소규모 DDoS 공격으로 인한 위험
최신 DDoS 보고서의 데이터
Cloudflare에서는 네트워크 인프라에 대한 수많은 DDoS 공격을 관찰하고 완화했습니다. 이러한 공격 중 일부는 상당히 대규모였지만, 대부분은 소규모이고 짧았습니다. 이러한 추세는 전반적인 공격 수가 증가하거나 감소하고 다양한 네트워크 계층 프로토콜이 공격자들 사이에서 인기를 얻거나 잃는 경우에도 일관되게 유지되었습니다.
DDoS 공격이 소규모이고 짧아지리라는 전망은 고무적으로 들릴 수 있지만, �이러한 공격으로 보호되지 않거나 보호가 미흡한 네트워크에서 피해를 당할 수 있습니다. 또한 공격자가 조직의 방어 태세를 시험하도록 허용하고 보안 팀이 별도의 더 심각한 위협에 대하여 기울여야 할 주의를 분산시킬 수 있습니다.
소규모 DDoS 공격이 인기를 끄는 배경에는 어떤 추세와 전술이 있을까요? 그리고 조직에서는 대응하기 위해 무엇을 해야 할까요?
소규모 DDoS 공격이 급증하고 있습니다
DDoS 공격은 조직의 IT 인프라와 트래픽을 수신하는 애플리케이션 내의 병목 현상을 악용하도록 설계되었습니다. 많은 유형의 DDoS 공격이 존재하지만, 대부분 다음 두 가지 기술 중 하나를 사용합니다.
대량의 패킷: 모든 서버 또는 애플리케이션에는 처리할 수 있는 동시 요청 수가 제한되어 있습니다.이러한 제한을 초과하면 합법적인 요청을 처리하는 애플리케이션의 경우 기능이 저하되거나 파괴될 수 있습니다.
많은 양의 데이터: 네트워크 링크, 서버, 애플리케이션도 전송하거나 처리할 수 있는 데이터의 양에 제한이 있습니다.이러한 대역폭 제한을 초과하면 시스템이 다운될 수도 있습니다.
2021년 4분기의 Cloudflare 네트워크 데이터를 기반으로 한 아래 이미지는 대부분의 공격이 첫 번째 기술을 사용하려고 시도하지 않았음을 보여줍니다.이 3개월 동안 DDoS 공격의 98% 이상이 초당 백만 패킷(pps) 이하의 전송률을 보였으며 이는 이전 분기의 결과와 일치하는 추세입니다.
참고로 2018년에 있었던 GitHub에 대한 대규모 DDoS 공격은 전송률이 초당 1억 2,960만 패킷에 달했습니다.2021년 4분기에는 DDoS 공격의 2%만이 이 크기의 10분의 1에 도달했으며, 이는 대부분의 공격자가 더 작은 패킷 볼륨으로 DDoS 공격을 수행하고 있음을 나타냅니다.
아래 그래프에는 4분기의 대부분의 계층 3/4 DDoS 공격이 방대한 양의 데이터로 대상을 압도하려고 시도하지 않았음이 나와있습니다. 실제로 모든 공격의 97%에서는 초당 0.5기가바이트 미만의 데이터가 전송되었습니다.
DDoS 공격자는 더 이상 과거에 일반적이었던 전술을 사용하지 않습니다. 그 이유는 더 짧고 더 소규모인 공격으로 여러 가지 이점을 누릴 수 있기 때문입니다.
이처럼 더 짧고 더 소규모인 공격이 왜 그렇게 흔할까요?
소규모 공격의 많이 이루어지는 것은 DDoS 공격자가 능력을 모두 발휘하지 않는다는 것을 나타내기 때문에 이상하게 보일 수 있습니다. 그러나 더 짧고 작은 DDoS 공격이 더 보편화되는 데에는 여러 가지 이유가 있습니다.
이유 1 : DDoS 공격 대행 증가
최근 몇 년 동안 DDoS 공격 대행 플랫폼이 점점 인기가 높아지고 있습니다.스트레서라고도 하는 이 플랫폼에서는 기존 DDoS 봇넷을 임대하여 고객이 선택한 대상 조직에 대한 공격을 수행할 수 있습니다.
DDoS 공격 대행 사이트에서 짧고 비교적 소규모인 공격을 수행하는 것은 5분에 5달러에서 하루 종일 400달러에 이르므로 다소 저렴합니다.이처럼 소규모 공격을 시작하기가 더 쉬워짐에 따라 계속해서 인기가 더 높아질 것으로 예상됩니다.
이유 2: 더 많은 네트워크 인프라가 취약해지고 있음
사이버 범죄자는 가장 영향을 크게 미칠 수 있는 곳에 노력을 집중하는 경향이 있습니다. 그렇게 하는 한 가지 방법은 이미 많은 양의 트래픽을 관리하는 데 어려움을 겪고 있는 네트워크 인프라를 공격하는 것입니다.
