기업 네트워크와 시스템을 통해 데이터 흐름이 끊임없이 이어지는 상황에서 사이버 위협의 위험은 항상 존재합니다. 다양한 사이버 공격 형태가 있지만, DoS와 DDoS는 공격 규모, 실행 방식, 그리고 영향력 측면에서 차이를 보입니다. 하지만 이 두 공격은 모두 유사한 목표를 공유합니다.
시스템을 보호하는 데 도움을 드리고자, 이 두 가지 유형의 사이버 공격 간의 차이점을 명확히 설명해 드리겠습니다.
DoS 공격이란 무엇인가?
서비스 거부(DoS) 공격은 정상적인 서비스 운영을 방해하거나, 다른 사용자의 서비스 접근을 차단하기 위해 특정 서비스에 가해지는 공격입니다. 이러한 공격은 서비스가 처리할 수 있는 양을 초과하는 요청을 전송하여 서비스 속도를 저하시키거나 아예 서비스를 마비시킬 수 있습니다.
DoS 공격의 핵심은 대상 시스템이 감당할 수 없는 과도한 트래픽을 발생시키는 것입니다. 단 하나의 목표는 해당 서비스를 합법적인 사용자들이 이용하지 못하게 만드는 것입니다. 일반적으로 DoS 공격은 단일 시스템에서 수행됩니다.
DDoS 공격이란 무엇인가?
분산 서비스 거부(DDoS) 공격은 DoS 공격과 유사하지만, 차이점은 DDoS 공격이 여러 연결된 온라인 장치(봇넷이라고도 함)를 활용하여 대상 시스템에 과도한 인터넷 트래픽을 유발하여 정상적인 작동을 방해한다는 것입니다.
DDoS 공격은 마치 고속도로를 막아선 예상치 못한 교통 체증처럼 작동하여, 다른 차량들이 제 시간에 목적지에 도달하지 못하도록 방해합니다. 기업 시스템은 시스템을 충돌시키거나 과부하를 일으켜 합법적인 트래픽이 정상적으로 목적지에 도달하는 것을 차단합니다.
DDoS 공격의 주요 유형
기술 발전과 함께 다양한 DoS/DDoS 공격 형태가 등장하고 있습니다. 여기에서는 가장 흔한 주요 공격 형태에 대해 알아보겠습니다. 이러한 공격은 주로 네트워크의 용량, 프로토콜 또는 애플리케이션 계층을 공격하는 형태로 나타납니다.
#1. 용량 기반 공격
모든 네트워크 및 서비스는 특정 기간 동안 처리할 수 있는 트래픽 용량을 가지고 있습니다. 용량 기반 공격은 네트워크에 허위 트래픽을 과도하게 발생시켜 네트워크가 더 이상 트래픽을 처리할 수 없게 만들거나 다른 사용자들에게 서비스 속도를 느리게 만드는 것을 목표로 합니다. 이러한 공격 유형의 예로는 ICMP 및 UDP 플러딩이 있습니다.
#2. 프로토콜 기반 공격
프로토콜 기반 공격은 대량의 패킷을 대상 네트워크와 방화벽과 같은 인프라 관리 도구로 전송하여 서버 리소스를 과부하 시키는 것을 목표로 합니다. 이러한 공격은 OSI 모델의 3계층과 4계층의 취약점을 이용합니다. SYN 플러딩은 프로토콜 기반 공격의 대표적인 예입니다.
#3. 애플리케이션 계층 공격
OSI 모델의 애플리케이션 계층은 클라이언트의 HTTP 요청에 대한 응답을 생성합니다. 공격자는 특정 페이지에 대해 여러 요청을 전송하여 해당 페이지를 사용자에게 전달하는 OSI 모델의 7계층을 집중적으로 공격합니다. 결과적으로 서버는 과도한 요청으로 인해 페이지를 정상적으로 제공하지 못하게 됩니다.
이러한 공격은 합법적인 요청과 공격자의 요청을 구별하기 어려워서 탐지하기가 매우 어렵습니다. 대표적인 공격 유형으로는 Slowloris 공격과 HTTP 플러딩 공격이 있습니다.
