분산 서비스 거부(DDoS) 공격은 일반적으로 봇넷을 사용하여 웹 사이트 또는 클라우드 서비스 같은 온라인 리소스를 사기성 연결 요청이나 그 밖의 악성 트래픽으로 플러딩합니다. 공격 대상이 그 트래픽을 처리하지 못해 속도가 느려지거나 완전히 멈춰서 정상적인 사용자가 사용할 수 없게 만듭니다.
애플리케이션이나 서비스를 느리게 하거나 정지시키는 모든 사이버 공격을 서비스 거부(DoS) 공격이라고 하며, 분산 서비스 거부 공격도 그 중 한 종류입니다. DDoS 공격은 여러 소스에서 한꺼번에 공격 트래픽을 전송해서 이를 인지하고 방어하기 어렵게 만든다는 점이 특징입니다. 그래서 이름에 '분산'이라는 단어가 들어갑니다.
IBM® X-Force Threat Intelligence Index에 따르면 DDos 공격은 X-Force가 대응하는 공격의 2%를 차지합니다. 그래도 이로 인한 장애는 큰 비용을 유발할 수 있습니다. 시스템 정지는 서비스 중단, 수익 손실, 평판 손상으로 이어질 수 있습니다. IBM 데이터 유출 비용(CODB) 보고서에 따르면 사이버 공격으로 인해 기업이 치르는 손실 비용은 평균 147만 달러입니다.
Think 뉴스레터
Think 뉴스레터를 통해 AI, 사이버 보안, 데이터 및 자동화에 대한 선별된 뉴스를 제공하는 보안 리더들과 함께하세요. 받은 편지함으로 직접 제공되는 전문가 튜토리얼과 설명서를 통해 빠르게 배울 수 있습니다. IBM 개인정보 보호정책을 참고하세요.
구독한 뉴스레터는 영어로 제공됩니다. 모든 뉴스레터에는 구독 취소 링크가 있습니다. 여기에서 구독을 관리하거나 취소할 수 있습니다. 자세한 정보는 IBM 개인정보 보호정책 을 참조하세요.
다른 사이버 공격과 달리 DDoS 공격은 네트워크 리소스의 취약점을 악용하여 컴퓨터 시스템을 침해하지 않습니다. 대신 하이퍼텍스트 전송 프로토콜(HTTP) 및 전송 제어 프로토콜(TCP)과 같은 표준 네트워크 연결 프로토콜을 사용하여 엔드포인트, 앱 및 기타 자산에 처리할 수 있는 트래픽을 초과하는 양의 트래픽을 발생시킵니다.
웹 서버, 라우터 및 기타 네트워크 인프라는 한정된 수의 요청만 처리하고 언제든 제한된 수의 연결을 유지할 수 있습니다. DDoS 공격은 리소스의 사용 가능한 대역폭을 모두 사용함으로써 해당 리소스가 합법적인 연결 요청 및 패킷에 응답하지 못하도록 합니다.
넓은 의미에서 DDoS 공격은, 봇넷을 만드는 단계와 공격을 실행하는 단계로 크게 구성됩니다.
DDoS 공격에는 일반적으로 해커가 원격으로 디바이스를 제어할 수 있는 맬웨어에 감염된 인터넷 연결 디바이스의 네트워크인 봇넷이 필요합니다.
노트북과 데스크톱 컴퓨터, 휴대폰, 사물인터넷(IoT) 장치, 기타 소비자용 또는 상업용 엔드포인트가 봇넷이 될 수 있습니다. 이러한 손상된 장치의 소유자는 일반적으로 자신이 감염되었거나 DDoS 공격에 사용되고 있다는 사실을 인식하지 못합니다.
자체적으로 봇넷을 구축해서 멀웨어를 적극적으로 퍼뜨리고 장치를 장악하는 사이버 범죄자가 있는 반면, '서비스 거부 공격'이라는 모델을 따라 다크 웹에 있는 다른 사이버 범죄자들로부터 미리 개발된 봇넷을 구매하거나 대여하는 사이버 범죄자도 있습니다.
