에서는 이러한 범죄에 대해 상당히 중한 형량을 부과하기도 한다[5].
윤리적 측면에서 DDoS 공격은 디지털 공간에서의 파괴 행위에 해당한다. 이는 단순한 해킹을 넘어서 무고한 제3자의 시스템을 공격 도구로 악용하고, 인터넷의 공공재적 성격을 훼손한다는 점에서 심각한 문제를 제기한다. 특히 병원, 긴급구조 서비스, 금융 기관 등 사회 기반 시설을 표적으로 삼는 공격은 생명과 직결된 위험을 초래할 수 있어 윤리적 비난의 강도가 더욱 크다.
공격의 동기가 정치적 항의(핵티비즘)나 단순한 장난이라고 하더라도, 그 수단과 결과의 불법성과 파괴력은 정당화될 수 없다. 사이버 공간에서의 표현의 자유와 불법적인 서비스 방해 행위는 명확히 구분되어야 한다. 따라서 사이버 보안 커뮤니티와 법 집행 기관은 이러한 공격을 단순한 기술적 문제가 아닌, 사회적 해악으로 인식하고 대응하고 있다.
7. 최근 동향과 미래 전망
7. 최근 동향과 미래 전망
사물인터넷 기기의 급증은 DDoS 공격의 규모와 빈도를 변화시켰다. 보안이 취약한 IoT 장치(예: IP 카메라, 스마트 가전, 라우터)는 공격자에게 쉬운 표적이 되었다. 이들 장치는 종종 기본 비밀번호를 변경하지 않거나 업데이트되지 않은 취약한 소프트웨어를 실행하여, 미라이 봇넷과 같은 대규모 봇넷에 쉽게 감염된다[6]. 결과적으로, 수십만 대의 IoT 장치로 구성된 봇넷을 이용한 테라바이트 급의 초대규모 공격이 가능해졌다.
인공지능과 머신러닝 기술은 공격과 방어 양측에 모두 적용되고 있다. 공격 측에서는 AI를 활용해 정상 트래픽 패턴을 학습하고 탐지를 회피하는 지능형 공격을 생성하거나, 공격 대상의 취약점을 자동으로 탐색하는 데 사용된다. 반면, 방어 측에서는 AI 기반의 실시간 트래픽 분석 시스템이 핵심 도구로 자리 잡았다. 이 시스템들은 기존의 시그니처 기반 탐지를 넘어서, 비정상적인 트래픽 흐름과 패턴을 학습하여 이전에 알려지지 않은 새로운 공격 기법(제로데이 공격)을 사전에 탐지하고 차단하는 능력을 갖춘다.
동향 분야 | 주요 내용 | 영향 및 예시 |
|---|---|---|
사물인터넷 활용 | 보안이 취약한 IoT 기기를 활용한 대규모 봇넷 구성 | 테라바이트 급 대역폭 공격 가능, 미라이 봇넷 사례 |
AI/머신러닝 | 공격: 지능형 공격 생성 및 취약점 탐색 / 방어: 이상 트래픽 실시간 탐지 | 탐지 회피 공격 증가, 적응형 방어 시스템의 발전 |
5G 네트워크 | 초고속·초연결 환경에서의 공격 표면 확대 | 더 빠른 공격 전파와 더 많은 장치가 표적이 될 위험 |
지리적 분산 공격 | 전 세계에 분산된 소규모 공격원으로부터의 동시 공격 | 공격 트래픽의 출처를 특정하기 어려워지고 방어 복잡성 증가 |
5G 네트워크의 보급은 새로운 도전 과제를 제시한다. 초고속과 초연결 특성은 공격 트래픽의 규모와 속도를 더욱 증대시킬 잠재력을 가지며, 연결되는 장치의 수가 기하급수적으로 증가함에 따라 공격에 이용 가능한 표면이 확장된다. 또한, 공격 기법은 점점 더 정교해져 전 세계에 분산된 수많은 소규모 공격원으로부터 저강도 공격을 장시간 지속하는 형태로 진화하고 있다. 이는 공격 트래픽을 식별하고 차단하는 전통적인 방어 방식의 효율을 떨어뜨린다. 미래의 효과적인 방어는 클라우드 컴퓨팅 기반의 대규모 스크러빙 센터, AI 기반의 예측 및 자동화 대응, 그리고 글로벌 협력을 통한 위협 인텔리전스 공유에 크게 의존할 것이다.
