[PART5] 운영체제/시스템/보안 - TERMS 10

[ TERMS 10 ]  DDoS

DDoS를 설명하는 이미지(출처 : https://www.thesslstore.com/blog/what-is-a-ddos-attack/)

 

1. DDoS(Distributed Denial of Service)의 정의

인터넷이 대중화되면서 CSRF(사용자의 의도와는 무관하게 특정 웹사이트에 요청을 보내는 형식으로 개인정보를 빼내는 방법), SQL Injection(클라이언트 입력 값을 조작해 데이터 베이스를 공격), XSS(해커가 사이트에 악의적인 스크립트를 넣는 공격) 등 해킹의 방식이 더욱더 치밀해졌다. 

 대표적인 해킹 방법인 DDoS는 수십 대의 PC(좀비 PC)를 동시에 접속시켜 과부하를 일으켜 서버를 마비시키는 방법이다. 이로 인해 과도한 트래픽이 발생하고 서버가 작동하지 않게 된다.

 

2. DDoS는 어떻게 접하게 될까?

 전 세계적으로 DDoS 공격이 다양해짐에 따라 피해를 입는 기업들이 늘고 있다. 2021년 3월에는 네이버가 공격을 받아 일부 서비스가 마비되기도 하고 금융권 향한 공격시도도 많이 발생하였다. 코로나로 인하여 인터넷 사용량이 증가한 것을 악용해 DDoS 공격 사례가 증가하고 있다.

 

3. DDoS는 어떻게 접하게 될까?

> 공격 유형

 DDoS의 공격 유형은 매우 다양하다. 해커들은 일반적으로 두 가지 이상의 유형을 선택해 서버에 침입한다.

• 응용 프로그램 계층 공격

 가장 기본적인 DDoS형태로, 컴퓨터 H/W 장치가 서버, 웹 사이트에 접근한다. 정상적인 서버를 모방해 봇넷, 다른 장치와 함께 웹 사이트에 접속한다. 이후 DDoS가 지속적으로 부하를 일으켜 서버 요청을 할 수 없는 상태로 만들고, 결국 네트워크 양이 폭발적으로 늘어나 마비가 된다.

• 프로토콜 공격

 통신을 악용해 서버, 방화벽 같은 인프라에서 컴퓨터 용량을 소비시키는 방법이다. SYN Flood(TCP 3-way 핸드셰이크 과정의 SYN만 반복 요청), Smurf DDoS가 대표적이다.

 

• 볼륨(증폭) 공격

 가장 잦은 빈도를 보이는 공격이며, 대용량 트래픽을 보내 다량의 패킷으로 서버를 사용하지 못하게 만드는 방법이다. 인터넷 대역폭을 소모시켜 사용량을 100%로 만든다. 사용량이 100%가 되면 정상 서비스를 할수 없고, 대역폭 증설, 회선 증설, 신규 서버 대체 등을 해야하는 무차별적인 방법이다.

 

UDP Flood(랜덤 포트로 대량의 UDP 패킷 전송), ICMP Flood(대량의 핑 요청)등이 대표적이다.

 

>  DDoS의 목적

 DDoS의 궁극적인 목적은 공격 대상을 마비키시는 것이다. 마비시키는 이유는 다음과 같다.

• 사회적 혼란을 야기하려는 국가의 방법
• 경쟁 서비스를 사용하지 못하게 하려는 타 업체의 방법
• 금전적 이익과 수익을 위한 방법

 DDoS는 온라인, 교육, 정부 등 사람들이 자주 사용하는 리소스를 공격 대상으로 삼는다.

 

>  DDoS 방지 방법

• 꾸준한 모니터링

 누구나 DDoS 공격에 노출될 수 있다. 공공기관이나 금융권등 개인 정보가 많은 서버는 더욱 취약하다. 따라서 트래픽 상한선을 지정해 꾸준히 모니터링 해야한다.

• 대역폭 확보

 많은 대역폭을 확보하면 서버가 공격을 받았을 때 서버가 다운되기까지 시간을 좀 더 확보할 수 있다. DDoS 공격자는 대역폭이 많을 경우 더 많은 시간을 소비한다.

• 솔루션 사용

 비용이 발생하지만 가장 많이 사용하는 방법이다. 대기업 및 공공기관에서는 안랩, SGnet, 클라우드 자체 지원 DDoS 방지 서비스를 사용해 더 효과적으로 방어하고 있다.

 

4. DDoS 더 알아보기

>  함께 알아 두면 좋은 용어

• OSI 7계층
• SQL Injection
• IPS, IDS, WAF