Akamai의 Behavioral DDoS Engine: 최신 DDoS 방어의 획기적인 발전
진화하는 DDoS 위협 환경
디지털 인프라가 성장함에 따라 분산 서비스 거부(DDoS) 공격으로 인한 위협도 증가하고 있습니다. 과거에는 단순한 대규모 공격에 그쳤으나 이제는 애플리케이션 레이어의 가장 취약한 부분을 노리는 고도로 정교한 멀티기법 캠페인 형태의 공격으로 진화했습니다. 트래픽 처리량, 정적 임곗값, 시그니처에 의존하는 기존의 방어 메커니즘으로는 이러한 복잡한 위협에 효과적으로 대응할 수 없으므로 보다 적응적이고 지능적인 접근 방식이 필요합니다.
DDoS 공격의 주요 트렌드
- 멀티기법 공격: 공격자들이 점점 더 다양한 기법을 조합하여 사용하기 때문에 정적 방어만으로는 공격을 식별하고 방어하기 어렵습니다. 지난 18개월 동안 하이테크 업계, 커머스, 소셜 미디어 산업 전반에 걸쳐 11조 건 이상의 레이어 7 DDoS 공격 이 기록되었습니다.
- API 악용: 기업들이 API에 점점 더 많이 의존함에 따라 공격자들이 이러한 엔트리 포인트를 악용하고 있습니다. 2024년 한 해 동안 1080억 건의 API 공격 이 관측되었으며, 이 중 상당수가 DDoS 기반 공격이었습니다.
- 증가하는 위협의 복잡성: 금융 서비스 업계의 경우, 지정학적 긴장으로 인해 레이어 7 DDoS 공격이 급증했습니다. 이러한 공격은 봇넷과 AI를 사용해 더욱 정교해지고 있으며 유럽의 은행을 표적으로 하는 공격으로 인해 레이어 7 DDoS 공격이 급증했습니다.
Behavioral DDoS Engine* 소개
이처럼 진화하는 위협에 대응하기 위해 Akamai는 공격 패턴에 실시간으로 적응하는 최첨단 기능인 Behavioral DDoS Engine을 개발해 Akamai App & API Protector 솔루션에 추가했습니다. 이 혁신적인 엔진은 정교하고 지속적인 DDoS 위협으로부터 기업을 보호하는 데 필요한 기능을 제공합니다.
행동 기반 DDoS 방어에 대한 이해
대부분의 기존 DDoS 방어는 전송률 및 볼륨 기반 탐지에 의존하며, 정적 임곗값으로 설정되는 경우가 많고 오탐에 취약합니다. 이와 달리 Akamai의 Behavioral DDoS Engine은 트래픽 패턴을 지속적으로 학습해 공격을 실시간으로 식별하고 방어하는 동시에 정상적인 트래픽에 대한 중단을 최소화합니다.
머신 러닝을 사용해 비정상 행동을 모니터링함으로써 바이러스 이벤트와 같은 정상적인 급증과 정교한 DDoS 공격을 구분해 수동 개입 없이 선제적이고 정확한 보호를 보장합니다. 이러한 적응형 접근 방식은 복잡한 위협에 대해 보다 효과적인 방어 기능을 제공합니다.
행동 분석에는 다음이 포함됩니다.
실시간 트래픽 모니터링: 엔진은 지속적으로 트래픽을 모니터링하고 요청을 분석하여 정상 활동의 기준선을 설정합니다.
머신 러닝 모델: 고급 알고리즘이 정상 트래픽 패턴과의 편차를 분석해 실시간으로 위협을 식별합니다. 이를 통해 엔진은 비정상적인 행동을 신속하게 분류하고 필요한 조치를 취해 사람의 개입 없이도 감지하기 힘든 위협을 방어할 수 있습니다.
정상적인 트래픽 구분: 엔진은 바이러스 이벤트와 같은 정상적인 트래픽 급증과 고도로 분산되어 정상적인 동작을 모방하는 실제 레이어 7 DDoS 공격을 구분할 수 있습니다.
심층 방어 전략에 강력한 기능 추가
Akamai의 Behavioral DDoS Engine은 기존의 전송률 기반 탐지 접근 방식을 보완해 심층 방어 전략에 강력한 추가 기능을 제공합니다. 전송률 제한은 트래픽 관리에 여전히 유용하지만 수동 조정이 필요한 경우가 많습니다.
