[보안] 보안 솔루션의 종류 (4) - DDoS 방어 장비

 

 

 방화벽의 주요 기능 중 하나인 SPI(Stateful Packet Inspection) 엔진의 개발 이후, 네트워크 보안 담당자의 업무 부담이 크게 줄어들었고, 많은 기관이 방화벽을 도입하게 되었다. 방화벽은 간단한 보안 정책을 통해 다양한 사이버 공격을 효과적으로 차단할 수 있는 장비로, 네트워크 보안의 기본 요소로 자리 잡았다. 이에 따라 해커들의 공격 성공률은 점점 낮아졌다.

 

그러나 방화벽이 대중화되면서 새로운 형태의 공격 방식이 등장했다. 기존에는 관리자 권한을 탈취하기 위한 직접적인 공격이 주를 이루었다면, 이제는 정상적인 서비스의 운영을 방해하는 데 초점을 맞춘 공격으로 변화했다. 이러한 공격 방식을 서비스 거부 공격(DoS, Denial of Service)이라고 한다.

 

 하지만 단일 해커가 단독으로 서비스 운영을 마비시키는 데는 한계가 있었다. 이에 따라 다수의 공격 주체가 동시에 DoS 공격을 수행하는 분산 서비스 거부 공격(DDoS, Distributed Denial of Service)으로 진화하였다. DDoS 공격의 위협이 커지자, 이를 방어하기 위한 전용 장비와 솔루션들이 등장하게 되었다.

 

 

1. DDoS 방어 장비

 초기 DDoS 공격은 주로 시스템이나 네트워크 장비의 취약점을 노리는 경우가 많았다. 그러나 점차 공격 범위가 확대되면서 단순한 서버 공격에서 네트워크 장비나 DNS 서비스와 같은 인프라 기반 서비스 제공 영역까지 공격이 확산되었다.

 

 초기의 단순한 DDoS 형태의 공격은 기존 장비의 보완 기능이나 보안 패치 대응으로 큰 효과를 발휘하지 못하게 되었고, 이를 우회하기 위한 다양한 DDoS 공격 형태가 등장했다. 이러한 상황에서 DDoS 공격을 효과적으로 방어하기 위한 전문적인 장비의 필요성이 커졌고, 이에 따라 DDoS 전용 방어 장비가 개발되었다.

 

 DDoS 방어 장비는 주로 볼류메트릭(Volumetric) 공격을 방어하기 위해 트래픽 프로파일링 기법을 활용한다. 또한, 인터넷에서 수집된 다양한 공격 정보를 데이터베이스로 구축하여 방어 체계를 강화하는 데 사용된다.

 

2. DDoS 방어 장비 동작 방식

 

 DDoS 방어 서비스에는 다양한 방식이 있다. 대표적으로 클라우드 기반 방어 서비스, 회선 사업자가 제공하는 방어 서비스, 그리고 사내에 DDoS 방어 장비를 설치하는 방법이 있다. 또한, 회선 사업자와 DDoS 방어 장비를 협력하여 이원화된 방어 체계를 구축하는 서비스도 많이 활용되고 있다.

 

 DDoS는 대규모 공격이기 때문에, 탐지 장비와 방어 장비를 분리하여 운영하는 경우가 많다. 일반적인 방어 기법으로는 DDoS 탐지 장비가 공격을 수행하는 IP 리스트를 식별해 방어 장비나 ISP 내부에서 해당 IP를 차단하는 방식이 사용된다.

 

- DDoS 방어 장비의 주요 판별 방식

• 프로파일링 기법
  • DDoS 방어 장비의 주요 차단 방법으로, 정상적인 데이터 흐름을 학습하여 방어에 활용한다.
  • 일반적인 네트워크 환경에서의 대역폭, 세션량, 초기 접속량, 프로토콜별 사용량 등을 저장한다.
  • 학습된 데이터와 일치하지 않는 과도한 트래픽이 유입되면 이를 탐지하고 차단한다.
  • 데이터는 다양한 날짜 범위와 여러 요소를 지속적으로 모니터링하여 보다 정교한 탐지를 가능하게 한다.
• 보안 데이터베이스 기반 방어
  • 일반적인 보안 장비와 유사하게, 보안 데이터베이스를 활용하여 DDoS 공격을 방어한다.
  • IP 평판 데이터베이스를 공유하여 과거 DDoS 공격에 사용된 악성 IP를 차단하거나, 특정 공격 패턴을 식별하여 방어하는 방법을 사용한다.

