분산형 서비스 거부(DDoS)

DDoS 공격은 무엇인가요?

분산형 서비스 거부(DDoS) 공격은 인터넷 트래픽을 폭주하게 하여 대상 또는 그 주변 인프라를 마비시킴으로써 공격 대상인 서버, 서비스 또는 네트워크의 정상적인 트래픽을 악의적으로 방해하는 시도입니다. DDoS 공격은 여러 개의 손상된 컴퓨터 시스템을 공격 트래픽의 소스로 활용하여 효과를 얻습니다. 악용되는 시스템에는 컴퓨터뿐 아니라 IoT 디바이스와 같은 다른 네트워크 리소스도 포함될 수 있습니다. 비유하면 DDoS 공격은 고속도로를 막는 교통 체증과 같은 것으로, 원하는 목적지에 정상 트래픽이 도달하는 것을 방해합니다.

DDoS 공격은 어떻게 작동하나요?

DDoS 공격자는 공격을 수행하기 위해 온라인 머신 네트워크를 제어할 수 있어야 합니다. 컴퓨터 및 기타 시스템(예: IoT 디바이스)이 멀웨어에 감염되어 각각 봇(또는 좀비)으로 바뀌고 나면 공격자가 봇 그룹, 즉 봇넷을 원격으로 제어할 수 있습니다.

봇넷이 구축되고 나면 공격자는 원격 제어 방법으로 각각의 봇에 업데이트된 명령을 전송하여 시스템을 지휘할 수 있습니다. 피해자의 IP 주소가 봇넷의 공격 대상이 되면 각 봇은 응답으로 이 대상에 요청을 전송하며, 이로 인해 대상 서버 또는 네트워크에서 용량 오버플로우가 발생하고 정상 트래픽에 대해 서비스 거부가 발생할 수 있습니다. 각 봇은 정상적인 인터넷 디바이스이므로, 정상적인 트래픽과 공격 트래픽을 분리하는 것은 어려울 수 있습니다.

DDoS 공격의 일반적인 유형은 무엇인가요?

여러 DDoS 공격 요인은 네트워크 연결의 다양한 구성요소를 대상으로 합니다. DDoS 공격의 서로 다른 작동 방식을 이해하려면 네트워크 연결이 어떻게 이루어지는지 알아야 합니다. 인터넷상의 네트워크 연결은 다양한 구성요소 또는 “계층”으로 구성됩니다. 아무것도 없는 맨땅에 건물을 짓는 것처럼, 이 모델의 각 단계는 서로 다른 목적을 가지고 있습니다. OSI 모델은 네트워크 연결성을 7개의 개별 계층으로 기술하는 데 사용되는 개념 프레임워크입니다.

DDoS 공격을 완화하는 프로세스는 무엇인가요?

자세히 보기

거의 모든 DDoS 공격은 대량 트래픽으로 대상 디바이스 또는 네트워크를 마비시키는 방법을 사용하지만, 공격을 3가지 카테고리로 나눌 수 있습니다. 공격자가 하나 또는 여러 개의 서로 다른 공격 요인을 사용하거나 대상에서 취하는 대책에 따라 공격 요인을 순환하여 활용할 수도 있습니다.
최신 인터넷에서 DDoS 트래픽은 많은 형태로 나타납니다. 트래픽은 도용되지 않은 단일 소스 공격부터 복잡한 적응형 다중 요인 공격에 이르기까지 다양하게 설계될 수 있습니다. 다중 요인 DDoS 공격은 대상을 다양한 방법으로 제압하기 위해 여러 공격 경로를 사용함으로써 임의의 한 경로에서 발생하는 완화 노력을 잠재적으로 방해합니다. 다중 요인 DDoS 공격은 동시에 여러 계층의 프로토콜 스택을 표적으로 하는 공격으로서, DNS 확장(계층 3 및 4 대상)과 HTTP 폭주(계층 7 대상)를 예로 들 수 있습니다.
여러 영향 요인으로 인한 DDoS 공격을 완화하려면 서로 다른 경로에 대응하기 위한 다양한 전략이 필요합니다. 일반적으로 말하면, 공격이 복잡할수록 트래픽을 정상 트래픽과 분리하기가 더 어렵습니다. 공격자의 목표는 최대한 “섞여들어서” 공격 완화 노력의 효과를 최대한 떨어뜨리는 것입니다. 트래픽을 무차별적으로 삭제하거나 제한하는 공격 완화 방식은 나쁜 트래픽과 함께 정상 트래픽도 방해할 수 있으며, 공격 자체도 대책을 회피하는 방식으로 수정되거나 조정될 수 있습니다. 복잡한 업무 중단 시도를 극복하려면 계층화된 솔루션을 사용하는 것이 가장 좋습니다.

