DDoS 공격 이란?

 

DDoS 공격 (Distributed Denial of Service)

---

1. 정의와 개념

**DDoS 공격(Distributed Denial of Service)**은 공격자가 다수의 컴퓨터(봇넷 또는 분산된 네트워크)를 활용해 특정 서버, 네트워크, 또는 서비스에 과도한 트래픽을 유발함으로써 정상적인 사용자들이 해당 서비스를 이용하지 못하도록 하는 사이버 공격입니다.

• "Denial of Service(DoS)"의 확장형으로, 단일 출처가 아닌 여러 출처에서 동시에 공격이 이루어집니다.
• 주요 목표는 서비스 중단을 유도하여 비즈니스, 사용자 신뢰, 재정적 손실을 초래하는 것입니다.

---

2. DDoS 공격의 특징

• 분산성: 공격이 여러 출처에서 동시다발적으로 이루어짐.
• 규모: 방대한 트래픽(패킷 또는 요청)을 전송하여 목표 시스템의 자원을 고갈시킴.
• 익명성: 주로 **감염된 컴퓨터(봇넷)**를 활용하므로 공격자의 추적이 어려움.
• 시간성: 단시간에 폭발적인 트래픽을 발생시키거나, 지속적인 트래픽으로 장기적으로 시스템을 마비시킴.

---

3. 주요 공격 방식

(1) 네트워크 계층 공격

OSI 7계층 모델의 **3, 4계층(IP, TCP, UDP)**을 대상으로 한 공격.

• SYN Flood: TCP 연결 요청을 과도하게 발생시켜 서버의 연결 큐를 초과시킴.
• UDP Flood: 서버로 다량의 UDP 패킷을 전송하여 자원을 소모.
• ICMP Flood(Ping Flood): 과도한 Ping 요청으로 네트워크 대역폭을 초과시킴.
• Reflection Attack: 중간 서버를 이용하여 대량의 트래픽을 피해 서버로 리다이렉트.

(2) 애플리케이션 계층 공격

OSI 7계층 모델의 **7계층(애플리케이션 계층)**을 표적으로 함.

• HTTP Flood: 웹 서버에 대량의 HTTP 요청을 보내 서버를 과부하 상태로 만듦.
• Slowloris: HTTP 요청을 불완전하게 보내 서버 연결을 유지시키며 자원을 소모시킴.
• DNS Query Flood: 다량의 DNS 요청으로 DNS 서버를 마비.

(3) 볼륨 기반 공격

네트워크 대역폭을 소모하여 트래픽 용량을 초과시킴.

• Amplification Attack: 작은 요청으로 큰 응답을 유발하는 증폭 공격(DNS, NTP 등).

---

4. 주요 공격 도구와 방법

(1) 봇넷(Botnet)

• 공격자는 악성코드를 배포하여 수천, 수백만 대의 컴퓨터를 감염시켜 좀비 시스템으로 만듦.
• 예: Mirai 봇넷은 IoT 장치를 대상으로 DDoS 공격을 수행.

(2) 오픈 리졸버(Open Resolver)

• DNS 증폭 공격에 사용되는 취약한 DNS 서버.

(3) 클라우드 플랫폼

• 일부 공격자는 클라우드 자원을 오용하여 대규모 트래픽을 유발.

---

5. DDoS 공격의 영향

(1) 비즈니스 중단

• 웹사이트나 온라인 서비스가 중단되어 매출 및 사용자 신뢰도가 하락.

(2) 운영 비용 증가

• 피해 조직은 추가적인 서버 자원 및 보안 솔루션을 구매해야 함.

(3) 2차 공격의 발판

• DDoS 공격은 다른 사이버 공격(예: 데이터 탈취, 악성코드 배포)을 위한 교란 전술로 사용될 수 있음.

(4) 평판 손상

• 서비스 가용성이 중요한 금융, e-커머스, 게임 산업 등에 큰 피해 초래.

---

6. 방어 방법

(1) 네트워크 및 애플리케이션 보안

• 방화벽 및 IPS/IDS: 비정상적인 트래픽을 차단.
• 로드 밸런서: 트래픽을 여러 서버로 분산하여 부하를 감소.
• 캐시 및 CDN(Content Delivery Network): 콘텐츠를 분산하여 서버의 직접적인 부하를 줄임.

(2) 트래픽 필터링

• Rate Limiting: 특정 IP 또는 요청 속도를 제한.
• Geo-blocking: 특정 국가나 지역에서 오는 트래픽 차단.

(3) 전문 DDoS 방어 서비스

• 클라우드 기반 방어 솔루션(예: Cloudflare, Akamai, AWS Shield) 사용.
• 대규모 공격을 효과적으로 흡수.

(4) 애플리케이션 레벨 최적화

• 백엔드 요청 처리의 효율성을 높이고, 요청을 검증하는 로직을 추가.

(5) 네트워크 설계

• 대역폭의 여유를 두고 설계.
• 여러 데이터 센터로의 분산 설계.

---

7. 탐지 및 대응 방법

(1) 실시간 모니터링

• 비정상적인 트래픽 증가를 실시간으로 감지.

(2) 트래픽 분석

• 악성 IP, 트래픽 패턴, 프로토콜 사용 등을 분석.

(3) 공격 대응

• IP 차단: 악성 트래픽을 생성하는 IP를 차단.
• 트래픽 리다이렉션: 공격 트래픽을 방어 서버로 전송.

(4) 비상 계획

• DDoS 공격 발생 시의 대응 계획 수립(예: 서비스 페일오버).

---

8. DDoS 공격 사례

(1) GitHub DDoS 공격(2018)

• 1.35Tbps 규모의 공격으로 세계 최대의 DDoS 공격 중 하나.
• Memcached 증폭 공격을 사용하여 발생.

(2) Dyn DNS 공격(2016)

• Mirai 봇넷을 이용한 공격으로, Twitter, Reddit, Spotify 등 주요 서비스가 중단.

(3) AWS DDoS 공격(2020)

• 2.3Tbps의 대규모 공격, 네트워크 및 서버 자원 소모를 초래.

---

 

DDoS 공격은 기술적 진화와 함께 점점 더 복잡하고 대규모로 발전하고 있습니다. 기업 및 조직은 방어 기술을 지속적으로 업데이트하고, 사전 예방 조치를 통해 서비스 중단과 같은 치명적인 피해를 방지해야 합니다. 보안 아키텍처 설계, 전문 솔루션 활용, 및 지속적인 모니터링은 DDoS 공격 방어의 핵심입니다.