모든 DDoS 공격이 봇넷을 사용하는 것은 아닙니다. 개중에는 감염되지 않은 장치의 정상적인 작동을 악용하는 공격도 있습니다(자세한 내용은 '스머프 공격' 참조).
해커는 봇넷의 장치에 연결 요청 또는 기타 패킷을 대상 서버, 장치 또는 서비스의 IP 주소로 보내도록 명령합니다.
대부분의 DDoS 공격은 대량의 요청을 전송하여 공격 대상의 대역폭을 모두 소모하는 무차별 대입 공격에 의존하지만, 일부 DDoS 공격은 소수의 복잡한 요청을 전송하여 공격 대상이 이에 대응하는 리소스를 소비하도록 요구합니다. 공격 트래픽이 대상 시스템을 압도하여 서비스 거부를 유발하고 정상적인 트래픽이 액세스하지 못하도록 한다는 점은 두 경우 모두 동일합니다.
해커는 사이버 범죄자가 봇넷에서 보낸 패킷에 대해 가짜 소스 IP 주소를 위조하는 기술인 IP 스푸핑을 통해 공격 소스를 모호하게 만드는 경우가 많습니다. 해커들은 '리플렉션'이라는 IP 스푸핑의 한 형태로 악의적인 트래픽이 피해자의 IP 주소에서 전송되었다고 꾸며냅니다.
한편 DDoS 공격이 주를 이루지 않는 경우도 있습니다. DDos 공격을 활용해서 피해자가 다른 사이버 범죄를 알아차리지 못하게 만드는 해커들도 있습니다. 예를 들어 사이버 보안 팀이 DDoS 공격을 방어하게 하고, 그 동안 공격자는 데이터를 빼내거나 네트워크에 랜섬웨어를 배포하는 식입니다.
해커는 갈취, 마음에 들지 않는 조직이나 기관 폐쇄, 경쟁사 억압, 사이버 전쟁 등 다양한 이유로 DDoS 공격을 개시합니다.
가장 일반적인 DDoS 공격 대상은 다음과 같습니다.
DDoS 공격은 디지털 스토어를 다운시켜, 공격이 수습될 때까지 고객의 구매를 막음으로써 소매업체에 막대한 금전적 피해를 입힐 수 있습니다.
인터넷 서비스 업체가 위협 행위자로부터 DDoS 공격을 받으면 해당 기업의 모든 고객이 인터넷을 사용할 수 없게 될 수 있습니다.
클라우드 서비스 제공업체는 DDoS 공격의 주요 표적입니다. 이러한 서비스는 다른 비즈니스를 위한 데이터와 앱을 호스팅하기 때문에 해커가 한 번의 공격으로 광범위한 서비스 중단을 일으킬 수 있습니다.
DDoS 공격으로 인해 은행 서비스가 오프라인 상태가 되어 고객이 계정에 액세스하지 못하게 될 수 있습니다.
SaaS 업체도 클라우드 서비스 제공업체와 마찬가지로, 해커가 한꺼번에 여러 조직의 운영을 중단시킬 수 있다는 점에서 매력적인 표적입니다.
DDoS 공격은 서버에 트래픽을 폭증시켜 온라인 게임을 중단시킬 수 있습니다. 이러한 공격은 원래 마인크래프트 서버를 공격하기 위해 구축된 Mirai 봇넷의 경우처럼 불만을 품은 플레이어가 개인적인 앙심을 품고 시작하는 경우가 많습니다.
DDoS 공격은 특히 전쟁 중에 정부를 상대로 자주 사용됩니다.
DDoS 공격은 사용하는 전술과 공략하는 네트워크 아키텍처를 기준으로 분류됩니다. 일반적인 DDoS 공격 유형은 다음과 같습니다.
이름에서 알 수 있듯이 애플리케이션 계층 공격은 네트워크의 애플리케이션 계층을 대상으로 합니다. OSI 모델(개방형 시스템 상호 연결 모델) 프레임워크에서 사용자는, 이 계층에서 웹 페이지 및 앱과 상호 작용합니다. 애플리케이션 계층 공격은 웹 애플리케이션을 악성 요청으로 넘쳐나게 하여 애플리케이션을 중단시킵니다.
