DDoS 공격은 무의미한 연결 요청, 가짜 패킷 또는 기타 악성 트래픽으로 웹 사이트, 웹 애플리케이션, 클라우드 서비스 또는 기타 온라인 리소스를 압도하여 비활성화하거나 중단시키는 것을 목표로 합니다.
DDoS 공격은 웹사이트에 악성 트래픽을 과도하게 발생시켜 합법적인 사용자가 애플리케이션 및 기타 서비스를 사용할 수 없도록 만듭니다. 불법 트래픽의 양을 처리할 수 없어 대상이 속도가 느려지거나 완전히 충돌하여 합법적인 사용자가 사용할 수 없게 됩니다.
DDoS 공격은 애플리케이션이나 네트워크 서비스를 느리게 하거나 중단시키는 모든 사이버 공격을 포함하는 광범위한 범주인 서비스 거부 공격(DoS 공격)의 일부입니다. DDoS 공격은 여러 소스에서 한 번에 공격 트래픽을 전송한다는 점에서 독특하며, 이것이 "분산형 서비스 거부"에서 "분산"이 의미하는 바입니다.
사이버 범죄자들은 20년 이상 네트워크 운영을 방해하기 위해 DDoS 공격을 사용해 왔지만, 최근에는 그 빈도와 위력이 급증하고 있습니다. 한 보고서에 따르면 2022년 상반기 DDoS 공격은 2021년 같은 기간에 비해 203% 증가했습니다(ibm.com 외부 링크).
IBM X-Force Threat Intelligence Index를 통해 더 빠르고 효과적으로 사이버 공격에 대비하고 대응할 수 있는 인사이트를 확보하세요.
데이터 유출 비용 보고서 등록
다른 사이버 공격과 달리 DDoS 공격은 네트워크 리소스의 취약점을 악용하여 컴퓨터 시스템을 침해하지 않습니다. 대신 하이퍼텍스트 전송 프로토콜(HTTP) 및 전송 제어 프로토콜(TCP)과 같은 표준 네트워크 연결 프로토콜을 사용하여 엔드포인트, 앱 및 기타 자산에 처리할 수 있는 트래픽을 초과하는 양의 트래픽을 발생시킵니다. 웹 서버, 라우터 및 기타 네트워크 인프라는 한정된 수의 요청만 처리하고 주어진 시간에 제한된 수의 연결을 유지할 수 있습니다. DDoS 공격은 리소스의 사용 가능한 대역폭을 모두 사용함으로써 해당 리소스가 합법적인 연결 요청 및 패킷에 응답하지 못하도록 합니다.
DDoS 공격은 크게 세 단계로 나뉩니다.
DDoS 공격 대상의 선택은 공격자의 동기에 따라 결정되며 그 범위는 광범위할 수 있습니다. 해커들은 DDoS 공격을 이용해 조직으로부터 돈을 갈취하고 공격을 끝내는 조건으로 몸값을 요구하기도 합니다. 일부 해커는 자신의 신념 활동을 위해 DDoS를 사용하며 자신이 동의하지 않는 조직과 기관을 표적으로 삼습니다. 부도덕한 행위자들은 경쟁 기업을 폐쇄하기 위해 DDoS 공격을 사용하며, 일부 국가는 사이버 전쟁에서 DDoS 전술을 사용하기도 했습니다.
가장 일반적인 DDoS 공격 대상은 다음과 같습니다.
온라인 소매업체. DDoS 공격은 디지털 스토어를 다운시켜 고객이 일정 기간 동안 쇼핑을 할 수 없게 함으로써 소매업체에게 심각한 금전적 피해를 입힐 수 있습니다.
클라우드 서비스 제공업체. AWS(Amazon Web Services), Microsoft Azure, Google Cloud Platform과 같은 클라우드 서비스 제공업체는 DDoS 공격의 주요 표적입니다. 이러한 서비스는 다른 비즈니스를 위한 데이터와 앱을 호스팅하기 때문에 해커가 한 번의 공격으로 광범위한 서비스 중단을 일으킬 수 있습니다. 2020년에 AWS는 대규모 DDoS 공격을 받았습니다(ibm.com 외부 링크). 악성 트래픽이 최고조에 달했을 때는 2.3Tbps(초당 테라비트)에 달하는 트래픽이 쏟아졌습니다.
금융 기관. DDoS 공격으로 인해 은행 서비스가 오프라인 상태가 되어 고객이 계정에 액세스하지 못하게 될 수 있습니다. 2012년에는 미국의 주요 은행 6곳이 정치적 동기에 의한 것으로 추정되는 조직적인 DDoS 공격을 받았습니다(ibm.com 외부 링크).
