현대 사회에서는 수많은 정보들이 디지털화되어 네트워크를 통해 전송되는 시대를 살고 있습니다. 빅데이터를 포함한 다양한 정보와 데이터들이 각종 서버에 저장되어 있고 유기적으로 연결되어 있기 때문에, 정보를 탈취하거나 정보 서비스 제공 업체를 마비시키려는 시도도 있습니다. 그 중에서도 웹사이트나 서버를 강제적으로 마비시키는 악의적인 공격에 해당하는 해킹 공격 중에서 DDoS (분산서비스거부) 공격이라는 것이 있습니다.
DDoS 란? 랜섬웨어 공격
이러한 DDoS 공격은 단순히 서비스를 방해하는 것부터 랜섬웨어 공격의 전초전 또는 다른 유형의 사이버 공격을 위한 산만함을 위해 사용될 수 있습니다.
DDoS는 ‘Distributed Denial of Service’의 약자로, 한마디로 설명하면 다수의 컴퓨터가 한 시스템이나 네트워크 자원에 한꺼번에 정보를 요구하여 정상적인 서비스 이용을 방해하는 공격을 의미합니다.
이 공격은 대상 서버가 정상적인 트래픽을 처리할 수 없게 되어 실제 사용자가 서비스를 이용할 수 없게 만듭니다. DDoS 공격은 여러 대의 컴퓨터가 공격에 사용되는데, 이러한 컴퓨터는 보통 해커에 의해 악성코드에 감염되어 무의식적으로 공격에 동원되는 ‘좀비 컴퓨터‘ 또는 ‘봇넷‘이라고 불립니다.
DDoS 공격은 다양한 방식으로 이루어지지만, 일반적으로 대량의 데이터 패킷을 서버에 전송하여 처리 능력을 초과하거나 공격 대상의 시스템 리소스를 고갈시키는 방식으로 이루어집니다. 이로 인해 대상 서비스는 정상적인 요청에 응답할 수 없게 되어 사용자에게 서비스 거부 상태를 초래하게 됩니다.
디도스 공격은 어떻게 진행되는가?
그럼, 이러한 DDoS 공격이 어떻게 이루어지는지, 공격 과정에 대해 살펴보겠습니다.
DDoS 공격은 여러 단계에 걸쳐 진행되는데, 첫째로 공격자는 다수의 감염된 컴퓨터와 장치(좀비 컴퓨터)를 조직하여 봇넷을 구성합니다. 이때는 보통 악성코드를 통해 은밀하게 이루어집니다.
둘째로, 공격할 서버나 네트워크를 선정합니다. 공공 기관, 금융 기관, 상업용 웹사이트 등이 될 수 있습니다.
다음으로는 공격 실행 단계입니다.
공격자는 명령 및 제어(C&C) 서버를 활성화하여 봇넷에 명령을 내립니다. C&C 서버는 봇넷을 조정하고 공격 명령을 전달하는 데 사용됩니다. 그 후 공격 유형을 결정합니다. 공격자는 다양한 DDoS 공격 유형(볼륨 기반 공격, 프로토콜 공격, 애플리케이션 계층 공격 등) 중 하나를 선택하게 됩니다. 그리고 ‘좀비 컴퓨터’를 이용해 표적에 대해 동시다발적인 과도한 트래픽을 생성해서 대상 서버의 처리 능력을 초과해서 마비시키는 공격을 수행합니다.
DDoS 공격은 강력한 방어 메커니즘과 지속적인 모니터링을 통해 어느 정도 예방하거나 완화할 수 있습니다. 공격을 탐지하고 대응하는 기술과 방법론은 끊임없이 진화하고 있습니다. 그러나, 이러한 공격에 대비하여 미리 방어 방안을 마련하는 것이 중요합니다.
DDoS 공격을 방어하는 방법은 다양하게 있습니다.
첫째로, 인프라를 강화하고 확장하는 방법이 있습니다. 대역폭을 확장하여 더 많은 트래픽을 수용할 수 있도록 하고, 서버를 여러 데이터 센터에 분산 배치하여 공격이 특정 지역에 집중되는 것을 방지하도록 합니다.
둘째로, 공격을 탐지하고 필터링하는 방법이 있습니다. 정상 트래픽 패턴과 비교하여 비정상적인 트래픽을 식별하고, 악성 트래픽을 전송하는 IP 주소를 차단하며 요청 수를 제한하여 과도한 트래픽을 방지합니다.
셋째로, 애플리케이션 레벨에서의 보호 방안이 있습니다. 웹 애플리케이션 방화벽(WAF)을 통해 애플리케이션 수준에서 공격을 차단하여 SQL 인젝션, 크로스 사이트 스크립팅(XSS) 등의 공격을 방어합니다. SSL 오프로드를 통해 SSL의 암호화/복호화 과정을 웹서버가 아닌 다른 하드웨어에서 처리하여 서버의 부하를 줄여줍니다.
넷째로, 클라우드 기반 DDoS 방어 서비스를 이용하는 방법이 있습니다. DDoS 방어 전문 업체의 클라우드 기반 DDoS 방어 서비스를 이용해 대규모 DDoS 공격에 대응할 수 있습니다. 이러한 서비스는 공격을 분산시키고 악의적인 트래픽을 필터링하여 원래 목적지로 보내기 전에 정화합니다.
다섯째로, 하드웨어 및 소프트웨어 솔루션을 이용하는 방법이 있습니다. 침입 탐지 시스템(IDS)과 침입 방지 시스템(IPS)을 사용하여 악성 트래픽을 탐지하고 차단합니다. 네트워크의 여러 계층에 보안 메커니즘을 적용합니다.