가장 일반적인 애플리케이션 계층 공격 중 하나는 공격자가 여러 기기에서 동일한 웹사이트로 대량의 HTTP 요청을 지속적으로 전송하는 HTTP 플러드 공격입니다. 웹사이트가 모든 요청을 따라잡을 수 없어 속도가 느려지거나 충돌이 발생합니다. HTTP 플러드 공격은 수백 또는 수천 개의 웹 브라우저가 동일한 웹 페이지를 반복적으로 새로 고치는 것과 같습니다.
프로토콜 공격은 OSI 모델의 네트워크 계층(계층 3)과 전송 계층(계층 4)을 표적으로 삼습니다. 악의적인 연결 요청으로 방화벽, 로드 밸런서, 웹 서버 등 중요한 네트워크 리소스를 압도하는 것을 목표로 합니다.
가장 일반적인 프로토콜 공격 유형으로는 SYN 플러드 공격과 스머프 공격이 있습니다.
SYN 플러드 공격은 두 장치가 서로 연결을 설정하는 프로세스인 TCP 핸드셰이크를 활용합니다. 일반적인 TCP 핸드셰이크에는 다음의 세 단계가 있습니다.
SYN 플러드 공격에서 공격자는 스푸핑된 소스 IP 주소가 포함된 대량의 SYN 패킷을 대상 서버에 보냅니다. 서버는 스푸핑된 IP 주소로 응답을 보내고 최종 ACK 패킷을 기다립니다. 소스 IP 주소가 스푸핑되었기 때문에 이러한 패킷은 도착하지 않습니다. 서버가 완료되지 않은 수많은 연결에 묶여 있어 정상적인 TCP 핸드셰이크를 사용할 수 없습니다법
스머프 공격은 두 장치 간의 연결 상태를 평가하는 데 사용되는 통신 프로토콜인 인터넷 제어 메시지 프로토콜(ICMP)을 이용합니다.
일반적인 ICMP 교환에서는 한 장치가 다른 장치에 ICMP 에코 요청을 보내고 후자 장치는 ICMP 에코 응답으로 응답합니다.
스머프 공격에서 공격자는 피해자의 IP 주소와 일치하는 스푸핑된 IP 주소로부터 ICMP 에코 요청을 보냅니다. 이 ICMP 에코 요청은 네트워크의 모든 장치에 요청을 전달하는 IP 브로드캐스트 네트워크로 전송됩니다.
ICMP 에코 요청을 수신하는 모든 장치(잠재적으로 장치 수백 또는 수천 대)는 피해자의 IP 주소로 ICMP 에코 응답을 전송하여 대응합니다. 그러면 응답이 피해자의 장치가 처리할 수 있는 양을 넘어섭니다. 스머프 공격과 같은 많은 유형의 DDoS 공격과 달리 봇넷이 필요하지 않습니다.
볼류메트릭 DDoS 공격은 표적 네트워크 내 또는 표적 서비스와 나머지 인터넷 간에 사용 가능한 모든 대역폭을 소비하여 정상적인 사용자가 네트워크 리소스에 연결하지 못하도록 합니다.
볼류메트릭 공격은 다른 유형의 DDoS 공격에 비해 많은 양의 트래픽으로 네트워크와 리소스를 플러딩하는 경우가 많습니다. 볼류메트릭 공격은 정상적인 트래픽에서 악성 트래픽을 필터링하도록 설계된 스크러빙 센터와 같은 DDoS 보호 조치를 압도하는 것으로 알려져 있습니다.
볼류메트릭 공격의 일반적인 유형에는 UDP 플러드, ICMP 플러드, DNS 증폭 공격이 있습니다.
UDP 플러드는 가짜 사용자 데이터그램 프로토콜(UDP) 패킷을 대상 호스트의 포트에 전송하여 호스트가 이러한 패킷을 수신할 애플리케이션을 찾도록 유도합니다. UDP 패킷은 가짜이므로 이를 수신할 애플리케이션이 없으며 호스트는 발신자에게 ICMP '대상에 연결할 수 없음' 메시지를 다시 보내야 합니다.
호스트의 리소스가 끊이지 않는 가짜 UDP 패킷 스트림에 대응하느라 바빠지게 되고, 이로 인해 호스트가 정상적인 패킷에 응답할 수 없습니다.
