예, 네트워크 트래픽을 주의 깊게 모니터링하고 잠재적인 플러드를 나타내는 비정상적인 패턴을 인식하면 조기에 탐지할 수 있습니다.
WS-Discovery 플러드 공격은 공격의 강도를 크게 증폭하기 위해 WS-Discovery 프로토콜을 사용하는 DDoS 반사 공격입니다. 공격자는 서버, 웹사이트, 네트워크 또는 기타 머신에 트래픽을 과부하시켜 속도가 느려지거나 다운될 정도로 WS-Discovery 플러드를 실행합니다. 공격자는 WS-Discovery 플러드 에 사용되는 것과 같은 증폭 기술을 통해 적은 노력과 리소스로 대규모 공격을 일으킬 수 있습니다.
DDoS 공격이라는 용어의 의미는 무엇일까요?
DDoS 반사 공격이란 무엇일까요?
반사 공격의 공격자는 패킷 요청을 전송해 다른 서버를 쿼리할 때 의도된 피해자나 표적 서버의 IP 주소를 사용해 대상 IP 주소를 스푸핑합니다. 쿼리된 시스템이 패킷 요청에 응답하면 응답은 공격자가 아닌 피해자의 머신으로 전송됩니다. 이 기법을 사용하면 DDoS 트래픽을 표적에 직접 전송하지 않고 다른 머신을 통해 ‘반사’할 수 있습니다.
공격자는 공격 효과를 증폭하기 위해 최초 요청보다 훨씬 더 큰 응답을 제공하는 머신에서 트래픽을 반사하려 합니다. 이러한 증폭 공격에서 공격자는 상대적으로 적은 수의 초기 패킷을 사용하고, 적은 리소스로도 대량의 데이터가 포함된 대규모 트래픽을 생성해 표적 머신을 더 쉽고 빠르게 압도할 수 있습니다.
WS-Discovery란 무엇일까요?
WS-Discovery 또는 WSD(Web Services Dynamic Discovery)는 로컬 네트워크에서 디바이스 검색을 위해 설계된 멀티캐스트 통신 프로토콜입니다. WS-Discovery는 인터넷 통신을 위한 핵심 전송 프로토콜 중 하나인 UDP(User Datagram Protocol)를 사용하지만 TCP(Transmission Control Protocol)를 활용할 수도 있습니다. IP 카메라, DVR, 스피커 등 WSD 지원 디바이스는 비콘을 방출해 디바이스 간 검색과 연결을 용이하게 합니다. 예를 들어, DVR은 WSD 프로토콜을 사용해 통신 가능한 주변의 IP 카메라를 검색할 수 있습니다. 널리 알려진 프로토콜은 아니지만, 네트워크 제품의 상호 운용성을 높이기 위해 표준화된 인터페이스를 장려하는 단체인 ONVIF에서 WS-Discovery를 도입했습니다. 그 결과 현재 전 세계 수십만 개의 제품에 WSD 프로토콜이 탑재되었습니다.
WSD 프로토콜은 처음에 LAN(Local Area Network)에만 제한적으로 적용될 예정이었습니다. 제조업체들이 WSD 서비스를 통합한 하드웨어를 생산하고 사용자들이 인터넷을 통해 하드웨어를 배포하면서 공격자들은 DDoS를 반사할 수 있는 새로운 공격 기법을 발견했습니다.
WS-Discovery 플러드는 어떻게 작동하나요?
WS-Discovery 반사 DDoS 공격은 UDP·TCP 프로토콜의 취약점을 악용합니다. UDP는 상태 비저장 프로토콜이기 때문에 공격자가 다른 디바이스로 요청을 보낼 때 IP 주소를 스푸핑하거나 위조하기 쉽습니다. 이를 통해 공격자는 WS-Discovery 디바이스에서 DDoS 공격 표적으로 대규모 트래픽을 보낼 수 있습니다. TCP는 연결 또는 상태 저장 중심의 프로토콜이지만, IP 스푸핑 및 WSD 공격의 일부로 활용될 수도 있습니다.
WS-Discovery 플러드 공격이 강력한 이유는 WSD 응답이 초기 요청보다 훨씬 더 크기 때문입니다. WS-Discovery 디바이스로 전송되는 작은 초기 패킷이 75~150배 더 큰 응답을 생성할 수 있습니다. 몇몇 공격은 심지어 300배와 500배의 증폭률을 보였습니다. 이는 평균 증폭 계수가 10인 다른 UDP 프로토콜 공격보다 훨씬 더 큰 수치입니다.
WS-Discovery 플러드 DDoS 공격은 탐지하기도 어렵습니다. 이 프로토콜은 무작위로 높은 포트와 고유한 데이터 페이로드로 응답하기 때문에 공격을 인식하고 방어하기 어렵습니다. 또한 증폭 및 반사의 크기로 인해, 공격이 오리진 시스템이나 서비스를 표적으로 삼을 때는 이미 인터넷 업링크가 포화 상태이므로 탐지하고 방어하는 능력을 잃게 됩니다.
자주 묻는 질문(FAQ)
보안팀은 WS-Discovery 반사 공격을 방어하기 위해 다양한 보안 기능을 구축할 수 있습니다.
- UDP 포트 3702에서 트래픽 차단. 보안팀은 게이트웨이 디바이스 및 방화벽에서 UDP 소스 포트 3702를 차단해 WSD 트래픽을 막을 수 있습니다. 그러나 이 접근 방식은 트래픽이 라우터의 대역폭을 소비하는 것을 방지할 수 없기 때문에 추가적인 클라우드 방어 접근 방식을 사용하는 것이 좋습니다.
- IP 필터링. 보안팀은 IP 필터링 기술을 배포해 허용되지 않은 IP 주소의 요청을 거부할 수 있습니다.
- DDoS 방어 서비스. Akamai와 같은 선도적인 사이버 보안 서비스 공급업체의 클라우드 DDoS 방어 서비스를 배포하는 것은 DDoS 및 증폭 공격을 차단하는 가장 효과적인 방법 중 하나입니다.
WS-Discovery 플러드가 매일 발생하는 것은 아니지만, 주의가 필요할 만큼 중요한 문제입니다. 발생 빈도를 이해하면 네트워크 보안을 위한 선제적 전략을 수립하는 데 도움이 됩니다.
완전히 안전한 네트워크는 없지만, 선제적으로 보안 조치를 취하면 WS-Discovery 플러드의 취약점을 크게 줄일 수 있습니다.
WS-Discovery 플러드와 관련된 리스크는 네트워크 중단부터 잠재적인 데이터 유출로 이어지는 기타 다중 기법 공격에 이르기까지 매우 다양하므로 심각한 보안 문제가 됩니다.
고객이 Akamai를 선택하는 이유
Akamai는 온라인 라이프를 지원하고 보호합니다. 전 세계 주요 기업들은 매일 수십억 명 고객의 생활, 업무, 여가를 지원하고 디지털 경험을 안전하게 제공하기 위해 Akamai 솔루션을 활용합니다. Akamai Connected Cloud는 대규모로 분산된 엣지 및 클라우드 플랫폼으로, 앱과 경험을 사용자와 더 가까운 곳에 배치하고 위협을 멀리서 차단합니다.