IBM X-Force Threat Intelligence Index에 따르면 DDoS 공격이 X-Force가 대응하는 공격의 2%를 차지하지만 이러한 공격으로 인해 발생하는 중단은 막대한 비용을 초래할 수 있습니다. 실제로 IBM 데이터 유출 비용(CODB) 보고서에 따르면 사이버 공격으로 인한 사업 손실 비용은 평균 147만 달러(미화)에 달합니다.
강력한 DDoS 방어 조치를 활성화하면 시스템 가동 시간을 보장하고 다운타임 및 비즈니스 중단을 방지하며 조직의 평판을 보호할 수 있습니다.
Think 뉴스레터
Think 뉴스레터를 통해 AI, 사이버 보안, 데이터 및 자동화에 대한 선별된 뉴스를 제공하는 보안 리더들과 함께하세요. 받은 편지함으로 직접 제공되는 전문가 튜토리얼과 설명서를 통해 빠르게 배울 수 있습니다. IBM 개인정보 보호정책을 참고하세요.
구독한 뉴스레터는 영어로 제공됩니다. 모든 뉴스레터에는 구독 취소 링크가 있습니다. 여기에서 구독을 관리하거나 취소할 수 있습니다. 자세한 정보는 IBM 개인정보 보호정책 을 참조하세요.
DDoS 공격을 예방하려면 먼저 일반적으로 어떤 것을 표적으로 삼는지 파악해야 합니다. DDoS 공격 트래픽은 개방형 시스템 상호연결(OSI) 네트워크 모델의 세 가지 계층 중 하나에 집중되는 경향이 있습니다.
애플리케이션 계층 공격은 네트워크의 애플리케이션 계층을 표적으로 합니다. 예를 들어 HTTP 플러드 공격은 공격자가 여러 디바이스에서 동일한 웹사이트로 과도한 수의 HTTP 요청을 전송하여 웹사이트를 다운시키는 공격입니다. DNS 쿼리 플러드 공격은 도메인 이름 시스템(DNS) 서버를 가짜 웹사이트에 대한 요청으로 과부하시켜 공격하는 방식입니다.
프로토콜 공격은 네트워크 및 전송 계층을 표적으로 합니다. 예로는 SYN 플러드 공격이 있습니다. 이 공격은 두 디바이스가 서로 연결을 설정하는 프로세스인 TCP 핸드셰이크를 악용하여 허위 패킷으로 서버를 압도합니다. 스머프 공격은 인터넷 제어 메시지 프로토콜(ICMP)을 악용하여 피해자의 디바이스에 수백 또는 수천 개의 ICMP 에코 응답을 전송합니다.
볼류메트릭 공격은 표적 네트워크 내 또는 표적 서비스와 나머지 인터넷 간에 사용 가능한 모든 대역폭을 소비하여 합법적 사용자가 네트워크 리소스에 연결하지 못하도록 합니다.
예를 들어 가짜 사용자 데이터그램 프로토콜(UDP) 패킷을 표적 호스트의 포트로 보내는 UDP 플러드가 있습니다. 호스트의 리소스는 이러한 가짜 패킷을 수신하는 애플리케이션을 찾기 위한 헛된 노력에 묶여 있습니다. ICMP 플러드는 '핑 플러드 공격'이라고도 하며, 여러 스푸핑된 IP 주소의 ICMP 에코 요청으로 표적을 공격합니다.
다중 벡터 공격은 단일 출처가 아닌 여러 공격 벡터나 노드를 활용하여 피해를 극대화하고 DDoS 완화 노력을 방해합니다.
공격자는 여러 벡터를 동시에 사용하거나 하나의 벡터가 좌절되면 공격 도중 벡터 간에 전환할 수 있습니다. 예를 들어 해커가 처음에는 스머프 공격을 하다가, 네트워크 장치의 트래픽이 차단되면 봇넷에서 UDP 플러드를 발동할 수도 있습니다.