다양한 유형의 DDoS 공격
#1. UDP 공격
UDP(사용자 데이터그램 프로토콜)는 연결 없이 통신하는 방식이며, 실시간 응용 프로그램(예: 화상 회의나 게임)과 같이 데이터 수신 지연이 허용되지 않는 상황에서 주로 사용되는 간소화된 프로토콜입니다. 이러한 공격은 공격자가 다량의 UDP 패킷을 대상에 전송하여 서버가 합법적인 요청에 응답하지 못하게 만들 때 발생합니다.
#2. ICMP 플러드 공격
ICMP(인터넷 제어 메시지 프로토콜) 플러드 공격은 과도한 수의 ICMP 에코 요청 패킷을 네트워크에 전송하여 네트워크 정체 및 대역폭 낭비를 유발하는 DoS 공격 유형입니다. 이로 인해 다른 사용자의 응답 시간이 느려지거나, 공격받는 네트워크 또는 서비스가 완전히 작동 불능 상태에 빠질 수 있습니다.
#3. SYN 플러드 공격
출처: 클라우드플레어
이 공격 유형은 식당에서 주문을 받는 웨이터의 상황으로 설명할 수 있습니다. 고객이 주문하면 웨이터는 주문을 주방에 전달하고, 주방은 고객의 주문을 처리하여 고객에게 서비스를 제공합니다. 이것이 정상적인 시나리오입니다.
SYN 플러드 공격은 단일 고객이 이전 주문에 대한 서비스를 받은 후에만 계속해서 주문을 하는 것과 같습니다. 주방은 너무 많은 주문으로 인해 과부하되어 다른 사람들의 주문을 처리할 수 없게 됩니다. SYN 플러드 공격은 TCP 연결의 취약점을 이용합니다.
공격자는 여러 SYN 요청을 전송하지만 SYN-ACK 응답에 답하지 않습니다. 이 때문에 호스트는 리소스가 고갈되어 더 이상 명령 요청을 처리할 수 없을 때까지 요청에 대한 응답을 계속 기다리게 됩니다.
#4. HTTP 플러드 공격
출처: 클라우드플레어
가장 흔하고 간단한 방법 중 하나인 HTTP 플러드 공격은 여러 IP 주소에서 서버로 수많은 HTTP 요청을 전송하여 수행됩니다. 이러한 공격의 목표는 실제 사용자의 트래픽이 접근하지 못하도록 합법적으로 보이는 요청을 사용하여 서버의 처리 능력, 네트워크 대역폭, 그리고 메모리를 소모하는 것입니다.
#5. Slowloris 공격
Slowloris 공격은 대상에 대해 여러 부분적인 요청을 설정한 후, 서버가 연결을 개방 상태로 유지하게 합니다. 공격은 전체 요청을 보내지 않고 기다리면서 서버가 허용된 최대 연결 수를 초과하게 만들어, 결과적으로 다른 사용자에게 서비스 거부를 일으킵니다.
이 외에도 Ping of Death(POD) 공격, 증폭 공격, 티어드롭 공격, IP 단편화 공격, 플러딩 공격 등 다양한 공격이 존재합니다. 이들 공격의 공통된 목표는 서비스 또는 서버에 과부하를 일으켜 정상적인 사용자의 합법적인 요청을 처리하지 못하도록 하는 것입니다.
DoS 공격이 발생하는 이유는 무엇인가?
일반적으로 데이터 탈취를 목표로 하는 다른 공격과 달리, DoS 공격자는 서버의 모든 리소스를 소진시켜 합법적인 사용자의 요청에 응답하지 못하게 만들어 서버를 방해하는 것을 목표로 합니다.
기술이 발전하면서 더 많은 기업들이 웹을 통해 클라우드 서비스를 이용하여 고객에게 서비스를 제공하고 있습니다. 오늘날의 경쟁 시장에서 기업이 성공하려면 웹사이트 운영은 거의 필수적인 요소입니다. 하지만 경쟁업체들은 DDoS 공격을 이용하여 서비스를 중단시켜 경쟁사의 신뢰도를 떨어뜨리고, 신뢰할 수 없는 것처럼 보이게 만들 수 있습니다.