Behavioral DDoS Engine은 첨단 머신 러닝과 Akamai 글로벌 플랫폼의 인사이트, 특히 946TB의 일일 보안 이벤트 데이터를 통해 위협 탐지를 자동화합니다. 이러한 툴은 속도 제한의 정확성과 행동 분석의 적응성을 결합한 균형 잡힌 접근 방식을 제공함으로써 복잡한 DDoS 위협에 대한 강력한 보호를 보장합니다.
웹사이트 또는 API 요구사항에 따른 맞춤형 DDoS 방어
Behavioral DDoS Engine은 향상된 추적 및 예측 분석을 제공해 트래픽의 국가 소스, 클라이언트 TLS 패턴, 네트워크 지문과 같은 동적 트래픽 차원에 걸쳐 트래픽 트렌드를 모니터링합니다. 이 새로운 기능은 각 호스트 이름과 HTTP 메소드에 대한 트래픽을 분석해 각 웹사이트 또는 API의 고유한 요구사항에 맞게 보호 전략을 조정합니다.
이러한 적응성 덕분에 엔진은 고객의 추가적인 노력 없이도 새로운 위협과 보안 리서치에 대한 최신 정보를 유지할 수 있습니다. 또한 엔진은 위협이 진화함에 따라 사용할 트래픽 크기를 자동으로 조정할 수 있습니다. 이를 통해 원활한 사용자 경험을 유지하면서 보안을 강화하는 강력한 방어 기능을 제공할 수 있습니다.
그림 1은 트래픽 기준 상태와 주요 보호 인사이트를 보여줌으로써 사용자 신뢰도를 높이는 데 도움이 되는 새로운 기준 트래픽 보고서를 보여줍니다.
그림 1: Behavioral DDoS Engine 보고서의 기준 트래픽 상태 및 주요 보호 관련 인사이트
이 솔루션은 트래픽의 비정상적인 급증을 감지하고 기준 트래픽에서 이를 필터링해 정확성과 정밀도를 보장합니다(그림 2). 그 결과, 정상 트래픽이 생성되어 각기 다른 HTTP 요청 방법(예: GET, POST, OTHER 등)에 맞게 조정된 다차원 보기를 생성하는 데 사용됩니다(PUT, PATCH, DELETE 등과 같이 덜 일반적인 방법도 포함).
그림 2: 기준선 정규화 활동을 강조하는 Behavioral DDoS Engine 보고서
기업의 리스크 성향에 맞춘 자동 접근 방식
Behavioral DDoS Engine은 3가지 보호 수준을 제공하므로 비즈니스 리스크 허용 범위와 보안 요구사항에 가장 적합한 옵션을 선택할 수 있습니다(그림 3).
그림 3: 기준선 대비 민감도 수준을 강조하는 Behavioral DDoS Engine 보고서
엄격: 경미한 비정상 행동에도 신속하게 대응하며 트래픽의 사소한 편차가 잠재적인 DDoS 공격의 신호일 수 있는 보안 수준이 아주 높은 환경에 권장됩니다.
보통: (Akamai 권장) 오탐 수준을 최적화하면서 강력한 보호 기능을 제공하는 균형 잡힌 접근 방식을 제공하기 때문에 약간의 트래픽 변동이 예상되는 대부분의 운영 환경에 적합합니다.
보수적: 트래픽 편차가 크고 트래픽 변동이 클 경우 불필요하게 DDoS 방어를 트리거할 수 있는 트래픽 변동에 대한 허용 오차를 제공합니다.
숨겨진 이야기: 모든 것이 결합되는 방식
솔루션은 몇 가지 핵심 요소로 구성되며, 각 구성요소는 전체 레시피에 매우 중요합니다(그림 4).
- 탐지 엔진은 트래픽에 대한 다차원적 시각과 기준 생성기의 인텔리전스를 활용해 DDoS 공격을 식별합니다.
방어 엔진은 여러 차원을 조합하고 기준 생성기와 위협 시그널의 인텔리전스를 활용해 DDoS 공격자를 식별하고 대응합니다.
