증폭 공격이란 무엇일까요?

증폭 공격은 일반적으로 서버 또는 네트워크의 용량을 압도해 속도 저하나 장애를 일으키도록 설계된 DDoS(Distributed Denial-of-Service) 공격 에 기인합니다. 증폭 공격은 표적 서버에 엄청난 양의 트래픽을 전송해 네트워크 혼잡, 패킷 손실, 서비스 중단을 유발합니다. 이러한 공격은 일반적으로 초당 비트(bps), 초당 패킷(pps) 또는 초당 연결(cps)의 비율로 측정됩니다. 증폭 공격은 일반적으로 기술 서비스의 통신 방식을 정의하는 표준인 OSI(Open Systems Interconnection) 모델의 레이어 3과 4에 영향을 미칩니다. 트래픽이 많으면 서버, 네트워크 디바이스 또는 보안 방어 디바이스가 정상적인 요청과 악성 트래픽을 구분하기 어려워지는 경향이 있습니다. 서버가 들어오는 트래픽의 각 요청을 관리하고 응답하려 하다 보면 대역폭, 처리 능력, 메모리 같은 리소스가 고갈됩니다. 결국 머신의 속도가 느려지거나 충돌이 발생해 정상적인 사용자에 대한 서비스가 거부됩니다. 증폭 사이버 공격은 DDoS 공격의 75% 이상을 차지하는 것으로 알려져 있습니다.

증폭 공격은 일반적으로 봇넷이라고 하는 방대한 봇 네트워크를 제어하는 공격자가 수행하지만, 인터넷을 통해 증폭되어 노출되는 반사 프로토콜을 활용할 수도 있습니다. 봇넷은 공격자가 원격으로 제어할 수 있는 멀웨어로 은밀하게 감염된 머신, IoT 디바이스, 기타 시스템을 말합니다. 공격자는 수천 또는 수백만 대의 감염된 디바이스에 명령을 내림으로써 디바이스가 특정 서버로 동시에 요청과 트래픽을 보내도록 강제할 수 있습니다.

증폭을 이용하는 DDoS 공격에는 여러 종류가 있습니다. 여기에는 다음이 포함됩니다.

• ICMP 플러드. ICMP(Internet Control Message Protocol) 플러드 공격은 디바이스의 상태와 연결성을 테스트하기 위해 설계된 ICMP 핑이나 에코 요청 패킷으로 서버나 네트워크 디바이스를 압도합니다. 표적이 된 디바이스에 핑 요청이 폭주하면 응답 용량이 소진되어 정상적인 트래픽을 사용할 수 없게 됩니다.
• DNS 반사 플러드. 이 공격은 DNS(Domain Name System)를 활용하며 개방형 DNS 리졸버에서 발생합니다. 이런 공격은 웹사이트, DNS 권한 시스템 또는 기타 라우팅 가능한 엔드포인트를 포함한 모든 인터넷 기반 서비스를 대상으로 할 수 있습니다. DNS 반사는 일반적으로 Akamai가 모니터링하는 모든 DDoS 공격기법의 15~25%를 차지합니다.
• UDP 플러드. UDP(User Datagram Protocol) 플러드는 스푸핑된 IP 주소에서 표적 시스템의 임의 포트로 대량의 UDP 트래픽을 전송합니다. 표적이 된 디바이스가 각 수신 패킷에 지정된 포트를 확인하려 시도하면 대역폭과 용량이 과부하되어, 정상적인 트래픽과 정상적인 사용자는 해당 포트를 사용할 수 없게 됩니다. 또한 이러한 공격에는 조각난 UDP 패킷이 포함되어 있어 요청이 정상적인지 악성인지 판단하기가 더욱 어려워집니다.
• TCP 상태 외 플러드 (SYN, SYN-ACK, ACK 등). 이러한 종류의 공격은 일반적으로 감염된 호스트(일명 봇)에서 발생하며 상태 저장 연결을 모니터링하고 관리하는 정상적인 네트워크 서비스에 심각한 영향을 미칠 수 있습니다. 공격자는 합법적인 TCP 연결 시도처럼 보이는 동작을 생성하는 기능을 이용하지만, 연결 요청을 시작하지 않은 엔드포인트에서 스푸핑 패킷으로 알려진 대량의 연결 요청을 통해 이를 실행합니다. SYN 플러드는 Akamai가 방어한 전체 DDoS 공격의 15~25%를 지속적으로 차지했습니다.
• 반사 증폭 공격. 이 공격에서 해커는 스푸핑 또는 위조된 IP 주소를 사용해 특정 종류의 서버에 패킷 요청이나 쿼리를 보내고, 서버는 응답할 때 최초 요청보다 훨씬 더 많은 데이터가 포함된 응답 패킷을 전송합니다. 공격자가 표적으로 삼으려는 서버의 IP 주소를 사용했기 때문에 쿼리된 서비스는 공격자의 머신이 아닌 표적에 응답해, 각각 대량의 데이터가 포함된 대용량 패킷으로 넘쳐나게 됩니다. 이와 같은 방식으로 공격자는 적은 노력과 리소스로도 대규모 증폭 공격을 실행할 수 있습니다. 이 종류의 공격은 전체 증폭 공격의 40~50%를 차지합니다.