웹 애플리케이션 방화벽(WAF)

웹 애플리케이션 방화벽은 무엇인가요?

웹 애플리케이션 방화벽(WAF)은 웹 애플리케이션과 인터넷 사이의 HTTP 트래픽을 필터링하고 모니터링함으로써 웹 애플리케이션을 보호하는 데 도움을 줍니다. 일반적으로 사이트 간 요청 위조, 교차 사이트 스크립팅(XSS), 파일 포함, SQL 주입공격 등의 공격으로부터 웹 애플리케이션을 보호합니다. WAF는 프로토콜 계층 7 방어(OSI 모델)로서, 모든 유형의 공격에 대해 방어하도록 설계되지는 않았습니다. 이 공격 완화 방식은 일반적으로 광범위한 공격 요인을 종합적으로 방어하는 툴 제품군의 일부입니다.

웹 애플리케이션 앞에 WAF를 배치하면 웹 애플리케이션과 인터넷 사이에 보호 장치가 생깁니다. 프록시 서버는 중간자를 사용하여 클라이언트 머신의 ID를 보호하는 반면, WAF는 역방향 프록시 유형으로서 클라이언트가 서버에 도달하기 전에 WAF를 통과하도록 함으로써 서버가 노출되는 되는 것을 방지합니다.

WAF는 종종 정책이라고 불리는 규칙 세트로 작동합니다. 이러한 정책은 악성 트래픽을 필터링하여 애플리케이션 내의 취약성을 보호하는 것을 목적으로 합니다. WAF는 빠르고 용이하게 정책 수정을 구현함으로써 다양한 공격 영향 요인에 더 빠르게 대응할 수 있도록 만드는 기능이 있습니다. 즉, DDoS 공격 중에 WAF 정책을 수정하여 신속하게 속도 제한을 구현할 수 있습니다.

블랙리스트 WAF와 화이트리스트 WAF의 차이는 무엇인가요?

자세히 보기

블랙리스트(부정 보안 모델)를 기반으로 작동하는 WAF는 알려진 공격으로부터 보호합니다. 블랙리스트 WAF는 비유하자면, 복장 규정을 지키지 않은 손님의 입장을 거부하도록 지시받은 클럽 문지기와 같습니다. 반대로, 화이트리스트를 기반으로 하는 WAF(긍정 보안 모델)는 사전 승인된 트래픽만 허용합니다. 회원제 파티에서 초대장을 받은 사람만 입장시키는 문지기로 비유할 수 있습니다. 블랙리스트와 화이트리스트는 모두 장단점이 있기 때문에, 많은 WAF가 두 가지를 모두 구현하는 하이브리드 보안 모델을 제공합니다.

콘텐츠 배포 네트워크(CDN)

콘텐츠 배포 네트워크는 무엇인가요?

콘텐츠 배포 네트워크(CDN)는 인터넷 콘텐츠를 신속하게 전달하기 위해 지리적으로 분산되었지만 함께 작동하는 서버 그룹을 말합니다. CDN을 사용하면 HTML 페이지, JavaScript 파일, 스타일시트, 이미지, 동영상을 포함한 인터넷 콘텐츠를 로드하는 데 필요한 자산을 빠르게 전송할 수 있습니다. CDN 서비스의 인기는 계속 증가하고 있으며, 오늘날 대부분의 웹 트래픽은 CDN으로 제공됩니다.

CDN은 어떻게 작동하나요?

