Support

DDoS 공격 및 방어

DDoS는 무엇이며, 여러분은 어떤 방법으로 DDoS 공격을 방어할 수 있습니까?

DDoS 공격: 방어를 위한 소개, 설명 및 전략


DDoS 공격이란 무엇입니까?

DDoS (분산 서비스 거부) 공격이란 공격자가 네트워크, 애플리케이션 또는 서비스에 사용할 수 있는 자원을 소진시켜 실제 사용자들이 액세스할 수 없도록 하는 것을 말합니다.

2010년을 시작으로, 핵티비즘으로 인해 적지않은 영향을 받은 DDoS 공격은 부흥기를 맞았으며, 그 결과, 공격 툴, 타겟, 기술이 획기적으로 발달하였습니다.

오늘날 DDoS 공격은 연속적인 대규모 공격으로 진화하고 있으며, 방화벽과 IPS 같은 기존 보안 인프라 뿐만 아니라 애플리케이션을 대상으로 공격을 탐지하는 것이 더욱 까다롭고 어려워지고 있습니다.

DDoS 공격의 여러가지 유형

DDoS 공격은 매우 다양하며, 공격을 실행할 수 있는 방법(공격 벡터)도 수천가지가 있습니다. 그러나 공격 벡터는 일반적으로 세 가지 큰 범주 중 하나에 해당합니다.

대규모 공격(Volumetric Attacks): 타겟 네트워크/서비스, 또는 타겟 네트워크/서비스와 다른 인터넷 사이의 대역폭을 소모하려는 것으로, 이 공격은 단순히 정체를 유발시킵니다.

TCP 고갈 상태 공격(TCP State-Exhaustion Attacks): 이 공격은 로드 밸런서, 방화벽 및 애플리케이션 서버 등 여러 인프라 컴포넌트에 존재하는 연결 상태의 테이블을 고갈시킵니다. 수백만 개의 연결 상태를 유지할 수 있는 고성능 장치도 이 공격에 의해 중단될 수 있습니다.

애플리케이션 레이어 공격: 이 공격은 레이어 7에서 애플리케이션이나 서비스 일부를 대상으로 하며, 트래픽 속도가 낮은 장비에 대한 공격 몇 개만으로도 효과가 아주 크기 때문에 가장 치명적인 방법입니다. (이 때문에  공격을 사전에 탐지하고 대응하기가 매우 어려워집니다.) 이 공격은 과거 3~4년동안 많이 보급되었으며, 단순한 애플리케이션 레이어 플러드 공격 (HTTP 수준의 GET 플러드 공격 등)은 가장 일반적인 DDoS 공격 중 하나입니다.

오늘날의 지능형 공격자들은 인프라 장치에 대한 대규모 공격, 상태 고갈 공격, 애플리케이션 레이어 공격을 모두 결합하여 원하는 목적을 이룰 때까지 끊질기게 공격을 지속합니다. 방어가 까다롭고 공격자 입장에서 효과적이기 때문에 이러한 공격이 널리 확산되고 있습니다.

문제는 여기서 끝나지 않습니다. 프로스트 앤 설리반(Frost & Sullivan)에 따르면, DDoS 공격은 특정 타겟을 겨냥한 지속 공격에서 보안팀의 주의를 딴 곳으로 돌리기 위한 교란 전술로 널리 이용되고 있습니다. 공격자들은 DDoS 공격을 실행하여 네트워크 및 보안팀의 주의를 분산시키고, 이 틈을 타 IP 및/또는 주요 고객 또는 금융 정보 도용을 목적으로 네트워크에 멀웨어를 침투시킵니다.

DDoS 공격이 위험한 이유

DDoS 공격은 비즈니스 연속성에 대한 심각한 위협을 가합니다. 인터넷과 웹기반 애플리케이션 및 서비스에 대한 조직의 의존도가 높아지면서 가용성은 전기만큼 필수적인 요소가 되고 있습니다.

DDoS 공격의 결과

일반 대중을 상대로 한 웹사이트나 애플리케이션의 사용이 중단될 경우 고객 불만, 매출 및 브랜드 이미지의 손상으로 이어질 수 있습니다. 비즈니스 크리티컬 애플리케이션을 사용할 수 없게 될 경우, 운영 및 생산이 중단되며, 파트너들이 의존하는 내부 웹사이트에 공급망과 생산 중단을 초래합니다.

또한 성공적인 DDoS 공격은 여러분의 조직에 더 많은 공격을 불러올 수 있음을 의미합니다. 보다 강력한 방어책을 세울 때까지 공격은 계속될 것입니다.

귀사의 DDoS 방어책은 무엇입니까?