서비스형 소프트웨어(SaaS) 제공 업체. 클라우드 서비스 제공 업체와 마찬가지로 Salesforce, GitHub, Oracle과 같은 SaaS 제공 업체는 해커가 한 번에 여러 조직의 운영을 중단시킬 수 있기 때문에 매력적인 공격 대상입니다. 2018년, GitHub는 당시 사상 최대 규모의 DDoS 공격을 받았습니다(ibm.com 외부 링크).
DDoS 공격에는 일반적으로 해커가 원격으로 디바이스를 제어할 수 있는 멀웨어에 감염된 인터넷 연결 디바이스의 네트워크인 봇넷이 필요합니다. 봇넷에는 랩톱 및 데스크톱 컴퓨터, 휴대폰, IoT 장치 및 기타 소비자 또는 상업용 엔드포인트가 포함될 수 있습니다. 이러한 손상된 장치의 소유자는 일반적으로 자신이 감염되었거나 DDoS 공격에 사용되고 있다는 사실을 인식하지 못합니다.
일부 사이버 범죄자는 처음부터 봇넷을 구축하는 반면, 다른 사이버 범죄자는 '서비스형 서비스 거부'라는 모델에 따라 미리 구축된 봇넷을 구매하거나 임대합니다.
(참고: 모든 DDoS 공격이 봇넷을 사용하는 것은 아니며, 일부 공격은 감염되지 않은 디바이스의 정상적인 작동을 악의적인 목적으로 악용합니다. 아래 '스머프 공격'을 참조하세요.)
해커는 봇넷의 장치에 연결 요청 또는 기타 패킷을 대상 서버, 장치 또는 서비스의 IP 주소로 보내도록 명령합니다. 대부분의 DDoS 공격은 대량의 요청을 전송하여 공격 대상의 대역폭을 모두 소모하는 무차별 대입 공격에 의존하지만, 일부 DDoS 공격은 소수의 복잡한 요청을 전송하여 공격 대상이 이에 대응하는 데 많은 리소스를 소비하도록 요구합니다. 공격 트래픽이 대상 시스템을 압도하여 서비스 거부를 유발하고 합법적인 트래픽이 웹사이트, 웹 애플리케이션, API 또는 네트워크에 액세스하지 못하도록 한다는 점은 두 경우 모두 동일합니다.
해커는 사이버 범죄자가 봇넷에서 보낸 패킷에 대해 가짜 소스 IP 주소를 위조하는 기술인 IP 스푸핑을 통해 공격 소스를 모호하게 만드는 경우가 많습니다. 해커는 "리플렉션"이라고 하는 IP 스푸핑의 한 형태로 악성 트래픽이 피해자의 IP 주소에서 전송된 것처럼 보이게 만듭니다.
DDoS 공격 유형은 7개의 네트워크 '계층'을 정의하는 개념적 프레임워크인 오픈 시스템 상호 연결(OSI) 참조 모델의 용어를 기반으로 명명되거나 설명되는 경우가 많습니다(OSI 7-Layer 모델이라고도 함).
이름에서 알 수 있듯이 애플리케이션 계층 공격은 사용자 요청에 대한 응답으로 웹 페이지가 생성되는 계층인 OSI 모델의 애플리케이션 계층(계층 7)을 대상으로 합니다. 애플리케이션 계층 공격은 웹 애플리케이션을 악성 요청으로 넘쳐나게 하여 애플리케이션을 중단시킵니다.
가장 일반적인 애플리케이션 계층 공격 중 하나는 공격자가 여러 기기에서 동일한 웹사이트로 대량의 HTTP 요청을 지속적으로 전송하는 HTTP 플러드 공격입니다. 웹사이트가 모든 HTTP 요청을 따라잡을 수 없어 속도가 크게 느려지거나 완전히 중단됩니다. HTTP 플러드 공격은 수백 또는 수천 개의 웹 브라우저가 동일한 웹 페이지를 반복적으로 새로 고치는 것과 유사합니다.
애플리케이션 계층 공격은 상대적으로 실행하기 쉽지만 예방하고 완화하기 어려울 수 있습니다. 더 많은 기업이 마이크로서비스와 컨테이너 기반 애플리케이션을 사용하기 위해 전환함에 따라 중요한 웹 및 클라우드 서비스를 비활성화하는 애플리케이션 계층 공격의 위험이 증가하고 있습니다.
프로토콜 공격은 OSI 모델의 네트워크 계층(계층 3)과 전송 계층(계층 4)을 표적으로 삼습니다. 악의적인 연결 요청으로 방화벽, 로드 밸런서, 웹 서버 등 중요한 네트워크 리소스를 압도하는 것을 목표로 합니다.
일반적인 프로토콜 공격에는 다음이 포함됩니다.
SYN 플러드 공격. SYN 플러드 공격은 두 장치가 서로 연결을 설정하는 프로세스인 TCP 핸드셰이크를 활용합니다.
