DDoS 부터란 무엇일까요?

DDoS(Distributed Denial-of-Service) 부터는 사이버 범죄자가 제공하는 온디맨드 IP 스트레서 서비스입니다. DDoS 부터는 이론상 누구나 표적 네트워크, 웹사이트 또는 서버에서 DoS(Denial-of-Service) 공격을 시작할 수 있는 SaaS(Software as a Service) 제품입니다. FBI에 따르면'부터(booter)'라는 용어는 원래 온라인 게임에서 패배한 후 오프라인에서 상대를 쓰러뜨린('booted') 온라인 게이머들에 의해 사용되었습니다.

DDoS(Distributed Denial-of-Service) 공격은 표적이 된 디바이스, 웹사이트, 서비스 또는 네트워크에 과도한 악성 트래픽을 발생시켜 정상적인 사용자 및 서비스가 해당 표적을 사용할 수 없게 만듭니다. DDoS 공격은 수천 또는 수백만 개의 디바이스를 멀웨어에 감염시켜 공격자가 해당 디바이스를 원격으로 제어할 수 있게 하는 봇넷으로 실행됩니다. DDoS 공격은 표적으로 과도한 악성 트래픽을 유도해 리소스를 소진시킴으로써 트래픽 처리 속도를 저하시키거나 충돌을 일으킵니다. 이 과정에서 수많은 디바이스가 이용되기 때문에 DDoS 공격을 탐지하고 방어하기 어려울 수 있습니다.

IP 스트레서는 DDoS 공격을 모방해 네트워크 또는 서버의 안정성을 측정하는 스트레스 테스트 서비스입니다. IP 스트레스 센서를 정상적인 용도로 사용할 경우 IT 팀은 시스템이 공격으로 인한 추가 부하 또는 스트레스를 얼마나 잘 견디는지 판단할 수 있습니다. IP 스트레서 서비스 자체는 정상이기 때문에, 사이버 범죄자는 종종 DDoS 부터 서비스를 온라인에서 제공되는 IP 스트레서 서비스로 위장합니다.

IP 스트레서를 비정상적인 용도로 사용하는 DDoS 부터는 DDoS 공격 대행 서비스로, 사이버 공격에 대한 경험이 전혀 또는 거의 없는 사람이 다크 웹에서 대여해 사용할 수 있습니다. 멀웨어에 감염된 수천 또는 수백만 개의 디바이스에 봇넷을 주입하는 데 드는 비용과 비교할 때, DDoS 부터의 대여 비용은 상대적으로 매우 저렴합니다. 부터 서비스는 한 달에 25달러 미만의 비용으로 이용 가능하고, 일반적으로 PayPal이나 암호 화폐로 지불할 수 있으며, 일부 스트레서 사이트는 사용자가 공격 규모, 기간, 기법을 제한된 수준으로 이용할 수 있는 '체험판'도 제공합니다. 부터 사이트는 튜토리얼과 사용자 지원을 포함한 구독 형태로 서비스를 패키지화해 제공할 수 있습니다. 이러한 이유로 DDoS 부터는 '아마추어 스크립터' 또는 '스키디'와 같이 사이버 범죄 를 배우기 시작하는 아마추어 사이버 범죄자들에게 인기를 끌고 있습니다. DDoS 부터는 노련한 해커가 데이터나 돈을 훔치려는 목적으로 네트워크에 접속할 권한을 확보하려는 보다 치명적인 공격의 진입점으로 혹은 해당 공격을 DDoS 공격으로 은폐하려는 경우에도 사용됩니다.

봇넷은 DDoS 공격이나 기타 종류의 사이버 위협을 실행하는 데 이용할 수 있는 멀웨어에 감염되거나 악용된 여러 디바이스를 말합니다. DDoS 부터는 봇넷 또는 공격자가 소유한 보다 강력한 서버 모음을 이용해 DDoS 공격을 온디맨드 서비스로 제공합니다.

해커는 다양한 DDoS 공격을 실행하기 위해 부터를 대여할 수 있습니다.