'핑 플러드 공격'이라고도 하는 ICMP 플러드는 여러 스푸핑된 IP 주소의 ICMP 에코 요청으로 표적을 공격합니다. 표적 서버는 이러한 모든 요청에 응답해야 하며 과부하 상태가 되어 유효한 ICMP 에코 요청을 처리할 수 없게 됩니다.
ICMP 플러드는 공격자가 봇넷에서 대량의 ICMP 요청을 전송한다는 점에서 스머프 공격과 다릅니다. 스머프 공격은 해커가 네트워크 장치를 속여 피해자의 IP 주소로 ICMP 응답을 보내게 만드는 것을 말합니다.
DNS 증폭 공격에서 공격자는 하나 이상의 공용 DNS 서버로 도메인 이름 시스템(DNS) 요청을 여러 개 보냅니다. 이러한 조회 요청은 피해자의 스푸핑된 IP 주소를 사용하고 DNS 서버에 요청당 많은 양의 정보를 반환하도록 요청합니다. DNS 서버는 피해자의 IP 주소에 대량의 데이터를 플러딩하여 요청에 응답합니다.
이름에서 알 수 있듯이 다중 벡터 공격은 단일 벡터가 아닌 여러 공격 벡터를 활용하여 피해를 극대화하고 DDoS 완화 노력을 좌절시킵니다.
공격자는 여러 벡터를 동시에 사용하거나 하나의 벡터가 좌절되면 공격 도중 벡터 간에 전환할 수 있습니다. 예를 들어 해커가 처음에는 스머프 공격을 하다가, 네트워크 장치의 트래픽이 차단되면 봇넷에서 UDP 플러드를 발동할 수도 있습니다.
DDoS 위협은 다른 사이버 위협과 함께 사용될 수도 있습니다. 예를 들어, 랜섬웨어 공격자는 몸값을 지불하지 않으면 DDoS 공격을 가하겠다고 협박하여 피해자를 압박할 수 있습니다.
DDoS 공격은 여러 가지 이유로 여전히 보편적인 사이버 범죄 전술입니다.
사이버 범죄자는 이제 코드를 짤 줄 몰라도 DDoS 공격을 감행할 수 있습니다. 다크 웹에서는 사이버 범죄 마켓플레이스가 번창하고 있어 위협 행위자들이 봇넷, 멀웨어를 비롯한 DDoS 공격 도구를 사고 팔 수 있습니다.
사이버 범죄자들은 다른 해커로부터 미리 만들어진 봇넷을 고용함으로써 준비나 계획 없이 스스로 DDoS 공격을 쉽게 시작할 수 있습니다.
봇넷은 주로 소비자 및 상업용 장치로 구성되므로 조직이 실제 사용자로부터 악성 트래픽을 분리하기 어려울 수 있습니다.
또한 서비스 속도 저하, 사이트 및 앱의 일시적 사용 불가 등 DDoS 공격의 증상은 정상적인 트래픽 급증으로 인해 발생할 수 있기 때문에 초기에 DDoS 공격을 탐지하기가 어렵습니다.
사이버 공격은 분산되는 특성이 있어서, DDoS 공격이 식별되었을 때 조직이 단일 트래픽 소스를 차단하는 것만으로는 이런 공격을 차단할 수 없습니다. 속도 제한과 같이 DDoS 공격을 막기 위한 표준 네트워크 보안 제어는 합법적인 사용자의 작업 속도를 저하시킬 수도 있습니다.
DDoS 공격을 빨리 식별할수록 방어와 복구를 빨리 시작할 수 있습니다. 공격이 이루어지고 있음을 나타내는 징후는 다음과 같습니다.
이런 행동의 대부분에는 다른 원인이 있을 수도 있습니다. 하지만 DDoS 공격 여부를 먼저 확인하면 시간을 절약하고 DDoS 공격이 진행 중인 경우 피해를 경감할 수 있습니다.
DDoS 방어 솔루션은 이상 트래픽을 탐지하여 악성 여부를 판단하는 데 도움이 됩니다. 마케팅 캠페인이 좋은 반응을 얻어 갑작스럽게 요청이 쏟아지는 경우, 이런 요청을 차단해 버리면 사업에 치명타가 될 수도 있습니다.