증폭 공격의 초기 영향은 인터넷, 서버, 프로토콜에 대한 네트워크 연결의 성능을 저하시키는 혼잡을 일으켜 잠재적으로 서비스 중단을 유발하는 것입니다. 그러나 공격자는 보다 정교한 악용을 위한 은폐 수단으로 증폭 공격을 이용할 수도 있으며, 이를 ‘연막’ 공격이라고 합니다. 보안팀이 증폭 공격을 방어하기 위해 열심히 노력하는 동안, 공격자는 네트워크 방어에 은밀하게 침투해 데이터를 훔치거나, 자금을 이체하거나, 고가의 계정에 접속하거나, 추가 악용을 일으킬 수 있는 추가 공격(다중 기법)을 실행할 수 있습니다.

증폭 DDoS 공격을 방어하는 가장 좋은 방법은 보안에 대한 멀티레이어 접근 방식을 취하는 것입니다. 보안팀이 취할 수 있는 조치는 다음과 같습니다.

• 플로우 텔레메트리 분석. 행동 분석과 함께 플로우 텔레메트리 분석을 사용하면 보안팀이 DDoS 공격의 신호일 수 있는 네트워크 트래픽의 비정상을 탐지하는 데 도움이 됩니다. 보안팀은 먼저 정상적인 트래픽이 어떤 모습인지 명확하게 이해함으로써 잠재적으로 의심스러운 행동을 더 쉽게 탐지할 수 있습니다.
• WAF(Web Application Firewall). WAF(Web Application Firewall) 는 대량 DDoS 공격의 일부일 수 있는 악성 트래픽을 필터링하고, 모니터링하고, 차단할 수 있습니다.
• 전송률 제한: 특정 기간 동안 서버가 수락할 수 있는 요청 수를 제한하면 요청 폭주로 인해 서버가 압도되는 것을 방지할 수 있습니다.
• DDoS 방어 서비스. DDoS 공격을 방어하고 예방하는 가장 좋은 방법 중 하나는 대형 사이버 보안 공급업체의 DDoS 방어 서비스를 이용하는 것입니다. DDoS 방어 서비스는 가능한 한 빨리 DDoS 공격을 탐지하고 차단해 악성 트래픽을 필터링하고, 의도된 표적의 자산에 도달하지 못하도록 합니다. 공격 트래픽은 DDoS 스크러빙 서비스, 클라우드 기반 DNS 서비스, CDN 기반 웹 보안 서비스를 통해 차단될 수 있습니다.
• 포지티브 보안 모델. 선제적 방어 체계를 구축하는 것은 증폭 DDoS를 성공적으로 방어하기 위한 핵심 요소입니다. Akamai는 100% 일관된 방어 체계를 통해 0초 내에 65~80%의 증폭 DDoS 공격을 차단합니다. 인터넷 트래픽 믹스를 프로파일링하고 신뢰할 수 있는 소스와 허용된 프로토콜만 허용하는 것은 네트워크 서비스의 적극적인 보안을 위한 핵심 기반입니다. 확장 가능한 클라우드 네트워크 방화벽은 선제적 방어 체계를 설정하는 하나의 메커니즘입니다.

• DoS 방어란 무엇일까요?
• ICMP 플러드 공격이란 무엇일까요? 
• 멤캐시드 DDoS 공격이란 무엇일까요? 
• SYN 플러드 DDoS 공격이란 무엇일까요? 
• Slowloris DDoS 공격이란 무엇일까요? 
• UDP 플러드 DDoS 공격이란 무엇일까요?
• 애플리케이션 레이어 DDoS 공격이란 무엇일까요?