물론입니다. 미국 연방수사국(FBI) 에 따르면 분산 서비스 거부(DDoS) 공격 및 DDoS 용역 서비스에 참여하는 것은 불법입니다. FBI와 다른 법 집행 기관은 DDoS 공격을 사이버 범죄로 수사합니다. 처벌에는 다음이 포함될 수 있습니다.
DDoS 보안 솔루션 및 서비스는 조직이 네트워크 트래픽의 비정상적인 패턴이나 의심스러운 급증을 실시간으로 식별하고 조치를 취할 수 있도록 자동 탐지 및 대응 능력을 중심으로 구축되는 경우가 많습니다. 비정상적인 활동이 탐지되면 많은 DDoS 방어 솔루션이 악성 트래픽을 즉시 차단하거나 공격자가 악용할 수 있는 취약점을 차단합니다.
일반적인 DDoS 방지 및 완화 툴과 기술은 다음과 같습니다.
'블랙홀'(또는 'null route')는 네트워크의 일부로, 들어오는 트래픽이 처리되거나 저장되지 않고 삭제되는 영역을 의미합니다. 블랙홀 라우팅이란 DDoS 공격이 의심될 때 들어오는 트래픽을 블랙홀로 우회하는 행위를 의미합니다.
블랙홀 라우팅의 단점은, 나쁜 트래픽을 버리는 과정에서 좋은 트래픽까지 쓸려내려 갈 수 있다는 것입니다. 유효하고, 중요할지도 모르는 트래픽이 버려질 수 있는 것입니다. 그래서 블랙홀 라우팅은 공격이 들어왔을 때 간단하게 휘두를 수 있지만 뭉툭한 칼날 같은 도구입니다.
봇 식별 및 관리 툴은 봇의 악성 트래픽을 식별하여 DDoS 위협에 대처하는 데 도움이 됩니다.
Google이 검색 결과에서 페이지를 색인화하는 데 사용하는 봇과 같은 일부 봇은 무해합니다. 그러나 일부는 악의적인 목적으로 사용됩니다. 예를 들어 많은 DDoS 공격은 봇넷을 사용하여 수행됩니다. 봇넷은 사이버 범죄자가 노트북과 데스크톱 컴퓨터, 휴대폰, 사물인터넷(IoT) 디바이스 및 기타 소비자 또는 상업용 엔드포인트를 장악하여 만드는 봇 네트워크입니다.
봇 관리 소프트웨어는 일반적으로 원치 않거나 악의적인 인터넷 봇 트래픽을 차단하면서 유용한 봇이 웹 리소스에 액세스할 수 있도록 허용하는 데 사용됩니다. 이러한 툴 중 상당수는 인공 지능(AI) 과 머신 러닝(ML)을 사용하여 봇과 인간 방문자를 구분합니다. 봇 관리 소프트웨어는 CAPTCHA 테스트 또는 기타 챌린지를 통해 잠재적으로 악의적인 봇을 차단하고, 시스템을 압도할 수 있는 봇에 대해서는 자동으로 속도 제한을 적용하거나 차단할 수 있습니다.
CDN은 사용자가 온라인 서비스에 더 빠르고 안정적으로 액세스할 수 있도록 도와주는 분산 서버 네트워크입니다. CDN이 있으면 사용자의 요청이 서비스의 원본 서버로 다시 이동하지 않습니다. 대신 더 가까운 지리적 위치에서 콘텐츠를 전달하는 CDN 서버로 요청이 라우팅됩니다.
CDN은 서비스의 전체 트래픽 처리 용량을 늘려 DDoS 공격 완화 노력을 지원할 수 있습니다. DDoS 공격으로 인해 CDN 서버가 오프라인으로 전환될 경우, 사용자 트래픽은 네트워크 내 다른 가용 서버 리소스로 라우팅될 수 있습니다.
엔드포인트 탐지 및 대응(EDR), 네트워크 탐지 및 대응(NDR), 사용자 및 엔티티 행동 분석(UEBA) 및 유사한 툴은 네트워크 인프라 및 트래픽 패턴을 모니터링하여 침해 지표를 찾을 수 있습니다. 이러한 툴은 일반적으로 정상적인 네트워크 동작의 기준 모델을 구축하고, 이 모델에서 벗어난 이상 현상을 탐지하여 악성 트래픽을 나타낼 수 있는 징후를 식별하는 방식으로 작동합니다.