VPN 및 RDP와 같은 원격 액세스 솔루션 이 그 예입니다.코로나19 팬데믹으로 인해 많은 조직에서 재택 근무를 하는 인력이 상당 부분을 차지함에 따라 이러한 서비스의 사용을 크게 늘려야 했습니다.이러한 증가 때문에 광범위한 네트워크 중단을 방지하기 위해 VPN 사용을 배포해야 하는 대규모 기존 조직 의 예에서 볼 수 있듯이 서비스에 빠르게 과부하가 걸릴 수 있습니다.
물론 원격 액세스 솔루션은 팬데믹이 시작된 이래로 DDoS 공격의 대상이었습니다 .이러한 공격에서 공격자는 비교적 소규모의 공격 트래픽을 시작하고 해당 트래픽을 처리하는 대상 조직의 능력을 방해할 수 있습니다.
이유 3: 랜섬 요구에 대한 준비
회사에 DDoS 완화 솔루션이 있는 경우 소규모 공격은 합법적인 사용자의 서비스 가용성에 거의 또는 전혀 영향을 미치지 않을 수 있습니다. 그러나 이러한 소규모의 공격은 공��격자의 최종 목표가 아닐 수 있습니다.
최근 몇 년 동안 랜섬 DDoS 공격 은 랜섬 요구를 들어주지 않으면 공격자가 DDoS 공격을 수행하겠다고 위협하는 방식으로 등장했습니다.많은 경우 랜섬을 요구하는 그룹에서는 팬시 베어, 코지 베어, 라자루스 그룹 등 잘 알려진 위협 행위자인 척하여 피해자가 돈을 지급하도록 유도합니다.
소규모 DDoS 공격은 랜섬 DDoS 요구에 대한 신호탄으로 사용될 수 있습니다. 공격자는 소규모 DDoS 공격도 수행할 능력이 있음을 입증함으로써 대상 조직에서 대규모 DDoS 공격의 위험을 피하기 위해 비용을 지급할 확률을 높입니다.
이유 4: 레거시 DDoS 완화 시스템의 회피
초기 DDoS 완화 솔루션은 대량의 트래픽을 식별하고 차단하도록 설계되었습니다. 이러한 시스템은 트래픽 볼륨이 설정된 임계값을 초과하는 경우에만 작동할 수 있습니다.
소규모 DDoS 공격은 이러한 임계값에 의존하여 잠재적인 공격을 식별하는 레거시 DDoS 완화 솔루션으로 제공되는 보호 기능을 회피할 수 있습니다. 이러한 공격은 방어가 촉발되는 임계값 바로 아래로 유지함으로써 조직에서 구축할 수 있는 방어를 압도할 필요도 없이 대상 네트워크의 운영을 방해할 수 있습니다.
이유 5: 네트워크 방어 탐색
대규모 DDoS 공격은 비용이 많이 들고 수행하는 데 상당한 리소스가 필요할 수 있습니다. 공격자가 소규모 DDoS 공격을 실행하는 것은 이후 공격을 앞두고 수행하는 정찰 목적일 수 있습니다.
조직에 DDoS 완화 솔루션이 있는 경우 소규모 DDoS 공격은 공격을 받는 애플리케이션의 성능에 영향을 미치지 않습니다. 반면, 보호되지 않은 애플리케이션은 소규모의 DDoS 공격으로도 측정 가능한 대기 시간을 겪을 수 있습니다. 소규모 공격을 해보면 방어 기능이 있는 조직과 없는 조직을 구분할 수 있으므로 이후 공격을 계획하는 데 유용한 정보를 얻을 수 있습니다.
이유 6: 다른 공격의 은폐
많은 DDoS 공격은 눈에 띄도록 설계되었습니다. DDoS 공격이 성공하면 공격을 받고 있는 네트워크 애플리케이션이 다운되므로 조직의 보안 팀에서 해결해야 할 명확한 문제가 발생합니다. 고객과 통신하고 고객에게 서비스를 제공하려면 네트워크 인프라가 중요하므로 공격을 해결하는 일이 최우선 과제가 됩니다.
이러한 이유로 DDoS 공격은 예의 주시 중인 보안 팀에서 감지하고 차단할 수 있는 다른 유형의 공격에 대한 "연막"으로 사용될 수 있습니다. 조직에서는 DDoS 공격을 해결하는 데 집중하는 경우, 데이터 유출 시도 또는 네트워크에 대한 맬웨어 침투를 파악하는 것에 충분한 주의를 기울이지 않을 수 있습니다. 소규모 DDoS 공격은 조직의 시스템을 다운시키기에는 충분하지 않을 수 있지만, 실제 위협으로부터 주의를 분산시키기에는 충분할 수 있습니다.
이러한 소규모 공격은 어떤 위험을 초래할까요?
소규모 DDoS 공격은 대규모 공격보다 즉각적인 위협이 덜하다고 느껴질 수 있지만, 여전히 조직에 많은 위험을 안겨줍니다. 경우에 따라 소규모 공격으로 인해 인프라가 다운되거나 최소한 성능이 저하될 수 있습니다. 또한 소규모 DDoS 공격은 공격자가 보안 허점을 찾거나 완전히 다른 방법을 사용하여 다른 공격으로부터 대상의 주의를 산만하게 만드는 데 도움이 될 수 있습니다.
