DDoS(분산형 서비스 거부) 공격은 연중 내내 발생하지만 연말 휴가철은 가장 두드러지는 공격이 발생하는 시기입니다.
Microsoft 위협 인텔리전스 팟캐스트에서 전문가로부터 직접 인사이트를 얻으세요. 지금 들어보세요.
연말 휴가철 DDoS 방어: 안전을 위한 가이드
DDoS 공격은 맬웨어에 감염되어 대량의 트래픽으로 웹 사이트나 서비스를 폭주시키는 데 사용되는 개별 디바이스(봇) 또는 디바이스 네트워크(봇네트)에 의해 수행됩니다. DDoS 공격은 몇 시간에서 심지어는 며칠 동안도 지속될 수 있습니다.
- 정의: DDoS 공격은 사이트나 서버에 부정한 트래픽을 다량 발생시켜 서비스를 방해하거나 오프라인 상태로 만듭니다.
- 이유: 공격자는 DDoS 공격을 사용하여 재정적, 경쟁적 이익을 위해 또는 정치적 이유로 사이트 소유자를 위협합니다.
- 방식: 서비스형 사이버 범죄 비즈니스 모델 덕분에 DDoS 구독 서비스에서 단돈 미화 5달러의 비용으로 DDoS 공격을 주문할 수 있습니다.1
DDoS 스트레서 및 IP 스트레서라고도 알려진 IP 부터는 본질적으로 사이버 공격자를 위한 서비스형 소프트웨어입니다. 이러한 서비스를 통해 누구나 봇네트를 활용하여 대규모 DDoS 공격 작전을 실행할 수 있습니다. 코딩 기술도 필요하지 않습니다.
- 첫 번째: 일반적으로 조직에 네트워크 및 애플리케이션 모니터링을 전담하는 리소스가 줄어들기 때문에 위협 행위자에게는 공격을 실행할 수 있는 더 쉬운 기회가 됩니다.
- 두 번째: 특히 전자상거래 웹 사이트와 게임 제공업체의 경우 트래픽 양이 사상 최고 수준(올해 매출액은 미화 1조 3,300억 달러에 이를 것으로 예상됨)에 달하므로 IT 직원이 합법적인 트래픽과 불법적인 트래픽을 구별하기가 더 어려워집니다.
- 세 번째: 금전적 이익을 추구하는 공격자의 경우 매출이 가장 높고 서비스 가동 시간이 중요한 연말 휴가철 기간에 더 높은 금액의 지불금을 받을 가능성이 더 높아질 수 있습니다.
작년에 Microsoft는 연말 휴가철 기간에 이러한 공격이 어떻게 증가했는지를 강조하며 강력한 방어의 필요성을 역설했습니다.
연말 성수기 기간 동안 웹 사이트나 서버가 다운되면 판매 및 고객 손실, 높은 복구 비용 또는 부정적 평판을 초래할 수 있습니다. 소규모 조직의 경우 공격 후 복구가 더 어려울 수 있으므로 훨씬 더 큰 영향을 받게 됩니다.
일반적으로 DDoS 공격은 세 가지 기본 범주로 구분되며 각 범주 내에는 다양한 종류의 사이버 공격이 있습니다. 사이버 공격자가 AI 기반 공격과 같은 고급 기술을 활용함에 따라 새로운 DDoS 공격 벡터가 매일 등장하고 있습니다. 공격자는 네트워크를 대상으로 서로 다른 범주의 공격을 비롯해 여러 공격 유형을 사용할 수 있습니다.
볼륨 공격: 대역폭을 표적으로 삼습니다. 트래픽으로 네트워크 계층을 포화시킵니다.
예: 개방형 DNS 서버를 사용하여 DNS 응답 트래픽으로 대상을 과부하 상태로 만드는 DNS(도메인 이름 서버) 증폭 공격
프로토콜 공격: 리소스를 표적으로 삼습니다. 3계층 및 4계층 프로토콜 스택의 약점을 악용합니다.
예: 사용 가능한 모든 서버 리소스를 소모하여 서버를 사용할 수 없게 만드는 SYN(동기화 패킷 플러드) 공격
리소스 계층 공격: 웹 애플리케이션 패킷을 표적으로 삼습니다. 호스트 간 데이터 전송을 방해합니다.
예: HEADERS 다음에 RST_STREAM을 사용하여 설정된 수의 HTTP 요청을 보내고 이 패턴을 반복하여 대상 HTTP/2 서버에서 대량의 트래픽을 생성하는 HTTP/2 Rapid Reset 공격
DDoS 공격의 표적이 되는 것을 완전히 피할 수는 없지만 사전 예방적인 계획과 준비를 통해 보다 효과적인 방어선을 구축할 수 있습니다.
그렇긴 하지만, 연말 휴가철 기간에 트래픽 수준이 높아지면 이상 현상을 감지하기가 더 어려워질 수 있다는 점을 기억하는 것이 중요합니다.
- 위험 및 취약성 평가하기: 공용 인터넷에 노출된 조직 내 애플리케이션을 파악하는 것부터 시작하세요. 또한 애플리케이션이 예상과 다르게 동작하기 시작하면 신속하게 대응할 수 있도록 애플리케이션의 정상 동작을 확인해야 합니다.
- 보호 상태인지 확인하기: 연말 휴가철 동안 DDoS 공격이 사상 최고치를 기록하므로 어떤 규모의 공격도 처리할 수 있는 고급 완화 기능을 갖춘 DDoS 보호 서비스가 필요합니다. 트래픽 모니터링, 애플리케이션의 세부 사항에 맞춰진 보호 기능, DDoS 보호 원격 분석/모니터링/경고 발송, 발 빠른 대응 팀에 대한 액세스와 같은 서비스 기능을 찾으세요.
- DDoS 대응 전략 만들기: DDoS 공격을 식별하고 완화하며 공격으로부터 신속하게 복구하려면 대응 전략을 갖추는 것이 중요합니다. 전략의 핵심 사항에는 명확하게 정의된 역할과 책임이 부여된 DDoS 대응 팀을 구성하는 것이 포함됩니다. 이 DDoS 대응 팀은 공격을 식별, 완화, 모니터링하는 방법을 이해하고 내부 이해관계자 및 고객과 협력할 수 있어야 합니다.
- 공격 중에 도움 요청하기: 공격을 당하고 있다고 생각되면 구축된 DDoS 대응 팀과 같은 적절한 기술 전문 인력에게 연락하여 공격 중 공격 조사는 물론 공격이 끝난 후 사후 분석에 있어 도움을 받으세요.
- 공격 후 학습 및 적응: 공격을 당한 경우 가능한 한 빨리 털고 기존 업무로 복귀하고 싶겠지만 리소스를 계속 모니터링하고 공격 후 돌아보는 과정을 거치는 것이 중요합니다. 공격 사후 분석에서는 다음 사항을 고려해야 합니다.
- 확장성을 갖춘 아키텍처의 부족으로 인해 서비스나 사용자 환경이 중단되었는가?
- 어떤 애플리케이션이나 서비스가 가장 큰 피해를 입었는가?
- DDoS 대응 전략은 얼마나 효과적이었으며 어떻게 개선할 수 있는가?
Microsoft 팔로우