7.1. IoT 기기 활용 공격
7.1. IoT 기기 활용 공격
사물인터넷 기기의 급격한 증가와 이들 기기의 보안 취약점은 DDoS 공격의 규모와 빈도를 변화시켰다. 전통적인 봇넷이 주로 개인용 컴퓨터로 구성되었다면, 최근 공격자들은 보안이 취약한 IoT 기기(예: IP 카메라, 스마트 홈 장치, 라우터, 디지털 비디오 레코더)를 대규모로 감염시켜 공격 인프라로 활용한다. 이러한 기기들은 종종 기본 비밀번호를 변경하지 않거나, 업데이트가 불가능한 펌웨어를 사용하여 쉽게 악성 코드에 감염된다.
이러한 IoT 봇넷은 미라이 봇넷과 같은 사례에서 볼 수 있듯이, 수십만 대의 기기를 동원하여 초당 1 테라비트 이상의 트래픽을 발생시키는 초대규모 공격을 가능하게 한다. IoT 기기는 일반적으로 항상 전원이 켜져 있고 고대역폭 네트워크에 연결되어 있어, 공격자에게 매우 효율적인 공격 도구가 된다.
공격 봇넷 이름 | 주요 활용 IoT 기기 | 주목할 만한 공격 사례 |
|---|---|---|
미라이(Mirai) | IP 카메라, 라우터, DVR | |
바이더(Baidu) | 스마트 홈 장치, 무선 주파수 리모컨 | 다양한 웹 호스팅 서비스 공격 |
허쉬(Hajime) | 네트워크 비디오 레코더, 카메라 | 경쟁 봇넷 제거 및 자체 보호 기능을 갖춘 웜 형태 |
IoT 기기를 활용한 공격의 대응은 기존 방식보다 복잡하다. 피해 기기의 소유자는 자신의 장치가 공격에 활용되고 있는지 인지하지 못하는 경우가 많으며, 기기 제조사는 보안 패치를 제공하지 않거나 사용자가 적용하기 어려운 경우가 많다. 이에 따라 규제 기관들은 IoT 기기에 대한 최소한의 보안 기준(예: 기본 비밀번호 변경 강제, 보안 업데이트 메커니즘)을 마련하는 방안을 모색하고 있다.
7.2. AI 기반 공격과 방어
7.2. AI 기반 공격과 방어
인공지능과 머신러닝 기술의 발전은 분산 거부 서비스 공격의 진화와 방어 양측에 모두 영향을 미치고 있다. 공격자들은 AI를 활용하여 더욱 정교하고 적응형인 공격을 자동화한다. 예를 들어, 머신러닝 알고리즘을 사용해 방어 시스템의 패턴을 학습하고, 탐지를 회피하기 위해 공격 트래픽의 특징을 실시간으로 변화시킬 수 있다. 또한, AI는 취약한 IoT 기기를 효율적으로 탐색하고 감염시켜 대규모 봇넷을 구성하는 데 활용되기도 한다.
방어 측면에서는 AI와 머신러닝이 공격 탐지 및 완화의 핵심 기술로 자리 잡았다. 기존의 시그니처 기반 탐지는 새로운 공격 벡터에 대응하기 어려운 반면, AI 기반 시스템은 정상 트래픽과 비정상 트래픽을 구분하는 행동 분석 모델을 지속적으로 학습한다. 이 시스템들은 네트워크 트래픽의 실시간 흐름을 분석하여 미세한 이상 징후를 조기에 발견하고, 공격 트래픽을 자동으로 차단 또는 격리한다.
AI를 활용한 공격과 방어는 일종의 군비 경쟁 구도를 형성하고 있다. 공격자와 방어자 모두 지속적으로 알고리즘을 개선하고 전략을 발전시킨다. 이에 따라 향후 DDoS 공격 방어는 단순한 트래픽 필터링을 넘어, 예측 분석과 사전 대응을 포함한 지능형 사이버 방어 체계로 전환될 전망이다.