막대한 피해 더불어 치명적인 결과를 수반할 수 있는 DDoS 공격의 특성 상, 많은 보안 업체들이 다양한 DDoS 방어 솔루션을 내놓았습니다. 따라서 DDoS 방어 솔루션 선택 시, 각 솔루션의 강점과 약점을 이해하는 것이 매우 중요합니다.

기존 인프라 솔루션 (방화벽, 침입 탐지/방지 시스템, 애플리케이션 딜리버리 컨트롤러 /로드 밸런서)

IPS, 방화벽 및 기타 보안 제품은 다층적 방어 전략의 필수적인 요소이지만, 이들은 전용 DDoS 탐지 및 방어 제품과 기본적으로 다른 보안 문제를 해결하도록 설계되었습니다. 예를 들어 IPS는 데이터 탈취를 위한 침입 시도를 차단합니다. 또한 방화벽은 비인가 데이터 접근을 방지하는 정책 실행자 역할을 합니다. 이러한 보안 제품은 “네트워크 무결성 및 기밀성”을 효과적으로 처리할 수 있지만, DDoS 공격과 관련된 근본적인 문제인 “네트워크 가용성”은 해결할 수 없습니다. 더욱이 IPS 장치 및 방화벽은 상태 기반의 인라인(inline) 솔루션입니다. 즉, DDoS 공격에 취약하며 그 자체가 공격 대상이 되는 경우도 종종 있습니다.

IDS/IPS 및 방화벽과 마찬가지로, ADC 및 로드 밸런서(load balancer)도 광범위한 네트워크 트래픽 가시성이나 통합된 위협 인텔리젼스를 제공하지 않으며, 또한 상태 소모 공격에 취약한 상태 기반 장치입니다.  상태 소모 볼류메트릭 공격(state-exhausting volumetric attack)과 혼합형 애플리케이션 레벨 공격이 증가하는 상황에서 ADC와 로드 밸런서는 동급최강의 DDoS 방어를 필요로 하는 고객에게 제한적이고 부분적인 솔루션 밖에 제공할 수 없습니다.

콘텐츠 전송 네트워크 (CDN)

사실 CDN은 DDoS 공격의 증상을 해결할 수 있지만, 단순히 대량 데이터를 흡수할 뿐입니다. 모든 정보가 들어오고 지나갑니다. 어떤 정보든 환영합니다. 여기에는 세가지 경고가 뒤따릅니다. 첫째, 이러한 대량의 트래픽을 흡수하는데 필요한 대역폭이 반드시 있어야 하며, 이러한 볼류메트릭 공격 중 일부는 300 Gbps가 초과되고, 모든 용량에는 비용이 듭니다. 둘째, CDN 이외의 방법이 있습니다. 모든 웹페이지 또는 자산이 CDN을 사용하는 것은 아닙니다. 셋째, CDN은 애플리케이션 기반 공격을 방어할 수 없습니다. 그러므로 CDN은 보안이 아닌, 원래 목적에 맞는 역할만 수행하도록 해야 합니다.

DDoS 방어를 위한 아버네트웍스의 해결책은 무엇입니까?

아버네트웍스는 10년 이상 전세계에서 가장 크고 복잡한 네트워크를 DDoS 공격으로부터 보호하고 있습니다. 아버네트웍스는 최신 DDos 공격으로부터 자원을 보호하는 최상의 방법은 전문 DDoS 방어 솔루션을 다층적 보안을 구축하는 것임을 강력하게 믿고 있습니다.

오늘날, 초당 300GB가 넘는 대용량 공격을 차단하기 위해서는 클라우드의 보호가 필요합니다. 또한 숨어있는 애플리케이션 레이어 공격과 방화벽, IPS, ADC 같은 기존의 상태 기반 인프라 장치에 대한 공격을 방어하는 온프레미스(on-premise) 보호가 필요합니다.

견고하게 통합된 다층적 방어만이 DDos 공격으로부터 조직을 보호할 수 있습니다.

아버네트웍스 고객은 ATLAS 위협 인텔리전스 인프라를 통해 글로벌 인터넷 트래픽에 대한 거시적 관점과 함께, 아버네트웍스의 제품을 통해 자신의 네트워크에 대한 미시적 관점을 동시에 확보함으로써 탁월한 경쟁력을 확보합니다. 이는 오늘날 타의 추종을 불허하는 네트워크 보안 인텔리전스의 강력한 조합입니다. 이를 기반으로 아버네트웍스의 보안 연구 팀은 인터넷 인프라와 네트워크 가용성을 위협하는 DDoS 공격, 악성 코드 및 봇넷에 대한 인텔리전스를 제공합니다.