Akamai는 온라인 라이프를 지원하고 보호합니다. 전 세계 주요 기업들은 매일 수십억 명 고객의 생활, 업무, 여가를 지원하고 디지털 경험을 안전하게 제공하기 위해 Akamai 솔루션을 활용합니다. Akamai Connected Cloud는 대규모로 분산된 엣지 및 클라우드 플랫폼으로, 앱과 경험을 사용자와 더 가까운 곳에 배치하고 위협을 멀리서 차단합니다.
NTP(Network Time Protocol) 증폭 공격은 공격자가 자신의 IP 주소를 스푸핑해 보안이 취약한 NTP 서버에 요청을 보내고, 서버가 정상보다 훨씬 더 크게 응답하도록 하는 DDoS(Distributed Denial-of-Service) 공격의 한 종류입니다. 그러면 응답이 증폭되어 피해자에게 전송되고 서버가 폭주해 속도가 느려지거나 완전히 다운됩니다.
NTP 증폭 공격의 목적은 엄청난 양의 트래픽으로 표적의 인터넷 리소스를 압도하는 것입니다. 이는 잘못 설정된 NTP 서버를 악용해 외부 소스가 직접 접속할 수 있도록 함으로써 가능합니다. 공격자는 피해자의 IP 주소를 스푸핑하고, 감염된 봇 네트워크를 활용해 열려 있는 NTP 서버 목록에 접속하는 방식으로 공격을 시작할 수 있습니다. 그 결과 피해자의 네트워크로 향하는 UDP(User Datagram Protocol) 트래픽이 급속히 증가합니다. 이러한 공격은 피해자에게 장기간의 서비스 중단, 생산성 저하, 사용자 및 고객에 대한 서비스 중단 등의 심각한 결과를 초래합니다.
NTP 증폭 공격을 방지하는 방법은 무엇인가요?
NTP 증폭 공격을 방지하려면 신뢰할 수 있는 호스트만 접속할 수 있도록 NTP 서버를 신중하게 설정해야 합니다. 또한 신뢰할 수 없는 소스에서 의심스러운 요청이 오지 않는지 시스템의 사용자 활동을 모니터링해야 합니다. NTP 증폭 공격을 방지하기 위한 몇 가지 모범 사례로 NTP 서버에서 익명 바인딩을 비활성화하고, ACL(Access Control List) 또는 방화벽을 통해 알려진 호스트 또는 네트워크에만 접속하도록 제한하고, 외부 소스에서 오는 비정상적인 요청이 있는지 사용자 트래픽을 면밀히 모니터링하고, 악성 트래픽이 네트워크에 도달하기 전에 차단할 수 있도록 시스템에 전송률 제한을 설정하는 방법 등이 있습니다. 또한 보안 패치를 최신 상태로 유지해 시스템의 잠재적인 취약점을 신속하게 차단해야 합니다.
관리자는 들어오는 모든 트래픽 패턴을 면밀히 모니터링해 진행 중인 공격을 탐지하고, 외부 소스에서 들어오는 요청이 갑자기 증가하거나 급증하는 경우 공격이 진행 중임을 나타낼 수 있으므로 주의해야 합니다. 침입 탐지 시스템에서 생성된 모니터링 로그로 증폭 공격의 시도 가능성도 밝혀낼 수 있습니다. 공격자가 정상적인 네트워크 호스트 또는 방화벽 테이블에 나열된 주소와 일치하지 않는 가짜 값으로 소스 IP 주소를 스푸핑할 경우 일반적으로 여러 오탐 알림이 생성되기 때문입니다.