이러한 다양한 방식을 결합하여 DDoS 방어 장비는 대규모 공격으로부터 네트워크와 서비스를 보호한다.

 

3. DDoS 공격 타입

DDoS 공격은 다양한 기법으로 이루어지지만, 크게 세 가지 주요 유형으로 분류된다.

	볼류메트릭 공격	프로토콜 공격	애플리케이션 공격
설명	네트워크의 대역폭을 초과시키기 위해 대량의 트래픽을 발생시켜 정상적인 트래픽을 차단하는 공격 방식.	네트워크 및 전송 계층의 취약점을 노리거나 시스템 리소스를 고갈시켜 장비와 서버를 마비시키는 공격.	애플리케이션 계층의 취약점을 악용하여 특정 서비스나 웹 애플리케이션을 중단시키는 공격.
대표 사례	UDP Flood, ICMP Flood, Amplification Attack (DNS, NTP, Memcached 등)	SYN Flood, Smurf Attack, Ping of Death	HTTP Flood, Slowloris, SQL Injection, XML External Entity (XXE)
공격 대상 계층	네트워크 전체	3계층(네트워크 계층), 4계층(전송 계층)	7계층(애플리케이션 계층)
방어 기법	트래픽 프로파일링 기법, 대역폭 관리, 공격 트래픽 필터링.	시스템 리소스 보호, 취약점 패치, 방화벽 및 IDS/IPS 장비 활용	사전 정의된 공격 데이터베이스 활용, 웹 애플리케이션 방화벽(WAF) 배치, 프로파일링 기법.

 

- DDoS 방어 장비의 역할

DDoS 방어 장비는 주로 볼류메트릭 공격과 프로토콜 공격을 방어하는 데 중점을 둔다.

• 자동 프로파일링 기법을 통해 트래픽 패턴을 분석하고 비정상적인 활동을 탐지한다.
• 사전 정의된 공격 데이터베이스를 활용하여 애플리케이션 공격도 방어할 수 있다.

이처럼 DDoS 방어 장비는 다양한 공격 유형에 대응하여 네트워크의 안정성을 유지하는 핵심 역할을 수행한다.

 

4. 볼류메트릭 공격

 볼류메트릭 공격은 대량의 트래픽을 발생시켜 네트워크 회선을 초과 사용하도록 유도해 정상적인 네트워크 사용을 방해하는 DDoS 공격 방식이다. 이를 방어하기 위해 사용자 네트워크의 최상단에 DDoS 방어 장비를 설치하거나 회선을 제공하는 ISP(인터넷 서비스 제공자)와의 협조가 필요하다.

트래픽 과부하	회선 대역폭을 초과하는 트래픽을 유발하여 네트워크를 마비
공격 시간 및 대상	특정 시간에 특정 타깃을 목표로 공격 수행

 

- 좀비 PC 이용한 볼류메트릭 공격

좀비 PC	- 악성 코드에 감염된 대량의 좀비 PC가 공격 트래픽을 생성.  - 특정 시간에 공격 타깃으로 대량의 트래픽을 집중.
증폭 공격 (Amplification Attack)	- 공격자가 적은 대역폭으로 중간 리플렉터(Reflector) 서버에 요청을 보내 트래픽을 증폭.  - 증폭된 트래픽이 피해자 네트워크로 전달되어 회선을 마비.  - 최근에는 수백 Gbps에서 1Tbps 이상의 대규모 공격 발생.

 

- 방어 전략

DDoS 방어 장비 도입	- 회선 최상단에 배치해 볼류메트릭 공격 탐지 및 차단.
ISP 협력 방어	- ISP와 협조해 공격 트래픽을 네트워크 외부에서 차단.
클라우드 기반 DDoS 방어 서비스	- 별도의 물리적 보안 장비 없이 다양한 DDoS 공격 방어.  - 클라우드 서비스 서버가 클라이언트 요청을 사전 필터링하고, 정상 요청만 서비스 서버로 전달.  - 장점 : 서비스 네트워크를 숨김으로써 네트워크 보호, 대규모 볼류메트릭 공격 방어 가능, 추가적인 투자 없이 효율적인 방어 제공