DDoS 완화를 위해서는 보통 악의적인 트래픽의 흐름을 최대한 빨리 우회하는 시도를 합니다.
일반적으로 이루어지는 DDoS 예방 및 완화 활동은 다음과 같습니다.
표준 방화벽은 포트 수준에서 네트워크를 보호하는 한편, WAF는 요청을 웹 서버로 전달하기 전에 요청이 안전한지 확인하는 데 도움을 줍니다. WAF는 어떤 유형의 요청이 정상적인지 아닌지를 판단하여 악성 트래픽을 차단하고 애플리케이션 계층 공격을 방지할 수 있습니다.
CDN은 사용자가 온라인 서비스에 더 빠르고 안정적으로 액세스할 수 있도록 도와주는 분산 서버 네트워크입니다. CDN이 있으면 사용자의 요청이 서비스의 원본 서버로 다시 이동하지 않습니다. 대신 더 가까운 지리적 위치에서 콘텐츠를 전달하는 CDN 서버로 요청이 라우팅됩니다.
CDN은 서비스의 전체 트래픽 용량을 늘려 DDoS 공격으로부터 보호하는 데 도움이 될 수 있습니다. DDoS 공격으로 CDN 서버가 다운되는 경우 사용자 트래픽은 네트워크에서 사용 가능한 다른 서버 리소스로 라우팅될 수 있습니다.
엔드포인트 탐지 및 대응(EDR), 네트워크 탐지 및 대응(NDR)을 비롯한 도구들은 네트워크 인프라에서 침해 지표를 모니터링할 수 있습니다. 이러한 시스템에서 비정상적인 트래픽 패턴 등 DDoS일 가능성이 있는 징후가 발견되면, 의심스러운 네트워크 연결을 종료하는 등의 실시간 인시던트 대응을 가동할 수 있습니다.
'블랙홀'은 네트워크에서 들어오는 트래픽이 처리되거나 저장되지 않고 삭제되는 부분을 일컫습니다. 블랙홀 라우팅이란 DDoS 공격이 의심될 때 들어오는 트래픽을 블랙홀로 우회하는 것을 의미합니다.
블랙홀 라우팅의 단점은, 나쁜 트래픽을 버리는 과정에서 좋은 트래픽까지 쓸려내려 갈 수 있다는 것입니다. 유효하고, 중요할지도 모르는 트래픽이 버려질 수 있는 것입니다. 그래서 블랙홀 라우팅은 공격이 들어왔을 때 간단하게 휘두를 수 있지만 뭉툭한 칼날 같은 도구입니다.
속도 제한은 설정된 기간 동안 서버가 수락할 수 있는 수신 요청 수를 제한하는 것을 의미합니다. 적법한 사용자에게 제공하는 서비스까지도 느려질 수 있지만 서버에 과부하가 걸리지는 않습니다.
로드 밸런싱은 애플리케이션 가용성을 최적화하기 위해 네트워크 트래픽을 여러 서버에 분산하는 작업입니다. 이렇게 하면 과부하된 서버로 들어온 트래픽을 자동으로 라우팅해서 DDoS 공격을 방어하는 데 도움이 될 수 있습니다.
조직은 하드웨어 또는 소프트웨어 기반의 로드 밸런서를 설치해서 트래픽을 처리할 수 있습니다. 또한 애니캐스트 네트워킹을 사용하면 단일 IP 주소를 여러 위치에 걸친 다수의 서버 또는 노드에 할당하여, 이 서버들에 트래픽을 공유할 수 있습니다. 그러면 최적의 서버로 요청이 전송되고, 트래픽이 증가하면 부하가 분산되기 때문에 서버에 과부화가 걸릴 가능성이 줄어듭니다.
스크러빙 센터는 트래픽 인증, 변칙 검색 같은 기술을 사용해 정상적 트래픽에서 악성 트래픽을 걸러낼 수 있는 특수 네트워크 또는 서비스를 말합니다. 스크러빙 센터는 악성 트래픽을 차단하는 동시에 정상적 트래픽이 목적지에 도달할 수 있게 합니다.