클라우드 컴퓨팅이 필요하신가요? 지금 시작해보세요

증폭 공격이란 무엇일까요?

증폭 공격은 일반적으로 서버 또는 네트워크의 용량을 압도해 속도 저하나 장애를 일으키도록 설계된 DDoS(Distributed Denial-of-Service) 공격 에 기인합니다. 증폭 공격은 표적 서버에 엄청난 양의 트래픽을 전송해 네트워크 혼잡, 패킷 손실, 서비스 중단을 유발합니다. 이러한 공격은 일반적으로 초당 비트(bps), 초당 패킷(pps) 또는 초당 연결(cps)의 비율로 측정됩니다. 증폭 공격은 일반적으로 기술 서비스의 통신 방식을 정의하는 표준인 OSI(Open Systems Interconnection) 모델의 레이어 3과 4에 영향을 미칩니다. 트래픽이 많으면 서버, 네트워크 디바이스 또는 보안 방어 디바이스가 정상적인 요청과 악성 트래픽을 구분하기 어려워지는 경향이 있습니다. 서버가 들어오는 트래픽의 각 요청을 관리하고 응답하려 하다 보면 대역폭, 처리 능력, 메모리 같은 리소스가 고갈됩니다. 결국 머신의 속도가 느려지거나 충돌이 발생해 정상적인 사용자에 대한 서비스가 거부됩니다. 증폭 사이버 공격은 DDoS 공격의 75% 이상을 차지하는 것으로 알려져 있습니다.

증폭 DDoS 공격은 어떻게 작동하나요?

증폭 공격은 일반적으로 봇넷이라고 하는 방대한 봇 네트워크를 제어하는 공격자가 수행하지만, 인터넷을 통해 증폭되어 노출되는 반사 프로토콜을 활용할 수도 있습니다. 봇넷은 공격자가 원격으로 제어할 수 있는 멀웨어로 은밀하게 감염된 머신, IoT 디바이스, 기타 시스템을 말합니다. 공격자는 수천 또는 수백만 대의 감염된 디바이스에 명령을 내림으로써 디바이스가 특정 서버로 동시에 요청과 트래픽을 보내도록 강제할 수 있습니다.

증폭 공격에는 어떤 종류가 있나요?

증폭을 이용하는 DDoS 공격에는 여러 종류가 있습니다. 여기에는 다음이 포함됩니다.

  • ICMP 플러드. ICMP(Internet Control Message Protocol) 플러드 공격은 디바이스의 상태와 연결성을 테스트하기 위해 설계된 ICMP 핑이나 에코 요청 패킷으로 서버나 네트워크 디바이스를 압도합니다. 표적이 된 디바이스에 핑 요청이 폭주하면 응답 용량이 소진되어 정상적인 트래픽을 사용할 수 없게 됩니다.
  • DNS 반사 플러드. 이 공격은 DNS(Domain Name System)를 활용하며 개방형 DNS 리졸버에서 발생합니다. 이런 공격은 웹사이트, DNS 권한 시스템 또는 기타 라우팅 가능한 엔드포인트를 포함한 모든 인터넷 기반 서비스를 대상으로 할 수 있습니다. DNS 반사는 일반적으로 Akamai가 모니터링하는 모든 DDoS 공격기법의 15~25%를 차지합니다.
  • UDP 플러드. UDP(User Datagram Protocol) 플러드는 스푸핑된 IP 주소에서 표적 시스템의 임의 포트로 대량의 UDP 트래픽을 전송합니다. 표적이 된 디바이스가 각 수신 패킷에 지정된 포트를 확인하려 시도하면 대역폭과 용량이 과부하되어, 정상적인 트래픽과 정상적인 사용자는 해당 포트를 사용할 수 없게 됩니다. 또한 이러한 공격에는 조각난 UDP 패킷이 포함되어 있어 요청이 정상적인지 악성인지 판단하기가 더욱 어려워집니다.
  • TCP 상태 외 플러드 (SYN, SYN-ACK, ACK 등). 이러한 종류의 공격은 일반적으로 감염된 호스트(일명 봇)에서 발생하며 상태 저장 연결을 모니터링하고 관리하는 정상적인 네트워크 서비스에 심각한 영향을 미칠 수 있습니다. 공격자는 합법적인 TCP 연결 시도처럼 보이는 동작을 생성하는 기능을 이용하지만, 연결 요청을 시작하지 않은 엔드포인트에서 스푸핑 패킷으로 알려진 대량의 연결 요청을 통해 이를 실행합니다. SYN 플러드는 Akamai가 방어한 전체 DDoS 공격의 15~25%를 지속적으로 차지했습니다.
  • 반사 증폭 공격. 이 공격에서 해커는 스푸핑 또는 위조된 IP 주소를 사용해 특정 종류의 서버에 패킷 요청이나 쿼리를 보내고, 서버는 응답할 때 최초 요청보다 훨씬 더 많은 데이터가 포함된 응답 패킷을 전송합니다. 공격자가 표적으로 삼으려는 서버의 IP 주소를 사용했기 때문에 쿼리된 서비스는 공격자의 머신이 아닌 표적에 응답해, 각각 대량의 데이터가 포함된 대용량 패킷으로 넘쳐나게 됩니다. 이와 같은 방식으로 공격자는 적은 노력과 리소스로도 대규모 증폭 공격을 실행할 수 있습니다. 이 종류의 공격은 전체 증폭 공격의 40~50%를 차지합니다.

증폭 공격은 왜 위험할까요?