일반적인 TCP 핸드셰이크에서는 한 장치가 SYN 패킷을 전송하여 연결을 시작하고, 다른 장치가 SYN/ACK 패킷으로 응답하여 요청을 승인한 후, 원래 장치가 ACK 패킷을 다시 전송하여 연결을 마무리합니다.
SYN 플러드 공격에서 공격자는 스푸핑된 소스 IP 주소가 포함된 대량의 SYN 패킷을 대상 서버에 보냅니다. 서버는 스푸핑된 IP 주소로 응답을 보내고 최종 ACK 패킷을 기다립니다. 소스 IP 주소가 스푸핑되었기 때문에 이러한 패킷은 도착하지 않습니다. 서버가 완료되지 않은 수많은 연결에 묶여 있어 합법적인 TCP 핸드셰이크를 사용할 수 없습니다.
스머프 공격. 스머프 공격은 두 장치 간의 연결 상태를 평가하는 데 사용되는 통신 프로토콜인 인터넷 제어 메시지 프로토콜(ICMP)을 이용합니다. 일반적인 ICMP 교환에서는 한 장치가 다른 장치에 ICMP 에코 요청을 보내고 후자 장치는 ICMP 에코 응답으로 응답합니다.
스머프 공격에서 공격자는 피해자의 IP 주소와 일치하는 스푸핑된 IP 주소로부터 ICMP 에코 요청을 보냅니다. 이 ICMP 에코 요청은 지정된 네트워크의 모든 장치에 요청을 전달하는 IP 브로드캐스트 네트워크로 전송됩니다. ICMP 에코 요청을 수신하는 모든 장치(잠재적으로 수백 또는 수천 대의 장치)는 피해자의 IP 주소로 ICMP 에코 응답을 보내 응답하게 되는데, 이때 장치는 처리할 수 있는 것보다 더 많은 정보를 받게 됩니다. 다른 많은 유형의 DDoS 공격과 달리 스머프 공격에는 반드시 봇넷이 필요하지 않습니다.
볼류메트릭 DDoS 공격은 표적 네트워크 내 또는 표적 서비스와 나머지 인터넷 간에 사용 가능한 모든 대역폭을 소비하여 합법적인 사용자가 네트워크 리소스에 연결하지 못하도록 합니다. 볼류메트릭 공격은 다른 유형의 DDoS 공격에 비해 매우 많은 양의 트래픽으로 네트워크와 리소스를 플러딩하는 경우가 많습니다. 볼류메트릭 공격은 합법적인 트래픽에서 악성 트래픽을 필터링하도록 설계된 스크러빙 센터와 같은 DDoS 보호 조치를 압도하는 것으로 알려져 있습니다.
일반적인 볼류메트릭 공격 유형은 다음과 같습니다.
UDP 플러드. 이러한 공격은 가짜 사용자 데이터그램 프로토콜(UDP) 패킷을 대상 호스트의 포트에 전송하여 호스트가 이러한 패킷을 수신할 애플리케이션을 찾도록 유도합니다. UDP 패킷은 가짜이므로 이를 수신할 애플리케이션이 없으며 호스트는 발신자에게 ICMP "대상에 연결할 수 없음" 메시지를 다시 보내야 합니다. 호스트의 리소스가 끊이지 않는 가짜 UDP 패킷 스트림에 대응하느라 바빠지게 되고, 이로 인해 호스트가 합법적인 패킷에 응답할 수 없게 됩니다.
ICMP 플러드. "핑 플러드 공격"이라고도 하는 이 공격은 여러 스푸핑된 IP 주소의 ICMP 에코 요청으로 대상을 공격합니다. 대상 서버는 이러한 모든 요청에 응답해야 하며 과부하 상태가 되어 유효한 ICMP 에코 요청을 처리할 수 없게 됩니다. ICMP 플러드는 공격자가 네트워크 디바이스를 속여 피해자의 IP 주소로 ICMP 응답을 보내도록 하는 대신 봇넷에서 대량의 ICMP 요청을 보낸다는 점에서 스머프 공격과 구별됩니다.
DNS 증폭 공격. 공격자가 하나 또는 여러 개의 공용 DNS 서버에 여러 개의 도메인 이름 시스템(DNS) 조회 요청을 보냅니다. 이러한 조회 요청은 피해자의 스푸핑된 IP 주소를 사용하고 DNS 서버에 요청당 많은 양의 정보를 반환하도록 요청합니다. 그런 다음 DNS 서버는 피해자의 IP 주소에 대량의 데이터를 플러딩하여 요청에 응답합니다.
