아카마이 테크놀로지스 / 김현도 이사

?

4. DDoS공격 트렌드

앞서 설명한 바와 같이 다양한 형태의 DDoS공격 방식은 특정 서비스의 비정상 상태를 유발하는 것이 목적이다. 최근에는 DDoS공격을 기반으로 다양한 형태의 보안 위협을 가하는 경우들이 있고 그 특징은 다음과 같다.

?

• 
  
• RDDoS (Ransom DDoS)
  
  인질을 뜻하는 랜섬(Ramsom)와 DDoS를 결합하여 일컫는 Ransom DDoS는 목적이 서비스 거부를 넘어 해당 조직으로부터 금전적인 이익을 얻는 형태를 말한다. 1차 DDoS공격을 짧게 수행한 이후 암호화폐나 추적이 어려운 금융자산을 요구하며 이에 응하지 않으면 2차 DDoS공격을 수행할 것이라는 협박을 한다. 정해진 시간 이내에 비용이 지불되지 않으면 요구하는 금액이 더욱 커지지만 모든 Ransom DDoS가 100% 위협이 되지 않는 경우도 있다.
  

?

<그림1. (출처: globalsign.com)>

?

• 
  
• DRDoS (Distributed Reflection DoS)
  
  분산 반사 서비스 공격인 DRDoS는 별도의 에이전트의 설치 없이 네트워크 프로토콜의 특성을 이용하여 정상 서비스중인 서버를 DRDoS의 매개체(반사체)로 사용하는 방식을 말한다.? 공격자는 출발IP(Source IP)주소를 공격대상 IP로 설정하여 반사 서버에 패킷을 보내면 반사 서버는 이 요청에 대한 응답을 공격대상? 서버가 받게 되는 형태이다. 요청/응답 패킷의 비율이 비대칭인 NTP(Network Time Protocol), SSDP(Simple Service Discovery Protocol), DNS(Domain Name System)을 주로 사용한다.? DNS 기반일 경우 요청 대비 약 50배, NTP기반인 경우 ?약 1,000배의 증폭된 응답을(Amplification Attack) 공격대상 서버로 보낼 수 있으며 memcached가 사용되는 경우 수만배에 달하는 증폭된 응답이 관측된 DRDoS 사례가 있다. 매개체로 쓰이는 장비는 보안에 상대적으로 취약한 IoT기기인 경우도 있으며 중간에 위치한 매개체라는 구조적 특징으로 공격자를 찾아내기 더욱 까다롭다는 특징이 있다.
  

?

<그림2. (출처: cloudflare.com)>

?

• 
  
• APDoS (Advanced Persistent DoS) DDoS
  
  공격이 지능적이고 꾸준한 위협을 뜻하는 Advanced Persistent Threat과 결합한 형태이며 DDoS로 보안관리자의 주목을 끈 이후 실제 공격 대상으로 취약점을 이용한 정보 탈취가 주된 목적이다. ?APDoS 공격은 몇 주동안 꾸준히 지속되기도 하는데 2018년 6월부터 8월까지 38일 연속으로 발생했던 공격에서는 SQLi, XSS공격등이 복합적으로 사용되었으며 인프라 네트워크 뿐만 아니라 DNS 서비스 역시 공격 대상에 포함되었다. APDoS의 특징은 다음과 같다.
  - 고도화된 탐색: DDoS 사전 공격을 통해 취약점을 가졌거나 용량이 충분하지 않은 시스템을 식별한다.
  - 전략적 공격 수행: 2개 이상의 대상을 공격하면서도 최종 타겟에 공격 역량을 집중하는 성동격서의 전략을 사용한다.
  

?

• 
  
• DDoS as a Service
  
  이제 더이상 DDoS공격을 의뢰하기 위해 전문 보안 지식을 갖춘 네트워크 전문가를 직접 찾아서 비밀스러운 방법으로 비용을 지불하지 않아도 되는 시대가 찾아왔다. DDoS공격을 클라우드 서비스처럼 제공하는 개인이나 조직이 생겨나고 있으며 주로 BotNet을 이용해 구성한 플랫폼을 기반으로 원하는 용량만큼의 DDoS 공격을 대신 수행하는 서비스를 제공한다. 실제로 강력한 공격이 될 수 있다는 증거를 보이기 위해 수십 Gbps수준의 샘플 DDoS공격을 무료로 수행해주기도 하며 DDoS공격 플랫폼 IP를 지속적으로 변경하여 IP ACL(Access Control List)에 의한 차단 효과를 감소시킨다. 강한 동기부여를 가진 고객들의 편의를 높이기 위해 DDoS공격의 댓가를 결제하는 수단 역시 다양화되고 있다.
  

?

---

?

5. DDoS방어 전략

DDoS 공격 대상은 기본적으로 인터넷에서 서비스를 하는 모든 자원이 그 대상이다. ?보안 아키텍쳐를 구성해야하는 방어자의 입장에서는 어떤 형태와 종류의 공격이 들어올지 예상할 수 없고, 모든 방어수단을 동시에 적용하는 것 역시 효율적이지 않다. 공격 지점이 될만한 부분을 모두 찾아내는 것이 방어 전략의 첫번째다. 공격 지점을 다른 말로 바꾸면 실제 서비스를 하는 지점이며, 이를 파악하기 위해서는 방어 대상 서비스를 정확히 이해할 필요가 있다. 대부분의 인터넷 서비스는 웹어플리케이션(Web Application)과 아닌 형태(Non-Web Application), 크게 두가지로 구분할 수 있다. 각 항목별로 필요한 방어 전략은 다음과 같다.

?