이러한 시스템에서 비정상적인 트래픽 패턴 등 DDoS일 가능성이 있는 징후가 발견되면, 의심스러운 네트워크 연결을 종료하는 등의 실시간 인시던트 대응을 가동할 수 있습니다.
디바이스 지문은 소프트웨어 및 하드웨어에 대해 수집된 정보를 사용하여 특정 컴퓨팅 디바이스의 ID를 확인합니다. 봇 관리 시스템과 같은 일부 DDoS 방어 툴은 지문 데이터베이스를 사용하여 알려진 봇을 식별하거나 악의적인 의도가 입증되거나 의심되는 디바이스를 차단합니다.
로드 밸런싱은 애플리케이션 가용성을 최적화하기 위해 네트워크 트래픽을 여러 서버에 분산하는 작업입니다. 이렇게 하면 과부하된 서버로 들어온 트래픽을 자동으로 라우팅해서 DDoS 공격을 방어하는 데 도움이 될 수 있습니다.
조직은 하드웨어 또는 소프트웨어 기반의 로드 밸런서를 설치해서 트래픽을 처리할 수 있습니다. 또한 애니캐스트 네트워킹을 사용하면 단일 IP 주소를 여러 위치에 걸친 다수의 서버 또는 노드에 할당하여, 이 서버들에 트래픽을 공유할 수 있습니다. 그러면 최적의 서버로 요청이 전송되고, 트래픽이 증가하면 부하가 분산되기 때문에 서버에 과부화가 걸릴 가능성이 줄어듭니다.
이러한 어플라이언스는 기업 네트워크에 설치된 물리적 디바이스 또는 가상 머신일 수 있습니다. 들어오는 트래픽을 모니터링하고 의심스러운 패턴을 탐지하며 잠재적으로 위험한 트래픽을 차단하거나 제한합니다.
이러한 어플라이언스는 로컬에 설치되므로 검사 또는 스크러빙을 위해 클라우드 기반 서비스로 트래픽을 보낼 필요가 없습니다. 온프레미스 DDoS 방어 어플라이언스는 회의 및 게임 플랫폼과 같이 지연시간이 짧아야 하는 조직에 유용할 수 있습니다.
프로토콜 필터링은 TCP, DNS 및 HTTPS와 같은 일반 통신 프로토콜의 정상적인 동작에 대해 네트워크 트래픽을 분석합니다. 특정 프로토콜을 사용하는 트래픽이 해당 프로토콜의 표준에서 벗어나면, 프로토콜 필터링 도구가 이를 표시하거나 차단할 수 있습니다.
예를 들어, DNS 증폭 공격은 위조된 IP 주소와 악성 DNS 요청을 사용하여 피해자의 디바이스에 대량의 데이터를 보내는 방식입니다. 프로토콜 필터링은 이러한 비정상적인 DNS 요청을 식별하고 차단하여 피해가 발생하기 전에 방지할 수 있습니다.
속도 제한은 특정 기간에 서버가 수락할 수 있는 수신 요청 수를 제한하는 것을 의미합니다. 합법적 사용자에게 제공하는 서비스까지도 느려질 수 있지만 서버에 과부하가 걸리지는 않습니다.
스크러빙 센터는 트래픽 인증, 이상 징후 탐지 등의 기술을 사용해 정상 트래픽에서 악성 트래픽을 필터링하는 전문 네트워크 또는 보안 서비스입니다. 악성 트래픽을 차단하는 동시에 정상 트래픽이 목적지에 도달할 수 있게 합니다.
표준 방화벽은 포트 수준에서 네트워크를 보호하는 한편, WAF는 요청을 웹 서버로 전달하기 전에 요청이 안전한지 확인하는 데 도움을 줍니다. WAF는 어떤 유형의 요청이 정상적인지 아닌지를 판단하여 악성 트래픽을 차단하고 애플리케이션 계층 공격을 방지할 수 있습니다.