본질적으로 CDN은 콘텐츠를 최대한 빠르고 저렴하고 안정적이며 안전하게 전달하는 것을 목표로 함께 연결된 서버의 네트워크입니다. 속도와 연결성을 향상하기 위해 CDN은 서로 다른 네트워크 사이의 교환점에 서버를 배치합니다. 이 인터넷 교환점(IXP)은 서로 다른 네트워크에서 발신되는 트래픽에 대해 각각 다른 액세스를 제공하기 위해 서로 다른 인터넷 제공업체가 연결하는 기본 위치입니다. 고도로 밀접하게 상호 연결된 이러한 고속 위치에 연결함으로써 CDN 제공업체는 고속 데이터 배포 시 비용과 전송 시간을 줄일 수 있습니다.

CDN이 웹사이트 로드 시간을 어떻게 개선하나요?

자세히 보기

콘텐츠를 로드하는 웹사이트를 사용할 때 사이트 속도가 느려지면 사용자 수는 빠르게 줄어듭니다. CDN의 전역 분산 특성으로 인해 사용자와 웹사이트 리소스 간의 거리가 감소합니다. CDN 덕분에 사용자는 웹사이트의 원본 서버가 있는 위치에 연결할 필요 없이 지리적으로 더 가까운 데이터센터에 연결할 수 있습니다. 이동 시간 단축은 더 빠른 서비스를 의미합니다.

DNS(Domain Name System)

DNS는 무엇인가요?

DNS(Domain Name System)는 인터넷의 전화번호부입니다. 사람들은 nytimes.com 또는 espn.com 같은 도메인 이름을 사용하여 온라인 정보에 접속합니다. 웹 브라우저는 IP(Internet Protocol) 주소로 상호 작용하며, DNS는 브라우저가 인터넷 리소스를 로드할 수 있도록 도메인 이름을 IP 주소로 변환합니다.

인터넷에 연결된 각 디바이스에는 고유한 IP 주소가 있으며, 이 주소는 다른 시스템이 디바이스를 찾는 데 사용됩니다. DNS 서버를 사용하면 192.168.1.1(IPv4) 같은 IP 주소 또는 2400:cb00:2048:1:c629:d7a2(IPv6) 같은 더 복잡하고 새로운 영숫자 IP 주소를 기억할 필요가 없습니다.

DNS는 어떻게 작동하나요?

DNS 해결의 프로세스에는 호스트 이름(예: www.ibm.com)을 컴퓨터 친화적인 IP 주소(예: 192.168.1.1)로 변환하는 과정이 포함됩니다. IP 주소는 인터넷상의 각 디바이스에 주어지며, 이 주소는 마치 특정한 집을 찾는 데 사용되는 거리 주소처럼 해당 인터넷 디바이스를 찾는 데 필요합니다. 사용자가 웹 페이지를 로드하려는 경우 사용자가 웹 브라우저(example.com)에 입력하는 사항을 example.com이라는 웹 페이지를 찾는 데 필요한 시스템 친화적인 주소로 변환해야 합니다.
DNS 확인 프로세스를 이해하려면 DNS 쿼리가 통과해야 하는 다양한 하드웨어 구성요소에 대해 알아보는 것이 중요합니다. 웹 브라우저의 경우, DNS 검색은 백그라운드에서 발생하며 초기 요청과는 별도로 사용자의 컴퓨터로부터 상호 작용이 필요하지 않습니다.

DNS 확인자는 무엇인가요?

자세히 보기

DNS 확인자는 DNS 검색의 첫 번째 중지 지점으로, 초기 요청을 수행한 클라이언트를 처리하는 역할을 담당합니다. 확인자는 궁극적으로 URL을 필수 IP 주소로 변환하는 쿼리 시퀀스를 시작합니다.

참고: 캐시되지 않은 일반 DNS 검색은 재귀적 쿼리와 반복적 쿼리를 모두 포함합니다.
재귀적 DNS 쿼리와 재귀적 DNS 확인자를 구별하는 것은 중요합니다. 쿼리는 쿼리 확인이 있어야 하는 DNS 확인자에 대한 요청을 참조합니다. DNS 재귀 확인자는 순환 쿼리를 허용하고 필요한 요청을 작성하여 응답을 처리하는 컴퓨터입니다.

시작하기

시작할 준비가 되셨나요? IBM의 포털과 API를 사용하면 몇 번의 클릭만으로 더 빠르고 안전한 인터넷을 이용할 수 있습니다.