플랫폼 DDoS 인텔리전스 휴리스틱을 포함한 위협 시그널은 과거 공격 데이터를 기반으로 DDoS 공격자에 대한 인사이트를 제공하며 Akamai의 방대한 데이터와 Akamai 위협 연구팀으로 인해 레이어 7 DDoS 공격이 급증했습니다.
filler
AI 기반 튜닝의 지원을 받는 기준 검증기는 매달 수백 건의 DDoS 공격을 평가해 솔루션을 미세 조정하는 중요한 구성요소입니다.
노이즈/FP 감소는 머신 러닝 모델 프레임워크로 원시 데이터를 기준 생성기와 기준 검증기 모두를 위한 가치 있는 인사이트로 변환합니다.
기준 생성기는 2주 동안 깨끗한 데이터를 처리하는 기본 구성요소입니다. 또한 최신 위협 리서치 결과를 사용해 탐지 및 방어 엔진에 대한 여러 트래픽 프로필과 설정을 생성합니다.
동급 최고의 효율성 및 정확도
Behavioral DDoS Engine은 탐지 정확도를 개선해 보안을 강화하는 동시에 정상 사용자에게 미치는 영향을 최소화합니다. 또한 위협이 운영에 영향을 미치기 전에 예측하고 무력화해 선제적인 방어 기능을 제공합니다.
보안팀의 운영 효율성 향상, 수동 개입 감소, 기존 워크플로우와의 원활한 통합을 통해 보호 기능 저하 없이 더욱 간소화된 보안 관리를 제공하는 Behavioral DDoS Engine이 어떻게 도움이 되는지 보여주는 두 가지 사례 연구를 살펴보겠습니다. [참고: 결과는 고객이 선택한 민감도 설정과 각 트래픽 기준선에 따라 달라질 수 있습니다. 아래 사례 연구의 정확도는 엄격한 민감도 설정과 관련해 관찰된 결과입니다.]
사례 연구 1: 파리 올림픽 기간 중 고도로 분산된 레이어 7 DDoS 탐지
공격의 표적은 발권 웹사이트였습니다. 이 공격은 839개 네트워크의 7000개 이상의 IP 주소에서 TLS 무작위화를 사용해 14억 건의 HTTP GET 요청을 전송한 고도로 분산된 공격이었습니다. Behavioral DDoS Engine은 99.95%의 탐지 및 방어율로 뛰어난 정확도를 보여주었습니다.
사례 연구 2: 고도로 분산된 DDoS 공격으로부터 APJ 이커머스 홈페이지 보호
이 공격은 643개 네트워크의 5000개 이상의 IP 주소에서 TLS 무작위화를 사용해 최대 1억 8500만 건의 HTTP GET 요청을 생성하는 DDoS 공격이었습니다. Behavioral DDoS Engine은 99.50%의 탐지 및 방어 정확도로 다시 한번 뛰어난 정밀도를 보여주었습니다.
Akamai App & API Protector를 통한 새로운 DDoS 방어의 시대
Akamai의 새로운 Behavioral DDoS Engine은 오늘날의 복잡한 위협 방어 환경의 요구사항을 충족하는 선제적이고 지능적인 보호 기능을 제공함으로써 최신 위협 방어에 있어 중요한 도약을 이루었습니다. 이 혁신은 탐지 정확도를 높이고 수동 개입을 줄이며 기존 워크플로우에 원활하게 통합됩니다.
자세히 보기
Behavioral DDoS Engine의 실제 작동을 확인할 준비가 되셨습니까? 데모, 미리 접속 또는 기술 탐색을 통해 Akamai가 DDoS 방어 전략을 강화하는 방법에 대해 알아보세요.
보너스! 첨단 레이어 7 DDoS 공격 방어 레시피를 확인하세요.
지금 보안 셰프: 레이어 7 DDoS 안정성을 위한 최고의 요리책 만들기 를 다운로드하고, 사이버 보안의 최신 위협에 대비할 수 있는 지식과 툴로 팀을 지원하세요.
최신 레이어 7 DDoS 방어는 단순히 다운타임을 방지하는 것이 아니라 브랜드, 고객, 수익을 보호하는 것입니다. 애플리케이션 레이어 DDoS 공격으로부터의 전송률 제한 및 행동 기반 DDoS 방어와 같은 기능은 HTTP 요청을 적절히 관리하고 악성 트래픽을 방어하는 데 필수적입니다.
*Behavioral DDoS Engine은 현재 일부 고객에게만 제공됩니다. 2025년에 플랫폼 전체에서 사용할 수 있습니다.