AI 및 ML 툴은 적응형 DDoS 완화를 가능하게 하여 조직이 DDoS 공격에 대처하는 동시에 합법적 사용자의 중단을 최소화하는 데 도움이 될 수 있습니다. AI 및 ML 툴은 트래픽을 분석하고 학습함으로써 탐지 시스템을 미세 조정하여 유효한 트래픽을 실수로 차단하고 비즈니스 기회에 해를 끼치는 오탐을 줄일 수 있습니다.
아마 불가능할 것입니다. DDoS 공격은 무고한 사용자의 수백, 수천 대의 디바이스를 탈취하여 구축한 봇넷에서 시작되는 경우가 많습니다. 봇넷을 지휘하는 해커는 일반적으로 디바이스의 IP 주소를 스푸핑하기 때문에 모든 디바이스를 추적하는 데 시간이 오래 걸리고 실제 범인을 찾아내지 못할 가능성이 높습니다.
그럼에도 불구하고 특정 상황에서는 충분한 자원이 확보될 경우 일부 DDoS 공격을 추적할 수 있습니다. 조직은 인터넷 서비스 제공업체(ISP) 및 법 집행 기관과 협력하여 고급 포렌식 분석을 사용하여 공격자를 식별할 수 있습니다. 이러한 결과는 공격 패턴에 단서를 남길 수 있는 반복 공격자의 경우 더 가능성이 높습니다.
대부분의 경우 그렇지 않습니다. 공격이 소규모이거나 단순한 경우 기존 네트워크 방화벽이 일부 방어해 줄 수 있지만, 대규모 또는 고도로 정교한 공격은 이를 우회할 수 있습니다.
문제는 대부분의 방화벽이 정상 트래픽으로 위장한 악성 트래픽을 인식하고 차단할 수 없다는 점입니다. 예를 들어 HTTP GET 공격은 표적 서버에서 파일에 대한 여러 개의 요청을 보내는데, 이는 표준 네트워크 보안 툴에서 정상적인 것으로 보일 가능성이 높습니다.
그러나 웹 애플리케이션 방화벽(WAF)은 기존 방화벽과 다른 네트워크 계층에서 작동하며, 앞서 언급된 대로 DDoS 공격을 완화하는 데 사용됩니다.
DDoS 공격은 조직의 애플리케이션, 웹사이트, 서버 및 기타 리소스를 오프라인 상태로 만들어 사용자 서비스를 방해하고 비즈니스 손실과 평판 손상이라는 측면에서 상당한 비용을 초래할 수 있습니다.
DDoS 공격은 조직이 서비스 수준 계약(SLA)을 준수하지 못하게 할 수 있으며, 이는 고객 이탈로 이어질 수 있습니다. 조직의 시스템이 필요할 때 즉시 사용할 수 없다면, 사용자는 다른 곳으로 비즈니스를 옮기기로 결정할 수 있습니다.
이러한 사이버 위협은 금융 서비스 및 유틸리티와 같은 중요 인프라를 표적으로 삼는 경우가 점차 늘고 있습니다. 최근 연구에 따르면 지난 4년간 핵심 인프라에 대한 DDoS 공격이 55% 증가했습니다.
또한 DDoS 공격은 종종 더 심각한 사이버 공격을 숨기기 위한 수단으로 사용됩니다. 예를 들어 해커는 DDoS 공격을 발동해 피해자의 주의를 분산시키며, 사이버 보안 팀이 DDoS 공격에 대응하는 동안 네트워크에 랜섬웨어를 배포하는 경우가 있습니다.
DDoS 완화 솔루션 및 DDoS 방어 서비스는 조직이 이러한 공격을 완전히 차단하여 주요 부문 및 서비스의 중단을 방지하는 데 도움이 될 수 있습니다. 공격을 막을 수 없는 경우 다운타임을 크게 줄여 비즈니스 연속성을 보장할 수 있습니다.
최신 DDoS 방어 솔루션은 온프레미스 및 클라우드 기반 자산을 모두 보호하는 데 도움이 될 수 있으므로 조직은 리소스의 위치에 관계없이 리소스를 보호할 수 있습니다.