DoS 공격은 공격자가 랜섬웨어 목적으로도 사용할 수 있습니다. 공격자는 관련 없는 요청으로 비즈니스 서버에 과부하를 걸고, 공격을 중단하고 합법적인 사용자가 서버에 접근할 수 있도록 하기 전에 비즈니스에 몸값을 요구할 수 있습니다.
일부 단체는 정치적 또는 사회적 이유로 자신들의 이념에 동의하지 않는 플랫폼을 공격하기도 합니다. 전반적으로 DoS 공격은 서버의 데이터를 변경할 수 있는 권한은 없습니다. 하지만 다른 사용자들이 서비스를 이용하지 못하도록 서버를 중단시킬 수 있습니다.
DoS/DDoS 공격 완화
공격 대상이 될 수 있다는 것을 인지하고 있는 기업은 시스템 또는 서버가 이러한 공격에 쉽게 취약하지 않도록 조치를 취해야 합니다. 기업이 보안을 확보하기 위해 취할 수 있는 몇 가지 조치는 다음과 같습니다.
트래픽 모니터링
네트워크 트래픽을 이해하는 것은 DoS 공격을 완화하는 데 큰 역할을 할 수 있습니다. 모든 서버에는 수신 트래픽 패턴이 있습니다. 정상적인 트래픽 패턴에서 벗어나 갑자기 트래픽이 급증하는 것은 DoS 공격일 수 있는 불규칙성을 의미할 수 있습니다. 트래픽을 이해하면 이러한 상황에 신속하게 대응하는 데 도움이 됩니다.
속도 제한
특정 시간 내에 서버 또는 네트워크로 전송할 수 있는 요청 수를 제한함으로써 DoS 공격을 완화할 수 있습니다. 공격자는 일반적으로 서버에 과부하를 걸기 위해 여러 요청을 동시에 전송합니다. 속도 제한을 설정하면 특정 시간 내에 허용된 요청 수를 초과하는 경우 서버가 자동으로 초과 요청을 지연시켜 DoS 공격자가 서버에 과부하를 걸기 어렵게 만듭니다.
분산 서버
다른 지역에 분산된 서버를 두는 것이 일반적인 방법이며, DoS 공격을 완화하는 데에도 도움이 됩니다. 공격자가 특정 서버에 대한 공격에 성공하더라도 다른 기업 서버는 영향을 받지 않고 합법적인 요청을 계속 처리할 수 있습니다. 콘텐츠 전송 네트워크를 사용하여 사용자 근처의 여러 위치에 서버를 캐싱하는 것도 DoS 공격을 방지하는 데 도움이 됩니다.
DoS/DDoS 공격 계획 준비
모든 형태의 공격에 대비하는 것은 공격으로 인해 발생할 수 있는 피해를 줄이는 데 매우 중요합니다. 모든 보안 팀은 공격 발생 시 수행해야 할 작업에 대한 실행 가능한 계획을 수립하여, 실제 공격이 발생했을 때 대처하는 대신 계획을 기반으로 즉시 움직여야 합니다. 이 계획에는 무엇을 해야 하는지, 누구에게 연락해야 하는지, 그리고 합법적인 요청을 어떻게 유지할 것인지 등이 포함되어야 합니다.
시스템 모니터링
서버에 이상 징후가 없는지 지속적으로 모니터링하는 것은 전반적인 보안에 매우 중요합니다. 실시간 모니터링은 공격을 조기에 쉽게 탐지하고, 공격이 확대되기 전에 해결하는 데 도움이 됩니다. 또한 팀은 정상 트래픽과 비정상 트래픽의 출처를 파악할 수 있습니다. 모니터링은 악의적인 요청을 보내는 IP 주소를 쉽게 차단하는 데에도 도움이 됩니다.
DoS/DDoS 공격을 완화하는 또 다른 방법은 성공적인 공격 발생을 신속하게 감지하고 방지하도록 설계된 웹 애플리케이션 방화벽 도구 및 모니터링 시스템을 사용하는 것입니다. 이러한 도구는 자동화되어 있으며 포괄적인 실시간 보안을 제공할 수 있습니다.