활성 NTP 증폭 공격의 경우에는 그 영향을 방어하고 가능한 경우 공격의 출처를 파악하기 위해 필요에 따라 악용 인시던트를 신고하는 등 가해자에 대해 적절한 조치를 취할 수 있도록 신속히 대응해야 합니다. 모범 사례에는 IDS·IPS 로그를 통해 수집한 정보로 방화벽에서 의심스러운 소스 차단, 업스트림 링크에 속도 제한 설정, 패킷 속도 조절, 역방향 경로 전달 확인과 같은 스푸핑 방지 조치 구축, IPsec VPN 터널과 같은 애플리케이션 레이어 방어 솔루션 배포, 네트워크를 작은 섹션으로 세그멘테이션, 사전 정의된 룰에 따라 트래픽 필터링, 적절한 패치 관리, 해당하는 경우 ISP·CDN과 협력, 클라이언트에서 사용하는 TTL 임계치 감축, 공격 발생 중 변동 사항 추적, 지속적인 로그 모니터링이 등이 있습니다.
공격이 이미 발생한 경우 복구를 위해서는 먼저 위에서 설명한 방어 조치를 배포해 서비스를 복구하는 동시에 적절한 보안 설정 없이 온라인에 노출된 취약한 서비스 등 공격자의 접속을 허용하는 근본 원인을 파악해야 합니다. 여기서 우선순위를 정하면 관리자가 감염된 리소스에 대한 제어권을 신속하게 회복하는 동시에 전반적인 보안 설정을 더욱 강화하는 데 필요한 조치를 취해 향후 유사한 공격이 발생할 가능성을 줄일 수 있습니다.
Akamai를 통해 NTP 증폭 공격 및 DDoS 공격 방어하기
Akamai는 종합 DDoS 방어를 기반으로 1차 방어선 역할을 함으로써 부수적 피해와 단일 장애 지점을 방지하기 위해 설계된 전용 엣지, 분산형 DNS, 클라우드 방어 전략을 통해 보안 기능을 제공합니다. 특별히 제작된 DDoS 클라우드는 웹 애플리케이션이나 인터넷 기반 서비스의 특정 요구사항에 맞춰 세밀하게 조정할 수 있는 전용 스크러빙 용량 및 고품질 방어를 제공합니다.
NTP 증폭 공격 및 기타 DDoS 공격을 차단하는 가장 효과적인 방법 중 하나는 모든 포트와 프로토콜을 망라하는 DDoS 공격으로부터 전체 데이터 센터와 인터넷 기반 인프라를 보호하는 검증된 클라우드 스크러빙 서비스인 Akamai Prolexic을 사용하는 것입니다. Prolexic을 사용하면 전 세계에 분산된 대용량 스크러빙 센터에서 BGP 애니캐스트를 통해 트래픽이 라우팅되며, Akamai SOCC(Security Operations Command Center)는 선제적·맞춤형 방어 제어를 배포해 공격을 즉시 차단할 수 있습니다. Prolexic은 가장 가까운 스크러빙 센터로 트래픽을 라우팅해 소스에서 가까운 곳에서 공격을 차단하기 때문에 사용자를 위해 성능을 극대화하고 클라우드 분산을 통해 네트워크 안정성을 유지할 수 있습니다. 스크러빙이 완료되면 논리적 또는 전용 활성 연결을 통해 정상 트래픽이 고객 오리진으로 반환됩니다.
상시 가동형 또는 온디맨드 서비스로 제공되는 Prolexic은 유연한 통합 모델을 제공해 하이브리드 오리진 전반에 걸쳐 다양한 보안 체계의 요구사항을 충족합니다.
Akamai Prolexic를 사용하면 보안팀은 다음과 같은 장점을 얻을 수 있습니다.
- 선제적인 방어 제어와 Prolexic의 고속 SLA를 통해 DDoS 공격의 리스크를 줄입니다.
- 방어 품질을 떨어트리지 않고 고도로 복잡한 NTP 증폭 공격을 차단합니다.
- 애플리케이션이 호스팅되는 위치와 관계없이 기업 전체에 DDoS 방어 정책을 일관되게 적용해 보안 체계를 통합합니다.
- 서비스 검증 실습, 맞춤형 런북, 운영 준비 훈련을 통해 인시던트 대응을 최적화하고 비즈니스 연속성을 보장합니다.
- 225여 명의 일선 SOCC 전문가가 지원하는 완벽하게 관리되는 솔루션으로 보안 리소스를 확장할 수 있습니다.