• 증폭 공격. 이러한 공격의 목적은 표적이 가용 대역폭을 소비하도록 과도한 트래픽을 유발시킴으로써 리소스를 고갈시키고 네트워크나 웹사이트를 사용할 수 없게 만드는 것입니다.
• TCP 아웃오브스테이트(일명 상태 고갈형) 공격. 이러한 공격은 TCP(Transmission Control Protocol)의 상태 저장 특성을 악용해 가용 연결을 소진하고 시스템 또는 네트워크 리소스를 소모함으로써 표적의 리소스를 마비시킵니다.
• 애플리케이션 레이어 공격. 이러한 공격에는 Slowloris 공격 및 서버 또는 API 리소스를 소모하는 기타 HTTP 플러드가 포함됩니다. DNS PRSD(Pseudo-Random Subdomain) 공격은 애플리케이션 공격의 한 형태지만, 기존의 애플리케이션 공격은 HTTP 프로토콜에 집중하는 반면, 이 공격은 DNS 프로토콜에 중점을 둡니다.
• 세분화 공격. 이러한 공격은 재조합이 필요한 세분화된 IP 패킷을 전송해 표적의 리소스를 대량으로 소모하고 추가 요청을 처리하는 능력을 고갈시킵니다.
• DNS 반사 또는 증폭 공격. 이러한 공격은 DNS 서버의 취약점을 악용해 공격자의 공격 시도를 증폭시킵니다. 공격자는 DNS 서버로 대량의 정보가 포함된, 응답을 구하는 요청을 보내 표적의 IP 주소를 마비시킵니다.
• IoT 기반 공격. 공격자가 사물 인터넷(IoT) 디바이스의 취약점을 감염시켜 대규모 트래픽을 발생시킬 수 있는 DDoS 공격을 시작하기 위한 봇넷을 만들 수 있습니다.

DDoS 부터를 제공하거나 대여하는 행위는 불법입니다. 미국 법무부(DOJ)와 국제법 집행 기관을 포함한 법 집행 기관은 부터 사이트를 차단하고, 이를 제공하고 사용하는 사람을 체포하기 위해 적극적으로 노력하고 있습니다(예:Operation PowerOFF ).

기업은 DDoS 공격을 방어하는 데 사용하는 것과 동일한 멀티레이어 사이버 보안 조치를 통해 DDoS 부터 서비스를 방어할 수 있습니다. DDoS 방어를 위한 모범 사례는 다음과 같습니다.

• DDoS 방어 서비스 사용. 신뢰할 수 있는 DDoS 방어 서비스 공급업체는 DDoS 공격 중에 악성 트래픽을 탐지하고 걸러내어 트래픽이 서버에 도달하지 못하도록 차단하는 동시에, 정상적인 사용자가 네트워크나 웹사이트에 계속 도달할 수 있도록 보장합니다. 일반적으로 배포되는 전략으로 클라우드 DDoS 스크러빙 서비스가 있습니다.
• 트래픽의 비정상 모니터링. 트래픽 패턴을 탐지하고 분석하는 모니터링 툴은 정상 트래픽을 구분하고 DDoS 공격의 일부일 수 있는 비정상 트래픽을 탐지하는 데 도움이 됩니다.
• 전송률 제한 기능 배포. 전송률 제한 툴은 단일 IP 주소의 요청 수를 제한하거나 악성 주소로 알려진 IP 주소의 트래픽을 차단해 DDoS 공격의 영향을 최소화합니다.
• 용량 증대. 대역폭을 확장하고, 부하 분산 기능을 추가하고, 중복 시스템을 늘리면 DDoS 공격 중에 갑작스럽게 급증하는 트래픽을 흡수할 수 있습니다.
• 콘텐츠 전송 네트워크(CDN) 사용. CDN 기능을 사용하면 트래픽을 여러 서버와 데이터 센터에 지리적으로 분산시켜 DDoS 공격을 흡수하고 방어할 수 있는 추가적인 네트워크 용량을 제공할 수 있습니다.
• 방화벽 및 IPS 배포. 최신 위협 인텔리전스로 업데이트된 방화벽 및 침입 방지 시스템(IPS)을 통해 악성 트래픽을 필터링하고 의심스러운 IP 주소를 차단할 수 있습니다.