위험 1: 취약한 인프라 무력화
강력한 DDoS 완화 솔루션을 구현한 조직은 가장 큰 규모의DDoS 공격이 행해지더라도 보호됩니다. 보호되지 않거나 보호가 미흡한 네트워크에 대해서도 마찬가지라고 이야기할 수는 없으며, 특히 해당 네트워크에 이미 과부하가 걸려 있는 경우에는 더욱 그렇습니다.
소규모 DDoS 공격에는 초당 최대 0.5GB의 악의적 데이터가 조직의 네트워크 인프라에 도달하는 것이 포함됩니다. 조직의 네트워크에는 다음과 같은 잠재적인 병목 현상이 있을 수 있습니다.
네트워크 대역폭
열려있는 TCP 연결
CPU 활용
이러한 리소스의 용량이 공격을 받아 초과되면 네트워크에서는 합법적인 요청을 처리할 수 없게 됩니다.
위험 2: 네트워크 성능 저하
합법적이든 아니든 조직의 네트워크에 대한 모든 요청에 따라 리소스를 소비됩니다. 정상적인 상황에서 대부분의 요청은 합법적이며 악의적인 요청은 소규모의 영향 또는 무시할 수 있는 영향을 미칩니다.
반면에 DDoS 공격 중에는 악의적인 요청이 합법적인 트래픽보다 많을 수 있습니다. 공격으로 인해 대상 서비스가 중단되지 않더라도 사이트 운영 비용이 수십 배 증가하면 조직의 수익에 상당한 영향 을 미칠 수 있습니다. 스팸 요청을 처리하는 비용은 계산 리소스를 소모하며, 회사에 요금제 DDoS 완화 서비스가 있는 경우 보호 비용이 상당히 높아질 수 있습니다.
위험 3: 공격 후 결과
DDoS 공격의 영향은 공격이 끝난 후에도 오래 지속될 수 있습니다. 경우에 따라 DDoS 공격으로 인해 공격이 발생하는 동안에는 애플리케이션이 합법적인 요청에 응답할 수 없지만, 공격이 끝난 후에는 정상으로 돌아올 수 있습니다. 다른 경우에는 공격으로 인해 애플리케이션이나 서버가 충돌하여 IT 팀에서 컴퓨터나 소프트웨어를 다시 시작하고 손실된 데이터를 복원해야 할 수도 있습니다(가능한 경우). 두 번째 시나리오에서는 짧고 소규모인 공격이 상대적으로 비용은 많이 들지 않더라도 커다란 영향을 미칠 수 있습니다.
조직에서는 이러한 위험에 대비하기 위해 무엇을 해야 할까요?
조직에서 DDoS 공격에 대비하는 가장 좋은 방법은 DDoS 완화 솔루션을 배포하는 것입니다. 그러나 모든 DDoS 완화 솔루션이 동일한 효과를 발휘하도록 만들어지는 것은 아닙니다. 기대해야 할 몇 가지 주요 특성은 다음과 같습니다.
상시 보호: 일부 DDoS 완화 솔루션은 악의적 트래픽이 특정 임계값에 도달할 때까지 가동되지 않습니다.안타깝게도 소규모 DDoS 공격은 이러한 솔루션을 통과할 수 있습니다.상시 가동 DDoS 완화 솔루션을 사용하면 공격에 대하여 지속적으로 방어가 이루어집니다.
보안 통합: DDoS 공격은 다른 공격에 대한 연막 역할을 하도록 설계될 수 있습니다.다른 보안 도구와 통합된 DDoS 솔루션은 소규모 DDoS 공격이 은폐하려는 공격을 식별하는 데 도움이 될 수 있습니다.
에지 기반 스크러빙: 검사 및 스크러빙을 위해 모든 네트워크 트래픽을 중앙 시스템으로 전송하면 네트워크 대기 시간이 늘어납니다.스크러버는 성능에 미치는 영향을 최소화하기 위해 네트워크 ��에지에 배포해야 합니다.
무제한 DDoS 완화: 일부 벤더는 공격이 최고조에 달했을 때 사용된 네트워크 대역폭을 기준으로 요금을 부과하며, 이는 대규모 공격의 경우 심각할 수 있습니다.가격 급증을 피할 수 있는 DDoS 솔루션을 찾으세요.
DDoS 공격은 점점 더 보편화되고 있으며, 공격 기술은 대규모 공격에서 벗어나 더 소규모이고 짧은 DDoS 캠페인에 집중하고 있습니다.높은 웹 서비스 가용성과 성능을 보장하려면 선도적인 DDoS 완화 솔루션에 대한 투자가 필요합니다.
이 글은 오늘날의 기술 의사 결정자에 영향을 주는 최신 동향 및 주제에 대한 시리즈 중 일부입니다.
핵심 사항
이 글을 읽고 나면 다음을 이해할 수 있습니다.
가장 일반적인 유형의 DDoS 공격
이러한 공격이 급증하는 6가지 이유
관련된 상위 3가지 위험
선도적인 DDoS 완화