• 
  
• Web Application ?서비스
  
  웹브라우저를 통해 접속하는 경우이며 주로TCP port 80, 443을 사용한다. 일반 사용자들이 접속하는 서비스는 html을 기준으로 하는 webpage와 모바일앱과의 통신을 위한 API로 다시 구분 할 수 있다.
  Webpage로는 웹기반 취약점을 이용하여 서비스를 마비시키거나 내부 정보를 탈취하려는 시도가 예상 되므로 취약점 표준 코드(Common Vulnerabilities and Exposures, CVE)에 공개된 최신 정보를 파악하고 이를 방지하기 위한 업데이트를 지속적으로 수행해야 한다.
  또한 다양한 공격 패턴과 시그니쳐를 기반으로 적절한 관리기능을 제공하는 웹방화벽(Web Application Firewall)을 기본으로 침입감지 시스템 IDS(Instrusion Detection System)침입방지시스템 IPS(Intrusion Prevention System)을 활용하는 다중 보안 방어전략을 구성해야한다.
  

최근 자주 발견되는 DDoS공격이 최소 수백 Gbps이상의 규모로 확인되는 만큼 대응 전략 역시 클라우드 기반으로 구성하는 것이 바람직하다.
온프레미스(On-Premise)를 운영하는 경우 클라우드 기반의 웹방화벽을 1차 방어지점으로 설정하고 온프레미스의 Appliance기반 방화벽 장비를 동시에 운용하는 전략 역시 보안성을 높이는 방법중 하나라고 볼 수 있다.

?

<그림3. 단순화시킨 웹 어플리케이션 아키텍쳐>

?

• 
  
• Non-Web Application 서비스 / TCP기반의 운영 서비스
  
  어플리케이션에서 별도로 정의한 TCP port를 사용하거나 UDP를 사용하는 경우를 말한다. ?UDP의 특성을 이용하여 별도로 정의한 데이터구조를 사용하는 경우 명확한 전송규약이 있는 HTTP의 사례처럼 웹방화벽 보안 정책을 적용하는 것은 어려운 일이다.
  ISP에서 제공하는 DDoS방어 서비스는 평균 5~10Gbps업링크(Uplink) 대역폭을 사용하는 개별 기업들의 서비스 수준보다 더 많은 가용량(300~400Gbps)으로 DDoS 방어를 수행할 수 있다는 장점은 있지만 그 보다 더 높은 수준인 Tbps단위의 DDoS 공격은 클라우드 기반의 전문 DDoS방어 체계를 이용하는 것이 필요하다. TCP기반 운영 서비스를 방어하는 클라우드 기반 DDoS방어 체계는 클린존서비스 또는 스크러빙 센터(공격 방어소)를 기반으로 한다. DDoS공격이 발생했을때 해당 기업의 클린존 또는 스크러빙 센터가 방어선 역할을 하게 되며 공격 트래픽을 먼저 흡수하고 적절한 처리를 하기 위해 BGP전환 방식이나 DNS 레코드셋 변경방식을 이용한다.
  

?

<그림4. BGP 전환 방식의 스크러빙 센터 방어 체계 (출처: akamai.com)>

?

DDoS방어 서비스의 오탐 비율 역시 눈여겨 봐야할 요소이다. DDoS공격 발생시 공격성 트래픽은 최대한 완화(Mitigation)시키면서도 정상 트래픽은 평소와 다름없이 처리를 해내는 것이 이상적인 DDoS방어 시스템의 목표이기 때문이다.

적절한 형태의 DDoS방어 체계를 구축한 이후에는 방어체계의 효율적인 운용을 위해 보안 서비스를 고려해야 한다. DDoS공격의 시작 시점은 누구도 예상하지 못한 시점에서부터 출발하기 때문에 빠른 시간안에 필요한 대응을 적절히 수행하는 것 역시 필요하기 때문이다. ?DDoS공격의 패턴과 양상은 매일 새롭게 변화하고 새롭게 발견되기 때문에 이를 반영하여 적용하기 위한 노력은 충분한 규모의 보안팀과 전문인력을 갖춘 경우에도 전문 보안서비스에서 제공하는 최신 보안 엔진을 기반으로 방어대상 시스템에 이를 적절히 반영하여 운영하기 위해 필요하다.

<그림5. 보안 책임 공유 모델 (출처: image source: microsoft.com>

?

또한 보안 책임 공유 모델에 관한 이해도를 높이고 이를 적용하기 위한 준비가 필요하다.

전문 보안 솔루션과 서비스를 활용한다고 하더라도 해당 기업에서만 권한을 가지고 있는 접근 계정이나 데이터, 시스템 자원 운영 정책이나 엑세스 기록 감사등의 역할은 기업내에서 철저한 ?관리가 필요한 영역이다.

?

---

?

참고자료

1. 
   
2. https://en.wikipedia.org/wiki/Denial-of-service_attack
   
3. https://www.kisa.or.kr/
   
4. https://repository.kisti.re.kr/
   
5. https://www.cloudflare.com/ddos/
   
6. https://www.akamai.com/kr/ko/multimedia/documents/brochure/8-steps-to-a-ddos-mitigation-plan.pdf
   
7. https://docs.microsoft.com/ko-kr/azure/security/fundamentals/shared-responsibility
   

---

?

저작권정책

K-ICT 클라우드혁신센터의 저작물인 『[2부] DDoS 공격 형태 분석과 보안 아키텍처 구현 방안』은 K-ICT 클라우드혁신센터에서 상명대학교 아카마이 테크놀로지스 김현도 이사에게 집필 자문을 받아 발행한 전문정보 브리프로, K-ICT 클라우드혁신센터의 저작권 정책에 따라 이용할 수 있습니다.
다만 사진, 이미지, 인용자료 등 제3자에게 저작권이 있는 경우 원저작권자가 정한 바에 따릅니다.

?