수쿠리
수쿠리는 웹사이트용 웹 애플리케이션 방화벽(WAF) 및 침입 방지 시스템(IPS)입니다. 수쿠리는 OSI 모델의 3, 4, 7 계층을 대상으로 하는 모든 형태의 DoS 공격을 차단합니다. 주요 기능으로는 프록시 서비스, DDoS 보호, 그리고 빠른 검색 기능 등이 있습니다.
클라우드플레어
클라우드플레어는 최고의 DDoS 완화 도구 중 하나입니다. Cloudflare는 웹사이트 DDoS 보호(L7), 애플리케이션 DDoS 보호(L4), 그리고 네트워크 DDoS 보호(L3)의 세 가지 보호 계층을 제공하며, 콘텐츠 전송 네트워크(CDN) 기능도 지원합니다.
임페르바
임페르바 WAF는 들어오는 모든 트래픽을 필터링하고, 웹 서버로 전달하기 전에 안전한지 확인하는 프록시 서버입니다. 프록시 서비스, 보안 패치, 그리고 사이트 가용성 유지는 Imperva WAF의 주요 기능 중 일부입니다.
스택 WAF
스택 WAF는 설정이 간편하며 정확한 위협 식별을 지원합니다. Stack WAF는 웹사이트, API, SaaS 제품, 콘텐츠 보호, 그리고 애플리케이션 계층 DDoS 공격 보호를 포함한 다양한 애플리케이션 보호 기능을 제공합니다.
AWS 실드
AWS 실드는 실시간으로 트래픽을 모니터링하여 의심스러운 트래픽을 탐지하기 위해 흐름 데이터를 분석합니다. 또한 패킷 필터링 및 트래픽 우선 순위 지정을 통해 서버를 통한 트래픽 제어를 지원합니다. AWS 실드는 AWS 환경 내에서만 사용할 수 있다는 점에 유의해야 합니다.
DoS/DDoS 공격을 완화하는 데 도움이 되는 여러 사례를 살펴보았습니다. 중요한 점은 위협 또는 이상 징후가 발견되면 적절한 조치를 취해야 하며, 간과해서는 안 된다는 것입니다.
DoS 대 DDoS 공격
겉으로 보기에 DoS와 DDoS는 매우 유사해 보입니다. 이 섹션에서는 이들을 구별하는 몇 가지 주요 차이점을 다루겠습니다.
| 파라미터 | DoS | DDoS |
| 트래픽 소스 | DoS 공격은 단일 소스에서 시작됩니다. 따라서 생성할 수 있는 트래픽 양은 상대적으로 적습니다. | DDoS 공격은 여러 봇 또는 시스템을 사용하므로 여러 소스에서 동시에 대량의 트래픽을 유발하여 서버에 빠르게 과부하를 걸 수 있습니다. |
| 소스 | 단일 시스템 또는 봇 | 여러 시스템 또는 봇 |
| 완화 | DoS 공격은 단일 소스에서 발생하기 때문에 탐지 및 종료가 더 쉽습니다. | DDoS 공격은 여러 소스를 가지고 있기 때문에 모든 공격 소스를 식별하고 공격을 종료하기가 더 어렵습니다. |
| 복잡성 | 실행하기 쉽습니다. | 많은 리소스와 기술적 노하우가 필요합니다. |
| 영향 | 제한적 | 시스템 또는 서버에 매우 큰 영향을 미칩니다. |
결론
모든 조직은 시스템 보안을 항상 우선시해야 합니다. 서비스 장애 또는 중단은 사용자 신뢰 상실로 이어질 수 있습니다. DoS 및 DDoS 공격은 모두 불법이며 대상 시스템에 유해합니다. 따라서 이러한 공격을 감지하고 관리할 수 있도록 모든 조치를 심각하게 고려해야 합니다.
소규모에서 대규모 기업 웹사이트에 대한 최고의 클라우드 기반 DDoS 보호 솔루션을 찾아볼 수 있습니다.