이름에서 알 수 있듯이 다중 벡터 공격은 여러 공격 벡터를 활용하여 피해를 극대화하고 DDoS 완화 노력을 좌절시킵니다. 공격자는 여러 벡터를 동시에 사용하거나 하나의 벡터가 좌절되면 공격 도중 벡터 간에 전환할 수 있습니다. 예를 들어 해커는 스머프 공격으로 시작할 수 있지만 일단 네트워크 장치의 트래픽이 차단되면 봇넷에서 UDP 플러드를 시작할 수 있습니다.
DDoS 위협은 다른 사이버 공격과 함께 사용될 수도 있습니다. 예를 들어, 랜섬웨어 공격자는 몸값을 지불하지 않으면 DDoS 공격을 가하겠다고 협박하여 피해자를 압박할 수 있습니다.
DDoS 공격이 오랫동안 지속되고 시간이 지남에 따라 사이버 범죄자들에게 점점 더 인기를 얻고 있는 이유는 다음과 같습니다.
해커들이 인공 지능(AI) 및 머신 러닝(ML) 툴을 도입하여 공격을 지시함에 따라 DDoS 공격이 더욱 정교해지고 있습니다. 이로 인해 AI와 머신 러닝을 사용하여 시스템의 가장 취약한 부분을 찾아내고 사이버 보안팀의 DDoS 방어 노력에 따라 공격 벡터와 전략을 자동으로 전환하는 적응형 DDoS 공격이 증가하고 있습니다.
DDoS 공격의 목적은 시스템 운영을 방해하는 것이며, 이로 인해 조직에 높은 비용이 발생할 수 있습니다. IBM의 데이터 유출 비용(CODB) 2022 보고서에 따르면 사이버 공격으로 인한 서비스 중단, 시스템 다운타임 및 기타 비즈니스 중단으로 인해 조직은 평균 미화 142만 달러의 비용을 지출했습니다. 2021년에는한 VoIP 제공업체가 DDoS 공격으로 인해 약 미화 1,200만 달러의 손해를 입었습니다(ibm.com 외부 링크).
기록상 최대 규모의 DDoS 공격은 초당 3.47테라비트의 악성 트래픽을 발생시켰으며, 2021년 11월에 Microsoft Azure 고객을 표적으로 삼았습니다 (ibm.com 외부 링크). 공격자는 전 세계 1만 개의 장치로 구성된 봇넷을 사용하여 초당 3억 4,000만 개의 패킷을 피해자에게 폭격했습니다.
DDoS 공격은 정부를 상대로도 사용되었는데, 2021년에는 벨기에에 대한 공격이 있었습니다(ibm.com 외부 링크). 해커는 정부가 운영하는 인터넷 서비스 제공업체(ISP)를 표적으로 삼아 200개 이상의 정부 기관, 대학 및 연구 기관의 인터넷 연결을 끊었습니다.
점점 더 많은 해커들이 DDoS를 주된 공격이 아닌 더 심각한 사이버 범죄(예: 사이버 보안 팀이 DDoS 공격을 방어하는 동안 데이터를 유출하거나 랜섬웨어를 네트워크에 배포하는 등)로부터 피해자의 주의를 돌리기 위해 사용하고 있습니다.
DDoS 완화 및 보호 노력은 일반적으로 네트워크 트래픽을 스크러빙 센터로 라우팅하거나 부하 분산 장치를 사용하여 공격 트래픽을 재분배하는 등 악성 트래픽의 흐름을 최대한 빠르게 우회하는 데 중점을 둡니다. 이를 위해 DDoS 공격에 대한 방어 체계를 강화하려는 기업은 다음과 같은 악성 트래픽을 식별하고 차단할 수 있는 기술을 채택할 수 있습니다.
콘텐츠 전송 네트워크(CDN). CDN은 사용자가 온라인 서비스에 더 빠르고 안정적으로 액세스할 수 있도록 도와주는 분산 서버 네트워크입니다. CDN이 있으면 사용자의 요청이 서비스의 원본 서버로 다시 이동하지 않습니다. 대신 콘텐츠를 전달하는 지리적으로 더 가까운 CDN 서버로 라우팅됩니다. CDN은 서비스의 전체 트래픽 용량을 늘려 DDoS 공격으로부터 보호하는 데 도움이 될 수 있습니다. DDoS 공격으로 CDN 서버가 다운되는 경우 사용자 트래픽은 네트워크에서 사용 가능한 다른 서버 리소스로 라우팅될 수 있습니다.
조직의 인시던트 대응 프로그램을 개선하고 침해의 영향을 최소화하며 사이버 보안 인시던트에 대한 신속한 대응을 경험해 보세요.
하이브리드 클라우드 환경 전반에서 데이터 보안을 중앙 집중화하고 간소화합니다.
DDoS 보호, 글로벌 로드 밸런싱, 보안 제품군, 안정성 및 성능 기능을 활용해보세요.