증폭 공격의 초기 영향은 인터넷, 서버, 프로토콜에 대한 네트워크 연결의 성능을 저하시키는 혼잡을 일으켜 잠재적으로 서비스 중단을 유발하는 것입니다. 그러나 공격자는 보다 정교한 악용을 위한 은폐 수단으로 증폭 공격을 이용할 수도 있으며, 이를 ‘연막’ 공격이라고 합니다. 보안팀이 증폭 공격을 방어하기 위해 열심히 노력하는 동안, 공격자는 네트워크 방어에 은밀하게 침투해 데이터를 훔치거나, 자금을 이체하거나, 고가의 계정에 접속하거나, 추가 악용을 일으킬 수 있는 추가 공격(다중 기법)을 실행할 수 있습니다.

증폭 공격은 어떻게 방어할 수 있나요?

증폭 DDoS 공격을 방어하는 가장 좋은 방법은 보안에 대한 멀티레이어 접근 방식을 취하는 것입니다. 보안팀이 취할 수 있는 조치는 다음과 같습니다.

  • 플로우 텔레메트리 분석. 행동 분석과 함께 플로우 텔레메트리 분석을 사용하면 보안팀이 DDoS 공격의 신호일 수 있는 네트워크 트래픽의 비정상을 탐지하는 데 도움이 됩니다. 보안팀은 먼저 정상적인 트래픽이 어떤 모습인지 명확하게 이해함으로써 잠재적으로 의심스러운 행동을 더 쉽게 탐지할 수 있습니다.
  • WAF(Web Application Firewall). WAF(Web Application Firewall) 는 대량 DDoS 공격의 일부일 수 있는 악성 트래픽을 필터링하고, 모니터링하고, 차단할 수 있습니다.
  • 전송률 제한: 특정 기간 동안 서버가 수락할 수 있는 요청 수를 제한하면 요청 폭주로 인해 서버가 압도되는 것을 방지할 수 있습니다.
  • DDoS 방어 서비스. DDoS 공격을 방어하고 예방하는 가장 좋은 방법 중 하나는 대형 사이버 보안 공급업체의 DDoS 방어 서비스를 이용하는 것입니다. DDoS 방어 서비스는 가능한 한 빨리 DDoS 공격을 탐지하고 차단해 악성 트래픽을 필터링하고, 의도된 표적의 자산에 도달하지 못하도록 합니다. 공격 트래픽은 DDoS 스크러빙 서비스, 클라우드 기반 DNS 서비스, CDN 기반 웹 보안 서비스를 통해 차단될 수 있습니다.
  • 포지티브 보안 모델. 선제적 방어 체계를 구축하는 것은 증폭 DDoS를 성공적으로 방어하기 위한 핵심 요소입니다. Akamai는 100% 일관된 방어 체계를 통해 0초 내에 65~80%의 증폭 DDoS 공격을 차단합니다. 인터넷 트래픽 믹스를 프로파일링하고 신뢰할 수 있는 소스와 허용된 프로토콜만 허용하는 것은 네트워크 서비스의 적극적인 보안을 위한 핵심 기반입니다. 확장 가능한 클라우드 네트워크 방화벽은 선제적 방어 체계를 설정하는 하나의 메커니즘입니다.

자주 묻는 질문(FAQ)

초기 징후로는 모든 네트워크 서비스의 현저한 저하, 웹사이트 성능 저하, 접근성 문제 등이 있습니다. 트래픽 및 네트워크 활동을 모니터링하면 공격을 탐지하는 데 도움이 됩니다.

예. 다른 DDoS 공격은 공격 대상 시스템의 취약점을 악용할 수 있는 반면, 증폭 공격은 트래픽으로 네트워크를 압도하는 데 중점을 둡니다.

몇 가지 보호 조치를 구축할 수는 있지만, 공격자가 점점 더 정교해지고 있기 때문에 전문가의 도움을 받는 것이 좋습니다. 이러한 종류의 이벤트를 성공적으로 차단하려면 정상적인 서비스를 제공하면서 증폭 공격을 감당할 수 있는 충분한 네트워크 용량을 확보하는 것이 중요합니다.

일반적인 표적에는 인터넷 라우팅 네트워크와 상태 저장 연결을 관리하는 시스템이 포함됩니다. 이커머스 웹사이트, 온라인 게임 플랫폼, 정부 웹사이트 같은 유명 업계는 일반적으로 DDoS 공격을 경험하며 증폭 공격의 리스크에 노출되어 있습니다.

피해의 범위가 넓어 금전적 손실, 평판 피해, 경우에 따라서는 법적 처벌까지 이어질 수 있습니다.

강력한 클라우드 네트워크 스크러빙, 확장 가능한 방화벽, 침입 탐지 시스템, 보안 코딩 관행 등 여러 가지 보안 조치를 조합해 예방할 수 있습니다.

DDoS 공격에 대해 자세히 알아보기

고객이 Akamai를 선택하는 이유

Akamai는 온라인 비즈니스를 지원하고 보호하는 사이버 보안 및 클라우드 컴퓨팅 기업으로, 시장을 대표하는 보안 솔루션, 탁월한 위협 인텔리전스, 글로벌 운영팀이 어디서나 기업 데이터와 애플리케이션을 보호하기 위한 심층 방어 기능을 제공한다. Akamai의 풀스택 클라우드 컴퓨팅 솔루션은 세계에서 가장 분산된 플랫폼에서 성능과 경제성을 제공한다. 글로벌 기업들은 비즈니스 성장에 필요한 업계 최고의 안정성, 확장성, 전문성을 제공하는 Akamai를 믿고 신뢰한다.

Akamai 보안 솔루션 둘러보기